苏州卫生职业技术学院关于苏州卫生职业技术学院IPv6网络安全设备-防火墙项目恢复采购及更正公告

内容
 
发送至邮箱

苏州卫生职业技术学院关于苏州卫生职业技术学院IPv6网络安全设备-防火墙项目恢复采购及更正公告

(略) (略) ( (略) 政府集中采购中心)受苏州卫生 (略) 的委托,就其苏州卫生 (略) (略) 络安全设备-防火墙项目组织国内竞争性谈判。该项目采购编号为*-T-005,于2022年9月23日发布采购公告,于2022年10月29日发布了暂停公告,现于本公告发布之日起恢复采购活动。

一、项目基本情况

原公告的采购项目编号:*-T-005

原公告的采购项目名称:苏州卫生 (略) (略) 络安全设备-防火墙

首次公告日期:2022年9月23日

现本项目报名截止时间、投标日期、地点;投标、开标时间和地点更正为:

报名截止时间:2022年9月28日

投标时间:2022年10月21日13:00-13:30(北京时间)

投标截止时间:2022年10月21日13:30(北京时间)

开标时间:2022年10月21日13:30(北京时间)

投标、开标地点: (略) 姑 (略) (略) 生活广场西楼五楼谈判磋商文件递交室

二、更正信息

1、更正事项:□采购公告 R采购文件 □采购结果

2、更正内容:原采购文件第四章

原来为:

(二)技术参数:

1.出口防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准2.5U机架式设备,支持2个通用扩展槽位,1个bypass扩展槽,本次配置2个10/100/1000自适应电口,8个SFP+万兆接口,2个QSFP+40G接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥80Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数标配6个,支持扩展到*个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种。

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT444模式,支持导出NAT444静态映射表

(略) IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。

支持 (略) 地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

★云安全运维

提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

支 (略) 径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务,要求原厂商提供免费的应急响应安全服务一次(当采购人 (略) 络安全事件时,派遣安全专家前往现场进行应急响应工作,2小时内到达现场,协助解决安全事件,查找攻击来源,定位攻击者所利用的漏洞,查杀服务器操作系统中发现的病毒或木马,分析样本。厂商需要加入微软安全响应中心(Microsoft Security ?Response Center)发起的MAPP(Microsoft ?Active Protection Program)计划。)。

2.WEB应用防火墙参数:

技术指标

指标要求

★硬件指标及性能要求

国产品牌,专业WEB应用防火墙设备, (略) 和专业安全操作系统,系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或U (略) 关产品

标准1U机架式硬件设备, 支持1个通用扩展槽位,本次配置2*USB接口,1*RJ45串口, 1个管理接口,2个SFP+HA接口,8个10/100/1000MBase-T电口(包含2组Bypass接口),16个SFP口,6个SFP+口;配置1TB硬盘存储空间。

(略) 络层吞吐量≥40G,最大并发数连接数≥300W; HTTP吞吐≥5G;HTTP新建连接≥*;最大并发连接数≥300W。

网络层攻击防护

支持按照国家地理位置设置安全过滤策略,内置国家地理地址库信息,支持限制国外地区的访问

支持各类拒绝服务攻击和Flood攻击,包括:Ping of Death、Teardrop、IP分片、Land、ICMP大包、WinNuke、ICMP ?Flood、UDP Flood、TCP-SYN Flood等

Web应用层攻击防护

系统具备注入攻击防御能力,可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、邮件注入、远程文件包含、本地文件包含以及其他注入进行防御

系统具备跨站攻击防御能力,可以对XSS和CSRF攻击进行防御

支持SSL透明代理,可以对H (略) 站进行保护

系统具备信息泄露防御能力,可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字(支持中文)等信息的泄露

具备个人敏感信息防泄漏功能,可以检测到个人身份信息、银行卡号、信用卡号、邮件账号的信息泄露,并内置大量的关键字,将请求或者响应中的关键字进行脱敏处理;支持细粒度的HTTP命令级访问控制策略,可以根据客户端Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Referer、Cookie等HTTP头部的策略控制。

系统具备保护Cookie安全能力,可以防止Cookie被恶意篡改、Cookie被恶意劫持

系统具备Web访问控制能力,可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御

系统具备特殊漏洞攻击防御能力,可以对针对Web服务器、Web框架、Web应用程序的漏洞攻击进行防御

系统具备防御资源非法访问能力,可以对非法上传、非法下载和盗链攻击进行防御,支持根据文件大小、MIME文件类型进行非法下载控制

系统具备恶意软件防御能力,可以对Web Shell、木马攻击等进行防御

系统具备防暴力破解攻击能力

部署在负载均衡设备或代理服务器之后时,可以解析源IP地址,对客户端的真实IP进行阻断

支持API的安全检测和防护功能,可基于OpenAPI规范文档,实现合规性检测

网页防篡改

(略) 页缓存和篡改监控,在检测到篡改发生时,可以将篡改前的缓存页面返回给用户;支持对篡改内容的取证

IPV6

支持IPv4、IPv6双栈部署,可同时添加IPv4和IPv6地址为保护站点; 支持对IPv6访问流量的检测和保护; (略) 站IPv6应用层改造; 支持IPv6改造首页标识; 支持IPv6改造自动外链改写

Web漏洞扫描及虚拟补*

产品支持Web应用漏扫,支持的扫描各种类型的Web漏洞包括:SQL注入漏洞、XSS攻击漏洞、Web服务漏洞、信息泄露漏洞、异常访问漏洞;扫描方式支持普通扫描和侵入式扫描;支持手动扫描和定期扫描,可以定期自动扫描

可以对URL扫描深度、链接总数、文件数进行限制;扫描报告可以进行导出,支持PDF、XML文件报告;可以根据扫描报告生成虚拟补*,用户无需中断业务即可针对Web漏洞提供快速保护。

自学习策略

支持对保护站点的流量进行智能学习,并根据学习结果生成针对性的防护策略;学习的内容包括:动态URL地址、URL参数、HTTP访问方法等信息。

支持学习模式和保护模式,学习完成后可以自动切换到保护模式;支持对特定URL进行学习

部署及高可用性

支持透明串接、镜像监听、反向代理(串接及单臂)、牵引等部署方式

支持站点自发现, (略) 络中 (略) 站,并一键添加为保护站点

支持图形化部署向导

支持硬件Bypass,支持软件Bypass,透明模式下,在CPU、并发连接数超过阈值时,可优先确保业务连通性

(略) 镜像流量分析(不影响业务),支持HTTP/HTTPS协议的IPv4/IPv6双栈版本

应用加速及服务器负载分担

支持页面缓存及压缩、连接服用、SSL卸载;支持服务器负载分担(反向代理模式下),支持加权轮询、最少连接以及IP ?Hash算法

日志、报表、告警

提供丰富的日志信息,包括设备管理日志、网络安全日志、网页安全日志、防篡改日志、访问控制日志、自学习策略日志等。

支持记录攻击事件的HTTP所有请求头信息,含请求的URL、UserAgent、POST内容,cookie等

支持大屏展示功能,通过大屏可以直观展示站点风险、站点请求数量、威胁事件类型、热点威胁事件等,并且可以自定义大屏显示名称。

支持通过电子邮件、SNMP、SYSLOG、短信等多种响应方式进行告警

支持报表,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况等多维度报表模板,支持用户自定义报表

支持攻击报文回放,协助管理员复现问题

(略)

支持多级日志聚合,对日志进行一级聚合后,还可进行二级聚合,方便对日志查看,发现异常情况,可联动手机APP实 (略) ,WAF检测到篡改行为后,通过APP通知管理员,并自 (略) 。

售后服务

提供五年硬件质保及软件升级服务

3.数据中心防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准2U机架式设备,支持4个扩展槽位,本次配置4个10/100/1000自适应电口(包含一对Bypass接口),4个SFP接口,6个万兆SFP+接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥10Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数标配6个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT444模式,支持导出NAT444静态映射表

(略) IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。

支持 (略) 地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断。

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测。

病毒过滤

为了提升病毒检测的效率,要求所投产品支持基于流模式的病毒过滤,可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出,要求本地病毒特征库规模≥*。

支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤。

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种。

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤。

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录。

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能。

★流量复制功能

提供IPV4 / IPV6流量汇聚复制功能。支持最大流量复制 ≥10Gbps;支持LCD,便于观察设备实时流量状况,支持硬件拨码开关控制,支持通过WEB界面进行策略配置;系统 (略) 段进行过滤,并将过滤后的流量进行复制。

该项也可以通过单独提供流量汇聚复制设备响应。

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

云安全运维

提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态。

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析。

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

支 (略) 径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块;支持业务交互关系可视化。支持以逻辑拓扑图的方式展示可视化效果,拓扑图中可展示出虚拟机之间的互访关系,帮助管理员规范安全域划分。

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务。

4.日志审计参数:

技术指标

指标要求

硬件规格及

性能

标准2U机架式设备,专用独立硬件设计,包含硬件、操作系统、数据库及日志审计软件等,硬盘≥16T;支持RAID5,接口≥4个千兆电口,双电源

日志接收性能(二进制)≥*EPS,文本日志≥*EPS,日志采集源授权不限

设备监控要求

支持设备的可用性状态,包括CPU、内存、硬盘(包括NFS存储);支持各类型日志磁盘存储占比统计;支持各类型日志接收趋势统计;支持各设备日志接收趋势统计;支持对发送日志的设备状态监控;支持硬盘健康状态及Raid状态监控;支持自定义监控面板和监控内容。

日志管理

支持通过以下种类进行日志浏览并可自定义查询条件,包括:事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、 (略) 由日志、NAT日志(含NAT444)、SLB日志、URL日志、IM(包含移动QQ、微信)上下线日志、论坛发帖日志、邮件日志、Ftp日志。

支持IPv6的会话日志、NAT日志、PBR日志、SLB日志。

支持第三方日志、Windows日志的收集和查询

支持多条件组合查询;支持URL字段的全文检索;支持后台任务查询和邮件通知;支持查询条件记忆;支持查询条件的保持;支持分布式查询。

日志支持通过FTP/SFTP导出备份功能,要求支持不少于10个FTP/SFTP配置,导出的日志类型可自定义。

支持日志导入;支持日志清理;支持日志转发。

需要收集本次采购的出口防火墙、数据中心防火墙、WEB应用防火墙,满足用户溯源要求,并且能够通过时间、用户名、用户转换前IP地址、用户转换后IP地址、用户MAC地址、用户访问的URL地址等信息实现快速查询定位,实现实名制审计。

统计报表

支持统计的报表内容包括:系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名。

(略) 系统支持定期输出报表功能,能支持按照天、周、月、季等周期,统计粒度可达到分钟、小时和天。统计报表支持多种格式输出,如PDF、HTML等格式的文件呈现给用户,并能够通过邮件将报表发送给指定人员

设备管理

支持CLI及WEB方式进行管理,WEB方式支持中英文操作界面

支持配置信任主机:为了保证设备的安全性, (略) 系统支持配置信任主机,即仅允许管理员在限定的地址范围登录并管理设备

支持自动磁盘清理;支持分布式部署;支持NFS功能

质保

提供五年硬件质保及软件升级服务

?

更正为:

(二)技术参数

1.出口防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准>2U机架式设备,支持≥2个通用扩展槽位,≥1个bypass扩展槽,本次配置≥2个10/100/1000自适应电口, ≥8个SFP+万兆接口,≥2个QSFP+40G接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥80Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数6个,支持扩展到*个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种。

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

★NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT地址池支持动态探测和可用地址分配,避免因NAT地址无法使用导致业务中断

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

★云安全运维

提供手机端应用,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务,要求原厂商提供免费的应急响应安全服务一次(当采购人 (略) 络安全事件时,派遣安全专家前往现场进行应急响应工作,2小时内到达现场,协助解决安全事件,查找攻击来源,定位攻击者所利用的漏洞,查杀服务器操作系统中发现的病毒或木马,分析样本。厂商需要加入微软安全响应中心(Microsoft Security ?Response Center)发起的MAPP(Microsoft ?Active Protection Program)计划。)。

2.WEB应用防火墙参数:

技术指标

指标要求

★硬件指标及性能要求

国产品牌,专业WEB应用防火墙设备, (略) 和专业安全操作系统,系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或U (略) 关产品

标准机架式硬件设备≥1U, 支持1个通用扩展槽位,本次配置2*USB接口,1*RJ45串口, 1个管理接口,2个SFP+HA接口,8个10/100/1000MBase-T电口(包含2组Bypass接口),16个SFP口,6个SFP+口;配置1TB硬盘存储空间。

(略) 络层吞吐量≥40G,最大并发数连接数≥300W; HTTP吞吐≥5G;HTTP新建连接≥*;最大并发连接数≥300W。

网络层攻击防护

支持按照国家地理位置设置安全过滤策略,内置国家地理地址库信息,支持限制国外地区的访问

支持各类拒绝服务攻击和Flood攻击,包括:Ping of Death、Teardrop、IP分片、Land、ICMP大包、WinNuke、ICMP ?Flood、UDP Flood、TCP-SYN Flood等

Web应用层攻击防护

系统具备注入攻击防御能力,可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、邮件注入、远程文件包含、本地文件包含以及其他注入进行防御

系统具备跨站攻击防御能力,可以对XSS和CSRF攻击进行防御

支持SSL透明代理,可以对H (略) 站进行保护

系统具备信息泄露防御能力,可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字(支持中文)等信息的泄露

具备个人敏感信息防泄漏功能,可以检测到个人身份信息、银行卡号、信用卡号、邮件账号的信息泄露,并内置大量的关键字,将请求或者响应中的关键字进行脱敏处理;支持细粒度的HTTP命令级访问控制策略,可以根据客户端Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Referer、Cookie等HTTP头部的策略控制。

系统具备保护Cookie安全能力,可以防止Cookie被恶意篡改、Cookie被恶意劫持

系统具备Web访问控制能力,可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御

系统具备特殊漏洞攻击防御能力,可以对针对Web服务器、Web框架、Web应用程序的漏洞攻击进行防御

系统具备防御资源非法访问能力,可以对非法上传、非法下载和盗链攻击进行防御,支持根据文件大小、MIME文件类型进行非法下载控制

系统具备恶意软件防御能力,可以对Web Shell、木马攻击等进行防御

系统具备防暴力破解攻击能力

部署在负载均衡设备或代理服务器之后时,可以解析源IP地址,对客户端的真实IP进行阻断

支持API的安全检测和防护功能,可基于OpenAPI规范文档,实现合规性检测

网页防篡改

(略) 页缓存和篡改监控,在检测到篡改发生时,可以将篡改前的缓存页面返回给用户;支持对篡改内容的取证

IPV6

支持IPv4、IPv6双栈部署,可同时添加IPv4和IPv6地址为保护站点; 支持对IPv6访问流量的检测和保护; (略) 站IPv6应用层改造; 支持IPv6改造首页标识; 支持IPv6改造自动外链改写

Web漏洞扫描及虚拟补*

产品支持Web应用漏扫,支持的扫描各种类型的Web漏洞包括:SQL注入漏洞、XSS攻击漏洞、Web服务漏洞、信息泄露漏洞、异常访问漏洞;扫描方式支持普通扫描和侵入式扫描;支持手动扫描和定期扫描,可以定期自动扫描

可以对URL扫描深度、链接总数、文件数进行限制;扫描报告可以进行导出,支持PDF、XML文件报告;可以根据扫描报告生成虚拟补*,用户无需中断业务即可针对Web漏洞提供快速保护。

自学习策略

支持对保护站点的流量进行智能学习,并根据学习结果生成针对性的防护策略;学习的内容包括:动态URL地址、URL参数、HTTP访问方法等信息。

支持学习模式和保护模式,学习完成后可以自动切换到保护模式;支持对特定URL进行学习

部署及高可用性

支持透明串接、镜像监听、反向代理(串接及单臂)、牵引等部署方式

支持站点自发现, (略) 络中 (略) 站,并一键添加为保护站点

支持图形化部署向导

支持硬件Bypass,支持软件Bypass,透明模式下,在CPU、并发连接数超过阈值时,可优先确保业务连通性

(略) 镜像流量分析(不影响业务),支持HTTP/HTTPS协议的IPv4/IPv6双栈版本

应用加速及服务器负载分担

支持页面缓存及压缩、连接服用、SSL卸载;支持服务器负载分担(反向代理模式下),支持加权轮询、最少连接以及IP ?Hash算法

日志、报表、告警

提供丰富的日志信息,包括设备管理日志、网络安全日志、网页安全日志、防篡改日志、访问控制日志、自学习策略日志等。

支持记录攻击事件的HTTP所有请求头信息,含请求的URL、UserAgent、POST内容,cookie等

支持大屏展示功能,通过大屏可以直观展示站点风险、站点请求数量、威胁事件类型、热点威胁事件等,并且可以自定义大屏显示名称。

支持通过电子邮件、SNMP、SYSLOG、短信等多种响应方式进行告警

支持报表,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况等多维度报表模板,支持用户自定义报表

支持攻击报文回放,协助管理员复现问题

(略)

支持多级日志聚合,对日志进行一级聚合后,还可进行二级聚合,方便对日志查看,发现异常情况,可在手机端应用实 (略) ,WAF检测到篡改行为后,通过手机端应用通知管理员,并自 (略) 。

售后服务

提供五年硬件质保及软件升级服务

3.数据中心防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准≥2U机架式设备,支持4个扩展槽位,本次配置4个10/100/1000自适应电口(包含一对Bypass接口),4个SFP接口,6个万兆SFP+接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥10Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数6个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT地址池支持动态探测和可用地址分配,避免因NAT地址无法使用导致业务中断。

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测。

病毒过滤

为了提升病毒检测的效率,要求所投产品支持基于流模式的病毒过滤,可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出,要求本地病毒特征库规模≥*。

支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤。

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种。

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤。

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录。

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能。

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

云安全运维

提供手机端应用,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态。

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析。

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务。

4.日志审计参数:

技术指标

指标要求

硬件规格及

性能

标准≥2U机架式设备,专用独立硬件设计,包含硬件、操作系统、数据库及日志审计软件等,硬盘≥16T;支持RAID5,接口≥4个千兆电口,双电源

日志接收性能(二进制)≥*EPS,文本日志≥*EPS,日志采集源授权不限

设备监控要求

支持设备的可用性状态,包括CPU、内存、硬盘(包括NFS存储);支持各类型日志磁盘存储占比统计;支持各类型日志接收趋势统计;支持各设备日志接收趋势统计;支持对发送日志的设备状态监控;支持硬盘健康状态及Raid状态监控;支持自定义监控面板和监控内容。

日志管理

支持通过以下种类进行日志浏览并可自定义查询条件,包括:事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、 (略) 由日志、NAT日志(含NAT444)、SLB日志、URL日志、IM(包含移动QQ、微信)上下线日志、论坛发帖日志、邮件日志、Ftp日志。

支持IPv6的会话日志、NAT日志、PBR日志、SLB日志。

支持第三方日志、Windows日志的收集和查询

支持多条件组合查询;支持URL字段的全文检索;支持后台任务查询和邮件通知;支持查询条件记忆;支持查询条件的保持;支持分布式查询。

日志支持通过FTP/SFTP导出备份功能,要求支持不少于10个FTP/SFTP配置,导出的日志类型可自定义。

支持日志导入;支持日志清理;支持日志转发。

需要收集本次采购的出口防火墙、数据中心防火墙、WEB应用防火墙,满足用户溯源要求,并且能够通过时间、用户名、用户转换前IP地址、用户转换后IP地址、用户MAC地址、用户访问的URL地址等信息实现快速查询定位,实现实名制审计。

统计报表

支持统计的报表内容包括:系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名。

(略) 系统支持定期输出报表功能,能支持按照天、周、月、季等周期,统计粒度可达到分钟、小时和天。统计报表支持多种格式输出,如PDF、HTML等格式的文件呈现给用户,并能够通过邮件将报表发送给指定人员

设备管理

支持CLI及WEB方式进行管理,WEB方式支持中英文操作界面

支持配置信任主机:为了保证设备的安全性, (略) 系统支持配置信任主机,即仅允许管理员在限定的地址范围登录并管理设备

支持自动磁盘清理;支持分布式部署;支持NFS功能

质保

提供五年硬件质保及软件升级服务

三、凡对本次公告内容提出询问,请按以下方式联系

1、采购人信息

名称:苏州卫生 (略)

地址: (略) 高 (略) 28号

联系人:王刚

联系电话:*

2.采购代理机构信息

名 称: (略) (略) ( (略) 政府集中采购中心)

地  址: (略) 姑 (略) (略) 生活广场西楼四楼

联系方式:0512-*、*

3.项目联系方式

项目联系人:严静娟、孙康

电  话:0512-*、*

(略) (略) ( (略) 政府集中采购中心)受苏州卫生 (略) 的委托,就其苏州卫生 (略) (略) 络安全设备-防火墙项目组织国内竞争性谈判。该项目采购编号为*-T-005,于2022年9月23日发布采购公告,于2022年10月29日发布了暂停公告,现于本公告发布之日起恢复采购活动。

一、项目基本情况

原公告的采购项目编号:*-T-005

原公告的采购项目名称:苏州卫生 (略) (略) 络安全设备-防火墙

首次公告日期:2022年9月23日

现本项目报名截止时间、投标日期、地点;投标、开标时间和地点更正为:

报名截止时间:2022年9月28日

投标时间:2022年10月21日13:00-13:30(北京时间)

投标截止时间:2022年10月21日13:30(北京时间)

开标时间:2022年10月21日13:30(北京时间)

投标、开标地点: (略) 姑 (略) (略) 生活广场西楼五楼谈判磋商文件递交室

二、更正信息

1、更正事项:□采购公告 R采购文件 □采购结果

2、更正内容:原采购文件第四章

原来为:

(二)技术参数:

1.出口防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准2.5U机架式设备,支持2个通用扩展槽位,1个bypass扩展槽,本次配置2个10/100/1000自适应电口,8个SFP+万兆接口,2个QSFP+40G接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥80Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数标配6个,支持扩展到*个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种。

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT444模式,支持导出NAT444静态映射表

(略) IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。

支持 (略) 地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

★云安全运维

提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

支 (略) 径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务,要求原厂商提供免费的应急响应安全服务一次(当采购人 (略) 络安全事件时,派遣安全专家前往现场进行应急响应工作,2小时内到达现场,协助解决安全事件,查找攻击来源,定位攻击者所利用的漏洞,查杀服务器操作系统中发现的病毒或木马,分析样本。厂商需要加入微软安全响应中心(Microsoft Security ?Response Center)发起的MAPP(Microsoft ?Active Protection Program)计划。)。

2.WEB应用防火墙参数:

技术指标

指标要求

★硬件指标及性能要求

国产品牌,专业WEB应用防火墙设备, (略) 和专业安全操作系统,系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或U (略) 关产品

标准1U机架式硬件设备, 支持1个通用扩展槽位,本次配置2*USB接口,1*RJ45串口, 1个管理接口,2个SFP+HA接口,8个10/100/1000MBase-T电口(包含2组Bypass接口),16个SFP口,6个SFP+口;配置1TB硬盘存储空间。

(略) 络层吞吐量≥40G,最大并发数连接数≥300W; HTTP吞吐≥5G;HTTP新建连接≥*;最大并发连接数≥300W。

网络层攻击防护

支持按照国家地理位置设置安全过滤策略,内置国家地理地址库信息,支持限制国外地区的访问

支持各类拒绝服务攻击和Flood攻击,包括:Ping of Death、Teardrop、IP分片、Land、ICMP大包、WinNuke、ICMP ?Flood、UDP Flood、TCP-SYN Flood等

Web应用层攻击防护

系统具备注入攻击防御能力,可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、邮件注入、远程文件包含、本地文件包含以及其他注入进行防御

系统具备跨站攻击防御能力,可以对XSS和CSRF攻击进行防御

支持SSL透明代理,可以对H (略) 站进行保护

系统具备信息泄露防御能力,可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字(支持中文)等信息的泄露

具备个人敏感信息防泄漏功能,可以检测到个人身份信息、银行卡号、信用卡号、邮件账号的信息泄露,并内置大量的关键字,将请求或者响应中的关键字进行脱敏处理;支持细粒度的HTTP命令级访问控制策略,可以根据客户端Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Referer、Cookie等HTTP头部的策略控制。

系统具备保护Cookie安全能力,可以防止Cookie被恶意篡改、Cookie被恶意劫持

系统具备Web访问控制能力,可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御

系统具备特殊漏洞攻击防御能力,可以对针对Web服务器、Web框架、Web应用程序的漏洞攻击进行防御

系统具备防御资源非法访问能力,可以对非法上传、非法下载和盗链攻击进行防御,支持根据文件大小、MIME文件类型进行非法下载控制

系统具备恶意软件防御能力,可以对Web Shell、木马攻击等进行防御

系统具备防暴力破解攻击能力

部署在负载均衡设备或代理服务器之后时,可以解析源IP地址,对客户端的真实IP进行阻断

支持API的安全检测和防护功能,可基于OpenAPI规范文档,实现合规性检测

网页防篡改

(略) 页缓存和篡改监控,在检测到篡改发生时,可以将篡改前的缓存页面返回给用户;支持对篡改内容的取证

IPV6

支持IPv4、IPv6双栈部署,可同时添加IPv4和IPv6地址为保护站点; 支持对IPv6访问流量的检测和保护; (略) 站IPv6应用层改造; 支持IPv6改造首页标识; 支持IPv6改造自动外链改写

Web漏洞扫描及虚拟补*

产品支持Web应用漏扫,支持的扫描各种类型的Web漏洞包括:SQL注入漏洞、XSS攻击漏洞、Web服务漏洞、信息泄露漏洞、异常访问漏洞;扫描方式支持普通扫描和侵入式扫描;支持手动扫描和定期扫描,可以定期自动扫描

可以对URL扫描深度、链接总数、文件数进行限制;扫描报告可以进行导出,支持PDF、XML文件报告;可以根据扫描报告生成虚拟补*,用户无需中断业务即可针对Web漏洞提供快速保护。

自学习策略

支持对保护站点的流量进行智能学习,并根据学习结果生成针对性的防护策略;学习的内容包括:动态URL地址、URL参数、HTTP访问方法等信息。

支持学习模式和保护模式,学习完成后可以自动切换到保护模式;支持对特定URL进行学习

部署及高可用性

支持透明串接、镜像监听、反向代理(串接及单臂)、牵引等部署方式

支持站点自发现, (略) 络中 (略) 站,并一键添加为保护站点

支持图形化部署向导

支持硬件Bypass,支持软件Bypass,透明模式下,在CPU、并发连接数超过阈值时,可优先确保业务连通性

(略) 镜像流量分析(不影响业务),支持HTTP/HTTPS协议的IPv4/IPv6双栈版本

应用加速及服务器负载分担

支持页面缓存及压缩、连接服用、SSL卸载;支持服务器负载分担(反向代理模式下),支持加权轮询、最少连接以及IP ?Hash算法

日志、报表、告警

提供丰富的日志信息,包括设备管理日志、网络安全日志、网页安全日志、防篡改日志、访问控制日志、自学习策略日志等。

支持记录攻击事件的HTTP所有请求头信息,含请求的URL、UserAgent、POST内容,cookie等

支持大屏展示功能,通过大屏可以直观展示站点风险、站点请求数量、威胁事件类型、热点威胁事件等,并且可以自定义大屏显示名称。

支持通过电子邮件、SNMP、SYSLOG、短信等多种响应方式进行告警

支持报表,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况等多维度报表模板,支持用户自定义报表

支持攻击报文回放,协助管理员复现问题

(略)

支持多级日志聚合,对日志进行一级聚合后,还可进行二级聚合,方便对日志查看,发现异常情况,可联动手机APP实 (略) ,WAF检测到篡改行为后,通过APP通知管理员,并自 (略) 。

售后服务

提供五年硬件质保及软件升级服务

3.数据中心防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准2U机架式设备,支持4个扩展槽位,本次配置4个10/100/1000自适应电口(包含一对Bypass接口),4个SFP接口,6个万兆SFP+接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥10Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数标配6个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT444模式,支持导出NAT444静态映射表

(略) IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。

支持 (略) 地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断。

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测。

病毒过滤

为了提升病毒检测的效率,要求所投产品支持基于流模式的病毒过滤,可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出,要求本地病毒特征库规模≥*。

支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤。

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种。

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤。

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录。

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能。

★流量复制功能

提供IPV4 / IPV6流量汇聚复制功能。支持最大流量复制 ≥10Gbps;支持LCD,便于观察设备实时流量状况,支持硬件拨码开关控制,支持通过WEB界面进行策略配置;系统 (略) 段进行过滤,并将过滤后的流量进行复制。

该项也可以通过单独提供流量汇聚复制设备响应。

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

云安全运维

提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态。

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析。

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

支 (略) 径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块;支持业务交互关系可视化。支持以逻辑拓扑图的方式展示可视化效果,拓扑图中可展示出虚拟机之间的互访关系,帮助管理员规范安全域划分。

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务。

4.日志审计参数:

技术指标

指标要求

硬件规格及

性能

标准2U机架式设备,专用独立硬件设计,包含硬件、操作系统、数据库及日志审计软件等,硬盘≥16T;支持RAID5,接口≥4个千兆电口,双电源

日志接收性能(二进制)≥*EPS,文本日志≥*EPS,日志采集源授权不限

设备监控要求

支持设备的可用性状态,包括CPU、内存、硬盘(包括NFS存储);支持各类型日志磁盘存储占比统计;支持各类型日志接收趋势统计;支持各设备日志接收趋势统计;支持对发送日志的设备状态监控;支持硬盘健康状态及Raid状态监控;支持自定义监控面板和监控内容。

日志管理

支持通过以下种类进行日志浏览并可自定义查询条件,包括:事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、 (略) 由日志、NAT日志(含NAT444)、SLB日志、URL日志、IM(包含移动QQ、微信)上下线日志、论坛发帖日志、邮件日志、Ftp日志。

支持IPv6的会话日志、NAT日志、PBR日志、SLB日志。

支持第三方日志、Windows日志的收集和查询

支持多条件组合查询;支持URL字段的全文检索;支持后台任务查询和邮件通知;支持查询条件记忆;支持查询条件的保持;支持分布式查询。

日志支持通过FTP/SFTP导出备份功能,要求支持不少于10个FTP/SFTP配置,导出的日志类型可自定义。

支持日志导入;支持日志清理;支持日志转发。

需要收集本次采购的出口防火墙、数据中心防火墙、WEB应用防火墙,满足用户溯源要求,并且能够通过时间、用户名、用户转换前IP地址、用户转换后IP地址、用户MAC地址、用户访问的URL地址等信息实现快速查询定位,实现实名制审计。

统计报表

支持统计的报表内容包括:系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名。

(略) 系统支持定期输出报表功能,能支持按照天、周、月、季等周期,统计粒度可达到分钟、小时和天。统计报表支持多种格式输出,如PDF、HTML等格式的文件呈现给用户,并能够通过邮件将报表发送给指定人员

设备管理

支持CLI及WEB方式进行管理,WEB方式支持中英文操作界面

支持配置信任主机:为了保证设备的安全性, (略) 系统支持配置信任主机,即仅允许管理员在限定的地址范围登录并管理设备

支持自动磁盘清理;支持分布式部署;支持NFS功能

质保

提供五年硬件质保及软件升级服务

?

更正为:

(二)技术参数

1.出口防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准>2U机架式设备,支持≥2个通用扩展槽位,≥1个bypass扩展槽,本次配置≥2个10/100/1000自适应电口, ≥8个SFP+万兆接口,≥2个QSFP+40G接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥80Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数6个,支持扩展到*个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种。

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

★NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT地址池支持动态探测和可用地址分配,避免因NAT地址无法使用导致业务中断

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

★云安全运维

提供手机端应用,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务,要求原厂商提供免费的应急响应安全服务一次(当采购人 (略) 络安全事件时,派遣安全专家前往现场进行应急响应工作,2小时内到达现场,协助解决安全事件,查找攻击来源,定位攻击者所利用的漏洞,查杀服务器操作系统中发现的病毒或木马,分析样本。厂商需要加入微软安全响应中心(Microsoft Security ?Response Center)发起的MAPP(Microsoft ?Active Protection Program)计划。)。

2.WEB应用防火墙参数:

技术指标

指标要求

★硬件指标及性能要求

国产品牌,专业WEB应用防火墙设备, (略) 和专业安全操作系统,系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或U (略) 关产品

标准机架式硬件设备≥1U, 支持1个通用扩展槽位,本次配置2*USB接口,1*RJ45串口, 1个管理接口,2个SFP+HA接口,8个10/100/1000MBase-T电口(包含2组Bypass接口),16个SFP口,6个SFP+口;配置1TB硬盘存储空间。

(略) 络层吞吐量≥40G,最大并发数连接数≥300W; HTTP吞吐≥5G;HTTP新建连接≥*;最大并发连接数≥300W。

网络层攻击防护

支持按照国家地理位置设置安全过滤策略,内置国家地理地址库信息,支持限制国外地区的访问

支持各类拒绝服务攻击和Flood攻击,包括:Ping of Death、Teardrop、IP分片、Land、ICMP大包、WinNuke、ICMP ?Flood、UDP Flood、TCP-SYN Flood等

Web应用层攻击防护

系统具备注入攻击防御能力,可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、邮件注入、远程文件包含、本地文件包含以及其他注入进行防御

系统具备跨站攻击防御能力,可以对XSS和CSRF攻击进行防御

支持SSL透明代理,可以对H (略) 站进行保护

系统具备信息泄露防御能力,可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字(支持中文)等信息的泄露

具备个人敏感信息防泄漏功能,可以检测到个人身份信息、银行卡号、信用卡号、邮件账号的信息泄露,并内置大量的关键字,将请求或者响应中的关键字进行脱敏处理;支持细粒度的HTTP命令级访问控制策略,可以根据客户端Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Referer、Cookie等HTTP头部的策略控制。

系统具备保护Cookie安全能力,可以防止Cookie被恶意篡改、Cookie被恶意劫持

系统具备Web访问控制能力,可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御

系统具备特殊漏洞攻击防御能力,可以对针对Web服务器、Web框架、Web应用程序的漏洞攻击进行防御

系统具备防御资源非法访问能力,可以对非法上传、非法下载和盗链攻击进行防御,支持根据文件大小、MIME文件类型进行非法下载控制

系统具备恶意软件防御能力,可以对Web Shell、木马攻击等进行防御

系统具备防暴力破解攻击能力

部署在负载均衡设备或代理服务器之后时,可以解析源IP地址,对客户端的真实IP进行阻断

支持API的安全检测和防护功能,可基于OpenAPI规范文档,实现合规性检测

网页防篡改

(略) 页缓存和篡改监控,在检测到篡改发生时,可以将篡改前的缓存页面返回给用户;支持对篡改内容的取证

IPV6

支持IPv4、IPv6双栈部署,可同时添加IPv4和IPv6地址为保护站点; 支持对IPv6访问流量的检测和保护; (略) 站IPv6应用层改造; 支持IPv6改造首页标识; 支持IPv6改造自动外链改写

Web漏洞扫描及虚拟补*

产品支持Web应用漏扫,支持的扫描各种类型的Web漏洞包括:SQL注入漏洞、XSS攻击漏洞、Web服务漏洞、信息泄露漏洞、异常访问漏洞;扫描方式支持普通扫描和侵入式扫描;支持手动扫描和定期扫描,可以定期自动扫描

可以对URL扫描深度、链接总数、文件数进行限制;扫描报告可以进行导出,支持PDF、XML文件报告;可以根据扫描报告生成虚拟补*,用户无需中断业务即可针对Web漏洞提供快速保护。

自学习策略

支持对保护站点的流量进行智能学习,并根据学习结果生成针对性的防护策略;学习的内容包括:动态URL地址、URL参数、HTTP访问方法等信息。

支持学习模式和保护模式,学习完成后可以自动切换到保护模式;支持对特定URL进行学习

部署及高可用性

支持透明串接、镜像监听、反向代理(串接及单臂)、牵引等部署方式

支持站点自发现, (略) 络中 (略) 站,并一键添加为保护站点

支持图形化部署向导

支持硬件Bypass,支持软件Bypass,透明模式下,在CPU、并发连接数超过阈值时,可优先确保业务连通性

(略) 镜像流量分析(不影响业务),支持HTTP/HTTPS协议的IPv4/IPv6双栈版本

应用加速及服务器负载分担

支持页面缓存及压缩、连接服用、SSL卸载;支持服务器负载分担(反向代理模式下),支持加权轮询、最少连接以及IP ?Hash算法

日志、报表、告警

提供丰富的日志信息,包括设备管理日志、网络安全日志、网页安全日志、防篡改日志、访问控制日志、自学习策略日志等。

支持记录攻击事件的HTTP所有请求头信息,含请求的URL、UserAgent、POST内容,cookie等

支持大屏展示功能,通过大屏可以直观展示站点风险、站点请求数量、威胁事件类型、热点威胁事件等,并且可以自定义大屏显示名称。

支持通过电子邮件、SNMP、SYSLOG、短信等多种响应方式进行告警

支持报表,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况等多维度报表模板,支持用户自定义报表

支持攻击报文回放,协助管理员复现问题

(略)

支持多级日志聚合,对日志进行一级聚合后,还可进行二级聚合,方便对日志查看,发现异常情况,可在手机端应用实 (略) ,WAF检测到篡改行为后,通过手机端应用通知管理员,并自 (略) 。

售后服务

提供五年硬件质保及软件升级服务

3.数据中心防火墙参数:

技术指标

指标要求

★硬件规格

(略) 采用先 (略) 络专用架构。 (略) 采用多核处理器,使用64位MIPS多核处理器,标配双冗余热插拔电源;标准≥2U机架式设备,支持4个扩展槽位,本次配置4个10/100/1000自适应电口(包含一对Bypass接口),4个SFP接口,6个万兆SFP+接口;每个接口可划分到不同安全域实现各接口间的安全隔离; (略) 络吞吐量≥10Gbps,并发连接数≥*,新建并发连接≥*/s,SSL VPN用户数6个。

网络适应性

支持透明、路由、混合、直连(虚拟线)模式

支持基于应用特征、行为和关联信息进行应用识别,要求识别的应用4600+种

要求支持多系统引导,并可在WEB界面上直接配置启动顺序

(略) 由、 (略) 由,OSPF、BGP、RIP、ISIS、 (略) 由, (略) 由支持基于应 (略) 由功能,根据应用 (略) 由选择

支持BFD 功能,支持BF (略) 由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。

支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接

支持出站负载均衡、服务器负载均衡功能,支持基于多出口的DNS代理、入站SmartDNS功能,能自动判断访问者的IP地址并解析出对应的IP地址, (略) 站访问速度

支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略

支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种 (略) 关,支持WebAuth认证页面定制

NAT功能

支持多对一、多对多的NAT地址转换, (略) 地址池可选择逐一使用和同时使用两种模式

支持NAT地址池支持动态探测和可用地址分配,避免因NAT地址无法使用导致业务中断。

攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测。

病毒过滤

为了提升病毒检测的效率,要求所投产品支持基于流模式的病毒过滤,可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出,要求本地病毒特征库规模≥*。

支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码

数据安全

支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤。

支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种。

(略) 页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤。

支持新浪微博、微信UID和QQ虚拟身份的识别 (略) 行为的审计记录。

IPV6功能

支持IPV6邻居发现协议、IPV6 SNMP管理、 (略) 由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置

支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能。

VPN功能

支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。

提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补*、浏览器版本、杀毒软件等方面

SSL解密

支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能

支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。

云安全运维

提供手机端应用,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态。

提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析。

管理功能

支持不少于8个配置文件并存,并支持配置文件备注以便配置回退

提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。

支持预定义和自定义报表模板,可自定义报表内容,报表 (略) 络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。

支持netflow进行流量信息采集和外发。

(略) 状态监控,可 (略) 的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选 (略) 进行对比分析

WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包

售后服务

提供五年硬件质保及软件升级服务。

4.日志审计参数:

技术指标

指标要求

硬件规格及

性能

标准≥2U机架式设备,专用独立硬件设计,包含硬件、操作系统、数据库及日志审计软件等,硬盘≥16T;支持RAID5,接口≥4个千兆电口,双电源

日志接收性能(二进制)≥*EPS,文本日志≥*EPS,日志采集源授权不限

设备监控要求

支持设备的可用性状态,包括CPU、内存、硬盘(包括NFS存储);支持各类型日志磁盘存储占比统计;支持各类型日志接收趋势统计;支持各设备日志接收趋势统计;支持对发送日志的设备状态监控;支持硬盘健康状态及Raid状态监控;支持自定义监控面板和监控内容。

日志管理

支持通过以下种类进行日志浏览并可自定义查询条件,包括:事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、 (略) 由日志、NAT日志(含NAT444)、SLB日志、URL日志、IM(包含移动QQ、微信)上下线日志、论坛发帖日志、邮件日志、Ftp日志。

支持IPv6的会话日志、NAT日志、PBR日志、SLB日志。

支持第三方日志、Windows日志的收集和查询

支持多条件组合查询;支持URL字段的全文检索;支持后台任务查询和邮件通知;支持查询条件记忆;支持查询条件的保持;支持分布式查询。

日志支持通过FTP/SFTP导出备份功能,要求支持不少于10个FTP/SFTP配置,导出的日志类型可自定义。

支持日志导入;支持日志清理;支持日志转发。

需要收集本次采购的出口防火墙、数据中心防火墙、WEB应用防火墙,满足用户溯源要求,并且能够通过时间、用户名、用户转换前IP地址、用户转换后IP地址、用户MAC地址、用户访问的URL地址等信息实现快速查询定位,实现实名制审计。

统计报表

支持统计的报表内容包括:系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名。

(略) 系统支持定期输出报表功能,能支持按照天、周、月、季等周期,统计粒度可达到分钟、小时和天。统计报表支持多种格式输出,如PDF、HTML等格式的文件呈现给用户,并能够通过邮件将报表发送给指定人员

设备管理

支持CLI及WEB方式进行管理,WEB方式支持中英文操作界面

支持配置信任主机:为了保证设备的安全性, (略) 系统支持配置信任主机,即仅允许管理员在限定的地址范围登录并管理设备

支持自动磁盘清理;支持分布式部署;支持NFS功能

质保

提供五年硬件质保及软件升级服务

三、凡对本次公告内容提出询问,请按以下方式联系

1、采购人信息

名称:苏州卫生 (略)

地址: (略) 高 (略) 28号

联系人:王刚

联系电话:*

2.采购代理机构信息

名 称: (略) (略) ( (略) 政府集中采购中心)

地  址: (略) 姑 (略) (略) 生活广场西楼四楼

联系方式:0512-*、*

3.项目联系方式

项目联系人:严静娟、孙康

电  话:0512-*、*

    
查看详情》
相关推荐
 

招投标大数据

查看详情

收藏

首页

最近搜索

热门搜索