序号

产品

参数

数量（套）

1

统一威胁防护系统

▲1、机架式架构；配置为10个10/ 点击查看>> MBase-T端口。 默认含：专业版快速扫描查杀病毒功能，3年病毒库升级服务许可 IPSECVPN功能，含5个IPSECVPN客户端许可；IDP入侵防御功能，含IDP攻击规则特征库3年升级许可；性能：防火墙吞吐率：1.5Gbps，最大并发连接数：130W；

2、要求支持基于COS、DSCP方式的数据标识；

3、要求基于多 (略) 安全操作系统，并且采用双安全操作系统设计；

★4、产品要求支持链路聚合功能，每个聚合端口可以接入无限制的物理接口数量，要求链路聚合提供聚合负载算法不少于8种；

5、要求至少支持4路ADSL拨号接入，多ADSL链路能够基于ECMP、 (略) 路由均衡，能够针对每条ADSL链路单独设置保证带宽；

6、需具备针对单条访问策略的最大并发连接数限制、策略命中数统计与策略重复检查功能；

7、要求具有 (略) 、防ARP欺骗及防路由欺骗功能；

8、要求系统管理员能够通过“用户名＋口令＋图形认证码” (略) 登录管理；

9、支持管理员口令强度分级设置，要求分为高、中、低三级，并且口令长度限制可配置；

10、规则库至少包括11大类攻击类型，规则数量大于3800条，并支持自定义攻击检测规则；

11、要 (略) 置方式为安全优先模式，在丢弃报文的过程中可以发送TCP RESET命令；对要求数据检测引擎有一下两种模式：深度检测模式、智能检测模式； (略) 络环境或者应用环境平滑接入。

12、内嵌流（快速）扫描、文件（深度）扫描双引擎杀毒技术，并能够根据不同的被检测协议选择不同杀毒引擎；

13、采用流（快速）扫描病毒库大于230万种，文件（深度）扫描病毒库大于260万种；

14、采用基于访问控制策略的一体化带宽管理模式，能够针对用户、用户组、IP、MAC、时间、 (略) 带宽管理，并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型；

15、内置URL分类库，分类库包括80大类500万以上的一级域名数量， (略) (略) (略) 为设置；

★16、要求能够通过设置阈 (略) 为，设备支持不正常流量检测，且在报警信息通过报警灯的方式在管理界面显示，主要方式为连接数。主要检测方式为：基于应用层协议检测、基于接口检测；

1

2

数据库审计

▲1、硬件与接口要求，机架式架构，配置6个千兆电接口,4个SFP插槽；1T存储空间；双电源；性能，吞吐率≥1.5G；

2、提供审计数据管理功能，可根据时间或磁盘空间状况实现对审计数据的自动备份、删除、历史数据导入；

3、无需 (略) ，一 (略) 有工作；

4、支持虚拟服务器环境下的单点、多点、 (略) 署；

★5、系统提供双操作系统，保持某一 (略) ，另一系统保持备份状态；

6、支持审计ORACLE、SQL Server、MY SQL、DB2、Sybase、Informix、Gbase、Teradata等各类主流数据库系统；

7、支持HTTP、FTP、Telnet、Rlogin等运维协议；

8、 (略) 络审计在同 (略) ；

9、支持对针对数据库的 (略) (略) 审计，并实时报警；

10、支持对针对数据库的SQ (略) (略) 审计，并实时报警；

11、 (略) 络中的 (略) 入侵检测，并实时报警；

12、要求对数据 (略) 风险探知，对未知威胁与 (略) 告警设置，要求支持对数据库密码 (略) 告警设置；

13、保证90%以上的数据库名和数据库用户的完整记录；

14、支持实名审计，支持802.1x,PPPoE,AD等环境下终端IP地址和用户实名信息或主机信息绑定显示；

15、支持IP归属地审计，并提供地图展示功能；

16、支持SQL操作响应时间的审计,支持Update、Insert、Delet (略) 数的审计, 支持数据库操作成功、失败的审计；

17、基于流的流量分析，支持对Netflow v5/v9版本的流量分析；

18、Syslog告警、SNMP trap告警、邮件告警；

★19、系统支持识别邮件密送图片格式嵌入敏感文 (略) 分内容方式泄 (略) 为方式；

20、提供管理员权限设置和分权管理，提供三权分立功能；

21、用户可自定义角色，并为角色定义细粒度权限，权限可控制到菜单级；

22、支持静态密码认证、证书认证、key认证等双因子认证；

1

3

运维审计

▲1、说明：机架式架构；4个10/ 点击查看>> BASE自适应电口单电源 500G存储空间；50个主机/设备许可

2、帐号的整个生命周期管理， (略) 增加、修改、删除及锁定、解锁等操作；

3、能够对各种资源 (略) 推、拉、同步；

4、账号可以添加时间策略、地址策略、 (略) 细粒度的权限控制；

5、支持证书认证、堡垒机运维审计系统本身可以提供证书认证、并可以和现有的其他证书认证结合：如生物特征认证，OTP认证、AD域、MAC地址、智能卡等；

6、可以将资源和资源的从帐号授权给主帐号；授权给主帐号的资源可以新增和删除；

7、授权时可以按照树形组显示资源，方便资源的选择；

8、审计结果支持按照如 (略) 查询：主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字；

9、支持对象变更操作报表功能，变更操作包括但不限于自然人变更、资源变更、从账号变更、角色变更、授权关系变更等；

10、报表可按照时间段、操作等条件生成与排序，且可以Word、Pdf等格式导出；

11、主帐号WEB方式登录堡垒机运维审计系统后， (略) 有已经授权给自己的资源，包括字符型和图形的授权资源；

12、SSO单点登 * ，采用一次性会话号机制，提 (略) 全性；

13、单点登录后，支持目标资源的地址提示，方便同时开启多个目标资源的连接窗口时区分出不同的连接对象；

14、支持对SSH、TELNET、RDP等协议的实时会话监视和阻断功能；

特色功能

★15、 (略) (略) 无限制扩展，方便维护人员资源分类，易于资源定位检索；

★16、运维审计系统包含VPN功能模块，可 (略) 环境安全接 (略) ；

17、文件夹共享支持Windows操作， (略) 文件夹共享后的资源管控，支持对主账号授权；

18、支持磁盘映射，便于终端与服务器之间的文件交互；

19、双人共管模式，实现重要服务器两个人确定，方可访问资源，同时，第二方人员可以实时监控和阻断操作；

1

4

入侵检测

▲1、说明：机架式架构；配置为10个10/ 点击查看>> Base-T端口，其中2个10/ 点击查看>> Base-T端口支持bypass，不可扩展 默认含：3年IDS规则特征库升级许可 WebFilter功能；性能：整机吞吐率：2.5Gbps，最大并发连接数：80W；平台，要求采用多核硬件平台，内置SSD固态硬盘存储日志。

2、支持日志本地数据库存储，设备断电日志不丢失。支持生成日报、周报、月报；

★3、要求设 (略) (略) 监控，根据 (略) 不同种类报警，并且可以手动调节温度阈值；

4、支持旁路监听、 (略) 署等多种接入模式。

5、产品要求支持链路聚合功能，每个聚合端口可以接入无限制的物理接口数量，要求链路聚合提供聚合负载算法不少于10种；

6、支持VLAN、MPLS、 (略) 络；

★7、能够 (略) 络环境中检测攻击事件，支持IPv6 over IPv4、IPv6；

8、要求攻击规则库、应用识别规则库、病毒库等单独分开，可支持手动、自动、以及离线升级；

9、要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件；

10、支持丢弃报文、记录日志、禁止连接、TCP reset等多种响应动作；

11、支持自定义攻击检测规则；

12、支持黑名单，将攻击源加入黑名单，一段时间内禁止访问；

13、支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据

14、支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击；

15支持DHCP flood、DNS Flood、CC攻击防御；

16支持主机并发连接数和半连接数的限制

17、支持DDOS 机器人自学习功能，学习时间可设置；

18、防病毒，同时支 (略) 络型病毒查杀，支持100万条病毒规则；支持带毒邮件警告提示（警告动作），支持带毒邮件破坏染毒附件（阻断动作）；

19、 (略) 点漏洞扫描功能，内置爬虫、支持关键字自学习和HTML分析；

20、要求在服务器中不安装任何软件的 (略) 页防篡改功能；

1

5

weB防护

1、专用的硬件和软件保障：采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；硬件设备可以机架安装。硬件模块化设计：硬件采用模块化设计，可以通过扩展卡来增减业务接口。

▲2、机架式架构，最大配置为10个接口；默认包括1个可插拨扩展槽6个10/ 点击查看>> Base-T端口；单电源； 3年特征库升级服务内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、报表分析及告警功能；并发连接>90万吞吐率>600Mbps

3、硬件Bypass功能：支持开机及断电bypass模式，光口支持外置bypass模块

★4、部署方式：无IP纯透 (略) 署、旁 (略) 署、负 (略) 署； (略) 署时防护口不占用IP地址； (略) 署时服务器可以看到真实客户端源IP，而不是WAF的业务IP地址。

5、网络适应性：支持VLAN划分，支持多VLAN环境下t (略) 署。支持虚拟 (略) 络环境可强制数据从一个接口转发到另一个接口。

6、物理接口支持子接口；支持链路聚合(Channel)部署，提高链路带宽；支持Trunk链路防护；支持 (略) 络接口MTU、双工模式、双工模式等属性。

7、支持静态路由及策略路由配置；支持ARP绑定；支持静态MAC地址表配置支持服务器健康检查，可以实时监测服务器的活跃状态。

8、HTTPS支持：支持HTTP/ (略) 点防护。

9、协议合规检查：支持请求限制配置通过定义最大请求头长度、最大content-length、最大body长度、 (略) 长度、最大h (略) 长度、最多cookies个数、最多header头个数、最大header长度等来对请用户数据做合规性检查。

10、WEB安全防护：应能识别和阻断SQL注入攻击,Cookie 注入攻击，命令注入攻击；应能识 (略) 脚本(XSS)攻击；支持webshell等后门上传防护、支持对中国菜刀等工具对后门连接的阻断；支持对appscan、awvs等扫描器的扫描防护；支持爬虫防护且用户可以根据需要可以自定义爬虫；支持盗链防护，且支持攻击源盗链例外配置，及目的服务器URI例外配置；支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护；支持HTTP参数污染攻击、00截断、Strut (略) 等常见攻击防护；应能识 (略) 请求伪造(CSRF)攻击；支持IP黑白名单、URL黑白名单控制。

★11、支持对身份证、信用卡、手机电话号码敏感信息做检查，当检查到此类数据后可通过配置特殊字符予以替换隐藏，防止信息泄露。

12、支持对URL编码、多次编码等方式绕过WAF的 (略) 识别，防止绕过。

13、可对文件上传做控制，包括最多上传文件数、最大文件上传大小、最大表单个数、最大表单参数长度、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制。

14、检测到攻击后支持阻断、只检测、重定向等动作且动作为阻断时用户可自定义阻断页面。

15、支持URI策略例外，可针对服务器上URL中的特殊URI地址做单独的策略控制。

16、支持自学习建模功能，可以通过学习正常URL参数的长度、参数类型、请求方法等数据特点创建白名单模型，如果参数违反白名单模型则认为是非法流量直接阻断。开启自学习建模功能后可生成自学习结果报告。

17、支持虚拟补丁功能，支持导入appscan、w3af等第三方扫描器的扫描结果生成WAF的规则， (略) 漏洞直接防护。

18、可停用或启用任意一条规则，当触发规则后可以制定针对该条规则的动作，包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。

19、https证书支持直接将证书内容填充到waf内使用，不用再上传或者转换证书使用。

20、配置易用性：可以针对服务器 (略) 防护，而不需要配置 (略) 站域名；支持域名自学习，可 (略) (略) 服务器的IP地址及此地址下的域名。

21、WEB漏洞扫描：支持多种WEB应用漏洞的安全扫描检测，如SQL注入、跨站脚本、目录遍历等。支持自定义WEB漏洞扫描任务，支持对需要认证登录的w (略) 漏洞扫描，支持自定义每日、每周、每月等扫描周期设置。可导出web漏洞扫描报告，报告支持pdf,html,txt,xml等格式

22、网络数据分析：Web界面可以直观查看WAF扩展卡、接口、USB口、管理口、HA口及 (略) 状态；可以查看使用业务 (略) 实时流量；可以实时查看设备新建连接数、并发连接数、每秒事务数及HTTP应用层吞吐率等数据并以可视化的方式展示。

23、支持多服务器的负载均衡，支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法。

能配合现有的负载均衡设备协同工作， (略) 署，而不影响客户现有拓扑。

24、可以查看通 (略) 有对服务器的IPV4和IPV6连接的实施显示，IPV4及IPV6客户端和服务器IP地址及端口连接数及状态。

25、 (略) 数据分析：可以实时查看设备CPU、内存、SSD固态硬盘等自身使用率情况。

26、日志报表数据分析：日志支持以syslog和welf两种格式向远端日志服务器发送日志。日志传输可加密，且管理员可以配置加密密码。支持系统日志、管理员登录日志、调试日志的记录；流量日志(访问日志)支持记录包括时间、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、服务器IP地址、访问的URL地址、请求方法、服务器响应、接口及发送数据大小等相关信息。

27、支持对客户端在单位时间内的访问URI的次数做控制配置，防止特定URI路径被HTTP Flood恶意ddos攻击访问消耗服务器资源导致服务器拒绝服务。

28、支持对SLOW HEADER和SLOW POST的等慢速ddos攻击的防护。支持对HTTP/HTTPS Flood攻击源的发包速度、源新建连接数、源并发连接数做源限速控制配置，且可以阻断攻击或者将攻击IP加入黑名单。

29、攻击日志支持记录包括时间、严重程度、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、时间类型、触发规则ID、解决建议、处理动作、攻击请求头等相关信息；支持防篡改日志及抗DDOS日志的记录。

30、日志支持多条件与查询，支持CSV及XML格式的日志导出，日志支持清空配置；支持每种攻击时间类型及次数的统计并以柱状图等形式直观展现；支持最近一小时、一天、三十天等多种条件内攻击源IP攻击次数及攻击分布TOPN的统计。

31、日志存储：设备采用 (略) 日志存储，以保证日志读写速率及系统稳定性。

32、支持WAF配置文件导入、导 (略) 配置；支持操作系统WEB方式 (略) 等方式的离线升级；支持规则库的在线升级和离线升级。

33、支持攻击日志邮件告警，可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱；支持攻击报表邮件告警，可以定时将攻击报表间隔定一定时间后定时发送至指定邮箱；告警邮件支持明文传输、支持starttls认证传输、支持ssl的加密传输

34、账号及认证管理：支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号管理功能；支持用户身份认证，用户切换角色时， (略) 重新认证；

35、支持账号策略自定义，支持定义允许最大登录失败次数、密码错误账号锁定时间、最大在线管理员数、对其他非法在线管理员强制下线、防管理员账号暴力破解

36、双机热备：支持双机热备，主备模式、主主负载均衡模式；支持同一台WAF上下接口状态联动(一个接口down另外一个接口也同步down) ；两台WAF路由模式接入、两台WAF纯透明交换模式接入

1

6

(略) 为管理

▲1、说明：机架式架构；最大配置为12个接口，默认包括1个可插拨的扩展槽和4个10/ 点击查看>> BASE-T接口，接口支持Bypass；包含三年系统版本升级、URL库及应用特征库升级许可；性能：吞吐量800M 最大并发连接数80万。

2、要求系统具有集中管理功能， (略) 署管理，支持策略统一下发；

3、 (略) 桥模式，以透明 (略) 络中；支持路由模式，支持NAT、路由转发、DHCP等功能；支持旁路模式， (略) 络配置， (略) 为审计（支持旁 路认证）；

★4、支持主 (略) 通、电信、移动、铁通等智能路由选路方式；

5、支持PPPoE拨号以及负载均衡、支持DHCP Replay/Server；

6、支持DNS代理和DNS缓存；

7、支持多出口、多链路冗余切换、支持链路聚合；

★8、要求 (略) 配 (略) ，终端IP (略) 配置，可实现该功能；

9、具有防火墙功能，支持NAT地址转换及端口转换功能，支持GRE隧道封装；支持防DDos攻击；支持ARP防欺骗；

10、要求设备具有vpn功能包括PPTP VPN、GRE VPN功能；

11、支持基于轮询的多链路负载均衡算法；

12、支持智能DNS， (略) 服务器负载均衡；

13、必须支持详细的告警功能，包含管理员操作日志、设备状态、流量异常、 (略) 、违规帖子、违规文件上传、违规邮件发送以及 (略) 为告警；

14、每个用户或用户组都可以 (略) 策略及权限。支持子组可复用父组的策略对象，亦支持父组强制子组继承其策略对象；

15、对于未创建的用户，可自动创建帐户，并可同时绑定 IP、MAC、IP+MAC、VLAN，并自动分配到指定用户组， (略) 络权限；

16、支持域单点登录功能，支持临时账号自动申请功能，支持短信认证和微信认证功能；

17、支持基于四层服务和根据特征识别的 (略) 带宽控制和流量阻断；能够根据IP地址/IP地址范围/ (略) /地址簿/用户组的 (略) 络中单 (略) 会并发会话数、下行并发会话数；

18、提供 (略) ， (略) 管理员的权限和用户组织结构关联，不同的管理员只能查看对应权限的用户和用户组的统计信息；

19、支持自动/手动报表导出功能，可导出为 Excel、HTML、PDF格式文件，可将报表作为附件发送邮件到指定邮箱；

20、支 (略) 功能。支持移动终端（Android、IOS系统）管理；

21、可记录 (略) 为监控，包括：网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录（详细内容、附件）、FTP登录信息/上传记录/下载记录；

22、USBkey免审计，插上USBKey的电脑，即 (略) 行为的审计；

23、策略免审计：可根据IP地址/用户来配置审计策略，对特定IP的 (略) 行为的审计；

24、系统能够支持中文/英文操作界面，支持HTTP升级方式，支持自动升级；

25、支持层次化管理方式，不同的管理用户拥有不同的管理权限；

1

7

异常流量清洗

▲1、说明：机架式架构；最大配置为26个接口，默认包括2个扩展槽位 2个作为HA口和管理口，4个10/ 点击查看>> BASE-T接口（支持Bypass）和4个SFP插槽 标配双冗余电源；清洗性能：2.6Gbps，最大保护服务器数量：100台；要求采用X86多核硬件平台，内置SSD固态硬盘存储日志、报表、取证报文；

2、支持日志本地数据库存储，设备断电日志不丢失，支持日报、周报、月报攻击分析；

3、支持Web图形 (略) 管理，支持三权分立管理；

4、部署模式，支持在线串接、旁路检测和旁路清洗三种模式。支持清洗设备的集群；；

5、支持IPv6、IPv6 over IPv4， (略) 络环境中检测和清洗攻击流量；

6、旁路检测时支持镜像数据和Netflow数据两种输入源；

7、支持静态阀值和动态阀值，支持阀值自学习；

8、能够检测出受保护服务器的bps、pps、会话数等异常流量；

9、协议比例异常检测，TCP比例异常、UDP比例异常、IGMP比例异常；

10、网络层清洗支持IP Fragment Flood、ICMP FLOOD、UDP FLOOD、TCP SYN FLOOD、TCP ACK FLOOD、TCP RST FLOOD、TCP FIN FLOOD、慢速连接耗尽；

★11、支持https下的抗拒绝服务攻击防护，且支持IPv6/I (略) 络下的安全防护，如SSL DOS攻击和https下的client hello泛红攻击等；

12、HTTP协议清洗支持HTTP GET FLOOD、HTTP POST FLOOD；SIP协议清洗支持SIP flood；

★13、二级防护对象可以继承一级防护策略，也可以针对二级 (略) 详细私有策略设置；

14、DNS协议清洗支持DNS QUERY FLOOD、DNS NXDomain FLOOD、DNS反射投毒；

15、常用攻击工具支持HGOD、XOIC、LOIC、Thc-ssl、DNS sender；

16、源信誉支持基于源信誉机制的清洗；

17、支持静态黑白名单、支持动态黑名单；

18、支持设备抓取数据报文并导出，支持抓包过滤器；

19、攻击流量导出，可以将攻击流量引入黑洞路由，或者指定接口转发出去供进一步分析；

20、流量牵引支持BGP路由牵引，支持手动和自动流量牵引；

21、流量回注支持GRE隧道回注；

22、针对运营商运营需要，不同用户不同策略管理；

23、支持SNMP 的v1 、v2 、v2c 、v3版本；

1

8

单向隔离光闸

▲1、 6个10/ 点击查看>> BASE-TX接口； (略) 主机系统分别具有1个console接口；数据传输速率≥800Mbps,并发连接数≥5万，延时<1秒 ；支持FTP、Samba、NFS、专用客户端等多种方式的文件传输；支持文件类型过滤；支持多文件并发传输；支持多级目录（128级）；支持中文文件名，长文件名（255字符）；

2、支持LINUX、WINDOWS病毒查杀及病毒文件隔离功能；支持异构不同数据库之间的数据交换，支持Oracle、SQL Server、DB2和Sybase四种常用的数据库之间的互相交换。

3、数据库交换模式包含全表机制和触发器机制。支持对交 (略) 内容的过滤，根据用户的定义内容黑名单对数据库 (略) 过滤；支持对数据库数据中 (略) 格式检查。查看大字段中有没有木马和病毒的特征码的判断和大字段数据的数据具体的文件格式是否符合要求。

可依据用户设置的同步条件判断是否同步以及同步策略。

序号

产品

参数

数量（套）

1

统一威胁防护系统

▲1、机架式架构；配置为10个10/ 点击查看>> MBase-T端口。 默认含：专业版快速扫描查杀病毒功能，3年病毒库升级服务许可 IPSECVPN功能，含5个IPSECVPN客户端许可；IDP入侵防御功能，含IDP攻击规则特征库3年升级许可；性能：防火墙吞吐率：1.5Gbps，最大并发连接数：130W；

2、要求支持基于COS、DSCP方式的数据标识；

3、要求基于多 (略) 安全操作系统，并且采用双安全操作系统设计；

★4、产品要求支持链路聚合功能，每个聚合端口可以接入无限制的物理接口数量，要求链路聚合提供聚合负载算法不少于8种；

5、要求至少支持4路ADSL拨号接入，多ADSL链路能够基于ECMP、 (略) 路由均衡，能够针对每条ADSL链路单独设置保证带宽；

6、需具备针对单条访问策略的最大并发连接数限制、策略命中数统计与策略重复检查功能；

7、要求具有 (略) 、防ARP欺骗及防路由欺骗功能；

8、要求系统管理员能够通过“用户名＋口令＋图形认证码” (略) 登录管理；

9、支持管理员口令强度分级设置，要求分为高、中、低三级，并且口令长度限制可配置；

10、规则库至少包括11大类攻击类型，规则数量大于3800条，并支持自定义攻击检测规则；

11、要 (略) 置方式为安全优先模式，在丢弃报文的过程中可以发送TCP RESET命令；对要求数据检测引擎有一下两种模式：深度检测模式、智能检测模式； (略) 络环境或者应用环境平滑接入。

12、内嵌流（快速）扫描、文件（深度）扫描双引擎杀毒技术，并能够根据不同的被检测协议选择不同杀毒引擎；

13、采用流（快速）扫描病毒库大于230万种，文件（深度）扫描病毒库大于260万种；

14、采用基于访问控制策略的一体化带宽管理模式，能够针对用户、用户组、IP、MAC、时间、 (略) 带宽管理，并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型；

15、内置URL分类库，分类库包括80大类500万以上的一级域名数量， (略) (略) (略) 为设置；

★16、要求能够通过设置阈 (略) 为，设备支持不正常流量检测，且在报警信息通过报警灯的方式在管理界面显示，主要方式为连接数。主要检测方式为：基于应用层协议检测、基于接口检测；

1

2

数据库审计

▲1、硬件与接口要求，机架式架构，配置6个千兆电接口,4个SFP插槽；1T存储空间；双电源；性能，吞吐率≥1.5G；

2、提供审计数据管理功能，可根据时间或磁盘空间状况实现对审计数据的自动备份、删除、历史数据导入；

3、无需 (略) ，一 (略) 有工作；

4、支持虚拟服务器环境下的单点、多点、 (略) 署；

★5、系统提供双操作系统，保持某一 (略) ，另一系统保持备份状态；

6、支持审计ORACLE、SQL Server、MY SQL、DB2、Sybase、Informix、Gbase、Teradata等各类主流数据库系统；

7、支持HTTP、FTP、Telnet、Rlogin等运维协议；

8、 (略) 络审计在同 (略) ；

9、支持对针对数据库的 (略) (略) 审计，并实时报警；

10、支持对针对数据库的SQ (略) (略) 审计，并实时报警；

11、 (略) 络中的 (略) 入侵检测，并实时报警；

12、要求对数据 (略) 风险探知，对未知威胁与 (略) 告警设置，要求支持对数据库密码 (略) 告警设置；

13、保证90%以上的数据库名和数据库用户的完整记录；

14、支持实名审计，支持802.1x,PPPoE,AD等环境下终端IP地址和用户实名信息或主机信息绑定显示；

15、支持IP归属地审计，并提供地图展示功能；

16、支持SQL操作响应时间的审计,支持Update、Insert、Delet (略) 数的审计, 支持数据库操作成功、失败的审计；

17、基于流的流量分析，支持对Netflow v5/v9版本的流量分析；

18、Syslog告警、SNMP trap告警、邮件告警；

★19、系统支持识别邮件密送图片格式嵌入敏感文 (略) 分内容方式泄 (略) 为方式；

20、提供管理员权限设置和分权管理，提供三权分立功能；

21、用户可自定义角色，并为角色定义细粒度权限，权限可控制到菜单级；

22、支持静态密码认证、证书认证、key认证等双因子认证；

1

3

运维审计

▲1、说明：机架式架构；4个10/ 点击查看>> BASE自适应电口单电源 500G存储空间；50个主机/设备许可

2、帐号的整个生命周期管理， (略) 增加、修改、删除及锁定、解锁等操作；

3、能够对各种资源 (略) 推、拉、同步；

4、账号可以添加时间策略、地址策略、 (略) 细粒度的权限控制；

5、支持证书认证、堡垒机运维审计系统本身可以提供证书认证、并可以和现有的其他证书认证结合：如生物特征认证，OTP认证、AD域、MAC地址、智能卡等；

6、可以将资源和资源的从帐号授权给主帐号；授权给主帐号的资源可以新增和删除；

7、授权时可以按照树形组显示资源，方便资源的选择；

8、审计结果支持按照如 (略) 查询：主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字；

9、支持对象变更操作报表功能，变更操作包括但不限于自然人变更、资源变更、从账号变更、角色变更、授权关系变更等；

10、报表可按照时间段、操作等条件生成与排序，且可以Word、Pdf等格式导出；

11、主帐号WEB方式登录堡垒机运维审计系统后， (略) 有已经授权给自己的资源，包括字符型和图形的授权资源；

12、SSO单点登 * ，采用一次性会话号机制，提 (略) 全性；

13、单点登录后，支持目标资源的地址提示，方便同时开启多个目标资源的连接窗口时区分出不同的连接对象；

14、支持对SSH、TELNET、RDP等协议的实时会话监视和阻断功能；

特色功能

★15、 (略) (略) 无限制扩展，方便维护人员资源分类，易于资源定位检索；

★16、运维审计系统包含VPN功能模块，可 (略) 环境安全接 (略) ；

17、文件夹共享支持Windows操作， (略) 文件夹共享后的资源管控，支持对主账号授权；

18、支持磁盘映射，便于终端与服务器之间的文件交互；

19、双人共管模式，实现重要服务器两个人确定，方可访问资源，同时，第二方人员可以实时监控和阻断操作；

1

4

入侵检测

▲1、说明：机架式架构；配置为10个10/ 点击查看>> Base-T端口，其中2个10/ 点击查看>> Base-T端口支持bypass，不可扩展 默认含：3年IDS规则特征库升级许可 WebFilter功能；性能：整机吞吐率：2.5Gbps，最大并发连接数：80W；平台，要求采用多核硬件平台，内置SSD固态硬盘存储日志。

2、支持日志本地数据库存储，设备断电日志不丢失。支持生成日报、周报、月报；

★3、要求设 (略) (略) 监控，根据 (略) 不同种类报警，并且可以手动调节温度阈值；

4、支持旁路监听、 (略) 署等多种接入模式。

5、产品要求支持链路聚合功能，每个聚合端口可以接入无限制的物理接口数量，要求链路聚合提供聚合负载算法不少于10种；

6、支持VLAN、MPLS、 (略) 络；

★7、能够 (略) 络环境中检测攻击事件，支持IPv6 over IPv4、IPv6；

8、要求攻击规则库、应用识别规则库、病毒库等单独分开，可支持手动、自动、以及离线升级；

9、要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件；

10、支持丢弃报文、记录日志、禁止连接、TCP reset等多种响应动作；

11、支持自定义攻击检测规则；

12、支持黑名单，将攻击源加入黑名单，一段时间内禁止访问；

13、支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据

14、支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击；

15支持DHCP flood、DNS Flood、CC攻击防御；

16支持主机并发连接数和半连接数的限制

17、支持DDOS 机器人自学习功能，学习时间可设置；

18、防病毒，同时支 (略) 络型病毒查杀，支持100万条病毒规则；支持带毒邮件警告提示（警告动作），支持带毒邮件破坏染毒附件（阻断动作）；

19、 (略) 点漏洞扫描功能，内置爬虫、支持关键字自学习和HTML分析；

20、要求在服务器中不安装任何软件的 (略) 页防篡改功能；

1

5

weB防护

1、专用的硬件和软件保障：采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；硬件设备可以机架安装。硬件模块化设计：硬件采用模块化设计，可以通过扩展卡来增减业务接口。

▲2、机架式架构，最大配置为10个接口；默认包括1个可插拨扩展槽6个10/ 点击查看>> Base-T端口；单电源； 3年特征库升级服务内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、报表分析及告警功能；并发连接>90万吞吐率>600Mbps

3、硬件Bypass功能：支持开机及断电bypass模式，光口支持外置bypass模块

★4、部署方式：无IP纯透 (略) 署、旁 (略) 署、负 (略) 署； (略) 署时防护口不占用IP地址； (略) 署时服务器可以看到真实客户端源IP，而不是WAF的业务IP地址。

5、网络适应性：支持VLAN划分，支持多VLAN环境下t (略) 署。支持虚拟 (略) 络环境可强制数据从一个接口转发到另一个接口。

6、物理接口支持子接口；支持链路聚合(Channel)部署，提高链路带宽；支持Trunk链路防护；支持 (略) 络接口MTU、双工模式、双工模式等属性。

7、支持静态路由及策略路由配置；支持ARP绑定；支持静态MAC地址表配置支持服务器健康检查，可以实时监测服务器的活跃状态。

8、HTTPS支持：支持HTTP/ (略) 点防护。

9、协议合规检查：支持请求限制配置通过定义最大请求头长度、最大content-length、最大body长度、 (略) 长度、最大h (略) 长度、最多cookies个数、最多header头个数、最大header长度等来对请用户数据做合规性检查。

10、WEB安全防护：应能识别和阻断SQL注入攻击,Cookie 注入攻击，命令注入攻击；应能识 (略) 脚本(XSS)攻击；支持webshell等后门上传防护、支持对中国菜刀等工具对后门连接的阻断；支持对appscan、awvs等扫描器的扫描防护；支持爬虫防护且用户可以根据需要可以自定义爬虫；支持盗链防护，且支持攻击源盗链例外配置，及目的服务器URI例外配置；支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护；支持HTTP参数污染攻击、00截断、Strut (略) 等常见攻击防护；应能识 (略) 请求伪造(CSRF)攻击；支持IP黑白名单、URL黑白名单控制。

★11、支持对身份证、信用卡、手机电话号码敏感信息做检查，当检查到此类数据后可通过配置特殊字符予以替换隐藏，防止信息泄露。

12、支持对URL编码、多次编码等方式绕过WAF的 (略) 识别，防止绕过。

13、可对文件上传做控制，包括最多上传文件数、最大文件上传大小、最大表单个数、最大表单参数长度、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制。

14、检测到攻击后支持阻断、只检测、重定向等动作且动作为阻断时用户可自定义阻断页面。

15、支持URI策略例外，可针对服务器上URL中的特殊URI地址做单独的策略控制。

16、支持自学习建模功能，可以通过学习正常URL参数的长度、参数类型、请求方法等数据特点创建白名单模型，如果参数违反白名单模型则认为是非法流量直接阻断。开启自学习建模功能后可生成自学习结果报告。

17、支持虚拟补丁功能，支持导入appscan、w3af等第三方扫描器的扫描结果生成WAF的规则， (略) 漏洞直接防护。

18、可停用或启用任意一条规则，当触发规则后可以制定针对该条规则的动作，包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。

19、https证书支持直接将证书内容填充到waf内使用，不用再上传或者转换证书使用。

20、配置易用性：可以针对服务器 (略) 防护，而不需要配置 (略) 站域名；支持域名自学习，可 (略) (略) 服务器的IP地址及此地址下的域名。

21、WEB漏洞扫描：支持多种WEB应用漏洞的安全扫描检测，如SQL注入、跨站脚本、目录遍历等。支持自定义WEB漏洞扫描任务，支持对需要认证登录的w (略) 漏洞扫描，支持自定义每日、每周、每月等扫描周期设置。可导出web漏洞扫描报告，报告支持pdf,html,txt,xml等格式

22、网络数据分析：Web界面可以直观查看WAF扩展卡、接口、USB口、管理口、HA口及 (略) 状态；可以查看使用业务 (略) 实时流量；可以实时查看设备新建连接数、并发连接数、每秒事务数及HTTP应用层吞吐率等数据并以可视化的方式展示。

23、支持多服务器的负载均衡，支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法。

能配合现有的负载均衡设备协同工作， (略) 署，而不影响客户现有拓扑。

24、可以查看通 (略) 有对服务器的IPV4和IPV6连接的实施显示，IPV4及IPV6客户端和服务器IP地址及端口连接数及状态。

25、 (略) 数据分析：可以实时查看设备CPU、内存、SSD固态硬盘等自身使用率情况。

26、日志报表数据分析：日志支持以syslog和welf两种格式向远端日志服务器发送日志。日志传输可加密，且管理员可以配置加密密码。支持系统日志、管理员登录日志、调试日志的记录；流量日志(访问日志)支持记录包括时间、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、服务器IP地址、访问的URL地址、请求方法、服务器响应、接口及发送数据大小等相关信息。

27、支持对客户端在单位时间内的访问URI的次数做控制配置，防止特定URI路径被HTTP Flood恶意ddos攻击访问消耗服务器资源导致服务器拒绝服务。

28、支持对SLOW HEADER和SLOW POST的等慢速ddos攻击的防护。支持对HTTP/HTTPS Flood攻击源的发包速度、源新建连接数、源并发连接数做源限速控制配置，且可以阻断攻击或者将攻击IP加入黑名单。

29、攻击日志支持记录包括时间、严重程度、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、时间类型、触发规则ID、解决建议、处理动作、攻击请求头等相关信息；支持防篡改日志及抗DDOS日志的记录。

30、日志支持多条件与查询，支持CSV及XML格式的日志导出，日志支持清空配置；支持每种攻击时间类型及次数的统计并以柱状图等形式直观展现；支持最近一小时、一天、三十天等多种条件内攻击源IP攻击次数及攻击分布TOPN的统计。

31、日志存储：设备采用 (略) 日志存储，以保证日志读写速率及系统稳定性。

32、支持WAF配置文件导入、导 (略) 配置；支持操作系统WEB方式 (略) 等方式的离线升级；支持规则库的在线升级和离线升级。

33、支持攻击日志邮件告警，可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱；支持攻击报表邮件告警，可以定时将攻击报表间隔定一定时间后定时发送至指定邮箱；告警邮件支持明文传输、支持starttls认证传输、支持ssl的加密传输

34、账号及认证管理：支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号管理功能；支持用户身份认证，用户切换角色时， (略) 重新认证；

35、支持账号策略自定义，支持定义允许最大登录失败次数、密码错误账号锁定时间、最大在线管理员数、对其他非法在线管理员强制下线、防管理员账号暴力破解

36、双机热备：支持双机热备，主备模式、主主负载均衡模式；支持同一台WAF上下接口状态联动(一个接口down另外一个接口也同步down) ；两台WAF路由模式接入、两台WAF纯透明交换模式接入

1

6

(略) 为管理

▲1、说明：机架式架构；最大配置为12个接口，默认包括1个可插拨的扩展槽和4个10/ 点击查看>> BASE-T接口，接口支持Bypass；包含三年系统版本升级、URL库及应用特征库升级许可；性能：吞吐量800M 最大并发连接数80万。

2、要求系统具有集中管理功能， (略) 署管理，支持策略统一下发；

3、 (略) 桥模式，以透明 (略) 络中；支持路由模式，支持NAT、路由转发、DHCP等功能；支持旁路模式， (略) 络配置， (略) 为审计（支持旁 路认证）；

★4、支持主 (略) 通、电信、移动、铁通等智能路由选路方式；

5、支持PPPoE拨号以及负载均衡、支持DHCP Replay/Server；

6、支持DNS代理和DNS缓存；

7、支持多出口、多链路冗余切换、支持链路聚合；

★8、要求 (略) 配 (略) ，终端IP (略) 配置，可实现该功能；

9、具有防火墙功能，支持NAT地址转换及端口转换功能，支持GRE隧道封装；支持防DDos攻击；支持ARP防欺骗；

10、要求设备具有vpn功能包括PPTP VPN、GRE VPN功能；

11、支持基于轮询的多链路负载均衡算法；

12、支持智能DNS， (略) 服务器负载均衡；

13、必须支持详细的告警功能，包含管理员操作日志、设备状态、流量异常、 (略) 、违规帖子、违规文件上传、违规邮件发送以及 (略) 为告警；

14、每个用户或用户组都可以 (略) 策略及权限。支持子组可复用父组的策略对象，亦支持父组强制子组继承其策略对象；

15、对于未创建的用户，可自动创建帐户，并可同时绑定 IP、MAC、IP+MAC、VLAN，并自动分配到指定用户组， (略) 络权限；

16、支持域单点登录功能，支持临时账号自动申请功能，支持短信认证和微信认证功能；

17、支持基于四层服务和根据特征识别的 (略) 带宽控制和流量阻断；能够根据IP地址/IP地址范围/ (略) /地址簿/用户组的 (略) 络中单 (略) 会并发会话数、下行并发会话数；

18、提供 (略) ， (略) 管理员的权限和用户组织结构关联，不同的管理员只能查看对应权限的用户和用户组的统计信息；

19、支持自动/手动报表导出功能，可导出为 Excel、HTML、PDF格式文件，可将报表作为附件发送邮件到指定邮箱；

20、支 (略) 功能。支持移动终端（Android、IOS系统）管理；

21、可记录 (略) 为监控，包括：网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录（详细内容、附件）、FTP登录信息/上传记录/下载记录；

22、USBkey免审计，插上USBKey的电脑，即 (略) 行为的审计；

23、策略免审计：可根据IP地址/用户来配置审计策略，对特定IP的 (略) 行为的审计；

24、系统能够支持中文/英文操作界面，支持HTTP升级方式，支持自动升级；

25、支持层次化管理方式，不同的管理用户拥有不同的管理权限；

1

7

异常流量清洗

▲1、说明：机架式架构；最大配置为26个接口，默认包括2个扩展槽位 2个作为HA口和管理口，4个10/ 点击查看>> BASE-T接口（支持Bypass）和4个SFP插槽 标配双冗余电源；清洗性能：2.6Gbps，最大保护服务器数量：100台；要求采用X86多核硬件平台，内置SSD固态硬盘存储日志、报表、取证报文；

2、支持日志本地数据库存储，设备断电日志不丢失，支持日报、周报、月报攻击分析；

3、支持Web图形 (略) 管理，支持三权分立管理；

4、部署模式，支持在线串接、旁路检测和旁路清洗三种模式。支持清洗设备的集群；；

5、支持IPv6、IPv6 over IPv4， (略) 络环境中检测和清洗攻击流量；

6、旁路检测时支持镜像数据和Netflow数据两种输入源；

7、支持静态阀值和动态阀值，支持阀值自学习；

8、能够检测出受保护服务器的bps、pps、会话数等异常流量；

9、协议比例异常检测，TCP比例异常、UDP比例异常、IGMP比例异常；

10、网络层清洗支持IP Fragment Flood、ICMP FLOOD、UDP FLOOD、TCP SYN FLOOD、TCP ACK FLOOD、TCP RST FLOOD、TCP FIN FLOOD、慢速连接耗尽；

★11、支持https下的抗拒绝服务攻击防护，且支持IPv6/I (略) 络下的安全防护，如SSL DOS攻击和https下的client hello泛红攻击等；

12、HTTP协议清洗支持HTTP GET FLOOD、HTTP POST FLOOD；SIP协议清洗支持SIP flood；

★13、二级防护对象可以继承一级防护策略，也可以针对二级 (略) 详细私有策略设置；

14、DNS协议清洗支持DNS QUERY FLOOD、DNS NXDomain FLOOD、DNS反射投毒；

15、常用攻击工具支持HGOD、XOIC、LOIC、Thc-ssl、DNS sender；

16、源信誉支持基于源信誉机制的清洗；

17、支持静态黑白名单、支持动态黑名单；

18、支持设备抓取数据报文并导出，支持抓包过滤器；

19、攻击流量导出，可以将攻击流量引入黑洞路由，或者指定接口转发出去供进一步分析；

20、流量牵引支持BGP路由牵引，支持手动和自动流量牵引；

21、流量回注支持GRE隧道回注；

22、针对运营商运营需要，不同用户不同策略管理；

23、支持SNMP 的v1 、v2 、v2c 、v3版本；

1

8

单向隔离光闸

▲1、 6个10/ 点击查看>> BASE-TX接口； (略) 主机系统分别具有1个console接口；数据传输速率≥800Mbps,并发连接数≥5万，延时<1秒 ；支持FTP、Samba、NFS、专用客户端等多种方式的文件传输；支持文件类型过滤；支持多文件并发传输；支持多级目录（128级）；支持中文文件名，长文件名（255字符）；

2、支持LINUX、WINDOWS病毒查杀及病毒文件隔离功能；支持异构不同数据库之间的数据交换，支持Oracle、SQL Server、DB2和Sybase四种常用的数据库之间的互相交换。

3、数据库交换模式包含全表机制和触发器机制。支持对交 (略) 内容的过滤，根据用户的定义内容黑名单对数据库 (略) 过滤；支持对数据库数据中 (略) 格式检查。查看大字段中有没有木马和病毒的特征码的判断和大字段数据的数据具体的文件格式是否符合要求。

可依据用户设置的同步条件判断是否同步以及同步策略。