参数大类

参数细类

具体参数

流量采集

全流量记录

支持常见的NoSQL数据库流量内容的识别和检测如: Redis、MongoDB、CouchDB、Membase

PCAP包的存取

支持开启全流量记录，对流量全部记录和存储，包括源IP、源端口、目的IP、目的端口、传输内容(Data字段)。支持对全流量进行存储，能够至少保存1-2天的全流量数据。并能在界面中展示全流量的内容。全流量日志记录保留不低于180天。

流量动态分级存储策略

支持开启记录pcap功能，能够对所有流量进行pcap记录，pcap记录应包含前后1分钟的数据包上下文。方便追踪和溯源。

威胁感知

自动化判断攻击阶段

通过客户流量的监听及分析，自动化形成攻击链，并识别攻击阶段。并能够从攻击链的侦查、漏洞尝试、控制、内网渗透的等几个阶段识别对应的攻击方式。

内网渗透分析

提供直观的内网渗透攻击概览图，图中清晰展示内网主机间攻击方向和攻击手法，便于定位攻击源头和受影响的主机，以利于全面掌握内网渗透威胁态势。通过点击概览图，能够从攻击者、受害者和攻击手法进行下钻分析，展示攻击告警列表、攻击详细内容、告警日志JSON、原始请求日志（request、response）、PCAP等。

攻击者画像分析

将所有系统检测到的攻击IP，通过威胁情报，历史攻击访问行为，云端共享数据等，综合计算攻击者特征，提供给企业安全运营团队在日常安全运营和重保防御过程中进行调查，分析指标包括攻击活跃度、攻击水平、针对性分析、掌握资产、攻击/访问占比、攻击特征、基于攻击链的攻击手法分析、攻击者能力雷达模型、User-agent、攻击使用cookie等；同时提供云端共享的攻击者情报，供运营人员了整体攻击者概况，包括攻击同行业事件、关联攻击IP等。

检测失陷主机连通性

支持检测失陷主机是否连通，是否传输数据，并能记录传输数据大小及传输内容。

情报共享

支持与威胁情报云联动，对情报联动和共享，可对攻击IP、C&C域名进行全网追踪。

自动化溯源

能够对攻击者信息进行自动化搜集，并进行自动化溯源，追踪到关联人员。

重保防御

支持重保攻击的独立监控，，对重保攻击IP进行共享，并监控重保IP的所有登录、攻击、反连行为。

追踪调查

网络日志检索

支持检索全部流量进行检索，包括异常报文、WEB访问、文件传输、登录动作、数据库操作、可疑行为等网络流量日志，并可基于流量方向、时间、IP、端口、URL、域名、协议、攻击结果、连通与否等多重字段组合进行日志检索。

告警日志检索

支持告警日志检索，可基于时间、告警类型、流量方向、攻击方式、攻击结果、来源/目的所属国、IP地址、上下行负载等多字段混合搜索。

终端日志检索

支持检索终端日志，定位请求域名、进程、文件。

资产风险

自动识别梳理网络资产

自动化识别域名、端口、协议、服务、Web应用、Web站点等资产，清点各上述资产间的对应关系。帮助安全运营人员快速梳理内网资产。能够梳理系统所有的服务，包括数据库、web服务器、远程登录、邮件服务、认证服务、文件传输以及其他服务。能够梳理内网资产IP，将IP对应的服务器和主机，以及对应的服务、域名、端口以及是否对外开放等情况进行梳理。

支持自动化识别远程工具，能够发现：

pcanywhere、vnc、RDP、 oray、向日葵、anydesk、teamviewer等远程工具类型。

支持自动化识别文件传输，包括FTP、Rsync等

支持自动化识别邮件服务，包括SMTP、IMAP、POP3、webmail等

支持自动化识别认证服务，包括Radius、LDAP、Win ActiveDirectory等。

域名资产

自动化识别域名和IP的对应关系，并且能够梳理域名的子域名，子域名对应的IP地址，以及是否该域名外网可以访问，是否存在登录后台，以及API数量和是否存在敏感信息泄露情况。

API识别和检测

支持对API的流量内容进行解析，识别API接口，对企业API进行实时清点。全维度记录访问API的访问者信息。记录访问者人数和访问次数。记录访问人数及访问特征、频率、次数。

敏感信息泄露检测

支持检测记录API接口中包含个人隐私信息数据的传输行为。并记录访问人数及访问特征、频率、次数。

定位处置

提供终端代理工具进行终端行为分析

可提供终端上的轻量级代理，用于采集终端数据，如进程、文件、注册表等行为，自动联动本地检测中心进行终端恶意行为检测能力。对网络上的告警，可结合告警机器的代理工具采集的日志信息和文件检测信息，定位告警的源头到进程粒度。

提供终端数据和网络数据的关联分析能力

可对网络流量数据和终端行为数据进行报警分析，对网络上检测到的告警，可结合终端行为信息和文件检测信息，定位告警的源头进程和文件以及对应的执行过程。

系统管理

黑白名单配置

支持自定义黑白名单，对IP、域名等做过滤处理；可对检测规则、威胁情报、模型进行单条或组合的白名单策略。

误报反馈

支持用户反馈误报，同时支持删除此误报相关的告警，并加白后续告警。

指标项

指标参数

硬件及性能规格要求

1U机架式硬件设备，基于高性能硬件平台和专业安全操作系统，采用非X86多核架构，处理器最低配置为4核并行处理CPU，投标人须提供命令行下CPU状态

千兆电口≥5个，combo口≥4个；1个consle、1 个USB2.0口；

配置单电源；

吞吐量≥4.5G；最大并发≥180万；每秒新建连接数≥45000；

IPSECVPN隧道数最大支持2000个；本次要求提供100个并发SSL 用户授权 ；

路由功能

支持BFD 功能，支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障，减小设备故障对业务的影响。通过与动态路由协议联动，缩短收敛时间，提升可靠性。

网络特性

▲支持通过ICMP、TCP、DNS、ARP、HTTP、NDP协议并且结合接口、链路质量等方式实现对链路可用性的多重健康检查，当检查失败则引起路由失效或HA主备切换。

要求具备NAT转换地址池IP地址可用性分析功能，避免因NAT地址无法使用导致业务中断

安全策略

▲支持策略冗余检测、策略时间表有效性检测、策略命中分析，可基于命中数、首次命中时间、最近一次命中时间、最近未命中天数等维度进行优化统计；

上网行为管理

▲具备对应用程序的识别和控制能力。应用程序特征库不少于4000种，并支持在线/手动更新；支持基于QQ、微信、微博等应用通过get、post方式进行上网行为审计

具备终端共享接入识别功能，并能针对超出共享终端数量限制的IP进行阻挡

具备用户流量配额分配功能，支持基于单日分配流量配额大小、单月分配流量配额大小

入侵防御

基于状态、精准的高性能攻击检测和防御，深入数据包七层的内容解析；支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御；

提供8000多种特征的攻击检测和防御，特征库支持网络实时更新；具备4000种以上HTTP特征库规则列表；

支持SQL注入、XSS防护，支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略。

移动运维

支持通过手机APP监控防火墙等设备状态、网络流量、及威胁信息，支持云巡检，要求提供手机 APP 的截图， 提供官网（必须是厂商的官网）下载地址

安全管理功能

为保障高效安全策略的运维管理，要求设备具备冗余安全策略分析功能和策略聚合功能，具备对安全策略命中次数统计和对重复或冲突的策略的自动分析检查，要求提供产品功能截图和冗余检测方法技术专利证书复印件并加盖原厂公章；