防火墙技术参数和服务要求
供应商资格条件:
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的人员和专业技术能力;
4、有依法缴纳税收和社会保障资金的良好记录;
5、在本市有固定的经营场所,有良好的服务信誉参加采购活动前三年内,在经营活动中没有重大违法记录;
6、投标人须为投标设备生产厂商或代理商;如为代理商投标,须提供生产厂家针对本项目的专项授权书;
7、提供包含本产品的彩页一份。标书中需要有产品技术参数对比表及满足程度
8、5年免费质保。
一、性能及配置要求
| 项目 |
技术要求 |
| NGAF-E391 |
|
| 整机吞吐量 |
≥16Gb |
| 应用层吞吐量 |
≥4Gb |
| 并发连接数 |
≥250万 |
| 每秒新建连接数 |
≥25万 |
| 设备接口 |
标准2U机架设备,标配6个千兆电口,4个千兆光口,2个万兆光口,并含2个高速USB2.0接口,1个RJ45串口 |
| 硬盘 |
≥500GB |
| BYPASS |
支持3对 |
| 电源 |
冗余电源 |
| 尺寸 |
标准2U架构 |
二、技术参数
| 技术指标 |
指标要求 |
| 部署方式 |
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式; |
| 网络特性 |
支持链路聚合功能; 支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路; 支持802.1Q VLAN Trunk、access接口,VLAN三层接口,子接口; |
| 路由支持 |
支持静态路由,ECMP等价路由; 支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议; 支持多播路由协议; 支持路由异常告警功能; ★支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;(需提供相关功能截图证明) |
| 基础功能 |
访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况; 访问控制规则支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试; 访问控制规则支持分组管理; ★支持根据国家/地区来进行地域访问控制;(需提供相关功能截图证明) 能够识别管控的应用类型超过1200种,应用识别规则总数超过3000条; 支持IPv4/v6 NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源IP或者目的IP进行连接数控制; 支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制; 支持IPSec VPN,SSL VPN,GRE,GRE over OSPF,GRE over IPSec等VPN接入方式; VPN支持在防火墙上配置安全策略对加密隧道内的流量进行清洗; |
| 内容安全 |
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤; ★支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,支持根据邮件附件类型进行文件过滤;(需提供相关功能截图证明) 支持针对HTTP,FTP协议进行病毒文件检测; 病毒样本数量超过1000万; 检测到病毒后的操作支持阻断,记录杀毒日志; |
| DDoS攻击防护 |
支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测; 支持内网访问控制,配置内网区域只允许指定的IP地址或IP范围对外进行访问,防止内部伪造源IP对外DoS攻击的情况 支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为; 支持CC攻击防护; |
| 入侵防护功能 |
入侵防护漏洞规则特征库数量在4000条以上; 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能; 具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能; 支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源IP进行联动封锁,支持自定义封锁时间; ★可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;(需提供相关功能截图证明) |
| 僵尸主机检测 |
支持调用Google SafeBrowsing API接口过滤恶意URL链接; 支持内置恶意URL链接库,恶意链接库能够做到每日实时更新; ★对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;(需提供具备相关云端查杀能力的证明) |
| 威胁地理位置感知 |
★支持将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示,实时监测和展示最新的攻击威胁信息;(需提供相关功能截图证明) |
| 安全可视化 |
★支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP 10排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;(提供威胁报告并加盖厂商公章) 支持在首页多维度的展示发现的安全威胁,如攻击风险,漏洞风险,终端安全威胁和数据风险等,并支持将所有发现的安全问题进行归类汇总,并针对给出相应的解决方法指引; ★提供安全报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;(提供安全报表并加盖厂商公章) 支持报表以HTML、Excel、PDF等格式导出; |
| 安全集中管理 |
支持安全设备的集中管理,包括配置统一下发,规则库统一更新,安全日志,流量日志实时上报等功能; 支持接入统一的安全监测平台,通过安全监测平台可以实时看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计; 安全监控平台可以查看到每台安全设备最近的有效安全事件及安全有效事件趋势图,支持根据每台安全设备的最近的安全趋势进行安全状况分级; |
| 高可用性 |
双机支持A/S,A/A方式部署; 支持配置同步,会话同步和用户状态同步; 支持双机心跳线冗余; |
| 系统配置管理 |
支持以安全策略模板方式快速部署安全策略,安全策略模板支持默认模板和自定义模板等多种格式; 支持安全策略一体化配置,通过一条策略既可实现不同安全功能的配置;(需提供相关功能截图证明) 支持场景化的配置向导功能,可以选择不同的部署方式以及使用场景实现产品的快速实施;(需提供相关功能截图证明) 支持管理员权限分级,支持安全管理员、审计员、系统管理员三种权限; |
| 厂商资质 |
售后服务体系通过ISO9001认证 厂商具备CMMI L5认证证书 网络安全应急服务支撑单位证书(国家级); 国家信息安全漏洞共享平台(CNVD)技术组成员; |
| 产品资质 |
产品应具备计算机信息系统安全专用产品销售许可证; 产品应具备ISCCC中国国家信息安全产品认证证书; 信息技术产品安全测评证书(EAL3+); |