1、安全产品技术规范杭州华三通信技术有限公司安全产品技术规范杭州华三通信技术有限公司 第 2 页, 共 110 页目录1. 防火墙系列 41.1. M9000 防火墙核心引导指标说明: 41.2. M9006.41.3. M9010.71.4. M9014.101.5. 新一代防火墙 F50X0 核心引导指标说明: .131.6. F5040 防火墙招标参数 .131.7. F5020 防火墙招标参数 .141.8. F5000-S 防火墙招标参数 .161.9. F5000-C 防火墙招标参数 .171.10. 新一代 F10X0 防火墙核心引导指标说明: 191.11. H3C SecPat
2、h F1020 防火墙招标参数 191.12. H3C SecPath F1030 防火墙招标参数 211.13. H3C SecPath F1050 防火墙招标参数 231.14. H3C SecPath F1060 防火墙招标参数 251.15. H3C SecPath F1070 防火墙招标参数 271.16. H3C SecPath F1080 防火墙招标参数 301.17. 三款新千兆防火墙核心引导指标说明: 321.18. F1000-E 321.19. F1000-E-SI .331.20. F1000-A-EI.341.21. F1000-S-AI.361.22. SecBla
3、de FW Enhanced 招标参数 371.23. SecBlade FW 招标参数 .391.24. SecBlade FW Lite 防火墙招标参数 411.25. 新一代 F1000-C-SI、F100-A/M-SI 防火墙核心引导指标说明: .421.26. F1000-C-SI 防火墙招标参数 421.27. F100-A-SI 防火墙招标参数 441.28. F100-M-SI 防火墙招标参数 .452. VPN 系列 .472.1. SSL VPN 插卡 .473. 负载均衡(加 VLB 的指标) 473.1. SecBlade LB(S75E、S95E、SR88 、S105
4、00 、S12500 配套) 473.2. L5000-C(D RX 说明更加清晰一些) 493.3. L1000-A .504. 流量分析 NetStream (S75E、S95E、S105、S125 配套 )525. 应用控制与审计网关 ACG.535.1. ACG 1000E(1G).535.2. ACG 1000A(500M) 575.3. ACG 1000M(200M ) 605.4. ACG 1000S(30M) .635.5. ACG 1000C(10M ) 67安全产品技术规范杭州华三通信技术有限公司 第 3 页, 共 110 页5.6. ACG 2000.705.7. AC
5、G 8800.735.8. ACG 插卡(S75E、S95E、S105、S125 配套) .776. 入侵防御 IPS 系列 786.1. IPS 核心引导指标说明 .786.2. IPS T5000-S3 .796.3. IPS T1000-A.816.4. IPS T1000-S .836.5. IPS T1000-C.866.6. IPS T200-A.886.7. IPS T200-M906.8. IPS T200-S .936.9. IPS 插卡( S125、S95E、S75E、S58、SR88、SR66 配套) 957. UTM .967.1. UTM 核心引导指标说明 967.2
6、. U200-A.967.3. U200-M 987.4. U200-S1007.5. UTM200-CA 1027.6. UTM200-CM1047.7. UTM200-CS.106安全产品技术规范杭州华三通信技术有限公司 第 4 页, 共 110 页1. 防火墙系列防火墙整体引导策略:1、 要求采用指定架构(M9000 的分布式架构、中低端的多核非 X86 架构等) ,屏蔽和抬高友商。2、 按照我司产品接口形态(含扩展槽)引导(接口速度越高、接口数量越大友商商务越高) 。3、 强调整机最大吞吐量,及单位吞吐对应的新建数,并发数等关键性能指标。4、 要求实现多业务特性:出站链路负载均衡、多
7、种 VPN、智能安全策略。5、 要求支持完全虚拟化:SCF(多虚一)、SOP(一虚多) 。6、 要求实配虚拟防火墙数量、IPsec VPN 隧道数、SSL VPN 数是为了增加华为(虚拟防火墙/VPN均需要 License) 、思科(虚拟防火墙/SSL VPN 需 License 费用)等厂家的商务;7、 要求支持基于 IPV6 的状态防火墙及攻击防范。8、 证书:要求提供 CMMI4 证书、IPv6 Ready 认证证书。1.1. M9000 防火墙核心引导指标说明:9、 要求支持采用控制、数据、业务相分离的全分布式架构。10、 要求每槽位支持 100G 接口2 个、40G 接口4 个.11
8、、 要求接口数量引导 32 万兆接口(数量越大友商商务越高) 。12、 强调整机最大吞吐量,及单位吞吐对应的新建数,并发数等关键性能指标。13、 要求实现多业务特性:出站链路负载均衡、多种 VPN、智能安全策略。14、 要求支持完全虚拟化:SCF(多虚一)、SOP(一虚多) 。15、 要求实配虚拟防火墙数量、IPsec VPN 隧道数、SSL VPN 数是为了增加华为(虚拟防火墙/VPN 均需要 License) 、思科(虚拟防火墙/SSL VPN 需 License 费用)等厂家的商务;16、 要求支持基于 IPV6 的状态防火墙及攻击防范。17、 证书:本次招标引导的证书出来传统的公安部销
9、售许可证证书外,我们要求提供 CMMI4 证书、IPv6 Ready 认证证书。1.2. M9006技术指标 M9006系统架构采用控制、数据、业务相分离的全分布式架构具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离要求提供设备正面及背面清晰照片,投标设备照片与实物不相符将作为废标项业务槽数 6 主机支持主流及交流电源模块,非外置电源框扩展 电源M+N 冗余 电源数量4系统可靠性 主控引擎1+1冗余,主控故障或切换时设备最大转发性能不受任何影响 所有主控引擎必须支持热插拔安全产品技术规范杭州华三通信技术有限公司
10、 第 5 页, 共 110 页 所有交换引擎必须为独立形态(非主控集成),占用专用的硬件槽位 独立交换引擎N+1冗余,N3 所有交换引擎必须支持热插拔系统性能吞吐量120G并发连接数9000万每秒新建连接180万虚拟防火墙数 768IPSec隧道数 15 万IPSec隧道性能 45GL2TP隧道数 15 万L2TP会话数 15 万GRE隧道数 15 万GRE隧道性能 60G接口板卡支持100G、40G、10G、GE端口: 每槽位支持的100G接口2 每槽位支持的40G接口4 每槽位支持的万兆接口32 每槽位支持的千兆接口48要求提供所投接口板卡清晰照片,投标接口数量、类型与实物不相符将作为废标
11、项统一管理 通过一个串口/IP即可进行设备管理,在统一管理界面上能监控并管理所有业务模块智能分流业务引擎能够资源池化管理、支持即插即用;无需配置ECMP 、链路聚合等策略来负载分担流量;无需配置哪些流量交给哪个业务引擎处理;无需手工控制某些会话的两个方向在指定业引擎处理;安全集群支持安全集群,将多台物理设备虚拟化为1台逻辑设备;设备集群后能完全作为1台设备来统一配置管理;支持不同型号设备之间进行集群要求提供集群配置截图,提供官网配置手册链接要求提供多台防火墙虚拟成一台防火墙的用户证明虚拟防火墙 支持将1台设备虚拟化为多台设备使用,可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间),支持
12、网络虚拟化(如IP 、VLAN 、VRF 资源) , 虚拟防火墙可以按需启动、停止,设备上可以查看到虚拟防火墙状态 支持1个物理接口可以同时属于不同的虚拟防火墙 每单板虚拟防火墙256个,增加业务板能增加系统虚拟防火墙数量要求提供设备配置截图证明、提供以上功能截图,提供官网配置手册链接要求提供防火墙一虚多后互不干扰的用户证明文件NAT特性功能:支持源地址NAT转换;目的地址NAT(nat server);支持静态NAT映射;支持静态NAT444、支持动态NAT444、支持NAT 端口块增量分配;支持Fullcone NAT:EIM,EIF支持NAT Hairpin;安全产品技术规范杭州华三通信
13、技术有限公司 第 6 页, 共 110 页支持两次NAT;支持双向NAT;支持NAT二进制日志,可以设置发送开始、结束日志、活跃流日志;支持NAT二进制日志主机负载分担:日志主机 16台支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志支持NAT ALG:FTP/h323/sip/h323/rtsp/sccp/mgcp/ils/nbt/pptp/sqlnet/tftp/rsh/xdmcp/dns/imcp-error/IP Sticky/IP Persistenc支持Easy IP支持NAT端口复用无限连接性能:每个接口下可以
14、配置NAT outbound2048每个接口下可以配置的NAT server2048系统支持的Nat Outbound4096系统支持的Nat Server4096系统支持NAT444端口块数目150万要求提供设备配置截图证明、提供以上功能截图,提供官网配置手册链接过渡技术 支持隧道技术:IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over IPv4 ISATAP、DS-LITE AFTR 支持翻译技术:NAT64、DNS64 、 ALG热备技术 支持1:1热备,支持主/ 备、主/主部署;支持N:N
15、热备;路由协议 支持IPv4、IPv6静态路由、等价路由、策略路由,以及BGP、RIPv2、OSPF、ISIS 等动态IPv4路由协议,支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议QOS支持拥塞管理:FIFO、PQ、CQ、 WFQ支持拥塞避免:WRED支持流量限制:LR、CAR支持流量整形:GTS支持优先级标记支持报文过滤支持报文镜像要求提供设备配置截图证明,提供官网配置手册链接设备安全支持基于标准、扩展的ACL报文过滤支持OSPF 、RIPv2 及BGPv4 报文的明文及MD5密文认证支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限主
16、控故障或切换时设备最大转发性能不受任何影响可靠特性 支持OSPF/IS-IS/BGP/BGP4+ GR,支持双引擎快速倒换,实现50ms的引擎故障主备切换时间,支持热补丁功能,可在线进行补丁升级安全产品技术规范杭州华三通信技术有限公司 第 7 页, 共 110 页支持BFD for VRRP / OSPF、支持 NQA支持静态链路聚合、动态链路聚合LACP支持跨板链路聚合、跨设备链路聚合链路聚合成员16要求提供设备配置截图证明,提供官网配置手册链接设备管理支持命令行支持10级以上管理权限控制支持基于命令、特性、web 菜单的权限划分支持对外接口:CLI、Netconf 、SNMP MIB、T
17、CL脚本支持独立网管审计平台厂商必须通过CMMI4认证以保障产品代码质量与稳定性,证书认证国家为China,提供证书复印件所有安全业务板均需具备IPv6 Ready第二阶段金色认证证书资质要求主机及安全业务板卡均具备公安部计算机信息系统安全专用产品销售许可证在本地有售后服务人员,提供相关证明厂家必须在当地设有备件库服务证明能提供快速本地化现场技术支持,能提供724 小时技术服务支持1.3. M9010技术指标 M9010系统架构采用控制、数据、业务相分离的全分布式架构具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分
18、离要求提供设备正面及背面清晰照片,投标设备照片与实物不相符将作为废标项业务槽数 8(竖插槽、利于散热) 主机支持主流及交流电源模块,非外置电源框扩展 电源M+N 冗余 电源数量6 主控引擎1+1冗余,主控故障或切换时设备最大转发性能不受任何影响 所有主控引擎必须支持热插拔系统可靠性 所有交换引擎必须为独立形态(非主控集成),占用专用的硬件槽位 独立交换引擎N+1冗余,N3 所有交换引擎必须支持热插拔系统性能吞吐量240G并发连接数1.8亿每秒新建连接360万虚拟防火墙数 1536IPSec隧道数 35 万IPSec隧道性能 90GL2TP隧道数 35 万L2TP会话数 35 万安全产品技术规范
19、杭州华三通信技术有限公司 第 8 页, 共 110 页GRE隧道数 35 万GRE隧道性能 140G接口板卡支持100G、40G、10G、GE端口: 每槽位支持的100G接口2 每槽位支持的40G接口4 每槽位支持的万兆接口32 每槽位支持的千兆接口48要求提供所投接口板卡清晰照片,投标接口数量、类型与实物不相符将作为废标项统一管理 通过一个串口/IP即可进行设备管理,在统一管理界面上能监控并管理所有业务模块智能分流业务引擎能够资源池化管理、支持即插即用;无需配置ECMP 、链路聚合等策略来负载分担流量;无需配置哪些流量交给哪个业务引擎处理;无需手工控制某些会话的两个方向在指定业引擎处理;安
20、全集群支持安全集群,将多台物理设备虚拟化为1台逻辑设备;设备集群后能完全作为1台设备来统一配置管理;支持不同型号设备之间进行集群要求提供集群配置截图,提供官网配置手册链接要求提供多台防火墙虚拟成一台防火墙的用户证明虚拟防火墙 支持将1台设备虚拟化为多台设备使用,可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间),支持网络虚拟化(如IP 、VLAN 、VRF 资源) , 虚拟防火墙可以按需启动、停止,设备上可以查看到虚拟防火墙状态 支持1个物理接口可以同时属于不同的虚拟防火墙 每单板虚拟防火墙256个,增加业务板能增加系统虚拟防火墙数量要求提供设备配置截图证明、提供以上功能截图,提供官网
21、配置手册链接要求提供防火墙一虚多后互不干扰的用户证明文件NAT特性功能:支持源地址NAT转换;目的地址NAT(nat server);支持静态NAT映射;支持静态NAT444、支持动态NAT444、支持NAT 端口块增量分配;支持Fullcone NAT:EIM,EIF支持NAT Hairpin;支持两次NAT;支持双向NAT;支持NAT二进制日志,可以设置发送开始、结束日志、活跃流日志;支持NAT二进制日志主机负载分担:日志主机 16台支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志支持NAT ALG:FTP/h323/si
22、p/h323/rtsp/sccp/mgcp/ils/nbt/pptp/sqlnet/tftp/rsh/xdmcp/dns/imcp-error/IP Sticky/IP Persistenc支持Easy IP支持NAT端口复用无限连接安全产品技术规范杭州华三通信技术有限公司 第 9 页, 共 110 页性能:每个接口下可以配置NAT outbound2048每个接口下可以配置的NAT server2048系统支持的Nat Outbound4096系统支持的Nat Server4096系统支持NAT444端口块数目150万要求提供设备配置截图证明、提供以上功能截图,提供官网配置手册链接过渡技术
23、 支持隧道技术:IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over IPv4 ISATAP、DS-LITE AFTR 支持翻译技术:NAT64、DNS64 、 ALG热备技术 支持1:1热备,支持主/ 备、主/主部署;支持N:N热备;路由协议 支持IPv4、IPv6静态路由、等价路由、策略路由,以及BGP、RIPv2、OSPF、ISIS 等动态IPv4路由协议,支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议QOS支持拥塞管理:FIFO、PQ、CQ、 WFQ支持拥塞避免:WRED支
24、持流量限制:LR、CAR支持流量整形:GTS支持优先级标记支持报文过滤支持报文镜像要求提供设备配置截图证明,提供官网配置手册链接设备安全支持基于标准、扩展的ACL报文过滤支持OSPF 、RIPv2 及BGPv4 报文的明文及MD5密文认证支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限主控故障或切换时设备最大转发性能不受任何影响支持OSPF/IS-IS/BGP/BGP4+ GR,支持双引擎快速倒换,实现50ms的引擎故障主备切换时间,支持热补丁功能,可在线进行补丁升级支持BFD for VRRP / OSPF、支持 NQA可靠特性支持静态链路聚合、动态链路
25、聚合LACP支持跨板链路聚合、跨设备链路聚合链路聚合成员16要求提供设备配置截图证明,提供官网配置手册链接设备管理支持命令行支持10级以上管理权限控制支持基于命令、特性、web 菜单的权限划分支持对外接口:CLI、Netconf 、SNMP MIB、TCL脚本支持独立网管审计平台安全产品技术规范杭州华三通信技术有限公司 第 10 页, 共 110 页厂商必须通过CMMI4认证以保障产品代码质量与稳定性,证书认证国家为China,提供证书复印件所有安全业务板均需具备IPv6 Ready第二阶段金色认证证书资质要求主机及安全业务板卡均具备公安部计算机信息系统安全专用产品销售许可证在本地有售后服务
26、人员,提供相关证明厂家必须在当地设有备件库服务证明能提供快速本地化现场技术支持,能提供724 小时技术服务支持1.4. M9014技术指标 M9014系统架构采用控制、数据、业务相分离的全分布式架构具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离要求提供设备正面及背面清晰照片,投标设备照片与实物不相符将作为废标项业务槽数 12 主机支持主流及交流电源模块,非外置电源框扩展 电源M+N 冗余 电源数量6 主控引擎1+1冗余,主控故障或切换时设备最大转发性能不受任何影响 所有主控引擎必须支持热插拔系统可靠性 所有交换
27、引擎必须为独立形态(非主控集成),占用专用的硬件槽位 独立交换引擎N+1冗余,N3 所有交换引擎必须支持热插拔系统性能吞吐量400G并发连接数3亿每秒新建连接600万虚拟防火墙数 2560IPSec隧道数 55 万IPSec隧道性能 135GL2TP隧道数 55 万L2TP会话数 55 万GRE隧道数 55 万GRE隧道性能 200G接口板卡支持100G、40G、10G、GE端口: 每槽位支持的100G接口2 每槽位支持的40G接口4 每槽位支持的万兆接口32 每槽位支持的千兆接口48要求提供所投接口板卡清晰照片,投标接口数量、类型与实物不相符将作为废标项统一管理 通过一个串口/IP即可进行设
28、备管理,在统一管理界面上能监控并管理所有业务模块智能分流 业务引擎能够资源池化管理、支持即插即用;安全产品技术规范杭州华三通信技术有限公司 第 11 页, 共 110 页无需配置ECMP 、链路聚合等策略来负载分担流量;无需配置哪些流量交给哪个业务引擎处理;无需手工控制某些会话的两个方向在指定业引擎处理;安全集群支持安全集群,将多台物理设备虚拟化为1台逻辑设备;设备集群后能完全作为1台设备来统一配置管理;支持不同型号设备之间进行集群要求提供集群配置截图,提供官网配置手册链接要求提供多台防火墙虚拟成一台防火墙的用户证明虚拟防火墙 支持将1台设备虚拟化为多台设备使用,可为虚墙划分各类硬件资源(至
29、少包括CPU、内存、存储空间),支持网络虚拟化(如IP 、VLAN 、VRF 资源) , 虚拟防火墙可以按需启动、停止,设备上可以查看到虚拟防火墙状态 支持1个物理接口可以同时属于不同的虚拟防火墙 每单板虚拟防火墙256个,增加业务板能增加系统虚拟防火墙数量要求提供设备配置截图证明、提供以上功能截图,提供官网配置手册链接要求提供防火墙一虚多后互不干扰的用户证明文件NAT特性功能:支持源地址NAT转换;目的地址NAT(nat server);支持静态NAT映射;支持静态NAT444、支持动态NAT444、支持NAT 端口块增量分配;支持Fullcone NAT:EIM,EIF支持NAT Hair
30、pin;支持两次NAT;支持双向NAT;支持NAT二进制日志,可以设置发送开始、结束日志、活跃流日志;支持NAT二进制日志主机负载分担:日志主机 16台支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志支持NAT ALG:FTP/h323/sip/h323/rtsp/sccp/mgcp/ils/nbt/pptp/sqlnet/tftp/rsh/xdmcp/dns/imcp-error/IP Sticky/IP Persistenc支持Easy IP支持NAT端口复用无限连接性能:每个接口下可以配置NAT outbound2048
31、每个接口下可以配置的NAT server2048系统支持的Nat Outbound4096系统支持的Nat Server4096系统支持NAT444端口块数目150万要求提供设备配置截图证明、提供以上功能截图,提供官网配置手册链接过渡技术 支持隧道技术:IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over 安全产品技术规范杭州华三通信技术有限公司 第 12 页, 共 110 页IPv4 ISATAP、DS-LITE AFTR 支持翻译技术:NAT64、DNS64 、 ALG热备技术 支持1:1热备
32、,支持主/ 备、主/主部署;支持N:N热备;路由协议 支持IPv4、IPv6静态路由、等价路由、策略路由,以及BGP、RIPv2、OSPF、ISIS 等动态IPv4路由协议,支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议QOS支持拥塞管理:FIFO、PQ、CQ、 WFQ支持拥塞避免:WRED支持流量限制:LR、CAR支持流量整形:GTS支持优先级标记支持报文过滤支持报文镜像要求提供设备配置截图证明,提供官网配置手册链接设备安全支持基于标准、扩展的ACL报文过滤支持OSPF 、RIPv2 及BGPv4 报文的明文及MD5密文认证支持命令行采用分级保护方式,防止未授权用户的非法侵
33、入,为不同级别的用户有不同的配置权限主控故障或切换时设备最大转发性能不受任何影响支持OSPF/IS-IS/BGP/BGP4+ GR,支持双引擎快速倒换,实现50ms的引擎故障主备切换时间,支持热补丁功能,可在线进行补丁升级支持BFD for VRRP / OSPF、支持 NQA可靠特性支持静态链路聚合、动态链路聚合LACP支持跨板链路聚合、跨设备链路聚合链路聚合成员16要求提供设备配置截图证明,提供官网配置手册链接设备管理支持命令行支持10级以上管理权限控制支持基于命令、特性、web 菜单的权限划分支持对外接口:CLI、Netconf 、SNMP MIB、TCL脚本支持独立网管审计平台厂商必须
34、通过CMMI4认证以保障产品代码质量与稳定性,证书认证国家为China,提供证书复印件所有安全业务板均需具备IPv6 Ready第二阶段金色认证证书资质要求主机及安全业务板卡均具备公安部计算机信息系统安全专用产品销售许可证在本地有售后服务人员,提供相关证明厂家必须在当地设有备件库服务证明能提供快速本地化现场技术支持,能提供724 小时技术服务支持安全产品技术规范杭州华三通信技术有限公司 第 13 页, 共 110 页1.5. 新一代防火墙 F50X0 核心引导指标说明:1、 要求支持下一代深度安全特性,以及丰富的接口数量。2、 强调整机最大吞吐量,及单位吞吐对应的新建数,并发数等关键性能指标
35、。3、 要求实现多业务特性:出站链路负载均衡、多种 VPN、智能安全策略。4、 要求支持完全虚拟化:SCF、SOP。5、 要求实配虚拟防火墙数量、IPsec VPN 隧道数、SSL VPN 数是为了增加华为(虚拟防火墙/VPN均需要 License) 、思科(虚拟防火墙/SSL VPN 需 License 费用)等厂家的商务;6、 要求支持基于 IPV6 的状态防火墙及攻击防范。7、 证书:本次招标引导的证书出来传统的公安部销售许可证证书外,我们要求提供 CMMI4 证书、IPv6 Ready 认证证书、信息安全评测报告 EAL3 级、ISCCC 颁发的中国国家信息安全产品认证证书 。1.6.
36、 F5040 防火墙招标参数功能及技术指标(带号为必须满足)技术要求硬件架构 采用非 X86 64 位多核高性能处理器和高速存储器主控模块内存32G2U 以下盒式设备支持单板类型 24 个千兆+6 个万兆接口端口要求 12 个千兆光口+12 个千兆电口+ 4 个万兆端口整机最大可扩展接口数量 48GE+10*10GE产品性能 最大并发连接数3000 万每秒新建连接数600K整机吞吐量40Gbps3DES 加密10GAES256 加密10G可靠性要求 支持 VRRP 的链路备份支持双机堆叠 SCF 技术,融合后可统一管理配置,并实现负载分担和业务备份,要求提供配置截图及公司盖章支持 Ipsec
37、VPN 的 IKE 状态同步支持安全区域管理,可基于接口、VLAN 划分安全区域ASPF 状态检查支持 FTP、HTTP、SMTP、RTSP 、H323 协议簇的状态报文过滤,支持时间段安全策略设置。支持基于 CPU、内存、等硬件划分资源的完全虚拟化,可分配吞吐量、新建、并发,虚拟防火墙数量256 个,要求提供配置截图及公司盖章支持 AV 防病毒、IPS 深度安全防护功能,要求提供配置截图及公司盖章支持应用层防护:入侵防御、带宽管理,要求提供配置截图及公司盖章基本功能支持链路负载均衡功能,要求提供配置截图及公司盖章安全产品技术规范杭州华三通信技术有限公司 第 14 页, 共 110 页支持
38、IPV6: IPV6 状态防火墙、IPV6 动态路由协议、IPV6 攻击防范、IPV6 虚拟防火墙、IPV6 管理、NAT64/DS-LITE 等过渡技术,要求提供配置截图及公司盖章支持 Syslog、NAT 转换、攻击防范、黑名单、地址绑定等日志支持流量监控日志支持二进制格式日志、支持用户行为流日志必须支持一对一、地址池等 NAT 方式必须支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT 的 NAT ALG功能支持一个公网 IP 地址 NAT 并发 100 万连接支持策略 NAT ALG 功能支持策略 NAT 功能支持静态路由、RIP v1/
39、2、OSPF、BGP、策略路由等支持应用层过滤,必须支持 Java Blocking、ActiveX 过滤,支持FTP 协议深度检测,支持 FTP 命令字过滤,支持 URL 过滤能够防范 DOS/DDOS 攻击:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP 欺骗、TCP 报文标志位不合法、超大 ICMP 报文、地址扫描的防范、端口扫描的防范部署模式 支持路由模式、透明模式和混杂模式电源 采用模块化电源,支持交流、直流电源两种模式,支持 1+1 备
40、份。产品认证符合欧盟绿色环保 RoHS 认证欧盟强制性要求 CEIPv6 第二阶段增强型认证金色证书能提供以上认证的证书配套管理支持 SNMPv1、SNMPv2C、SNMPv3, 支持 CONSOLE、TELNET、SSH V1.5 管理方式支持 NTP 时间同步资质证明具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证 ,能提供有效证书的复印件。具有中国信息安全评测中心颁发的国家信息安全评测/信息技术产品安全评测 EAL3 级证书具有中国信息安全认证中心 ISCCC 颁发的中国国家信息安全产品认证证书防火墙所使用软件必须获得 CMMI 4 级(软件能力成熟度模型集成4 级)认证评
41、估并提供证书。1.7. F5020 防火墙招标参数功能及技术指标(带号为必须满足)技术要求安全产品技术规范杭州华三通信技术有限公司 第 15 页, 共 110 页硬件架构 采用非 X86 64 位多核高性能处理器和高速存储器主控模块内存16G2U 以下盒式设备支持单板类型 24 个千兆+6 个万兆接口端口要求 12 个千兆光口+12 个千兆电口+ 4 个万兆端口整机最大可扩展接口数量 48GE+10*10GE产品性能 最大并发连接数2400 万每秒新建连接数400K整机吞吐量30Gbps3DES 加密8GAES256 加密10G可靠性要求 支持 VRRP 的链路备份支持双机堆叠 SCF 技术
42、,融合后可统一管理配置,并实现负载分担和业务备份,要求提供配置截图及公司盖章支持 Ipsec VPN 的 IKE 状态同步支持安全区域管理,可基于接口、VLAN 划分安全区域ASPF 状态检查支持 FTP、HTTP、SMTP、RTSP 、H323 协议簇的状态报文过滤,支持时间段安全策略设置。支持基于 CPU、内存、等硬件划分资源的完全虚拟化,可分配吞吐量、新建、并发,虚拟防火墙数量256 个,要求提供配置截图及公司盖章支持 AV 防病毒、IPS 深度安全防护功能,要求提供配置截图及公司盖章支持应用层防护:入侵防御、带宽管理,要求提供配置截图及公司盖章支持链路负载均衡功能,要求提供配置截图及公
43、司盖章支持 IPV6: IPV6 状态防火墙、IPV6 动态路由协议、IPV6 攻击防范、IPV6 虚拟防火墙、IPV6 管理、NAT64/DS-LITE 等过渡技术,要求提供配置截图及公司盖章支持 Syslog、NAT 转换、攻击防范、黑名单、地址绑定等日志支持流量监控日志支持二进制格式日志、支持用户行为流日志基本功能必须支持一对一、地址池等 NAT 方式必须支持 NAT444、Fullcone NAT、NAThairpin、两次 NAT、双向NAT必须支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT 的 NAT ALG功能支持一个公网 IP
44、 地址 NAT 无限连接支持策略 NAT ALG 功能支持策略 NAT 功能支持 NAT 二进制日志安全产品技术规范杭州华三通信技术有限公司 第 16 页, 共 110 页支持静态路由、RIP v1/2、OSPF、BGP、策略路由等支持应用层过滤,必须支持 Java Blocking、ActiveX 过滤,支持FTP 协议深度检测,支持 FTP 命令字过滤,支持 URL 过滤能够防范 DOS/DDOS 攻击:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood
45、、ARP 欺骗、TCP 报文标志位不合法、超大 ICMP 报文、地址扫描的防范、端口扫描的防范部署模式 支持路由模式、透明模式和混杂模式电源 采用模块化电源,支持交流、直流电源两种模式,支持 1+1 备份。产品认证符合欧盟绿色环保 RoHS 认证欧盟强制性要求 CEIPv6 第二阶段增强型认证金色证书能提供以上认证的证书配套管理支持 SNMPv1、SNMPv2C、SNMPv3, 支持 CONSOLE、TELNET、SSH V1.5 管理方式支持 NTP 时间同步资质证明具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证 ,能提供有效证书的复印件。具有中国信息安全评测中心颁发的国家信
46、息安全评测/信息技术产品安全评测 EAL3 级证书具有中国信息安全认证中心 ISCCC 颁发的中国国家信息安全产品认证证书防火墙所使用软件必须获得 CMMI 4 级(软件能力成熟度模型集成4 级)认证评估并提供证书。1.8. F5000-S 防火墙招标参数功能及技术指标(带号为必须满足)技术要求硬件架构 采用 64 位多核高性能处理器和高速存储器主控模块内存4G2U 以下盒式设备支持单板类型 24 个千兆+6 个万兆接口端口要求 12 个千兆光口+12 个千兆电口+ 4 个万兆端口整机最大可扩展接口数量 48GE+10*10GE产品性能 最大并发连接数400 万每秒新建连接数300K整机吞吐量
47、40GbpsSSL VPN 并发数200可靠性要求 支持 VRRP 和跨设备的双机热备,实现负载分担和业务备份;支持IPSec VPN 的 IKE 状态同步。安全产品技术规范杭州华三通信技术有限公司 第 17 页, 共 110 页支持安全区域管理,可基于接口、VLAN 划分安全区域ASPF 状态检查支持 FTP、HTTP、SMTP、RTSP 、H323 协议簇的状态报文过滤,支持时间段安全策略设置。支持虚拟防火墙技术,虚拟防火墙数量256 个支持 P2P 限流功能VPN 支持:IPSec VPN、GRE VPN;内置 IPSec VPN 硬件加密芯片支持 Syslog、NAT 转换、攻击防范
48、、黑名单、地址绑定等日志支持流量监控日志支持二进制格式日志、支持用户行为流日志必须支持一对一、地址池等 NAT 方式必须支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT 的 NAT ALG功能支持一个公网 IP 地址 NAT 并发 100 万连接支持策略 NAT ALG 功能支持策略 NAT 功能支持静态路由、RIP v1/2、OSPF、BGP、策略路由等支持应用层过滤,必须支持 Java Blocking、ActiveX 过滤,支持FTP 协议深度检测,支持 FTP 命令字过滤,支持 URL 过滤基本功能能够防范 DOS/DDOS 攻击:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP 欺骗、TCP 报文标志位不合法、超大 ICMP 报文、地址扫描的防范、端口扫描的防范部署
