功能类别

技术要求

交换容量

★交换容量≥19Tbps，以官网最小值为准并提供官网截图

包转发率

★包转发率≥2880Mpps，以官网最小值为准并提供官网截图

业务槽位

★主控引擎≥2（主控不允许集成业务端口）；整机业务板槽位数≥6

机柜要求

★适用600mm深度机柜

★高度≤10U

硬件要求

★为保证设备散热效果和可靠性，要求设备支持模块化风扇框，可热插拔，独立风扇框数≥2

为适应机柜并排部署，设备机箱（包括业务板卡区）采用后出风风道设计，提供设备散热气流流向截图

虚拟化技术

★支持CSS横向虚拟化技术（提供官网截图）

将多台设备虚拟为一台设备，支持长距离集群，且用于虚拟化的板卡与业务板卡物理槽位分离，单向虚拟化集群带宽≥80Gbps；

★支持SVF纵向虚拟化技术（提供官网截图）

为了简化管理，支持纵向虚拟化技术，支持把交换机和AP虚拟为一台设备，支持两层子节点，且子节点接入交换机支持堆叠，提供权威第三方测试报告

MAC

★支持整机MAC地址≥1M，支持整机ARP表项≥256K，提供权威第三方测试报告

二层功能

支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP)

IP路由

★支持IPv4路由转发，FIB表项≥512K，提供权威第三方测试报告

支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6

IPV6

支持IPv6过渡技术，IPv4/IPv6双栈、6over4隧道、4 over6隧道

MPLS

支持MPLS L3VPN、MPLS L2VPN(VPLS，VLL)、MPLS-TE、MPLS QoS

访问控制

支持整机ACL表项≥64K, 提供权威第三方测试报告

支持基于第二层、第三层和第四层的ACL

QoS

支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式；

支持GE/10GE端口200ms大缓存，提供权威第三方测试报告

★支持5级H-QoS，提供权威第三方测试报告

可靠性

★支持G.8032标准环网协议，要求倒换时间≤50ms

★支持真实业务流的实时检测技术，秒级快速故障定位，提供权威第三方测试报告

★ 支持硬件BFD/OAM，3.3ms稳定均匀发包检测，提高设备的可靠性，提供权威第三方测试报告

★ 支持iPCA真实业务流的实时检测技术，秒级快速故障定位，提供权威第三方测试报告

管理维护

支持SNMP V1/V2/V3、Telnet、RMON、SSHV2

资质

★提供工信部入网证书

绿色节能

★通过TUV国际绿色产品认证，在环保、回收、节能、碳足迹等方面严格符合国际标准，并提供TUV绿色认证证书。

质保

提供三年原厂保修服务

配置

名称

  单台数量

总数

基本引擎交流组合配置（含一体化非PoE总装机箱）

1套

2套

·集群业务子卡（SRUA/SRUB使用）

2块

4块

800W交流电源

2块

4块

SRUA主控板*

2块

4块

36端口十兆/百兆/千兆以太网电接口+12端口百兆/千兆以太网光接口板（EA，RJ45/SFP）/防尘塞

1块

2块

48端口十兆/百兆/千兆以太网电接口板(FA，RJ45)/防尘塞

1块

2块

交换机基本软件（V200R010版）

1套

2套

伸缩滑道

1套

2套

千兆单模光模块（1310nm）/防尘塞

12个

24个

千兆光纤线5M

12根

24根

QSFP+-40G-高速电缆-3m-(QSFP+38公)-(CC8P0.32黑(S))-

(QSFP+38公)-室内用

4根

8根

基本引擎交流组合配置服务（含一体化非PoE总装机箱，

SRUA主控板*2，800W交流电源*2）-Hi-Care基础服务标准 

7x10xND-36月

1套

2套

36端口十兆/百兆/千兆以太网电接口和12端口百兆/

千兆以太网光接口板（EA，,RJ45/SFP）-Hi-Care基础服务标准

 7x10xND-36月

1套

2套

48端口十兆/百兆/千兆以太网电接口板（FA，RJ45）-Hi-Care

基础服务标准 7x10xND-36月

1套

2套

分类

功能描述

系统架构

堡垒主机产品架构

专用安全操作系统，软硬件一体化

部署方式

物理旁路，逻辑串联模式，不影响现有网络结构

单机部署、双机热备部署

分布式部署（需提供截图）：
支持添加一台或多台协议代理服务器，分担堡垒机主服务器性能压力，便于提高整体性能；
并支持限定不同的协议代理服务器节点访问不同的资源；
多协议代理服务器节点可访问相同资源时实现自动负载均衡；
堡垒机主服务器集中管理配置和收集展现日志信息

支持NAT地址映射部署，通过映射后的IP地址访问堡垒机进行管理和运维操作，支持从多个映射地址访问，适用于内外网隔离的复杂网络环境

数据存储

系统自带内部存储

管理功能

管理分权

系统级账号三权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员

业务管理组：分属不同业务管理组的业务管理员只能管理所在业务管理组内的用户、资源、策略和审计管理，适用于不同的管理部门有独立的管理员，运维人员，资源和审计管理要求的场景（需提供截图）

用户和资源管理范围：可设置业务管理员可管理的用户组和资源组的范围，适用于部门内管理员管理用户和资源权限的进一步划分

用户管理

用户账号命名字母区分大小写、账号支持中文，账号长度最大支持256位字节

支持用户和用户组的管理，包括添加、修改、删除、启用、停用、移动和移除组成员功能

支持用户组无限级分级管理

支持用户账号的批量导入导出功能

支持从AD域抽取组织机构和用户账号，方便快速建立组织机构和用户账号

支持批量修改用户账号属性

支持设置用户属性为：不能修改密码、密码永不过期、下次登录必须更改密码

用户密码策略包括：最小密码长度、密码复杂度、密码周期、历史比对和登录锁定

支持用户账号有效期配置

支持用户客户端IP和MAC限制，非法地址无法登录（需提供截图）

资源管理

支持不同的资源使用相同的IP或域名，便于同一资源按照不同的服务类型进行分类管理

支持资源和资源组管理功能，包括添加、修改、删除、启用、停用、移动和移除组成功功能

支持资源（包括服务和资源账号）批量导入导出功能

支持资源分类和资源系统类型管理：内置常见资源分类和资源系统类型，可自定义添加资源分类、资源系统类型和资源服务类型

支持资源自动发现和添加，便于快速添加资源

资源密码管理

支持设定周期性改密计划，批量修改资源密码

支持手动改密，修改指定资源的账号密码

支持改密的资源包括：Linux、Unix、Windows（采用RPC方式）、AIX以及数据库Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、SYBASE（需提供截图）

自动改密密码策略支持随机生产不同密码 、随机生成相同密码 、手工指定相同密码，随机密码支持自定义密码强度

支持改密结果自动发送到制定改密计划的管理员邮箱；密码文件加密保存，需要专用查看工具查看，以保证安全性

系统管理

支持通过WEB升级系统版本、重启系统、关机

支持NTP时间同步功能

支持自定义系统logo图片，无需定制开发

审计功能

数据库审计

实现数据库命令级审计，支持的数据库类型包括：Oracle（支持ORACLE RAC）、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、teradata，不需采用数据镜像方式实现，以免增加部署的复杂性和网络负担（需提供截图）

支持Oracle、Postgresql、Sybase、MySQL、SQL server数据库下行返回行数记录
支持Oracle数据库变量绑定解析，便于审计员深度分析用户的操作行为

支持通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果，命令级审计便于重现真实的完整操作命令，图形审计便于直观的查看到真实的操作行为，并支持通过搜索操作语句关键字定位审计回放

字符文件传输协议审计

支持SSH协议服务端启用强加密算法hmac-sha2-256,hmac-sha2-512，提升SSH协议安全性

支持字符协议SSHv1、SSHv2、TELNET、RLOGIN和文件传输协议FTP、SFTP的协议审计，审计详细的操作语句和操作语句的执行结果

支持通过应用发布实现字符协议和文件传输协议的命令级审计和图形审计的双重审计效果，命令级审计便于重现真实的完整操作命令，图形审计便于直观的查看到真实的操作行为，并支持通过搜索操作语句或执行结果中关键字定位审计回放

实时监控

实时监控当前连接发生的所有会话信息，发现高危操作可实时切断会话

会话回放

WEB在线视频回放方式重现维护人员对服务器的所有操作过程

离线回放重现维护人员对服务器的所有操作过程（回放文件下载到本地播放）

倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作

支持通过搜索操作关键字定位回放

会话协议回放空闲时间过滤，应用发布图像操作回放支持操作空闲过滤（可设置无操作多长时间开始过滤）

审计查询和报表

自定义审计查询条件，包括：时间范围、用户、资源、资源账号、IP、关键字等条件

审计查询关键字和结果显示支持多种编码(UTF-8,Big5,EUC-JP,EUC-KR,GB2312,GB18030,ISO-8859-2,KOI8-R,KS_C_5601_1987,Shift_JIS,Window-874)，由用户自主选择（需提供截图）

系统内置多种报表模板，支持管理员自定义报表类型

支持按日、周、月为周期自动生成周期性报表

报表格式支持CSV和HTML

支持通过账号核查报表统计幽灵账号、僵尸账号、孤儿账号，快速发现账号异常情况（需提供截图）

幽灵账号报表，对资源账号进行统计分析，便于及时发现非法建立的资源账号。

支持僵尸报表，统计周期内登录次数低于某一阀值的用户账号和资源账号。

孤儿账号报表，统计未建立任何访问策略授权关系的用户账号和资源账号。

权限控制

身份认证

基本认证：本地账号+密码认证
支持USB-KEY认证
支持内置动态口令认证，无须额外增加认证服务器
短信认证（支持短信中间表和短信网关标准：中国移动CMPP2.0、中国联通SGIP1.2标准和中国电信SMGP3.0）
数字证书认证：吉大正元证书认证，北京数字证书认证；格尔证书认证
其它外部认证：支持Windows AD、RADIUS、LDAP；

双因素认证：支持对不同用户设置不同认证方式组合的双因素认证

支持用户属性中手机号码和邮箱地址作为主账号身份登录

运维用户多次登录失败自动锁定登录账号或登录IP，到期自动解锁

限制用户同一时间只能从一个IP登录

密码找回：支持用户忘记登录密码时，可通过邮件或短信方式获取验证码，验证通过后重置登录密码（需提供截图）

访问控制

从账号密码代填自动登录，使用人员不必知道服务器帐号及密码

从账号密码半自动、手动登录，使用人员也可以选择自行输入服务器账号密码登录，也可选择保存账号密码，下次不再输入账号密码

支持TELNET、SSH协议资源使用普通用户登录自动切换到root账号

访问策略基于用户、用户组、资源、资源组、系统帐号、协议类型、生效时间范围、IP地址限制等进行设置

支持基于用户组、资源组的授权模式下，此用户组和资源组内新增成员自动继承授权关系

命令策略对TELNET、SSH、FTP、SFTP和数据库的违规或高危操作的指令（黑白名单）进行日志提醒、忽略命令、阻断会话或二次审批

支持访问策略或工单策略时间限制到期后断开已连接会话

命令策略中对违规或高危指令支持正则表达式设置匹配规则

支持基于时间集合、IP集合、命令集合设置访问策略或命令策略

访问策略授权明细导出，便于管理员直观的查看到用户或资产的授权情况

资源访问

支持IE（8-11版本）、谷歌浏览器、Firefox浏览器

支持运维客户端功能，运维操作过程不需要安装JAVA或其它任何控件

支持通过堡垒机web页面内嵌SSH、FTP、TELNET运维工具访问目标资源

支持通过堡垒机web页面调用本地工具访问目标资源

支持客户端菜单模式访问：用户直接使用客户端工具访问堡垒机通过菜单方式选择目标服务器并进行访问，支持的协议包括字符协议（TELNET,SSH）或图形协议（RDP,VNC）

SSH协议支持私钥代填登录，最大程度保障运维安全

RDP支持剪切板和磁盘映射功能，可选择分辨率或自适应分辨率

支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源，并支持对多台主机批量执行操作指令（需提供截图）

支持以普通管理模式登录网络设备或主机并自动切换到特权模式

系统工具支持：SecureCRT、WinSCP、FFFTP、FileZilla、SQLPlus、PLSQLDev、Toad for Oracle、Db2cmd（DB2）、Teradata SQL Assistant、SqlDbx Personal、SqlDbx Professjonal、TightVNC、pgAdmin3、SqlAdvantage、Sqleditor、mysql、QuestCentral、SSMS、Xshell、dbvis、Navicat、SSH Secure Shell Client等

工单管理

支持管理员下发工单，授权运维人员有权限在指定时间内访问指定的资源

支持运维用户主动申请访问权限的工单，管理员审批通过后即可登录运维

安全性

操作系统与数据分离存储

操作系统安装在专用CF卡，审计数据存储在磁盘，防止操作系统故障导致数据丢失

通讯安全性

管理模式 B/S，采用HTTPS方式远程安全管理

系统自身HTTPS 证书签名支持高强度SHA256算法

支持修改系统自身对外提供服务的默认端口，以满足不同环境的部署要求

支持网口聚合功能：
网口聚合主备模式，防止链路单点故障
网口聚合负载均衡模式，提高链路带宽

数据管理

实时监控审计系统CPU、内存、磁盘的使用情况

支持磁盘健康状况诊断

空间自管理功能，存储空间不足时能够自动清理历史数据，并支持设置触发清理的存储空间阀值

支持配置和数据自动备份到外边FTP服务器存储

支持定时自动备份配置和数据，保证数据安全性

支持配置信息导入和导出功能

接口功能

对外告警

支持以邮件、SYSLOG、Snmp Trap、实时发送命令策略触发的审计信息

支持以邮件、SYSLOG、Snmp Trap、实时发送设备自身CPU、内存达到使用上限的告警信息；

SNMP功能

支持SNMP Agent方式对外提供设备基础信息（支持SNMP v2c和v3）

日志外发

支持以Syslog对外发送登录日志、业务管理日志和运维审计日志（需提供截图）