网络招标参数

下一代防火墙性能与配置三层吞吐量（大包）≥5Gbps；三层吞吐量（小包）≥1Gbps，应用层吞吐量≥700Mbps；并发连接数≥1000,000；新建连接数≥90,000；不少于6个千兆电口，含三年IPS升级授权，含三年软件平台升级及硬件质保技术指标指标要求部署方式支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。网络特性支持链路聚合功能支持端口联动支持802.1QVLANTrunk、access接口，子接口。路由支持支持静态路由，ECMP等价路由支持RIPv1/v2，OSPFv2/v3动态路由协议支持多链路出站负载，支持基于应用类型的策略路由选路。基础功能访问控制策略支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式；能够识别应用类型超过1100种，应用识别规则总数超过3000条；支持IPv4／v6NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制；移动终端支持通过IPSec/SSLVPN方式接入，分支支持通过IPSecVPN方式接入；内容安全支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；DDoS攻击防护支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护、支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNSFlood等DDoS攻击行为；入侵防护功能入侵防护漏洞规则特征库数量在4000条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；（需提供截图证明并加盖厂商公章）支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web应用安全防护支持HTTP1.0/1.1，HTTPS协议的安全威胁检测；支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；（要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图并加盖厂商公章）产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上；具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对被防护网站是否被挂黑链进行检测；支持CC攻击防护；终端安全防护支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；具备独立的僵尸网络特征库，恶意软件识别特征总数在50万条以上；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；安全可视化支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；（提供威胁报告并加盖厂商公章）支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引；提供安全报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势；支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；支持每天/每周/每月自动生成报表，并将报表自动发送到指定邮箱，可以自定义报表内容；支持对指定IP自定义业务名称，在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况；支持报表以HTML、Excel、PDF等格式导出；产品资质具有国密办商用密码产品生产定点单位证书售后服务体系通过ISO9001认证厂商具备CMMIL5认证证书网络安全应急服务支撑单位证书（省级）；具有国家信息安全测评中心颁发的《信息安全服务资质证书》安全工程类一级；中国反网络病毒联盟成员；国家信息安全漏洞共享平台(CNVD)用户组成员；要求厂商是微软安全响应中心（MicrosoftSecurityResponseCenter）发起的MAPP（MicrosoftActiveProtectionProgram）计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护。产品应具备计算机信息系统安全专用产品销售许可证；产品应具备ISCCC中国国家信息安全产品认证证书；IPSECVPN功能指标具体功能要求硬件要求网络接口具备2个百兆WAN电口及10个百兆LAN口，1个百兆DMZ电口电源单电源性能要求IPSecVPN加密速度12Mbps（128-bitAES）IPSecVPN隧道数45条并发IPSec客户端数50个防火墙吞吐量100Mbps功能模块要求多功能集成一体化集成流控、防火墙、VPN、多网口交换机部署模式网关模式设备必须支持网关模式，能提供代理上网、防火墙等功能单臂模式设备必须支持单臂模式，以在不影响原有网络情况下同时能降低网络单点故障的发生概率。并在此模式下仍能实现多线路功能安全性支持WEB认证PORTAL推送支持用户名密码认证IP+MAC绑定认证支持自定义广告，实现首次URL重定向防火墙功能支持状态检测防火墙功能；能防御包括Synflood,Icmpflood,碎片攻击等多种攻击；能够进行包过滤或ACL控制；支持对内网ARP欺骗的防御；防范来自外网、内网的DOS攻击；支持NAT和DHCP等功能支持加密算法扩展支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持国密办SM3、SM4加密算法（提供设备界面截图证明，加盖厂商公章）硬件特征识别除用户名/密码认证方式外，还支持基于网关硬件特征的高安全身份验证技术（提供设备界面截图证明，加盖厂商公章）VPN专线功能支持用户接入VPN网络后，断开与公网其他地址的连接，避免公网安全风险的潜入（提供设备界面截图证明，加盖厂商公章）权限控制按用户、组分配不同的访问权限和应用资源；支持双向的内网权限分配策略，权限粒度细致到源IP、源端口、目的IP、目的端口级别易用性传统IPSec支持支持与传统的IPSecVPN设备进行对接（如Cisco、华为等设备）支持全动态IP接入不依赖于第三方的基于动态IP寻址的VPN组网技术（非DDNS方式，提供自主知识产权证明）网络适应性支持各种NAT网络环境下的VPN组网组播包支持支持视频、语音等基于组播的应用及路由协议VPN隧道间流控保证每个接入分支都能合理的利用带宽资源，从而顺畅的访问总部内网应用VPN隧道内NAT使具有相同内网地址的分支机构都能同时接入总部，最大保护用户网络结构的完整性VPN隧道内NAT查询支持基于用户名、原IP子网、代理子网、网段类型、子网掩码的VPN隧道内NAT的状态查询VPN帐户的最后登陆时间和使用时间可以记录VPN帐户最后登陆时间和这个帐户最后使用时间多线路自动备份切换总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并可根据需要自行设置主隧道组及备份隧道组，对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配；主隧道组线路全部无效时可自动切换到备份隧道组上，保证业务不中断；以上隧道分配策略可在每一分支根据需要设置不同的策略；单臂部署下同样支持多线路策略配置管理基于WEB的图形化配置管理界面；支持配置的导入、导出和备份分级管理员设备管理员支持分级分权限设置管理员限制IP可支持管理员限制登录IP，保证接入安全性加速优化跨运营加速模块支持针对跨运营商访问业务实现链路加速优化，消除丢包和延迟业务体验慢情况（提供设备截图证明）用户管理支持局域网划分vlan支持划分虚拟局域网，实现不同业务和部门逻辑隔离客户端零配置接入对于移动端支持基于零配置USBDKEY技术,通过KEY接入可以免除手动启动、配置客户端程序的繁琐虚拟IP池功能为接入用户分配内网指定的IP地址强身份认证支持用户名/密码、USB-Key、硬件特征码、IP/MAC等多种动态身份认证方式；支持用户的批量导入和导出支持用户分组授权禁止修改密码支持在线禁止修改密码在线用户管理通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间，并支持冻结非法用户在线状态查询支持可在线查看每条线路连接状态，流量，连接总数，剩余授权总数。可详细查看基于用户、类型、实时流量、InternetIP、内网IP、接入时间、传输类型的详细情况流量管理应用识别规则库具有20多个大类、超过850条应用识别规则，并支持应用协议识别库实时更新手工添加应用识别可手工添加基于“深度内容检测”技术的新应用协议识别规则，实现个性化识别和封堵，提供无限扩展能力智能P2P的识别支持弱特征识别等相关技术，识别非常见的、新出现的P2P软件、原有P2P软件的新版本访问控制策略可分组、分时段、分服务控制网络使用，支持设定用户网络访问时间限额及网速限额应用协议控制基于应用协议识别库,非简单的IP+端口方式，可对网游、IM、炒股、在线流媒体、P2P工具等应用进行封堵自定义上网时间段以半小时为单位，支持任意的时间段设置；支持每天多个时间段设置；支持每周七天每天各不相同的时间段设置，为客户提供最灵活的时间段控制能力P2P流控允许指定用户使用P2P行为，但对其占用的带宽资源进行管理和控制业界最灵活的流控可根据用户的网络应用行为、访问的网站类型、不同用户/用户组、区别的时间段进行流量管理策略WAN-LAN流控将出口中指定的带宽资源划分，并将指定的带宽资源分配给指定对外提供访问的服务器，实现对外发布应用的保障带宽通道状态查看支持实时查看各带宽通道的使用情况、状态、流量等，实时显示当前流量前十名的应用、用户VPN安全组网在线用户管理通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间，并支持冻结非法用户VPN网络的监控能够提供图形化的实时监控状态，并且能够清楚的区分网络设备的运行状态；既可整体监控又可局部监控；查看整网VPN拓补，详细显示VPN网络设备的连接状态；可保存和打印监控拓扑图；在监视界面可以远程重启设备；VPN网络管理有专业统一的平台进行VPN全网的策略编辑、部署和维护；支持离线配置；新策略支持即时下发和定时下发两种模式；可在线禁用、中断用户联接；策略数据库支持定时自动备份VPN网络状态实时监控支持查看即时显示设备状态,包括CPU、内存、磁盘占