SSLVPN_2050_参数

VPN招标参数项目功能指标要求性能参数加密速度≥100Mbps；并发用户数≥300；并发会话数≥350,000；接口：4个千兆电口部署方式支持网关模式、单臂模式部署两种方式；基本特性专业VPN设备，采用标准SSL、TLS协议，同时支持IPSecVPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备。支持对基于HTTP、HTTPS、FileShare、DNS、H.323、SMTP、POP3、Telnet、SSH等的所有B/S、C/S应用系统，支持基于TCP、UDP、ICMP等IP层以上的协议的应用，例如即时通讯、视频、语音、Ping等服务；；支持PC终端使用包括Windows8、Windows7、WindowsVista、Windowsxp、MacOS、Linux等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSLVPN接入，或通过PPTP、L2TPVPN方式接入；★支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及非IE内核浏览器、如Firefox，Safari，GoogleChrome，Opera登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用。（提供截图证明，或现场演示）产品应支持国际通用标准的商用密码密码算法（简称“商密”），包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等；★★产品可扩展支持中国国家标准的商用密码算法（简称“国密”），包括：SM1，SM2、SM3、SM4。（提供商用密码生产、销售、型号三证）易用性★可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果；支持文档WEB化管理，用户可通过任意浏览器，对存储服务器的文件进行管理操作（包括：上传、下载、删除、重命名、剪切、复制、粘贴、新建文件目录），而不需要额外安装FTP、文档共享软件等应用程序客户端。支持用户登录界面、服务界面的完全自定义，上传单独的Web页面作为用户登录界面、服务界面支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号。支持断线重连自动技术，防止用户误操作关闭浏览器导致VPN隧道断开；防止用户在无线网络环境下网络正常切换时VPN隧道断开。支持客户端永久在线功能，对于无人值守的设备可以设定永久在线，如果网络断开，可提供无限次重连。★支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访；支持Web参数修正，可针对Flash、Java、Applet、或视频播放器对象所引用资源路径进行修正，避免无法播放的问题。终端安全★产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象。（可提供证明材料）支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件。支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息，实现零痕迹访问支持VPN专线功能，可配置用户在接入SSLVPN的同时，断开与Internet其他连接权限、服务器安全产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；针对同一B/S资源，可对不同用户做到细致到URL级别的授权。产品应具有角色授权机制，支持在用户组的基础上，根据角色的不同，组合关联不同的资源权限。★★支持主从认证账号绑定，必须实现SSLVPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSLVPN后冒名登录应用系统支持关键文件保护功能，可针对特定应用关键文件进行锁定，防止用户进行篡改进行越权针对服务器地址保护方面，可支持SSLVPN资源列表界面上的用户授权资源隐藏；针对B/S应用，可进行URL地址伪装，防止服务器真实IP地址泄露身份认证产品必须支持LocalDB、USBKEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行用户名/密码、LDAP、USBKEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证支持有驱USBKEY、无驱USBKEY认证，无驱KEY无需在客户端安装驱动，方便用户；支持配置第三方KEY，可与其他业务系统无缝结合；支持满足中国国家标准的《智能IC卡及智能密码钥匙密码应用接口规范》的智能TF/SD卡。支持随机验证码短信认证，可自定义所发送短信信息格式，支持用户端短信重发功能；支持三大运营商移动、联通、电信运营商的标准的外置短信设备或API接口；支持GSM、CDMA制式短信猫；支持webservice方式短信认证，支持webservice嘉迅版；设备内部必须支持自建CA中心，便于数字证书认证平台搭建；支持与基于PKI体系的第三方CA进行结合认证，可根据CA某字段将通过CA认证的用户自动映射到指定用户组，方便进行权限授权配置；支持CRL证书撤销列表。★★单台VPN设备可扩展同时支持5套以上CA根证书；（提供证明截图）高速性★★必须支持至少4条以上的外网多线路配置；并在设备单臂部署模式下，多线路接入前置网关，仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能（提供自主知识产权证明，专利号ZL200510121083.0）★★支持启用多线路时，自动检测故障线路，并自动踢出故障线路；一旦线路恢复，可在一定时间内自动恢复。支持启用多线路时，自定义用户访问选路策略，包括按上/下行带宽，轮询，按优先级等方式。（提供自主知识产权证明，专利号ZL200310112006.X）★★支持利用网页进行动态寻址的方法，客户端无需安装插件、不依靠IP地址库、不依赖于第三方动态IP寻址、直接根据速度探测实现用户端接入线路的自动优选,用户通过访问寻址代理页面（简称Webagent页面），通过Webagent页面自动寻找VPN设备IP(非DDNS）,该方法不必单独注册域名或占用IP地址，大大降低了系统部署难度。（提供自主知识产权证明，专利号ZL03113974.4）仅通过SSLVPN设备可实现资源负载均衡功能，用户接入同一资源根据权值可动态负载到多台承载服务器上；负载均衡可基于服务器性能指标、权值轮询、轮询等不同方式。★支持非对称式部署的传输协议优化技术（单边加速），不用在用户终端上安装任何插件和软件，即可提升用户访问应用服务的速度。(提供配置界面截图及第三方评测报告)★支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、高延等恶劣网络环境下传输速度及效率；支持根据网络境自动选择并切换至最优的传输协议（提供配置界面截图）★★支持针对不同的web页面进行数据优化，支持动态压缩技术，基于数据流进行压缩，减少不必要的数据传输。（提供界面配置截图，并提供自主知识产权证明，专利号200810065397.7）★★针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果（提供界面配置截图，并提供自主知识产权证明，专利号ZL200810065189.7）高管理要求★支持15级以上的管理员分级分权限管理，从Admin派生树形结构下级管理员；上级管理员可分配下级管理员享有设备配置模块权限，可管理的用户、资源、角色权限，并可限制下级管理员是否允许创建下级管理员、创建资源、创建角色；上级管理员可限制下级管理员对权限内配置享有查看或配置权限支持设置对控制台管理员密码复杂度的要求，提升设备的安全性；支持15级以上用户组树形结构分级管理，下级组可继承上级组的角色，资源及认证方式等属性支持系统实时监控，图形化显示一段时间内的运行状况，可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数；可查看历史最高并发用户数并显示时间记录；可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息，并可在线中断指定用户支持独立日志中心进行SSLVPN实时日志记录，可详细记录用户访问资源记录（用户、主机IP、资源、时间）、管理员日志（管理员、主机IP、时间、管理行为、对象）、系统日志、告警日志；可根据用户名、主机IP等信息进行用户行为查询；可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录；提供暴破登录记录；可提供用户登陆SSLVPN采用非绑定账号访问应用系统的记录支持Syslog（系统日志）服务器，可将管理员日志，系统日志、用户日志输出到syslog服务器中。支持整体网关配置的本地及远程备份、恢复功能；支持SSLVPN配置的单独备份、恢复功能，并支持历史配置的回滚稳定性、可扩展性★★支持基于自组域简化部署VPN网络的方法，即当有多台设备处于VPN网络中时，通过连接任意节点的VPN设备，即相当于连入整个VPN网络,该方法解决了传统VPN部署是，需要部署多台;（提供自主知识产权证明，专利号ZL200710074182.7）★★支持253台不同型号设备间进行集群（A/A），支持路由模式、单臂模式下多线路部署的集群；支持集群设备间Session同步，一台设备宕机后其上用户无需重新登录SSLVPN可继续使用；可扩展分布式集群功能，无需专门的全局负载设备即可实现异地SSLVPN设备间的接入用户负载分担、速度优选接入，异地设备间互为备份，分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的SSLVPN设备★★在负载均衡集群部署模式下，支持授权漂移，即当集群中一台设备宕机，该宕机设备中的并发授权自动迁移到其他正常的设备中，而无需额外购买授权。★产品必须支持经过集成的，基于AndroidIOS平台的第三方软件开发包（SDK），并实现基于AndroidIOS平台第三方应用软件（APP）代码量不超过20行。（要求提供代码Demo和企业证明）支持针对移动APP的VPN安全代码的自动封装，实现App应用的安全加固（提供界面截图证明）移动智能终端产品必须支持远程应用发布功能，可以无需二次开发，即把Windows应用发布到移动智能终端中，也可以支持无需开发，将C/S资源Web化。支持手机客户端必须经过苹果公司官方检测，并发布在苹果官方应用商店appstore，产品客户端必须通过google公司官方检测并发布在google应用商店PlayGoogle；产品客户端必须支持非“越狱”或非“Root”权限的手机/PAD安装。远程应用发布必须支持本地资源，包括：本地磁盘资源映射、本地打印机、本地串行口、本地智能卡，本地输入法；支持剪切板，并能够实现剪贴板数据流双向控制，即可以分别控制是否允许用户将“客户端复制数据到远程应用”或将“远程应用数据复制到客户端”产品必须有较好的易用性体验：（能提供现场演示）包括图像清晰，支持图像质量可调，包括可以调整图像显示质量，图像颜色质量，可根据当前系统分辨率自动调整图像分辨率；支持远程播放视频、声音；支持远程应用使用本地输入法；支持本地输入法和远程服务器输入法可切换，在小屏幕或网络带