基础网关接入

网络隐身

（1）采用SPA敲门技术，用户在未经控制台SPA认证前，控制台和网关完全隐身，对外无服务端口暴露。
▲（2）业务系统和SDP网关均无需对外暴露任何TCP端口，使用SPA单包授权技术，仅通过认证的用户才能通过网关正常访问业务，减少互联网暴露面，降低恶意攻击和入侵风险。（需提供功能演示视频证明材料）

隧道加密

用户登录客户端访问应用时，客户端到网关之间的所有请求只能通过UDP端口传输。（需提供功能演示视频证明材料）

访问控制

▲（1）支持访问控制策略配置，根据用户状态、时间、位置、网络、设备类型、IP地址、IP位置等信息综合评估定义访问权限。用户仅可访问权限范围内的应用系统。（需提供相关配置截图和功能演示视频证明材料）

▲（2）支持异常登录追加验证，新设备登陆/异地登陆追加二次短信验证，保证接入合法性。当登录的设备不是上次使用的设备时，需使用短信验证码等方式进行身份二次认证。（需提供相关配置截图和功能演示视频证明材料）

（3）非指定时间接入限制，对访客等外部用户，可以设置临时访问的时间段，到期权限自动失效。

设备管理

▲（1）PC终端设备健康度检测（基线检测），支持根据windows设备的密码策略、身份策略、审计策略、入侵检测策略等配置准入规则。可扩展支持对移动设备基线检测。（需提供相关配置截图证明材料）
（2）支持移动设备状态检查，检测设备的操作系统、系统版本、接入网络类型、root/越狱、全盘加密等状态，拒绝不符合安全要求的移动设备接入内部网络，保证访问应用设备的安全性。

资源发布

（1）支持针对网络资源、隧道应用资源、web应用资源进行统一管理，可将所有资源按照自定义分类进行分组管理，便于快捷分发资源。
（2）支持添加域名资源，无需填写IP，可直接配置精确域名或泛域名，支持同一个资源发布多个IP或网段，简化资源发布配置。

▲（3）具备WEB应用依赖站点采集能力，针对web应用中使用较多外链的情况，实现站点的自动化采集，减少客户的配置过程，提高交付效率；同时支持手动配置依赖站点。（需提供相关配置截图证明材料）

（4）针对web应用提供禁止该应用访问的URL名单，针对每个web应用，可分别配置访问者源IP的黑白名单，有效避免恶意攻击。

终端接入

（1）主流浏览器访问WEB业务资源：支持IE、Chrome、Edge、Firefox、Opera、Safari等主流浏览器访问WEB资源；支持Android、IOS移动终端自带浏览器访问WEB资源。
（2）主流终端以隧道模式接入访问内网C/S资源：支持Windows7、10，主流Linux发行版，MacOS10.12及以上版本。
（3）不同平台的终端同时在线：管理员可设置可同时在线的终端个数，当超过终端个数时，可以注销最早登录的终端。

号卡身份准入认证

号卡身份认证

▲支持以国密SIM卡为硬件介质的SIM认证登录方式，该国密SIM卡具备国家密码管理局颁发的《商用密码产品认证证书》，满足GM/T 0027《智能密码钥匙技术规范》和GM/T 0028《密码模块安全技术要求》第二级要求。（需提供功能演示视频和SIM卡商密认证证书证明材料）

身份认证及配置管理

（1）支持本地创建用户、支持Excel导入用户、支持从AD/LDAP导入及同步用户、支持和第三方用户系统对接导入及同步用户。
（2）支持用户组及用户配置及分级管理，支持上下级认证策略、关联角色、认证方式的继承关系配置，通过继承功能实现配置的快速复用，简化配置管理工作。

（3）支持对接省统一身份认证平台，实现用户身份核验。

第三方认证服务

（1）支持与IAM系统集成，获取更多认证因素，手机扫码认证、动态令牌、人脸识别、指纹、手势密码、CA认证等。
（2）支持短信认证，包括短信猫、CMPP2.0/3.0、SGIP1.2、SMGP3.0、阿里云/网易云/云之树等短信认证平台，支持基于http、webservice接口的自定义短信网关模板。

认证安全策略

（1）可选择用户密码的安全等级，如简单、中等、复杂等，修改密码时，新密码不能和上次密码一致。
（2）支持对账号暴力破解的防护，支持在用户访问时，识别到多次密码输入错误后，开启防爆破机制，在指定时间内不允许再次登录。

用户访问权限管控服务

按角色授权

支持按用户、用户组、安全组进行角色授权。

按应用授权

支持按具体应用授权，能够将用户或用户组直接关联到应用系统。

组织架构授权继承

支持用户组、用户配置及分级管理，支持上下级认证策略、关联角色、认证方式的继承关系配置。

终端环境动态安全检测及准入控制

支持对Windows、Mac、信创、Linux终端、IOS终端、Android终端终端根据不同的业务系统，为相应的用户设置不同的安全规则，对终端环境、用户身份进行检测评估，一旦触发安全规则，则执行相应的防护动作。

访问控制策略管理

（1）支持对访问行为持续、动态的检测，一旦发现不符合访问控制策略的行为变化，可动态回收访问授权、阻断访问等。

▲（2）持续检测web应用访问行为，如发生SQL注入、CC攻击、XSS攻击等行为时，可以阻断对应用的访问。（提供功能演示视频证明材料）

▲（3）持针对流行攻击手段自定义针对性的安全防护规则。（需提供相关配置截图证明材料）

用户行为追溯

支持全面的日志记录

（1）针对客户端接入的行为进行记录，提供较为详细的接入日志。
（2）针对受到网络/WEB攻击的进行记录，提供较为详细的攻击日志。
（3）针对管理员操作的行为进行记录，提供较为详细的管理日志。

（4）针对用户的异常登录、用户锁定、PC安全异常等行为进行记录，提供详细的异常日志。

支持日志syslog对接

支持以syslog方式对接客户自有的外部日志中心。

支持虚拟IP访问及溯源

（1）支持业务系统IP地址隐藏，通过伪装IP的形式隐藏业务系统的真实内网IP，用户仅能通过伪装后的IP访问业务系统，无法获取或访问业务系统内网真实IP。

（2）支持访问IP溯源，支持以虚拟IP方式，访问真实的业务系统，业务系统可以使用虚拟IP进行溯源，同时便于流量分析类设备进行流量分析。

可视化大屏

安全接入态势展示

▲具备态势感知展示效果，可展示网关系统攻击、接入、流量的统计和分析信息，动态显示攻击走向和流量走向。（提供功能演示视频证明材料）

行为统计

支持展示最近24小时内在线用户趋势图，包括认证成功趋势、认证失败趋势，需直观的展示在线设备、在线用户等信息。

风险行为统计

（1）对异常和攻击行为的IP进行风险值的评估，锁定高风险值的IP地址，禁止接入访问。（需提供功能演示视频证明材料）

（2）支持异常和攻击行为的IP统一展示和管理，可查看IP的攻击行为记录，可对IP进行解锁管理。

安全管理

分级分权管理

支持超级管理员/网关节点管理员分级管理，网关节点管理员可以管理权限范围内的网关的资源及访问策略。

管理员安全

支持配置管理主机IP，仅开放白名单地址访问权限，支持管理员口令复杂度设置，管理后台登录时需使用图形验证码进行验证，防止恶意用户暴力破解。

后台运维

（1）可查看在线设备和网关的连接状态、已使用的上行和下行流量等信息。

（2）可在管理后台设置通知相关信息，开启通知后，用户登录成功后在客户端首页滚动展示该通知。

▲（3）支持指定网关接入，当控制器和网关都做集群部署时，可为控制器指定对应的网关，从该控制器接入的客户端，只能连接指定的网关。（需提供相关配置截图证明材料）

准入性能

性能指标

（1）用户并发数不低于2000。

（2）UDP登录请求TPS不低于160/s。

（3）单台网关吞吐量不低于700M。