技术指标 |
|
★硬件要求 | 2U机箱,标准配置6个10/100/1000M自适应电口及2个SFP插槽和1个扩展槽,1个Console口,64GB SSD固态硬盘存储 |
★性能要求 | 多核AMP+架构,网络处理能力8G,并发连接≥210万,每秒新建连接10万/秒,含3年威胁情报订阅服务。 |
部署模式 | 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式; |
协议支持 | 支持3G/4G接入,可实现3G/4G连接与有线链路之间的互为备份; |
支持802.3ad协议,并可根据:源目的MAC组合、MAC和IP组合或TCP/UDP端口组合等方式实现负载和备份。 |
支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级,动态路由应至少支持RIP v1/v2/ng, OSPFv2/v3,BGP4/4+协议 |
支持静态和动态多播路由,动态多播路由必须支持PIM-SM(稀疏模式); |
支持全面的NAT转换配置,包括包括一对一,一对多,多对一的源、目的地址转换,并至少支持FULL_CONE和SYMMETRIC模式 |
IPV6支持 | 支持NAT64和DNS64 |
支持在IPv6环境下配置安全策略、SSL解密策略等规则,实现漏洞防护、间谍软件防护、URL过滤、反病毒、内容过滤、文件过滤、邮件过滤、行为管控及带宽管理 |
负载均衡 | 支持基于策略的路由负载,支持根据应用和服务进行智能选路,可基于权重做路由负载均衡,支持12种均衡方式:源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载 |
支持ISP路由负载均衡,最大可支持8条链路负载,支持自定义负载权重,持基于优先级的ISP路由链路备份(要求提供截图) |
虚拟防火墙 | 支持配置虚拟系统接口,在不占用物理网口的情况下实现虚拟系统之间的相互连接、访问; |
支持对虚系统进行系统配置,包括管理设定、管理主机、资产管理、证书管理、配置文件导入导出、日志配置; |
支持在虚系统内进行病毒防护、漏洞利用防护、间谍软件防护、URL过滤、文件过滤、内容过滤、邮件过滤、行为管控等安全功能。并可支持对本虚系统内产生的日志进行独立审计; |
访问控制 | 支持基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制。要求设备可基于地理区域配置安全策略,并支持地理区域对象的导入。 |
支持应用控制,应用特征库包含的应用数量(非应用协议的规则总数)大于2400种 |
支持基于用户的访问控制,可与LDAP/Radius/证书、POP3等用户认证系统联动 |
★支持URL云服务,设备可与云服务器联动查找本地未识别的URL,(需提供可体现URL云端协查的设备截图) |
支持识别HTTP、FTP、POP3、SMTP、IMAP、SMB等应用协议的文件传输行为,并能够对传输的文件进行双向的文件类型过滤 |
支持对HTTP、FTP、POP3、SMTP、IMAP、SMB等应用协议的内容传输进行双向过滤,支持预定义敏感信息库及自定义敏感信息库两种方式进行敏感信息定义,支持阻断及日志两种处理动作。 |
支持可多层级、多调度类相互嵌套的带宽管理设置。支持设置每IP最大或最小带宽,支持对每IP进行带宽配合管理,可通过优先级实现多应用的差分服务,并支持对剩余带宽进行基于优先级的动态分配。 |
网络攻击防护 | 支持防御DNS Flood攻击,并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施 |
支持防御HTTP Flood攻击,并支持警告、丢弃、普通防护、增强防护等多种防护措施 |
病毒防护 | 能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀 |
支持本地、云端病毒查杀,本地病毒特征库规模大于3500万 |
入侵防御 | 支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMTP等应用协议的漏洞防护和间谍软件防护。可防护的漏洞类型应至少包括:缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等。可防护的间谍软件类型应至少包括:木马后门、病毒蠕虫、僵尸网络等 |
支持自定义漏洞签名。可标识自定义漏洞的CVE编号或CNNVD编号。支持自定义基于TCP、UDP、HTTP协议的漏洞,并根据各协议的报文结构,指定一个或多个字段的特征值,这些特征值可以被以文本的形式或正则表达式的形式进行匹配,同时支持是否按顺序对这些特征值进行匹配检测。支持自定义漏洞的源端口范围及目的端口范围 |
防暴力破解 | 可防止对FTP、SMTP、POP3、IMAP、MYSQL等服务进行密码暴力破解 |
SSL解密 | 可对HTTPS协议进行解密,支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略,并可同时基于安全域、IP地址进行例外设置(要求提供截图) |
★网络异常感知 | 基于情报检测的实时主机检测及告警(需提供包含情报检测的设备截图) |
支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态,并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息,并支持一键跳转处置。(要求提供截图) |
所投设备需提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素为过滤条件进行数据钻取(要求提供截图) |
策略管理 | 支持冗余策略分析功能,系统可自动检测别列出与某一策略存在冗余关系的其他策略 |
支持安全策略的快速检索及基于名称、地址、端口、协议多维度的高级策略检索,支持策略的复制、调序、查询 |
系统管理 | 支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面) |
★终端联动 | 支持与终端安全管理系统联动来对网络进行文件分析、行为分析和病毒分析,可针对各种已知或未知威胁进行感知预警,并将可疑的名单发送给防火墙,防火墙依据名单动态生成策略,并根据用户配置决定这些可疑地址穿过防火墙时,执行拒绝或告警等防护动作。(要求提供截图) |
★云端协同 | 支持与云端联动,实现病毒云查杀、URL云识别、应用云识别、云沙箱、情报云检测等功能。(要求提供截图) |
★威胁感知系统联动 | 可与网络威胁感知系统联动,将本地终端产生的异常行为、攻击活动等数据上报至网络威胁感知系统,网络威胁感知系统可实时监控网络内的攻击事件并预警可疑的受感染主机,同时支持接收来自网络威胁感知系统推送的情报信息。(要求提供截图) |
★产品资质 | 所投产品具备公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(三级);提供相关证明并盖章 |
具备《中国国家信息安全产品认证证书》(增强级);提供相关证明并盖章 |
具备多核并行SecOS安全操作系统证书;提供相关证明并盖章 |
具备高性能一体化智能安全处理引擎计算机软件著作权登记证书;提供相关证明并盖章 |
厂商资质 | 具备中国信息安全测评中心信息安全服务资质(安全工程类三级),提供相关证明并盖章 |
厂商需在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。具备国家信息安全漏洞库CNNVD颁发的《2016年度最佳支撑单位》证书,提供相关证明并盖章 |
具备中国信息安全认证中心《应急处理服务资质(一级)》,提供相关证明并盖章 |
具备ISO20000信息技术服务管理体系认证证书,提供相关证明并盖章 |