技术指标 | 指标要求 |
网络接口 | 标准2U机箱,标配1个10/100/1000MBase-T电口,具备4个扩展插槽(2个万兆接口及8个千兆电口) |
硬件参数 | 标配冗余电源,并含2个高速USB2.0接口,可接移动存储进行日志存储,要求现场可验证 |
性 能 | 整机吞吐率(bps)≥40G |
最大并发连接数≥320万 |
每秒新建连接数≥20万 |
IPSec VPN隧道数≥5000条 |
系统要求 | 要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权及彩页作为证明 |
★要求支持多系统引导,并可在WEB界面上直接配置启动顺序 |
★要求除恢复系统之外,还可在WEB界面上支持系统完整备份 |
支持多个系统配置文件,可导入导出恢复配置,配置文件可根据关键的功能模块分别导入导出 |
访问控制 | 基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制 |
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制 |
支持基于策略的网间隔离功能,同一时间内网主机只能访问DMZ和外网,保护内网防止被入侵 |
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤 |
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查 |
支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等 |
★要求支持实名认证重定向功能,非代理模式认证,支持第三方实名认证服务器 |
支持同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址的并发连接限制 |
★支持基于用户、用户组的访问控制,用户认证要求支持Radius、LDAP、Windows AD域等方式,并内置动态令牌认证服务器,支持基于动态令牌的双因子认证 |
内容过滤 | 支持内核级深度内容检测技术 |
支持对网页关键字和Java、JavaScript、ActiveX进行过滤 |
支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤 |
支持基于反中转的垃圾邮件识别和过滤 |
支持对FTP上传和下载文件的控制,要求提供文件下载的方法的技术专利号 |
网络适应性 | 支持透明、路由、混合三种工作模式
(要求提供基于桥的二层交换式防火墙包过滤专利号) |
支持DHCP Client、DHCP Relay、DHCP Server |
支持PPPoE接入,并具备自动断线重连技术 |
支持快速配置向导功能,能在极短时间内完成管理
要求提供快速配置的发明专利号 |
支持多路ADSL拨号>4条,充分利用网络资源,整合带宽 |
支持多透明桥,支持端口联动 |
支持静态路由,动态路由(OSPF/V3、RIP/RIPng等),VLAN间路由,单臂路由,组播路由等 |
支持200个以上的路由表、30000个以上的路由策略选择 |
支持基于源/目的地址、接口、Metric、服务的策略路由 |
支持多出口路由负载均衡,能够通过多个IP地址判断路由有效性,并提供截图 |
★内置ISP地址列表,可轻松完成基于ISP的策略路由 |
支持路由优先级,路由权值等多种路由选择算法 |
由专业团队分析收纳ISP地址,升级更新地址列表 |
支持多台服务器负载均衡,并且支持服务器健康检查机制 |
★服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等至少7种算法 |
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换 |
支持802.1Q和ISL VLAN封装协议,支持两种封装的互换,支持Vlan Trunk |
基于IP地址、服务、网口、时间等定义带宽分配策略 |
支持最小保证带宽和最大限制带宽 |
在各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议 |
虚拟防火墙 | 可将一台物理设备,划分为256个虚拟防火墙系统,支持同一个网口用于多个虚拟防火墙 |
要求支持虚拟系统技术,每个虚拟系统vFW具备独立的管理权限、安全策略、等功能,互不干扰 |
可拥有独立的系统资源、管理员、安全策略、用户认证数据库等 |
3G安全接入 | ★支持3G(CDMA2000)协议,支持用户通过3G提供上行网络接入,要求截图证明 |
WiFi接入 | ★支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线安全接入服务 |
IPv6/IPv4双协议栈 | 支持IPv6地址、地址组配置,要求截图证明; |
支持持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置,要求截图证明。 |
支持IPv6静态路由,要求截图证明 |
支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术,要求截图证明 |
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问,要求截图证明 |
漏洞扫描 | ★需支持漏洞扫描功能支持后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描 |
主动防御 | ★要求挂马网站过滤,支持通过对访问目标URL过滤的方式,阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问 |
★要求恶意地址主动屏蔽,以用于提前免疫包括病毒网站或者攻击源地址的攻击,要求提供基于主动识别技术的专利号 |
上网行为管理 | ★支持IPv4和IPv6双栈协议下的上网行为管理,支持截图证明 |
★支持WEB 2.0应用识别和过滤,至少支持20万种WEB应用管控,支持截图证明。 |
★识别和控制常见文档类型的传输,提供截图 |
★识别和控制常见搜索引擎的搜索关键字,支持用户自定义搜索关键字,支持截图证明 |
支持对常见WEB邮件系统的邮件收发行为控制,防止数据泄露,支持截图证明 |
支持WEB服务器错误码隐藏,防止服务器信息泄露,支持截图证明 |
应用识别过滤 | 要求支持P2P下载控制并提供细粒度带宽控制,识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件 |
要求支持P2P视频播放控制并提供细粒度带宽控制,识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件 |
要求支持即时通讯软件控制并提供细粒度带宽控制,识别和控制QQ、MSN等常用IM软件,一键式阻断IM软件机密文件传输 |
要求支持在线游戏、炒股控制,识别和控制魔兽、CS、征途、联众等数十种在线游戏软件,大智慧、同花顺等数十种炒股软件 |
WEB网站过滤 | 支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制 |
★至少支持50种分类库,1000万级网址智能特征库
要求支持(要求提供WEB网站过滤的技术专利) |
特征库支持网站模式离线升级,在线模式自动、手动升级 |
VPN功能 | 支持标准IPSec协议,能够与Cisco、Juniper等知名厂商的VPN设备互联互通 |
支持预共享密钥、证书等认证方式且支持X-Auth扩展认证 |
支持3DES、DES、AES等多种加密算法 |
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法 |
支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法 |
支持多出口VPN,隧道热备份技术,且支持NAT穿越 |
支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署 |
支持GRE、PPTP 、L2TP等VPN连接 |
要求支持SSL VPN,动态分配虚拟IP,且虚拟IP与口令用户或证书用户进行绑定
要求提供SSL 加密的技术专利号 |
SSL VPN模块包含10个免费并发SSL VPN用户许可 |
支持压缩,缓存、协议优化等应用加速技术,提高访问速度 |
采用无客户端认证方式实现隧道安全连接 |
SSL VPN能进行个性门户(portal)定制化处理,可替换图片、文字等 |
VRC(VPN客户端) | IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通 |
支持基于动态令牌的双因子认证 |
支持基于USB Key的证书认证方式 |
支持国密办专用算法SM1 |
★IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统 |
抗攻击能力 | 集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则 |
采用基于摘要索引的内容加速算法(DCA算法)进行蠕虫病毒过滤 |
采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位 |
实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截 |
支持同一主机源会话、目的会话的分别管理 |
支持动态学习,支持动态协议数据会话的区分管理 |
支持连接排行榜 |
可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击 |
设备主动防护ARP攻击,通过发送频率有效定位ARP攻击源 |
有效防护CC各种攻击方式,如直接攻击,代理攻击,僵尸网络攻击 |
关联安全 | 支持关联安全标准(CSC) |
可实现与IDS等设备的联动,要求提供防火墙与IDS设备联动的技术专利号 |
可与终端管理系统协同工作,实现对终端的网络准入认证控制 |
管理配置 | 支持友好的Web图形界面配置 |
支持远程SSH、Telnet和串口命令行配置 |
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级 |
支持SNMP管理,与当前通用的网络管理平台兼容 |
★支持用户可配置的WEBUI接口,提供多套皮肤设置 |
★支持基于WEB界面的CLI命令行功能 |
可导出可读的配置文件并进行打印存档 |
可进行配置文件的备份、下载、恢复和上传 |
支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控 |
支持设备内存储和专用事件分析服务器两种日志管理方式 |
支持中文日志,提高日志可读性 |
支持分级报警,支持SNMP Trap和邮件等报警方式 |
可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能 |
可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放 |
★可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理5000多台设备 |
高可用性 | 支持多重冗余协议(MRP),实现链路备份、端口冗余、双机热备份、集群备份等
要求具备集群模式的发明专利号 |
支持防火墙多WAN口备份和负载均衡 |
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽 |
支持状态同步技术,不损失安全性 |
支持基于VRRP技术的热备和负载均衡 |
在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒 |
可在热备和集群工作模式下支持多台防火墙的配置手动、自动同步 |
产品资质 | ★具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 (千兆防火墙) 要求提供公安部最高等级(三级)检测报告证明文件 |
具备中国信息安全产品认证中心颁发的《中国强制产品认证证书》简称3C(三级)证书 (千兆防火墙) |
具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 (千兆防火墙)
★千兆要求64字节小包丢包率为0,延迟<3us |
具备中国人民解放军信息安全测评认证中心颁发《军用信息安全产品认证证书》军B+ (千兆防火墙) |
具备国家版权局颁发的《多核多线程ASIC并行操作系统软件著作权登记证书》 |
具备信息产业部颁发的电信设备进网许可证或进网试用批文 |
权威组织认证 | 要求加入微软安全响应中心(Microsoft Security Response Center)发起的MAPP(Microsoft Active Protection Program)计划,作为该计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。 |
★要求加入云安全联盟CSA(Cloud Security Alliance), 作为该联盟成员,可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更及时的安全防护。 |
★设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并提供两个以上2010年以后发现的新漏洞及国内外相关权威机构(如:国家漏洞库和CVE)的证明。 |
厂商资质 | 具备信息产业部颁发的《计算机信息系统集成资质证书》(壹级) |
具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》(安全工程类二级) |
具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级) |
投标人必须具有原厂商对该项目的支持授权 |
