|
指标项
|
参数要求
|
|
接口配置
|
1U标准机架设备,单电源,设备配置6个10/100/1000BASE-T接口,1个扩展插槽
|
|
性能指标
|
整机吞吐率(bps)≥4G
|
|
最大并发连接数≥180万
|
|
每秒新建连接数≥1.5万
|
|
IPSec VPN隧道数≥5000条,此次配置30个SSL VPN并发用户授权
|
|
操作系统
|
★主机系统采用具有自主知识产权的多核多线程ASIC并行操作系统平台,并提供多核多线程ASIC并行操作系统的软件著作权作为证明加盖原厂公章;探测器引擎的操作系统为VSP通用安全平台,具备高效、智能、安全、健壮、易扩展等特点(投标时提供相关证明材料并加盖原厂公章)。
|
|
网络适应性
|
必须支持基于应用的策略路由,可实现为不同的应用类型智能选择相应的链路。
|
|
必须支持基于 WEB地址URL的策略路由,可实现将不同类型的网站流量智能分配到不同的链路。
|
|
必须支持基于文件类型的策略路由,可实现将预定义或者自定义的文件按照不同的分类进行智能选路。
|
|
网络管理
|
要求支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析。
|
|
支持链路聚合功能,支持802.3ad和静态轮询、热备等多种模式,MAC、MAC&IP、IP&Port多种聚合负载算法。
|
|
网络访问控制
|
支持一体化安全策略配置,可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理。
|
|
支持针对策略中的源、目的地址进行新建限制,可以针对单IP(或地址范围)进行新建控制。
|
|
服务器负载均衡
|
★服务器负载均衡支持至少10种算法(投标时提供相关截图证明材料)。
|
|
IPSEC VPN
|
支持多NAT环境下的多用户L2TP认证加密接入。
|
|
支持DMVPN,在增加一个新的分支节点网关后,不需要在中心网关更改任何配置,且支持路由推送,实现spoke to spoke互通,不必建立额外隧道。
|
|
SSL VPN
|
可实时监控用户接入情况,在线中断用户,实时监控系统运行状况。
|
|
SSL VPN默认支持不少于30个并发用户授权,不需要单独付费。
|
|
抗拒绝服务攻击
|
★支持专业的HTTP Flood攻击防护;可以实现get和post的攻击防护,且get防护算法支持4类;支持独立url处理动作;以上防护功能均可以基于聚类分析、可信度、回探等多种防御机制(投标时提供相关截图证明材料)。
|
|
支持攻击流量统计、攻击事件统计、攻击流量排行、攻击事件排行。
|
|
支持web界面下对攻击流量进行抓包分析,支持自定义抓包参数,至少包括数据报文长度、报文数量、抓包时间及采样频率等基本参数;支持根据协议、源目的IP、端口等参数进行数据报文过滤。
|
|
流量控制与优化
|
支持针对URL类型进行流量管理,至少支持:旅游出行、美体美容、web代理、报刊杂志等。可以针对不同类型的URL配置不同的流量管理规则,包括最大带宽、保证带宽、协议流量优先级等。
|
|
支持针对用户/用户组进行URL、文件类型、应用的流量管理。
|
|
流量状态
|
支持按指定时间段统计多个物理网口和VLAN接口上下行曲线流速数值对比。
|
|
支持按照应用类型流量,URL分类流量统计,并独立显示TOP10的应用及所占比例,可按照应用识别特征库分类显示所有或部分分类的流量趋势曲线。
|
|
Web安全
|
具有对SQL注入攻击行为、对XSS跨站脚本攻击行为的防护能力。
|
|
具有对Web恶意扫描行为的防护能力,至少包含对弱口令、版本探测、漏洞扫描三种行为的防护能力。
|
|
统一认证管理
|
支持设置认证服务器组,支持用户口令复杂度设置。
|
|
支持显示详细的用户在线信息,包括用户名称、真实姓名、所属组、认证源、接入方式、认证方式、登录IP/MAC、在线时间、登录时间和可对其进行相关操作。
|
|
反垃圾邮件
|
支持邮件服务器地址黑名单、邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤。
|
|
支持防邮件炸弹功能,即设置POP3、SMTP的连接频率。
|
|
主动防御
|
要求能主动屏蔽恶意地址,以用于提前免疫包括病毒网站或者攻击源地址的攻击。
|
|
要求支持主动防御功能,对服务器、主机进行后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描。
|
|
漏洞扫描
|
支持包括后门、服务探测、文件共享、Windows系统补丁、认证等主动式扫描。
|
|
支持周,月定时漏洞扫描设置,及一次性漏洞扫描设置。
|
|
关联安全应用
|
支持关联安全标准(CSC)。
|
|
考虑到后续终端管理系统的需求,需要防火墙支持与终端管理系统协同工作,实现对终端的网络准入认证控制。
|
|
安全日志
|
支持至少3个Syslog服务器,发送流量、系统或默认3类型日志到不同服务器。
|
|
支持日志中文化,可显示配置命令日志的操作人。
|
|
管理配置
|
支持系统主要防护功能的统一化模版设置,模版分为高、中、低三个级别,分别对应不同防护强度,可通过Web界面单击选择切换及通过外置按键一键切换。
|
|
支持界面选择系统语言(中文、英文)。
|
|
集中管理
|
实现对网关的集中设备监控、安全事件管理、统一升级等功能。
|
|
实现对安全网关的集中管理,至少可管理1000多台安全网关,支持域管理及基于域的权限分配,并支持域的下钻。
|
|
高可用性
|
★防火墙具备与入侵检测系统联动功能(投标时提供专利证书并加盖原厂公章)
|
|
支持多重冗余协议,能实现链路备份、端口冗余、双机热备等功能。
|
|
资质要求
|
★具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(投标时提供证书复印件并加盖原厂商公章)
|
|
★具有国家信息安全测评中心颁发的《自主原创产品测评证书》(投标时提供证书复印件并加盖原厂公章)
|
|
★出于对出现问题可以提供优质服务及应急响应的考虑,要求产品生产厂商具有《一级信息系统集成及服务资质证书》和《一级应急处理服务资质》(投标时提供证书复印件并加盖原厂公章)
|
|
质保服务
|
三年原厂质保服务
|
