1、下一代防火墙性能与配置 三层吞吐量(大包)5Gbps;三层吞吐量(小包)1Gbps,应用层吞吐量700Mbps;并发连接数1000,000;新建连接数90,000;不少于 6 个千兆电口,含三年 IPS 升级授权,含三年软件平台升级及硬件质保技术指标 指标要求部署方式 支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式。网络特性支持链路聚合功能支持端口联动支持 802.1Q VLAN Trunk、access 接口,子接口。路由支持支持静态路由,ECMP 等价路由支持 RIPv1/v2,OSPFv2/v3 动态路由协议支持多链路出站负载,支持基于应用类型的策略路由选路。基础功能访问控制策略支
2、持基于源目的 IP,源端口,源目的区域,用户(组),应用/服务类型,时间组的细化控制方式;能够识别应用类型超过 1100 种,应用识别规则总数超过 3000 条;支持 IPv4v6 NAT 地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源 IP 或者目的 IP 进行连接数控制;支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制;移动终端支持通过 IPSec/SSL VPN 方式接入,分支支持通过 IPSec VPN 方式接入;内容安全 支持 URL 过滤和文件过滤功能,URL 过滤支持 GET,POST 请求过滤和 HTTPS 网站过滤,文件过滤支持文件上传和下载过
3、滤;DDoS 攻击防护支持 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing 攻击防护、支持 SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood 攻击防护,支持 IP 地址扫描,端口扫描防护,支持 ARP 欺骗防护功能、支持 IP 协议异常报文检测和 TCP 协议异常报文检测;支持对信任区域主机外发的异常流量进行检测,如 ICMP,UPD,SYN,DNS Flood等 DDoS 攻击行为;入侵防护功能入侵防护漏洞规则特征库数量在 4000 条以上,入侵防护漏洞特征具备中
4、文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应 CVE 编号,参考信息和建议的解决方案;(需提供截图证明并加盖厂商公章)支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能; 支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源 IP 进行联动封锁,支持自定义封锁时间;可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后
5、支持一键生成防护规则;Web 应用安全防护支持 HTTP 1.0/1.1,HTTPS 协议的安全威胁检测;支持针对 B/S 架构应用抵御 SQL 注入、XSS、系统命令等注入型攻击;支持跨站请求伪造 CSRF 攻击防护;支持对 ASP,PHP,JSP 等主流脚本语言编写的 webshell 后门脚本上传的检测和过滤;支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的 Web 攻击,如文件包含,目录遍历,信息泄露攻击等;(要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图并加盖厂商公章)产品应具备独立的 Web 应用防护规则库,Web 应用防护规则总数在 3000 条以上;具备针对
6、主流网站内容管理系统 CMS 的安全防护能力,如dedecms,phpcms,phpwind 等;支持的 CMS 类型数量不少 10 种;支持敏感数据防泄密功能,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;支持 B/S 服务漏洞扫描功能,可扫描 WEB 网站是否存在 SQL 注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;支持对被防护网站是否被挂黑链进行检测;支持 CC 攻击防护;终端安全防护支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;具备独立的僵尸网络特征
7、库,恶意软件识别特征总数在 50 万条以上;对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;安全可视化支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行 TOP 10 排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;(提供威胁报告并加盖厂商公章)支持在首页多维度的展示发现的安全威胁,如攻击风险,漏洞风险,终端安全威胁和数据风险等,并支持将所有发现的安全问题进行归类汇总,并针对给出相应的解决方法指引;提供安全报表,报表内容体
8、现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;支持每天/每周/每月自动生成报表,并将报表自动发送到指定邮箱,可以自定义报表内容;支持对指定 IP 自定义业务名称,在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况;支持报表以 HTML、Excel、PDF 等格式导出;产品资质具有国密办商用密码产品生产定点单位证书售后服务体系通过 ISO9001 认证厂商具备 CMMI L5 认证证书网络安全应急服务支撑单位证书(省级);具有国
9、家信息安全测评中心颁发的信息安全服务资质证书安全工程类一级;中国反网络病毒联盟成员;国家信息安全漏洞共享平台(CNVD)用户组成员;要求厂商是微软安全响应中心(Microsoft Security Response Center)发起的MAPP(Microsoft Active Protection Program)计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。产品应具备计算机信息系统安全专用产品销售许可证;产品应具备 ISCCC 中国国家信息安全产品认证证书;IPSEC VPN功能 指标 具体功能要求网络接口 具备 2 个百兆 WAN 电口及
10、10 个百兆 LAN 口,1 个百兆 DMZ电口硬件要求电源 单电源IPSec VPN 加密速度 12Mbps(128-bit AES)IPSec VPN 隧道数 45 条并发 IPSec 客户端数 50 个性能要求防火墙吞吐量 100Mbps功能模块要求 多功能集成一体化 集成流控、防火墙、VPN、多网口交换机网关模式 设备必须支持网关模式,能提供代理上网、防火墙等功能部署模式 单臂模式 设备必须支持单臂模式,以在不影响原有网络情况下同时能降低网络单点故障的发生概率。并在此模式下仍能实现多线路功能支持 WEB 认证PORTAL 推送支持用户名密码认证IP+MAC 绑定认证支持自定义广告,实现
11、首次 URL 重定向防火墙功能 支持状态检测防火墙功能;能防御包括Synflood,Icmpflood,碎片攻击等多种攻击;能够进行包过滤或 ACL 控制;支持对内网 ARP 欺骗的防御;防范来自外网、内网的 DOS 攻击;支持 NAT 和 DHCP 等功能支持加密算法扩展 支持 AES、DES、3DES、MD5、SHA、DH、RSA 等算法,并且支持国密办 SM3、SM4 加密算法(提供设备界面截图证明,加盖厂商公章)硬件特征识别 除用户名/密码认证方式外,还支持基于网关硬件特征的高安全身份验证技术(提供设备界面截图证明,加盖厂商公章)VPN 专线功能 支持用户接入 VPN 网络后,断开与公
12、网其他地址的连接,避免公网安全风险的潜入(提供设备界面截图证明,加盖厂商公章)安全性权限控制 按用户、组分配不同的访问权限和应用资源;支持双向的内网权限分配策略,权限粒度细致到源 IP、源端口、目的IP、目的端口级别传统 IPSec 支持 支持与传统的 IPSec VPN 设备进行对接(如 Cisco、华为等设备)支持全动态 IP 接入 不依赖于第三方的基于动态 IP 寻址的 VPN 组网技术(非DDNS 方式,提供自主知识产权证明)网络适应性 支持各种 NAT 网络环境下的 VPN 组网组播包支持 支持视频、语音等基于组播的应用及路由协议VPN 隧道间流控 保证每个接入分支都能合理的利用带宽
13、资源,从而顺畅的访问总部内网应用VPN 隧道内 NAT 使具有相同内网地址的分支机构都能同时接入总部,最大保护用户网络结构的完整性VPN 隧道内 NAT 查询 支持基于用户名、原 IP 子网、代理子网、网段类型、子网掩码的 VPN 隧道内 NAT 的状态查询VPN 帐户的最后登陆时间和使用时间 可以记录 VPN 帐户最后登陆时间和这个帐户最后使用时间多线路自动备份切换总部与分支有多条线路,可在线路间一一进行 IPSecVPN隧道建立,并可根据需要自行设置主隧道组及备份隧道组,对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配;主隧道组线路全部无效时可自动切换到备份隧道组上,保证
14、业务不中断;以上隧道分配策略可在每一分支根据需要设置不同的策略;单臂部署下同样支持多线路策略配置管理 基于 WEB 的图形化配置管理界面;支持配置的导入、导出和备份分级管理员 设备管理员支持分级分权限设置易用性管理员限制 IP 可支持管理员限制登录 IP,保证接入安全性加速优化 跨运营加速模块 支持针对跨运营商访问业务实现链路加速优化,消除丢包和延迟业务体验慢情况(提供设备截图证明)支持局域网划分 vlan 支持划分虚拟局域网,实现不同业务和部门逻辑隔离客户端零配置接入 对于移动端支持基于零配置 USB DKEY 技术,通过 KEY 接入可以免除手动启动、配置客户端程序的繁琐 虚拟 IP 池功
15、能 为接入用户分配内网指定的 IP 地址强身份认证 支持用户名/密码、USB-Key、硬件特征码、IP/MAC 等多种动态身份认证方式;支持用户的批量导入和导出支持用户分组授权禁止修改密码 支持在线禁止修改密码在线用户管理 通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间,并支持冻结非法用户用户管理在线状态查询 支持可在线查看每条线路连接状态,流量,连接总数,剩余授权总数。可详细查看基于用户、类型、实时流量、InternetIP、内网 IP、接入时间、传输类型的详细情况流量管理 应用识别规则库 具有 20 多个大类、超过 850 条应用识别规则,并支持应用协议识别库实时更新手
16、工添加应用识别 可手工添加基于“深度内容检测”技术的新应用协议识别规则,实现个性化识别和封堵,提供无限扩展能力智能 P2P 的识别 支持弱特征识别等相关技术,识别非常见的、新出现的P2P 软件、原有 P2P 软件的新版本访问控制策略 可分组、分时段、分服务控制网络使用,支持设定用户网络访问时间限额及网速限额应用协议控制 基于应用协议识别库,非简单的 IP+端口方式,可对网游、IM、炒股、在线流媒体、P2P 工具等应用进行封堵自定义上网时间段以半小时为单位,支持任意的时间段设置;支持每天多个时间段设置;支持每周七天每天各不相同的时间 段设置,为客户提供最灵活的时间段控制能力P2P 流控 允许指定
17、用户使用P2P行为,但对其占用的带宽资源进行管理和控制业 界 最 灵 活 的 流 控可根据用户的网络应用行为、访问的网站类型、不同用户/用户组、区别的时间段进行流量管理 策略WAN-LAN 流控将出口中指定的带宽资源划分,并将指定的带宽资源分配给指定对外提供访问的服务器,实现对外发布 应用的保障带宽通道状态查看 支持实时查看各带宽通道的使用情况、状态、流量等,实时显示当前流量前十名的应用、用户在线用户管理 通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间,并支持冻结非法用户VPN 网络的监控 能够提供图形化的实时监控状态,并且能够清楚的区分网络设备的运行状态; 既可整体监控又
18、可局部监控;查看整网 VPN 拓补,详细显示 VPN 网络设备的连接状态;可保存和打印监控拓扑图;在监视界面可以远程重启设备;VPN 网络管理 有专业统一的平台进行 VPN 全网的策略编辑、部署和维护;支持离线配置;新策略支持即时下发和定时下发两种模式;可在线禁用、中断用户联接;策略数据库支持定时自动备份VPN 网络状态实时监控 支持查看即时显示设备状态,包括 CPU、内存、磁盘占用,以及内外网接口流量;支持查看设备异常信息;查看设备版本信息,细显示设备的版本信息及同步情况VPN 升级管理 支持所有 VPN 端点的自动的升级功能;支持分批升级功能,以防止同时升级带来的带宽拥塞;能提供所有的 V
19、PN 客户端版本详细的升级报告日志系统 详细的日志报表,包括网点流量统计、网点版本明细、用户、管理员登录统计、告警日志、错误日志、系统调试日志时间管理 所有策略可以按时间进行生效与否进行管理SNMP 支持 SNMP 协议Syslog 支持 Syslog 导出、实现上网行为记录的转储功能VPN 安全组网集中管理 必须支持单独的硬件设备来进行 VPN 全网管理集中管理平台管理员 管理员可按照分级权限、多用户同时管理;支持三种不同类型的管理员:普通管理员、区域管理员、系统管理员提供原厂商售后服务体系 ISO9001 认证证书设备生产厂家研发体系具有 CMMI5 认证证书设备生产厂商需为国家密码管理局
20、发布的IPSec VPN 技术规范起草单位之一设备生产厂商具有国家密码管理局颁发的商用密码产品生产定点单位证书设备生产厂商具有国家密码管理局颁发的商用密码产品销售许可证设备生产厂商具有国家高新技术企业证书产品及企业资质要求原厂商在新疆区域设有直属办事处等服务机构,以便于为客户提供完善、及时的售后服务。必须提供 724 小时 800 电话支持;本地化应急服务紧急攻击事件 2 小时内响应,最大限度减少损失;厂商资质产品售后服务三层网络交换机要求交换容量达到 256G包转发率不低于 72Mbpps不少于 2410/100/1000Base-T, 和 4 个复用的千兆 SFP Combo提供不少于一个
21、堆叠扩展插槽遵循 IEEE 802.1d 标准支持 MAC 地址自动学习和老化支持静态、动态、黑洞 MAC 表项支持源 MAC 地址过滤MAC 地址容量:16K支持智能堆叠支持虚拟电缆检测(Virtual Cable Test)支持 RMON支持 eSight 网管系统、支持 WEB 网管支持自动配置、EasyOperation 方案支持 SNMPv1/v2c/v3支持系统日志、分级告警支持 4K 个 VLAN支持 Guest VLAN、Voice VLAN支持 SuperVLAN支持 MUX VLAN 功能支持 GVRP 协议支持 1:1 和 N:1 VLAN Mapping 功能支持基于 MAC/协议/IP 子网/策略/ 端口的 VLAN静态路由支持三层动态路由
