防火墙设备技术要求

功能要求基本要求GartnerUTM产品排名前三的综合安全网关产品（以2016年度魔力象限图为准，需提供报告）。设备使用自有开发的安全操作系统，单个操作系统包含所有安全功能。为保证防火墙运行的稳定性和高速性，要求设备采用ASIC和NP芯片对各项安全功能进行加速优化处理。访问控制状态检测支持对IP包中ICMP、TCP、UDP头信息的智能过滤。策略具备接口、地址、服务、时间、用户、设备类型（Windows、Linux、iOS、Android等）、带宽等的配置。支持基于IP网段、IP范围、域名、反掩码等的地址定义方法。支持基于特定源地址、目的地址、应用端口组合的会话数限制。支持基于策略、用户组、单个IP、应用的流量限制。支持修改数据包DSCP值。支持多种用户认证方式，包括本地、Radius、LDAP、TACACS+、WindowsAD、数字证书等。内置双因子认证（基于时间的动态口令）支持，无需额外认证服务器或硬件设备。支持WindowsAD、Radius单点登录功能。支持数字证书，支持SCEP、OCSP协议。组网能力支持RIP、OSPF、BGP、ISIS动态路由协议，能够与网络无缝集成。支持基于源地址、目的地址、协议等内容组合控制策略路由。支持等值路由（ECMP），并支持链路权重设置。支持组播路由（PIM）。支持基于用户身份认证的路由。支持主-备和主-主HA方案。双机热备要能支持多种组网形式，确保可靠性，并且数据接口和心跳线支持冗余。支持双活模式部署（单机模式下同步设备配置及会话表）。支持VRRP冗余。支持虚拟系统功能，能够在虚拟系统中应用所有安全特性。支持10个虚拟系统，并可根据需要扩展。支持NAT和透明模式部署，在任何模式下都支持虚拟防火墙技术和各种HA功能。支持NAT和透明的混合部署模式。支持多种NAT方式，包括静态NAT、动态NAT、FullconeNAT、固定端口块NAT、动态端口块NAT（PBA）等。支持链路负载均衡及服务器负载均衡功能。支持HTTP多路复用及SSL卸载。支持软交换功能，可将多个防火墙接口划分至一个虚拟交换机（VLAN），实现二层透明转发。支持Sniffer（旁路侦听）模式部署。支持802.1QTrunk，支持不同VLAN之间的数据隔离。支持802.3AD链路聚合、支持端口冗余。支持外接USB3G/4Gmodem，接入3G/4G无线网络。支持WCCP/ICAP内容路由。支持单点（透明/显式代理，本地缓存）及点对点广域网加速功能。支持完善的IPv6功能，包括动态路由、NAT64、VPN、隧道、应用层安全功能等。VPN及加密支持IPSecVPN功能，基于硬件3DES、AES、SHA-1、SHA-256等VPN加密、认证算法。支持IKEv1、v2。支持基于路由的IPSecVPN，可以实现通过结合RIP/OSPF等路由实现VPN线路备份。支持SSLVPN功能，满足远程用户的安全接入内网，支持Web代理模式、端口转发模式、隧道模式。支持SSLVPN客户端虚拟桌面功能。支持PPTP、L2TPVPN。支持GRE。高级安全功能支持Dos&DDoS防攻击检测和阻止。支持基于策略的安全检测，具备基于用户的安全检测，支持改变应用端口的检测，例如HTTP8080端口，支持协议检测（不使用端口识别应用）。支持7000种以上的入侵检测特征数目，支持特征码检测和行为检测，并支持分级启用（提供截图）。入侵防御功能支持原始数据包留存功能。能识别常用网络应用软件（QQ、微信、BT、迅雷等），支持检测3000种以上网络应用，并可进行阻断（提供截图）。支持用户自定义攻击特征、自定义应用特征。支持HTTP、FTP、IMAP、POP3、SMTP、HTTPS、IMAPS、POP3S、SMTPS、MAPI协议病毒过滤，支持深达10级以上的文件压缩。可以限制过滤文件的大小，对超大文件采取“通过”或“阻止”动作。防病毒功能支持流模式（基于数据包）及代理模式（基于文件）的选择。对于可疑文件，可自动提交至云沙箱，在云沙箱中使用WindowsXP/Windows7等虚拟化系统运行可疑文件，进行行为分析，识别未知病毒。支持僵尸网络IP黑名单，自动阻止僵尸网络与控制中心之间的连接。支持Web分类过滤数据库，数据库中Web站点数量应在10亿个以上。支持DPI模式、DNS解析模式过滤。防垃圾邮件功能支持IP地址过滤、邮件地址过滤、MIME头信息、邮件内容过滤、RBL实时黑名单、域名解析等多种方法。支持防数据泄漏功能，能对HTTP、FTP、SMTP、POP3等协议中的敏感内容进行过滤和阻断。支持指纹识别、水印过滤功能。支持对SSL加密流量的内容检测和安全过滤。能够针对新的攻击方法及时升级防护手段或攻击库特征。支持在线升级和手工升级两种方式。在线升级可以区分到“小时”级别，并支持“推送式”升级。可自动隔离病毒或入侵来源。管理功能提供Web管理配置，通过Web管理不需要使用硬件密钥或软件的客户端。支持Telnet/SSH命令行管理。Web界面内置命令行功能，可在不开放SSH、Telnet端口的情况下操作命令行。设备本身支持管理权限分级（大于5级：管理员、一般管理员、节点监控人员、远程协助、特殊应用保留）。支持SNMP监视和配置，支持标准MIB和专用MIB。支持SNMPv1、v2、v3。支持NetFlow、sFlow协议对网络数据进行采样。支持NTP同步时间，并支持提供NTP服务，为其它设备同步时间。支持热补丁技术，不中断业务更新DoS/IPS/应用识别等防护方法和特征库。设备内置抓包功能，可针对接口抓包，并保存为Wireshark可直接打开的格式文件。支持漏洞评估功能，可对内网设备、主机的漏洞进行扫描。为便于维护，设备需提供友好的中文维护界面和中文操作界面。具备全网对设备的集中管理、统一监控。支持RESTfulAPI，与第三方管理平台集成。日志功能支持查看当前网络会话状态，并能根据源、目标地址、端口、协议等进行查看过滤。支持会话排名查看功能。支持IP地址地理信息（所在国家等）查询。支持用户（IP）综合安全评估功能，为每个IP进行威胁度打分并排名，实现量化管理。支持日志输出到外置服务器，支持Syslog等。日志系统支持对日志的搜索、报表、分析等功能。