功能項 | 詳細功能要求 |
產(chǎn)品要求 | 所投產(chǎn)品必須為下一代防火墻,非UTM或其他產(chǎn)品,產(chǎn)品采用X86多核及自主知識產(chǎn)權(quán)的多核并行安全操作系統(tǒng)構(gòu)成;(提供相應資質(zhì)證明);配備1年應用特征庫升級許可;3年描查殺病毒庫升級服務許可; |
為保障系統(tǒng)運行的可靠性與穩(wěn)定性,要求信息安全設(shè)備、系統(tǒng)軟件的開發(fā)、生產(chǎn)符合TL9000-HSV R6.3/R5.7標準,提供認證證書復印件; |
性能指標 | 防火墻吞吐≥20Gbps,應用(HTTP)吞吐量≥16 Gbps,每秒新建連接數(shù)≥16 萬,并發(fā)連接數(shù)≥500萬;用于HIS等業(yè)務系統(tǒng)服務群安全防護 |
硬件指標 | 機箱高度≤2 U,默認配置6 個千兆電口,4個千兆光口,4個萬兆光口,配置交流冗余電源,配置1T硬盤; |
工作模式 | 支持路由、交換、虛擬線、Listening、混合工作模式; |
路由交換 | 支持根據(jù)入接口、源/目的IP地址/地址對象、源/目的端口、協(xié)議、用戶、應用、選路算法、探測、度量值、權(quán)重等多種條件設(shè)置策略路由; |
鏈路聚合 | 支持鏈路聚合,可根據(jù)源/目的mac、源/目的IP、源/目的端口、五元組、端口輪詢等條件提供不少于10種鏈路負載算法; |
支持具備多核下子連接并發(fā)識別與處理的能力,有效的提高了從控制連接中識別子連接并進行后續(xù)處理的性能,有效的提高了系統(tǒng)的并發(fā)處理能力。 |
DNS Doctoring | 支持DNS Doctoring功能,能夠?qū)碜詢?nèi)部網(wǎng)絡(luò)的域名解析請求定向到真實內(nèi)網(wǎng)資源,提高訪問效率,同時支持通過配置多條 DNS Doctoring,實現(xiàn)內(nèi)網(wǎng)資源服務器的負載均衡; |
媒體業(yè)務 | 支持SIP協(xié)議的媒體業(yè)務接入,實現(xiàn)內(nèi)外網(wǎng)媒體系統(tǒng)之間上聯(lián)和下聯(lián)安全防護,符合GB/T 28181-2016《公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》; |
訪問控制 | 支持一體化安全策略配置,通過一條策略實現(xiàn)五元組、源MAC、域名、地理區(qū)域、應用、服務、時間、長連接、并發(fā)會話、WEB認證、IPS、AV、WAF、URL過濾、郵件安全、數(shù)據(jù)過濾、文件過濾、審計、APT等功能配置,簡化用戶管理; |
提供策略命中、冗余、沖突、包含檢查及策略查詢功能,支持五元組快速查詢以及針對策略名、源/目的區(qū)域、源/目的地址、服務、對象、未命中時間等條件進行細粒度查詢; |
支持資源利用最大化,具備提高防火墻芯片硬件加速性能的能力 |
應用控制 | 內(nèi)置P2P應用(提供P2P流量識別能力相關(guān)權(quán)威證明材料)、加密應用(提供截圖與加密流量識別相關(guān)能力權(quán)威證明材料)、數(shù)據(jù)庫應用、工控物聯(lián)網(wǎng)協(xié)議等應用特征庫;支持應用特征庫在線或本地更新,支持自定義應用特征; |
URL分類過濾 | 支持超過80類、1000萬的URL地址分類庫,可針對網(wǎng)站類別實施管控,杜絕非法、違規(guī)網(wǎng)站的訪問行為; |
文件過濾 | 內(nèi)置文件過濾引擎,支持HTTP/FTP/SMTP/POP3等標準協(xié)議進行檢測,識別可執(zhí)行文件、office文件、視頻文件、圖片文件、幫助文件、壓縮文件、數(shù)據(jù)文件等超過50種文檔類型的文件過濾; |
內(nèi)容過濾 | 內(nèi)置內(nèi)容過濾功能,可對FTP上傳文件、下載文件、刪除文件、重命名文件、創(chuàng)建目錄、刪除目錄、列出目錄等信令以及郵件發(fā)件人、收件人、主題、內(nèi)容、附件等進行過濾; |
黑名單 | 支持將五元組、源MAC、地址范圍、應用、用戶等加入靜態(tài)黑名單,可與URL過濾、病毒過濾、防代理功能進行聯(lián)動實現(xiàn)動態(tài)黑名單封鎖,(提供截圖證明)支持靜態(tài)和動態(tài)黑名單命中統(tǒng)計和監(jiān)控; |
防代理 | 內(nèi)置防代理功能,阻斷網(wǎng)絡(luò)用戶通過代理主機進行攻擊、共享上網(wǎng)等行為; |
連接控制 | 支持連接控制和監(jiān)控,可對源/目的地理對象、應用制定連接限制策略,可展示被攔截的IP、地址對象、應用的限制條件、被拒次數(shù)、最近被拒時間等信息; |
入侵防御 | 支持獨立的入侵防護規(guī)則特征庫,規(guī)則庫支持根據(jù)攻擊類型、風險等級、流行程度、操作系統(tǒng)等進行分類,特征總數(shù)在5000條以上;能對常見漏洞進行安全防護,兼容國家信息安全漏洞庫; |
入侵防護動作包括告警、阻斷、記錄攻擊報文,支持針對地址、應用設(shè)置入侵防御白名單,支持攻擊規(guī)則搜索以及自定義,可對自定義規(guī)則導入導出; |
廠商需具備強大的漏洞和攻防研究能力,為CNNVD一級支撐單位,能夠確保每周至少更新1次攻擊特征庫; |
病毒防御 | 支持對HTTP/SMTP/POP3/FTP/IM等協(xié)議進行病毒防御;支持至少2種專業(yè)反病毒廠商的病毒特征庫(提供至少2家專業(yè)防病毒廠商或研究機構(gòu)的合作文件復印件),病毒特征庫規(guī)模超過400萬 |
聯(lián)動阻斷 | 為提高服務器區(qū)針對SQL注入攻擊等行為防范能力,設(shè)備支持與用戶現(xiàn)有數(shù)據(jù)庫審計系統(tǒng)TA-DB聯(lián)動功能。從而可以實現(xiàn)由TA-DB系統(tǒng)進行監(jiān)聽,由聯(lián)動防火墻進行阻斷的安全策略; |
DDOS防御 | 支持針對IP、ICMP、TCP、UDP、DNS、HTTP、NTP等協(xié)議進行DDOS防護; |
支持基于UDP協(xié)議的檢測清洗,包括對源、目的限速,對UDP最大及最小報文限制;支持UDP關(guān)聯(lián)認證,對源地址進行合法性認證; |
支持DNS FLOOD防護,能對DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒、DNS格式等攻擊提供DNS REPLY源認證、源限速、目的限速、域名限速等綜合防護手段; |
支持NTP流量檢測清洗,能對NTP QUESY FLOOD、NTP REPLY FLOOD等攻擊進行檢測并提供基于NTP請求限速、NTP響應限速、源認證、會話認證的防御策略; |
郵件安全 | 內(nèi)置郵件安全防護功能,可進行匿名發(fā)件人、收發(fā)件人同名、非標客戶端、收/發(fā)件人頻率、收/發(fā)件IP頻率、郵件長度、附件名稱、附件數(shù)量檢測,支持黑、白名單檢測; |
IPSEC VPN | 支持IPSec VPN功能,支持AES、DES、3DES、MD5、SHA-1等VPN加密、認證算法,支持對隧道內(nèi)網(wǎng)絡(luò)流量進行監(jiān)控展示; |
SSL VPN | 支持SSL VPN功能,滿足遠程用戶安全接入內(nèi)網(wǎng),支持windows、Android、iOS等遠程客戶端接入; |
配置維護 | 支持多個配置文件并存,配置文件備份能力不少于4個;配置文件支持選擇部分配置和全部配置導入導出; |
升級維護 | 支持主、備雙系統(tǒng)以及多個系統(tǒng)版本文件并存,系統(tǒng)版本數(shù)量不少于5個; |
審計 | 支持獨立審計策略,可對URL地址、網(wǎng)頁標題、網(wǎng)頁內(nèi)容、郵件行為、郵件內(nèi)容、FTP上傳/下載行為及文件內(nèi)容進行審計; |
提供完善的審計數(shù)據(jù)查詢功能,可對用戶訪問網(wǎng)站、郵件收發(fā)、論壇微博、FTP、TELNET等上網(wǎng)行為以及用戶上網(wǎng)流量時長等內(nèi)容進行查詢; |
日志 | 支持日志本地存儲,可對不同類型日志設(shè)置存儲空間,支持日志外發(fā)至多個服務器,可設(shè)置日志傳輸協(xié)議、時間類型、日志語言、是否合并及加密傳輸?shù)葏?shù); |
設(shè)備狀態(tài) | 支持對設(shè)備CPU、內(nèi)存、磁盤、整機流量、新建、并發(fā)進行統(tǒng)計,展示設(shè)備CPU、內(nèi)存、硬盤實時利用率及其歷史走勢圖; |
流量統(tǒng)計 | 為方便用戶運維管理,設(shè)備支持根據(jù)服務器對通過設(shè)備的數(shù)據(jù)報文流量進行統(tǒng)計,包括各個服務器的服務器 IP、上行流量、下行流量、總流量以及新建會話數(shù); |
