| 1、硬件架构:采用非X86多核架构,具备可插拔冗余电源模块,可插拔冗余风扇模块。 ★2、设备接口:≥16个千兆以太电口(≥4个Combo接口),≥4个千兆以太光口,≥6个万兆以太光口,≥2个外置USB host接口。 ★3、扩展槽位:要求具备接口扩展能力,支持≥2个接口扩展槽位,可支持4端口千兆PFC接口模块,4端口千兆光/万兆光,6端口万兆光扩展。 ★4、硬盘:支持SSD硬盘不小于480GB,HDD硬盘不小于1TB,支持≥2个硬盘。 ★5、主要性能:吞吐量≥20Gbps,最大并发连接数≥500万,每秒新建连接数≥10万。 ★6、升级功能:整机同时具备防火墙、链路负载均衡、入侵防御、防病毒、带宽控制、应用识别和web应用防护等功能。本次配置防火墙、入侵防御、防病毒功能,提供特征库3年升级服务;开启防火墙、IPS入侵防御和AV防病毒功能后,整机吞吐量不低于4.5Gbps。 7、NAT功能:支持多种形式的NAT,支持DNS、FTP、H.323等多种NAT ALG功能。NAT地址池支持动态探测和可用地址分配。 8、VPN功能:支持并实配IPSec、L2TP、GRE、SSL VPN功能。支持IPsec VPN隧道自动建立,无需流量触发;支持IPsec VPN智能选路,根据应用和隧道质量调度流量;SSL VPN支持IPv6接入方式,包括TCP/WEB接入和IP接入;SSLVPN支持页面定制功能特性,包括登录页面、交互信息、提示信息的定制功能;防火墙在SSLVPN页面上修改用户密码,支持防暴力破解密码。 9、DDoS防护:能够防范DOS/DDOS攻击:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、http Flood、https Flood、sip Flood等常见DDoS攻击的检测防御。支持HTTP慢速攻击检测与防护;支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略。 10、应用识别:支持至少6000条以上的应用识别,且提示风险类型及风险级别,便于用户根据实际情况进行上网行为管理。 ★11、共享上网管理:支持多用户共享上网行为管理。 12、WEB防护:可针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站进行有效防护。支持sql注入、跨站脚本、远程代码执行、字符编码等攻击的防护,支持对网络设备、网页服务器、数据库等设备的专属特征分类,支持CC攻击防护,可基于检测请求报文头的X-forward-for字段,以获取真正的源IP地址。WAF规则支持用户自定义,同时支持导入和导出功能。 13、应用识别:支持至少5000条以上的应用识别,且提示风险类型及风险级别,便于用户根据实际情况进行上网行为管理。 14、入侵防御:支持基于对包括但不限于操作系统、网络设备、办公软件、网页服务等保护对象的入侵防御策略,支持基于对漏洞、恶意文件、信息收集类攻击等的攻击分类的防护策略,支持基于服务器、客户端的防护策略。且缺省动作支持黑名单。实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件等攻击的防御,实现缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御,实现攻击特征库的分类。IPS发现攻击后抓取报文,并支持通过WEB下载对应抓包文件,供客户进行分析;支持超过*****种特征的攻击检测和防御。 15、防病毒:可基于病毒特征进行检测,实现病毒库手动和自动升级,报文流处理模式,实现病毒日志和报表;支持基于文件协议、邮件协议(SMTP/POP3/imap)、共享协议(NFS/SMB)的病毒功能。可基于病毒特征进行检测、动作响应、提供报表。发现病毒发送的告警信息,支持用户编辑告警内容;支持云端防病毒,为保证检测时效性,特征缓存数至少保证20万条且缓存保留时间不应少于700分钟。 16、加密流量检测:支持HTTPS加密流量的安全检测,支持TCP代理和SSL代理,且代理策略中可同时配置多类过滤条件,具体包括:源安全域、目的安全域、源地址、目的地址、用户和服务。一类过滤条件可以配置多个匹配项。 17、负载均衡:支持DNS透明代理功能,可基于负载均衡算法代理内网用户进行DNS请求转发,避免单运营商DNS解析出现单一链路流量过载,平衡多条运营商线路的带宽利用率。支持服务器负载均衡支持基于HTTP RADIUS MYSQL等应用类型的匹配,支持基于IP流量特征、ISP 、用户、入接口、tcp载荷等类型的匹配规则。 18、诊断中心:支持基于接口及IP的报文捕获,并将捕获到的报文生成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。支持网页诊断功能,用于当内网用户访问网页出现故障时,对网络进行基本的诊断,并给出故障原因。支持报文示踪功能,支持真实流量、导入报文、构造报文等方式,用于分析和追踪设备中各个安全业务模块(如:攻击防范、uRPF、会话管理和连接数限制等)对报文的处理过程,通过报文示踪记录的详细信息,有利于管理员对网络故障的快速排查和定位。支持IPsec故障诊断功能,应支持至少三种诊断模式:数据流、接口、IP地址。用于检测Ipsec连接的状态,当Ipsec连接发生故障时,可以协助用户排查Ipsec配置中的问题,并提供可能的原因。 19、虚拟功能:所投设备须支持虚拟防火墙功能:支持虚拟防火墙的创建、启动、关闭、删除功能;可独立分配CPU/内存等计算资源;虚拟防火墙可独立管理,独立保存配置;虚拟防火墙具备独立会话管理、NAT、路由等功能。 支持2台设备堆叠成一台设备使用,实现统一管理,统一配置,所投设备支持高可靠性(包含主备/主主模式)部署。 ★20、配置要求:主机、模块化电源、配置防火墙、入侵防御、防病毒功能,主机3年质保,提供特征库3年升级服务。 21、厂商资质 设备制造厂商符合信息技术服务管理体系符合ISO/IEC *****-1:2011标准,符合信息安全管理体系符合ISO/IEC *****:2013标准。 ★22、兼容性要求:为保证全网可统一管理及设备兼容性,要求服务器、防火墙、交换机为同一品牌产品。 | 
