一级功能

二级功能

具体功能要求

网络适应性

部署模式

支持路由模式，旁路模式、网桥模式、混合模式部署；

即插即用

支持即插即用功能。不管电脑的IP如何配置，开启即插即用功能后，只要插上网线，即可上网。

网络功能

支持基于应用层服务的策略路由；

支持ISP自动地址表（电信、移动、网通、铁通等）的策略路由的选路方式；

支持PPPoE拨号以及负载均衡；

支持支持基于轮询的多链路负载均衡算法；

支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法，基于固定指派链路的自动均衡算法，基于最佳路径的多链路负载均衡算法；

支持DHCP Replay/Server；

支持智能DNS,对内部服务器负载均衡，按应用服务的负载均衡多链路冗余切换；

支持静态路由、gre、vlan透传、单臂路由。

代理功能

要求支持http代理、https透明代理、二级代理、DNS代理、dns缓存；

★链路聚合

支持将多个以太网物理端口捆绑成一条逻辑端口（即将多个端口捆绑成一个逻辑的端口以增加带宽，同时增加链路备份）支持基于mac、轮循、主备、哈希、广播、802.3ad、发送自适应、双向自适应等等多种负载方式。

vpn

支持l2tp、gre vpn、pptp、ipsec。

支持链路健康检查

支持DNS链路健康检查算法；支持ICMP链路健康检查算法；支持TCP链路健康检查算法；支持自定义的链路健康检查算法；

操作界面

系统能够支持简体中文、繁体中文/英文操作界面

★管理认证

支持管理员通过Radius认证后才能登录设备。

排障工具

提供图形化排障及抓包工具，便于管理员排查策略错误等故障；

分级管理

不同用户组的管理权限支持分配给不同管理员。

★APP集中监控功能

支持行为管理设备接入集中管控平台，并通过APP管理集中管理平台并查各个局点的ACM的状态和告警信息。

特征库自动升级

必须支持URL分类库、应用识别库基于域名方式自动在线升级。

设备登录

必须支持ssl加密方式登录设备，支持ssh管理。

物理接口

能够实时展现每个接口接收发送流量、字节数、包个数以及错误、丢弃、帧冲突个数。

服务监控

能够提供服务趋势图、服务组趋势图、活跃服务以及所有服务趋势。并且支持快速定位使用对应服务的用户。

用户监控

能够提供流量适用排名，提供前50名用户流量适用情况，并支持趋势图、黑名单、显示活跃服务等操作。通过黑名单可以直接强制某个流量异常用户下线或者快速修改带宽。

在线用户

能够直接显示已认证且在组织结构中、已认证但不在组织结构中、以及未通过的认证的用户状态。支持以用户名、所属组、ip、mac、用户类型、绑定检查、时间等参数查询用户。

安全防护

安全策略

支持基于策略方向、源地址、目的地址、服务、生效时间的安全策略。

Nat规则

支持内网代理、一对一地址转换、端口映射、服务器池。

移动终端管理

支持移动终端发现后拒绝移动终端接入并支持启用事件告警。支持移动终端列表添加信任列表。

防DOS攻击

支持防dos攻击，支持最大连接数、禁用ip时间、ip地址白名单等设置。

防ARP欺骗

支持ARP欺骗防护，支持arp保护对象以及arp广播间隔设置。

★加速老化

支持对TCP、UDP、ICMP、TCP SYN超时时间，无回应UDP超时时间设置，并能支持按照新建会话与总会话比例设置老化开始或者结束。

无线环境管理

Ap上线地址分配

支持dhcp option43/ option138 可以给ap分配地址保证ap上线

AP MAC地址获取

支持AP MAC地址获取，支持读取用户真实MAC

无线用户

支持无线用户认证、行为控制、流量控制、用户日志收集

自动创建用户和绑定

对于未创建的用户，可根据其IP 地址、MAC地址、主机名或者VLAN ID等作为新用户名自动创建帐户，并可同时绑定 IP、绑定 MAC、绑定 IP+MAC、绑定VLAN，并自动分配到指定用户组，享有指定网络权限。

对于创建好的用户也支持绑定 IP、绑定 MAC、绑定 IP+MAC、VLAN绑定。

用户有效期设置

支持临时账户、绑定账户、认证账户等多种用户身份的有效期设置，支持过期冻结、支持无流量自动下线。

★NetbIOS 协议扫描

可通过 NetbIOS 协议扫描内网的主机信息，扫描结果将列出每个主机的 IP 地址、MAC地址和主机名等，然后可以将其加入某个用户组中，逐步完善组织结构的管理。

Windows集成身份认证

支持windows集成身份认证，加入域的pc通过浏览器正常上网即可实现身份认证。

单点登录

支持AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点、web认证等系统进行认证单点登录，简化用户操作；

二维码认证

临时账号支持二维码扫描接入认证。

指纹认证

支持通过指纹识别用户身份，并对用户做控制。

★刷卡认证

支持通过磁卡识别用户身份，并对用户做控制。

应用特征库

支持2300种以上的应用，至少支持1000种以上的移动应用

应用特征自定义

支持自定义ip和端口的普通服务，支持自定义ip、协议类型、字符串、端口等组合的服务特征，支持自定义论坛/网评特征

加密网站识别和控制

支持https网站识别，支持加密网站搜索，支持ssl论坛加密发帖内容识别，支持基于关键字的控制。（要求提供截图）

支持基于授权签名的方式实现https审计免除告警的行为。

★告    警

设备内存、cpu、会话、接口速率支持告警设置；

支持时间告警，支持黑名单告警；

支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为；

告警策略要支持syslog、短信、邮件、日志记录，以及任意的方式组合。

★白名单

支持url白名单，添加到白名单的url不受策略控制和审计。

支持即时通讯白名单，只有添加到白名单IM账号允许上网。

支持ip白名单，添加到白名单的ip不受策略控制和审计。

发帖管理

支持天涯、猫扑、麻辣社区、百度贴吧等常见论坛发帖控制，支持腾讯微博、搜狐社区、凯迪社区等常见微博的发帖控制。

终端提醒策略

支持基于用户设置终端提醒策略，能够实现公告页面按照策略推送。

★基于连接数限制

支持每个用户的源，目的活跃连接数控制，避免网络滥用

带宽保障

支持基于用户、协议、应用、url、文件类型的贷款保障行为，可以通过队列实现重要业务优先转发。

黑名单

根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值，则自动进入黑名单。根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值，则自动进入黑名单。根据每用户在连续一段时间的并发会话数(上行/下行)超过预设阀值，则自动进入黑名单。对进入黑名单的用户可采取强制下线或修改“上行带宽/下行带宽/上行会话数/下行会话数”的方式对用户进行惩罚。惩罚时间到期，可正常上网。对连续进入黑名单多次（如5次，可配置）的用户，可对用户进行加倍惩罚，惩罚时间可以原来的N倍。

移动终端管理

支持无线环境下，移动终端接入识别，对未添加信任的黑名单支持拒绝加入网络。

上网日志分析

独立报表中心

为了日志安全性，设备必须支持独立硬盘存放审计日志，不能与审计系统共用硬盘。

日志分级

通过配置管理员分组，实现指定分组的管理员只能访问指定用户组上网行为日志。

url审计

能基于组织结构记录用户访问的具体url、标题、网站类型、访问时间、动作等信息，通过详细信息可以查看用户访问的源和目的地址，以及访问的端口。

网页搜索

能基于组织结构记录用户搜索的关键字、搜索的类型时间、动作等信息，通过详细信息可以查看用户访问的源和目的地址，以及访问的端口

★阻断记录

支持防火墙模块阻断、流量模块阻断、行为管控模块阻断记录。

告警日志

支持非法网站、违规帖子、ftp上传、网页上传、违规邮件、违规im、以及匹配潜在威胁的记录。

★会话日志

支持所有访问的会话日志记录，包括: 源 IP、目的 IP、协议类型、七层应用名称、源端口、目的端口、是否进行 NAT 转换(可显示转换后的 IP 和端口)、会话产生的时间和会话持续时间。

★个人统计分析

基于个人的所有行为监控报表，包括：网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录（详细内容、附件）、FTP登录信息/上传记录/下载记录；

递进式查询

能够进行层层深入的递进式查询，获取某应用对应的用户，或某用户使用网络应用的情况，便于对网络使用现状进行深入分析。

高级检索

支持基于时间、动作、应用类型、具体应用、关键字、目标ip等条件的高级检索行为

报表管理

支持基于统计分类、统计分类、用户及其用户组的自定义报表，通过邮件方式给部分人员发送日报、周报、月报、年报。

用户行为分析

上网态势分析

从内网整体网络的宏观角度展现网络使用概况、上网目的地分布、热门应用流量分布、网站类型分析、终端类型分析、在线人群趋势、高风险任人群排名、违规行为统计等多维度全方位展现网络的使用综合态势，给网络管理提供依据

网络质量分析

通过对网络线路实时流量趋势、以及应用流量、用户流量进行展示，统计分析出每条专线的负载情况，从而实时地掌握校园网络线路的使用情况。

校园贷分析

针对学生平时上网行为按URL地址和App应用特征进行分类识别，从学生上网访问网页内容和搜索热词的关键字进行识别，通过对学生涉及网贷行为以及相关网银操作频次等相关性分析，划分出涉及网贷高危群体和潜在风险群体。

沉迷网络分析

针对学生在使用网络过程中的具体行为和内容进行分类统计，计算出玩游戏、看视频、网聊购物等低效上网行为，根据学生每日上网行为时长和内容有效识别出沉迷网络的学生群体，开展针对性的辅导和教育

热点事件分析

针对学生平时上网过程中的浏览内容、网页标题、搜索关键词热词等内容进行匹配识别，了解学生对热点事件的关注和舆论倾向。结合学生关注热点，有针对性的进行舆情分析和舆论导向的正向引导

工作效率分析

针对员工在工作时段的浏览内容、访问应用的特征进行时长统计，根据预定义的规则判定员工的低效工作状态和时长。针对工作效率低下的员工，可以详细查看具体上网的网站和应用，以及时长，判定消极怠工有据可查

离职倾向分析

针对员工平时上网过程中的浏览内容、网页标题、搜索关键词热词等内容进行匹配识别，了解员工对与招聘、猎头等信息的关注度。结合有离职倾向员工的分析结果，有针对性的进行主管访谈，或者提前进行涉密行为监控，减少因人员流动给企业正常业务带来的影响。

日志外发

★Syslog

系统能够支持Syslog等第三方日志服务器系统。

网安平台对接

支持与任子行、派博、烽火、爱思、新网程、网星传媒、恒邦、白虹网监，中科新业、城安、上海创多、网星传媒、锐捷ELOG、兆物、亚美、网博、宽广智通、携网科技接口、华博接口、武汉洪旭接口、智开科技等20种以上的网安平台对接。

集中管理

支持将用户行为日志上传到集中管理平台

一级功能

二级功能

具体功能要求

基本要求

系统结构

产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；

操作系统

安全操作系统采用冗余设计，出于安全性考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。

系统软件

系统具有良好的扩展性，支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、IPSEC VPN等功能。

网络接入

工作模式

支持路由、交换、混合、虚拟线工作模式；

路由交换

支持静态路由、ISP路由及动态路由协议，支持802.1q、QinQ模式；

支持基于源/目的地址、源/目的端口、用户、应用的策略路由，保证关键业务流量通过优质链路转发； 

接入功能

支持GRE与IPSEC VPN接入；

链路聚合

为提高链路可靠性，需支持手工链路聚合及LACP链路聚合，提供不少于11种的负载分担算法，灵活实现对聚合组内业务流量的负载分担；

IP/MAC绑定

支持手动添加绑定，基于IP、接口的动态探测绑定，支持跨三层IP/MAC绑定，IP/MAC绑定表可导入导出；

地址转换

支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式；支持Sticky NAT开关，使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同；

支持MAP66功能，将从内部发往Internet的数据包的源IPv6地址修改为全球单播源IPv6地址，实现IPv6网络间的地址转换；

智能DNS

支持智能DNS及DNS Doctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器的负载均衡；

IPv6

双栈模式

支持IPv4/IPv6双栈工作模式；

访问控制

支持IPv6安全控制策略设置，能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置；

安全防护

支持基于IPv6的应用层检测（FTP\TFTP）、病毒过滤、URL过滤、ADS、IPS检测；

虚拟系统

资源虚拟化

支持在一台物理设备上划分出128个相互独立的虚拟系统，可根据连接配额及连接新建速率为每个虚拟系统分配资源；

功能虚拟化

支持配置文件、系统服务等系统功能虚拟化，支持路由、链路聚合等网络功能虚拟化，支持安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、异常行为分析、病毒过滤、内容过滤、审计、报表等安全功能虚拟化；

用户管控

认证方式

内置强大的用户身份管理系统，支持本地认证、证书认证及免认证等方式，同时支持RADIUS、LDAP、TACACS等多种第三方外部认证设置；

用户管控

综合运用身份认证与访问控制技术，通过内置智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控；支持手动创建用户、批量导入导出用户，同时支持设备扫描方式创建用户；

支持设置密码有效性，如首次登陆修改密码、密码定期修改、密码有效时间等设置，用户忘记密码时，支持密码找回；

支持本地CA和第三方CA，支持作为CA认证中心为其他人签发证书，也可采用第三方CA为其他人签发证书；支持标准CRL列表，支持CRL手工更新，同时支持CRL自动下载，通过HTTP或者LDAP方式定时自动下载更新CRL文件；

应用管控

应用管控

应用识别

※（应用识别模块）

内置强大应用识别引擎，综合运用端口识别、行为识别、特征识别、关联识别等技术手段，准确识别传统应用如P2P、web应用、移动应用、云应用、加密应用（等；内置独立应用识别特征库，总数2100种以上，支持应用特征库在线或本地更新，支持应用特征自定义；

带宽管理

支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略，支持带宽策略优先级，可配置包含链路、父通道、子通道的5层多级带宽策略，对流量进行细分管理，保证带宽的利用率；

连接控制

支持对单条访问控制策略进行最大并发连接数限制；

为保护内部网络资源以及合理分配设备系统资源，需支持对指定的源/目的IP地址、MAC地址、应用制定相应的连接限制策略，策略包含三种限制类型：单个IP每秒新建连接限制、单个IP连接数限制及连接总数限制；

支持监控功能，显示最近被拦截的IP、地址对象及应用的节点信息；同时支持对连接数限制策略匹配信息进行分类统计，方便管理员根据统计分析结果进行相应的防护控制；

访问控制

一体化访问控制

内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎（入侵防御、URL过滤、病毒过滤、数据过滤、文件过滤、审计）的识别与控制；

访问控制策略执行动作支持允许、禁止及认证，对符合条件的流量进行Web认证，在策略中可设置用户 Web 认证的门户地址；

提供智能策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果：红色为冗余策略，绿色为冲突策略；

支持黑名单功能，可设置多个对象条件，如：五元组信息、地址范围、应用、用户等，实现对特定报文进行快速过滤；

安全防护

入侵防御

※（IDP模块）

内置攻击检测引擎，采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为；支持web攻击识别和防护，如跨站脚本攻击、SQL注入攻击；支持超过4100+攻击特征库，同时支持自定义特征库,且厂商具备强大的漏洞和功放研究能力，为CNNVD一级支撑单位，能够确保每周至少更新1次攻击特征库。

未知威胁防御

支持异常行为检测，内置统计智能学习算法，对特定地址对象建立监控策略，基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常，如果存在异常则报警；

DDOS防御

内置流量检测清洗引擎，支持基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等众多协议类型的防护策略；提供丰富的策略模板，且支持策略模板自定义；

支持基于IP协议的检测清洗，包括但不限于：IP Flood、IP Frag Flood、端口扫描、IP 地址扫描，以及Fraggle、icmp redirect、icmp unreachable、land、ping of death、smurf、route record、source route、tcp flag、tracert、winnuke等异常报文攻击；

支持基于TCP协议的检测清洗，包括但不限于：TCP Flood、SYN Flood、SynACK Flood、ACK Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION Flood等；支持SYN源认证技术，认证模式可设置为基本模式或者高级模式，以防止虚假源攻击；

支持基于UDP协议的检测清洗，包括对源、目的限速，对UDP最大及最小报文限制；同时支持UDP关联认证，要求所有去往服务器的UDP报文，必须首先与该服务器的TCP端口建立TCP连接，对源地址进行合法性认证；

支持基于DNS协议的检测清洗，包括但不限于：DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒攻击、DNS格式检查、DNS NX异常比率检测等；支持DNS QUERY源认证、DNS REPLY源认证，认证方式可选基本源认证或者cname认证；

支持基于HTTP协议的检测清洗，包括但不限于：HTTP Flood、HTTP新建连接Flood、HTTP并发连接Flood、HTTP URI CC等攻击检测，同时支持对HTTP slow-header和HTTP slow-post设置最大传输时间以及异常会话数阈值，有效防御慢速攻击；

支持基于NTP协议的检测清洗，包括NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击检测，支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略；

支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功能，可自定义动态黑/白名单超时时间；

病毒过滤

※（AV模块）

内置病毒检测引擎，支持HTTP/SMTP/POP3/FTP/IM等协议的病毒防御，对每种协议数据流的检测方向可选双向、上传、下载；

内置至少2种专业反病毒厂商或研究机构的病毒特征库，符合等级保护相关标准对网关防病毒特征库和主机防病毒特征库异构的要求。病毒特征库规模超过400万。

支持病毒白名单，用户可以根据实际业务需求将特定威胁进行排除；

URL过滤

※（Webfilter模块）

内置互联网URL分类库，支持超过80大类、1600万的URL地址分类库，用户可根据上述网站类别，对自身网络的WEB应用实施全面化管控，杜绝非法、违规网站的访问行为，从而净化网络应用环境；

文件过滤

内置文件过滤引擎，支持对即时通讯、社交网络、网络硬盘、网页邮箱、IM文件传输等应用类型以及HTTP/FTP/SMTP/POP3等标准协议进行检测，识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤；

内容过滤

支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略，可对微博、贴吧上传的内容及附件进行过滤，可对FTP上传/下载的文件名进行过滤，同时支持过滤FTP信令：上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等，邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤；

配置维护

支持多个配置文件并存，配置文件数量不少于20个；

升级维护

支持多个系统升级包并存，系统升级包文件数量不少于5个；

系统诊断

支持在WEB界面进入CLI模式，执行系统配置、网络诊断、过滤抓包等命令，提高管理员运维效率；

管理员

支持系统管理员能够通过本地认证及外部认证方式进行登录管理，外部认证失败时可转本地认证；

支持管理员分权管理，可自定义管理员权限模板，所有功能模块组合可由管理员自由组合配置；

数据中心

报表

内置17类预定义报表模板，支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板；支持一次性报表及周期性报表，可自定义统计时间；

支持报表按照PDF、WORD及EXCEL格式导出；

审计

支持独立配置审计策略，同时也可将指定的 IP 地址、 URL、 应用加入白名单，不进行数据审计；

支持网站访问审计：审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容；

支持邮件内容审计：对接收/发送邮件行为及邮件内容进行审计；FTP审计：对FTP上传/下载行为及文件内容进行审计；

提供完善的审计数据查询功能，方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询，包括访问网站、邮件收发、论坛微博、FTP、TELNET等；（提供截图）同时支持对用户上网流量时长进行完整的审计数据查询，包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等；

日志

支持日志本地存储，可对不同类型日志设置存储空间；同时支持外发至SYSLOG服务器，可将多条日志合并成一条日志传送到日志服务器中，可选择对日志传输是否加密，设定8位的加密密钥；

日志查看可划分为管理日志、系统日志、策略日志、应用行为日志等四大模块，具体包含用户、连接、流量、NAT、审计、HA、未知威胁等20个日志类别；

显示监控

资源监控

在WEB界面提供资源监控开关，可对cpu占用率、内存占用率、磁盘占用率设置阈值；

流量统计

支持根据应用对通过设备的数据报文流量进行统计，包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速；

支持根据用户/用户组对通过设备的数据报文流量进行统计，包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速；

支持根据服务器对通过设备的数据报文流量进行统计，包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数；

支持指定监控时间周期，包括：实时、最近1小时、最近1天、最近1周、最近1月等；

威胁统计

支持根据按照病毒防御、入侵防御、ADS攻击进行威胁统计，可按照威胁类型/攻击者/受害者三种方式进行威胁排名。

一级功能

二级功能

具体功能要求

网络适应性

部署模式

支持路由模式，旁路模式、网桥模式、混合模式部署；

即插即用

支持即插即用功能。不管电脑的IP如何配置，开启即插即用功能后，只要插上网线，即可上网。

网络功能

支持基于应用层服务的策略路由；

支持ISP自动地址表（电信、移动、网通、铁通等）的策略路由的选路方式；

支持PPPoE拨号以及负载均衡；

支持支持基于轮询的多链路负载均衡算法；

支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法，基于固定指派链路的自动均衡算法，基于最佳路径的多链路负载均衡算法；

支持DHCP Replay/Server；

支持智能DNS,对内部服务器负载均衡，按应用服务的负载均衡多链路冗余切换；

支持静态路由、gre、vlan透传、单臂路由。

代理功能

要求支持http代理、https透明代理、二级代理、DNS代理、dns缓存；

链路聚合

支持将多个以太网物理端口捆绑成一条逻辑端口（即将多个端口捆绑成一个逻辑的端口以增加带宽，同时增加链路备份）支持基于mac、轮循、主备、哈希、广播、802.3ad、发送自适应、双向自适应等等多种负载方式。

vpn

支持l2tp、gre vpn、pptp、ipsec。

支持链路健康检查

支持DNS链路健康检查算法；支持ICMP链路健康检查算法；支持TCP链路健康检查算法；支持自定义的链路健康检查算法；

操作界面

系统能够支持简体中文、繁体中文/英文操作界面

管理认证

支持管理员通过Radius认证后才能登录设备。

排障工具

提供图形化排障及抓包工具，便于管理员排查策略错误等故障；

分级管理

不同用户组的管理权限支持分配给不同管理员。

APP集中监控功能

支持行为管理设备接入集中管控平台，并通过APP管理集中管理平台并查各个局点的ACM的状态和告警信息。

特征库自动升级

必须支持URL分类库、应用识别库基于域名方式自动在线升级。

设备登录

必须支持ssl加密方式登录设备，支持ssh管理。

物理接口

能够实时展现每个接口接收发送流量、字节数、包个数以及错误、丢弃、帧冲突个数。

服务监控

能够提供服务趋势图、服务组趋势图、活跃服务以及所有服务趋势。并且支持快速定位使用对应服务的用户。

用户监控

能够提供流量适用排名，提供前50名用户流量适用情况，并支持趋势图、黑名单、显示活跃服务等操作。通过黑名单可以直接强制某个流量异常用户下线或者快速修改带宽。

在线用户

能够直接显示已认证且在组织结构中、已认证但不在组织结构中、以及未通过的认证的用户状态。支持以用户名、所属组、ip、mac、用户类型、绑定检查、时间等参数查询用户。

安全防护

安全策略

支持基于策略方向、源地址、目的地址、服务、生效时间的安全策略。

Nat规则

支持内网代理、一对一地址转换、端口映射、服务器池。

移动终端管理

支持移动终端发现后拒绝移动终端接入并支持启用事件告警。支持移动终端列表添加信任列表。

防DOS攻击

支持防dos攻击，支持最大连接数、禁用ip时间、ip地址白名单等设置。

防ARP欺骗

支持ARP欺骗防护，支持arp保护对象以及arp广播间隔设置。

加速老化

支持对TCP、UDP、ICMP、TCP SYN超时时间，无回应UDP超时时间设置，并能支持按照新建会话与总会话比例设置老化开始或者结束。

无线环境管理

Ap上线地址分配

支持dhcp option43/ option138 可以给ap分配地址保证ap上线

AP MAC地址获取

支持AP MAC地址获取，支持读取用户真实MAC

无线用户

支持无线用户认证、行为控制、流量控制、用户日志收集

自动创建用户和绑定

对于未创建的用户，可根据其IP 地址、MAC地址、主机名或者VLAN ID等作为新用户名自动创建帐户，并可同时绑定 IP、绑定 MAC、绑定 IP+MAC、绑定VLAN，并自动分配到指定用户组，享有指定网络权限。

对于创建好的用户也支持绑定 IP、绑定 MAC、绑定 IP+MAC、VLAN绑定。

用户有效期设置

支持临时账户、绑定账户、认证账户等多种用户身份的有效期设置，支持过期冻结、支持无流量自动下线。

NetbIOS 协议扫描

可通过 NetbIOS 协议扫描内网的主机信息，扫描结果将列出每个主机的 IP 地址、MAC地址和主机名等，然后可以将其加入某个用户组中，逐步完善组织结构的管理。

Windows集成身份认证

支持windows集成身份认证，加入域的pc通过浏览器正常上网即可实现身份认证。

单点登录

支持AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点、web认证等系统进行认证单点登录，简化用户操作；

二维码认证

临时账号支持二维码扫描接入认证。

指纹认证

支持通过指纹识别用户身份，并对用户做控制。

刷卡认证

支持通过磁卡识别用户身份，并对用户做控制。

应用特征库

支持2300种以上的应用，至少支持1000种以上的移动应用

应用特征自定义

支持自定义ip和端口的普通服务，支持自定义ip、协议类型、字符串、端口等组合的服务特征，支持自定义论坛/网评特征

加密网站识别和控制

支持https网站识别，支持加密网站搜索，支持ssl论坛加密发帖内容识别，支持基于关键字的控制。（要求提供截图）

支持基于授权签名的方式实现https审计免除告警的行为。

告    警

设备内存、cpu、会话、接口速率支持告警设置；

支持时间告警，支持黑名单告警；

支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为；

告警策略要支持syslog、短信、邮件、日志记录，以及任意的方式组合。

白名单

支持url白名单，添加到白名单的url不受策略控制和审计。

支持即时通讯白名单，只有添加到白名单IM账号允许上网。

支持ip白名单，添加到白名单的ip不受策略控制和审计。

发帖管理

支持天涯、猫扑、麻辣社区、百度贴吧等常见论坛发帖控制，支持腾讯微博、搜狐社区、凯迪社区等常见微博的发帖控制。

终端提醒策略

支持基于用户设置终端提醒策略，能够实现公告页面按照策略推送。

基于连接数限制

支持每个用户的源，目的活跃连接数控制，避免网络滥用

带宽保障

支持基于用户、协议、应用、url、文件类型的贷款保障行为，可以通过队列实现重要业务优先转发。

黑名单

根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值，则自动进入黑名单。根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值，则自动进入黑名单。根据每用户在连续一段时间的并发会话数(上行/下行)超过预设阀值，则自动进入黑名单。对进入黑名单的用户可采取强制下线或修改“上行带宽/下行带宽/上行会话数/下行会话数”的方式对用户进行惩罚。惩罚时间到期，可正常上网。对连续进入黑名单多次（如5次，可配置）的用户，可对用户进行加倍惩罚，惩罚时间可以原来的N倍。

移动终端管理

支持无线环境下，移动终端接入识别，对未添加信任的黑名单支持拒绝加入网络。

上网日志分析

独立报表中心

为了日志安全性，设备必须支持独立硬盘存放审计日志，不能与审计系统共用硬盘。

日志分级

通过配置管理员分组，实现指定分组的管理员只能访问指定用户组上网行为日志。

url审计

能基于组织结构记录用户访问的具体url、标题、网站类型、访问时间、动作等信息，通过详细信息可以查看用户访问的源和目的地址，以及访问的端口。

网页搜索

能基于组织结构记录用户搜索的关键字、搜索的类型时间、动作等信息，通过详细信息可以查看用户访问的源和目的地址，以及访问的端口

阻断记录

支持防火墙模块阻断、流量模块阻断、行为管控模块阻断记录。

告警日志

支持非法网站、违规帖子、ftp上传、网页上传、违规邮件、违规im、以及匹配潜在威胁的记录。

会话日志

支持所有访问的会话日志记录，包括: 源 IP、目的 IP、协议类型、七层应用名称、源端口、目的端口、是否进行 NAT 转换(可显示转换后的 IP 和端口)、会话产生的时间和会话持续时间。

个人统计分析

基于个人的所有行为监控报表，包括：网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录（详细内容、附件）、FTP登录信息/上传记录/下载记录；

递进式查询

能够进行层层深入的递进式查询，获取某应用对应的用户，或某用户使用网络应用的情况，便于对网络使用现状进行深入分析。

高级检索

支持基于时间、动作、应用类型、具体应用、关键字、目标ip等条件的高级检索行为

报表管理

支持基于统计分类、统计分类、用户及其用户组的自定义报表，通过邮件方式给部分人员发送日报、周报、月报、年报。

用户行为分析

上网态势分析

从内网整体网络的宏观角度展现网络使用概况、上网目的地分布、热门应用流量分布、网站类型分析、终端类型分析、在线人群趋势、高风险任人群排名、违规行为统计等多维度全方位展现网络的使用综合态势，给网络管理提供依据

网络质量分析

通过对网络线路实时流量趋势、以及应用流量、用户流量进行展示，统计分析出每条专线的负载情况，从而实时地掌握校园网络线路的使用情况。

校园贷分析

针对学生平时上网行为按URL地址和App应用特征进行分类识别，从学生上网访问网页内容和搜索热词的关键字进行识别，通过对学生涉及网贷行为以及相关网银操作频次等相关性分析，划分出涉及网贷高危群体和潜在风险群体。

沉迷网络分析

针对学生在使用网络过程中的具体行为和内容进行分类统计，计算出玩游戏、看视频、网聊购物等低效上网行为，根据学生每日上网行为时长和内容有效识别出沉迷网络的学生群体，开展针对性的辅导和教育

热点事件分析

针对学生平时上网过程中的浏览内容、网页标题、搜索关键词热词等内容进行匹配识别，了解学生对热点事件的关注和舆论倾向。结合学生关注热点，有针对性的进行舆情分析和舆论导向的正向引导

工作效率分析

针对员工在工作时段的浏览内容、访问应用的特征进行时长统计，根据预定义的规则判定员工的低效工作状态和时长。针对工作效率低下的员工，可以详细查看具体上网的网站和应用，以及时长，判定消极怠工有据可查

离职倾向分析

针对员工平时上网过程中的浏览内容、网页标题、搜索关键词热词等内容进行匹配识别，了解员工对与招聘、猎头等信息的关注度。结合有离职倾向员工的分析结果，有针对性的进行主管访谈，或者提前进行涉密行为监控，减少因人员流动给企业正常业务带来的影响。

日志外发

Syslog

系统能够支持Syslog等第三方日志服务器系统。

网安平台对接

支持与任子行、派博、烽火、爱思、新网程、网星传媒、恒邦、白虹网监，中科新业、城安、上海创多、网星传媒、锐捷ELOG、兆物、亚美、网博、宽广智通、携网科技接口、华博接口、武汉洪旭接口、智开科技等20种以上的网安平台对接。

集中管理

支持将用户行为日志上传到集中管理平台

一级功能

二级功能

具体功能要求

基本要求

系统结构

产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；

操作系统

安全操作系统采用冗余设计，出于安全性考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。

系统软件

系统具有良好的扩展性，支持扩展病毒防御、入侵防御、应用识别、网站分类库过滤、IPSEC VPN等功能。

网络接入

工作模式

支持路由、交换、混合、虚拟线工作模式；

路由交换

支持静态路由、ISP路由及动态路由协议，支持802.1q、QinQ模式；

支持基于源/目的地址、源/目的端口、用户、应用的策略路由，保证关键业务流量通过优质链路转发； 

接入功能

支持GRE与IPSEC VPN接入；

链路聚合

为提高链路可靠性，需支持手工链路聚合及LACP链路聚合，提供不少于11种的负载分担算法，灵活实现对聚合组内业务流量的负载分担；

IP/MAC绑定

支持手动添加绑定，基于IP、接口的动态探测绑定，支持跨三层IP/MAC绑定，IP/MAC绑定表可导入导出；

地址转换

支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式；支持Sticky NAT开关，使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同；

支持MAP66功能，将从内部发往Internet的数据包的源IPv6地址修改为全球单播源IPv6地址，实现IPv6网络间的地址转换；

智能DNS

支持智能DNS及DNS Doctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器的负载均衡；

IPv6

双栈模式

支持IPv4/IPv6双栈工作模式；

访问控制

支持IPv6安全控制策略设置，能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置；

安全防护

支持基于IPv6的应用层检测（FTP\TFTP）、病毒过滤、URL过滤、ADS、IPS检测；

虚拟系统

资源虚拟化

支持在一台物理设备上划分出128个相互独立的虚拟系统，可根据连接配额及连接新建速率为每个虚拟系统分配资源；

功能虚拟化

支持配置文件、系统服务等系统功能虚拟化，支持路由、链路聚合等网络功能虚拟化，支持安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、异常行为分析、病毒过滤、内容过滤、审计、报表等安全功能虚拟化；

用户管控

认证方式

内置强大的用户身份管理系统，支持本地认证、证书认证及免认证等方式，同时支持RADIUS、LDAP、TACACS等多种第三方外部认证设置；

用户管控

综合运用身份认证与访问控制技术，通过内置智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控；支持手动创建用户、批量导入导出用户，同时支持设备扫描方式创建用户；

支持设置密码有效性，如首次登陆修改密码、密码定期修改、密码有效时间等设置，用户忘记密码时，支持密码找回；

支持本地CA和第三方CA，支持作为CA认证中心为其他人签发证书，也可采用第三方CA为其他人签发证书；支持标准CRL列表，支持CRL手工更新，同时支持CRL自动下载，通过HTTP或者LDAP方式定时自动下载更新CRL文件；

应用管控

应用管控

应用识别

（应用识别模块）

内置强大应用识别引擎，综合运用端口识别、行为识别、特征识别、关联识别等技术手段，准确识别传统应用如P2P、web应用、移动应用、云应用、加密应用（等；内置独立应用识别特征库，总数2100种以上，支持应用特征库在线或本地更新，支持应用特征自定义；

带宽管理

支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略，支持带宽策略优先级，可配置包含链路、父通道、子通道的5层多级带宽策略，对流量进行细分管理，保证带宽的利用率；

连接控制

支持对单条访问控制策略进行最大并发连接数限制；

为保护内部网络资源以及合理分配设备系统资源，需支持对指定的源/目的IP地址、MAC地址、应用制定相应的连接限制策略，策略包含三种限制类型：单个IP每秒新建连接限制、单个IP连接数限制及连接总数限制；

支持监控功能，显示最近被拦截的IP、地址对象及应用的节点信息；同时支持对连接数限制策略匹配信息进行分类统计，方便管理员根据统计分析结果进行相应的防护控制；

访问控制

一体化访问控制

内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎（入侵防御、URL过滤、病毒过滤、数据过滤、文件过滤、审计）的识别与控制；

访问控制策略执行动作支持允许、禁止及认证，对符合条件的流量进行Web认证，在策略中可设置用户 Web 认证的门户地址；

提供智能策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果：红色为冗余策略，绿色为冲突策略；

支持黑名单功能，可设置多个对象条件，如：五元组信息、地址范围、应用、用户等，实现对特定报文进行快速过滤；

安全防护

入侵防御

（IDP模块）

内置攻击检测引擎，采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为；支持web攻击识别和防护，如跨站脚本攻击、SQL注入攻击；支持超过4100+攻击特征库，同时支持自定义特征库,且厂商具备强大的漏洞和功放研究能力，为CNNVD一级支撑单位，能够确保每周至少更新1次攻击特征库。

未知威胁防御

支持异常行为检测，内置统计智能学习算法，对特定地址对象建立监控策略，基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常，如果存在异常则报警；

DDOS防御

内置流量检测清洗引擎，支持基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等众多协议类型的防护策略；提供丰富的策略模板，且支持策略模板自定义；

支持基于IP协议的检测清洗，包括但不限于：IP Flood、IP Frag Flood、端口扫描、IP 地址扫描，以及Fraggle、icmp redirect、icmp unreachable、land、ping of death、smurf、route record、source route、tcp flag、tracert、winnuke等异常报文攻击；

支持基于TCP协议的检测清洗，包括但不限于：TCP Flood、SYN Flood、SynACK Flood、ACK Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION Flood等；支持SYN源认证技术，认证模式可设置为基本模式或者高级模式，以防止虚假源攻击；

支持基于UDP协议的检测清洗，包括对源、目的限速，对UDP最大及最小报文限制；同时支持UDP关联认证，要求所有去往服务器的UDP报文，必须首先与该服务器的TCP端口建立TCP连接，对源地址进行合法性认证；

支持基于DNS协议的检测清洗，包括但不限于：DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒攻击、DNS格式检查、DNS NX异常比率检测等；支持DNS QUERY源认证、DNS REPLY源认证，认证方式可选基本源认证或者cname认证；

支持基于HTTP协议的检测清洗，包括但不限于：HTTP Flood、HTTP新建连接Flood、HTTP并发连接Flood、HTTP URI CC等攻击检测，同时支持对HTTP slow-header和HTTP slow-post设置最大传输时间以及异常会话数阈值，有效防御慢速攻击；

支持基于NTP协议的检测清洗，包括NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击检测，支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略；

支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功能，可自定义动态黑/白名单超时时间；

病毒过滤

（AV模块）

内置病毒检测引擎，支持HTTP/SMTP/POP3/FTP/IM等协议的病毒防御，对每种协议数据流的检测方向可选双向、上传、下载；

内置至少2种专业反病毒厂商或研究机构的病毒特征库，符合等级保护相关标准对网关防病毒特征库和主机防病毒特征库异构的要求。病毒特征库规模超过400万。

支持病毒白名单，用户可以根据实际业务需求将特定威胁进行排除；

URL过滤

（Webfilter模块）

内置互联网URL分类库，支持超过80大类、1600万的URL地址分类库，用户可根据上述网站类别，对自身网络的WEB应用实施全面化管控，杜绝非法、违规网站的访问行为，从而净化网络应用环境；

文件过滤

内置文件过滤引擎，支持对即时通讯、社交网络、网络硬盘、网页邮箱、IM文件传输等应用类型以及HTTP/FTP/SMTP/POP3等标准协议进行检测，识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤；

内容过滤

支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略，可对微博、贴吧上传的内容及附件进行过滤，可对FTP上传/下载的文件名进行过滤，同时支持过滤FTP信令：上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等，邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤；

配置维护

支持多个配置文件并存，配置文件数量不少于20个；

升级维护

支持多个系统升级包并存，系统升级包文件数量不少于5个；

系统诊断

支持在WEB界面进入CLI模式，执行系统配置、网络诊断、过滤抓包等命令，提高管理员运维效率；

管理员

支持系统管理员能够通过本地认证及外部认证方式进行登录管理，外部认证失败时可转本地认证；

支持管理员分权管理，可自定义管理员权限模板，所有功能模块组合可由管理员自由组合配置；

数据中心

报表

内置17类预定义报表模板，支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板；支持一次性报表及周期性报表，可自定义统计时间；

支持报表按照PDF、WORD及EXCEL格式导出；

审计

支持独立配置审计策略，同时也可将指定的 IP 地址、 URL、 应用加入白名单，不进行数据审计；

支持网站访问审计：审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容；

支持邮件内容审计：对接收/发送邮件行为及邮件内容进行审计；FTP审计：对FTP上传/下载行为及文件内容进行审计；

提供完善的审计数据查询功能，方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询，包括访问网站、邮件收发、论坛微博、FTP、TELNET等；（提供截图）同时支持对用户上网流量时长进行完整的审计数据查询，包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等；

日志

支持日志本地存储，可对不同类型日志设置存储空间；同时支持外发至SYSLOG服务器，可将多条日志合并成一条日志传送到日志服务器中，可选择对日志传输是否加密，设定8位的加密密钥；

日志查看可划分为管理日志、系统日志、策略日志、应用行为日志等四大模块，具体包含用户、连接、流量、NAT、审计、HA、未知威胁等20个日志类别；

显示监控

资源监控

在WEB界面提供资源监控开关，可对cpu占用率、内存占用率、磁盘占用率设置阈值；

流量统计

支持根据应用对通过设备的数据报文流量进行统计，包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速；

支持根据用户/用户组对通过设备的数据报文流量进行统计，包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速；

支持根据服务器对通过设备的数据报文流量进行统计，包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数；

支持指定监控时间周期，包括：实时、最近1小时、最近1天、最近1周、最近1月等；

威胁统计

支持根据按照病毒防御、入侵防御、ADS攻击进行威胁统计，可按照威胁类型/攻击者/受害者三种方式进行威胁排名。