序号

设备名称

参数

1

WEB应用防火墙

1.★2U硬件设备，提供1*管理口，2*USB，1*Console口，业务口：≥4个千兆电口（含两对内置BYPASS），≥4千兆光口，硬盘：≥2T，双电源；
2.★HTTP吞吐量≥4Gbps，HTTPS吞吐量≥1Gbps，HTTP最大并发连接数≥******，HTTP最大新建连接数≥*****，HTTPS最大并发连接数≥*****，HTTPS最大新建连接数≥6000，每秒事务处理数≥*****；
3.支持自动发现网络环境中存在的Web业务系统，记录服务器的IP、Port、域名等信息，并可通过网页防篡改功能实现网站站点防篡改；
4.支持HTTPS协议的选择可以选择SSL/TLS协议版本，可选SSLv3、TLS1.0、TLS1.1、TLS1.2，支持HTTPS站点SSL算法自动探测功能，探测时可以设置指定站点及端口，可以显示探测结果；
5.支持对跨站脚本(XSS)和注入式攻击（包括SQL注入、命令注入 、代码注入、文件注入、LDAP注入、SSI注入等）的检测防护，支持XML防护，XML攻击行为包括XML DdoS，支持网页篡改防护，可基于目录、进程、IP、用户等进行设置篡改规则；
6.内置Webshell检测规则，可以对上传的文件内容进行检查，防止恶意Webshell文件上传，对已经上传的Webshell发起请求的行为进行拦截阻断；
7.内置身份证、银行卡、手机号、社保号等个人敏感信息数据，对服务器返回的敏感个人信息数据通过星号进行隐藏，并支持用户自定义敏感词；
8.支持智能检测并防御CC攻击，保证网站正常服务能力。低中高三级防护：策略验证、Cookie、JS脚本混合验证、抗图片识别工具的干扰色图片验证；
9.支持各类网页文件的保护，包括静态和动态网页以及各类文件信息，支持对指定文件夹以及子文件夹的保护，避免上传非法文件及木马等恶意文件或插入恶意代码，一键启停所有对监控端的保护；
10.提供访问日志记录与查询功能，可根据域名、URL、客户端IP、返回码、访问区域、访问时间段进行查询，查询后的日志数据可导出Excel文件；
11.提供5年维保服务和特征库升级服务。

2

防火墙系统

1.★2U硬件设备,≥6个千兆电口，≥2个千兆光口,万兆接口扩展卡（含至少2个SFPplus插槽）；冗余电源,2个扩展槽位,防火墙吞吐：≥12G，并发连接：≥300万，每秒新建连接：≥10万；至少包含5年病毒库升级服务许可，5年IDP攻击规则特征库级许可；
2.具备通过一条策略实现包括但不限于五元组、源MAC、源地区、目的地区、域名、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、URL过滤、高级威胁防护、WAF、邮件安全、数据过滤、文件过滤、僵木蠕防御、审计、防代理、APT等功能配置；
3.支持包括但不限于路由、交换、虚拟线、Listening、混合工作模；
4.支持在WEB界面进行网络诊断，支持包括但不限于PING、TRACEROUTE、TCP、HTTP、DNS等诊断方式;
5.支持策略略路由，支持包括但不限于根据入接口、源/目的IP地址、协议、用户、应用、选路算法、探测等多种条件设置策略路由;
6.支持包括但不限于对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略，可控制所有或单IP会话总数及单IP新建连接数；

3

Web应用安全防护系统

1.★2U硬件设备,≥6个千兆电口，≥4个千兆光口,冗余电源,2个扩展槽位,应用层吞吐：≥2G，网络层吞吐：≥10G,并发连接：≥200万；至少包含5年WAF产品特征库升级License;
2.不得在服务器中安装任何插件，采取网关型网页防篡改机制保障对网站文件内容进行篡改防护，当检测到篡改后可以实时恢复篡改内容；
3.支持包括但不限于无IP纯透明模式串联部署、负载均衡模式部署、反向代理模式部署、旁路监测模式部署；
4.支持识别和阻断跨站脚本(XSS)攻击；
5.支持识别和阻断SQL注入攻击,Cookie 注入攻击，命令注入攻击；
6.支持识别和阻断跨站请求伪造(CSRF)攻击，支持HTTP token防护和referer匹配防护等多种防护方式；
7.具备WebShell攻击，文件包含漏洞利用、目录遍历等攻击的防护功能；
8.支持对网站登录页面提供暴力破解防护功能；
9.具备盗链防护功能，防止服务器资源被滥用；
10.支持Cookie安全防护，通过对cookie进行加密签名，保障cookie信息安全可信；

4

Web应用防护系统

1. ★2U机架式设备；≥1个CONSOLE口，≥2个USB口；≥6个千兆电口，2组Bypass；≥2个万兆光口；1个扩展槽；≥1T硬盘；冗余双电源；
2. ★HTTP吞吐≥3.5Gbps，HTTP新建（CPS）≥12,000/s，HTTP新建事务能力（TPS）≥28,000/s，HTTP最大并发连接数≥2,000,000；
3. 支持透明流、透明代理、反向代理，旁路镜像检测模式及旁路镜像阻断模式。支持路由牵引部署模式，通过路由牵引、SNT回注方式对流量进行过滤。
4. 支持IPv4和IPv6双协议栈流量过滤防护。支持多种证书类型的SSL卸载，可根据实际证书格式进行灵活选择证书类型，支持多域名多证书防护、支持泛域名防护。
5. 支持黑白名单策略，包括IP及URL黑白名单，支持IP访问控制，可根据源目的IP，端口，协议等进行访问控制处理，并可自定义访问过期时长。
6. 支持协议合规校验，可根据实际网络状况自定义协议参数合规标准，过滤非法数据，支持HTTP请求走私防护。支持敏感信息检测防护，检测类型包括：中间件信息保护，数据库信息保护，敏感文件保护，代码错误信息保护，隐私信息保护，支持敏感词检测及过滤，自带敏感词库并进行可自定义。
7. 支持入侵防护功能，并提供入侵防护特征库，特征库需要提供22种类型并提供至少*****条入侵检测特征库，支持检测恶意活动，包括恶意SSL证书、钓鱼攻击、非法获取权限、重定向攻击、拒绝服务等。
8. 支持智能分析DDoS防护，内置五个防护等级，并可自定义防护等级；支持防护策略阈值自定义。
9. 支持威胁情报中心提供的相关数据运用到产品防御策略中，提供基于僵尸网络、恶意IP、扫描探探、Webshell、代理IP、TOR节点、漏洞利用、暴力破解、拒绝服务、恶意代码以及木马蠕虫等情报类型。
10. 支持虚拟补丁功能，支持导入appscan和RayScan扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护。
11. 支持资产探测功能，提供自动识别资产系统类型和开放端口。
12. 支持机器学习功能，通过流量学习对进行业务建模，并对学习到的URL、host等信息以网站结构树形图进行展示，并支持对URL的访问量和响应健康度进行图形化统计。
13. 支持流量限速功能，根据流量智能自动生成流量阈值。
14. 支持集中管理平台进行集中管理并可针对特征库统一升级，支持针对设备分组管理以及策略分组下发。
15. 支持三权分立的管理，系统管理员、审计管理员、账号管理员，可以根据管理账号角色的不同，分配不同的权限。
16. 支持手动、自动导出报表功能，提供时间端，报表类型，分析维度，报表模块，归属地，攻击源ip等因素的报表导出
17. 提供5年产品硬件质保，5年产品规则库升级服务

5

下一代防火墙

1. ★性能参数：网络层吞吐量≥100G，应用层吞吐量≥40G，IPS吞吐量≥24G，并发连接数≥2000万，HTTP新建连接数≥80万；
2. ★硬件参数：尺寸≥2U硬件设备，内存≥96G，硬盘≥64G SSD+960GB SSD，网口：千兆电口≥4个，千兆光口≥4个，万兆光口≥8个（含16个万兆光模块）；
3. ★产品至少包含IPS功能、WAF功能。
4. 产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式，适应复杂使用环境的接入要求；
5. 支持对ICMP、UDP、DNS、SYN等协议进行DDOS防护；
6. 支持静态路由和多播路由，支持RIP、OSPF、BGP等动态路由协议；
7. 支持IPv4/IPv6双栈工作模式，以适应IPv6发展趋势；
8. 产品支持多维度安全策略设置，可基于时间、用户、应用、IP、域名等内容进行安全策略设置；
9. 提供设备生产厂商5年特征库与保修服务。

6

下一代防火墙

1. ★标准机架式设备，≥16个10/100/1000自适应电口（2对bypass），≥8个SFP接口，≥2个SFP+接口，≥1个接口扩展槽位，≥1个RJ45 Console接口，≥2个USB接口，≥1个MGT口，≥1个HA口，交流双电源；提供至少五年硬件保修、应用识别库升级和软件升级维护服务。
2. ★吞吐率(bps)≥20Gbps，最大并发连接数≥600万，每秒新建连接数≥14万，提供IPSec VPN隧道数≥*****条，提供≥8个SSL VPN并发用户数，SSL VPN并发用户数支持扩展到*****个。
3. 支持IPv4以及IPv6路由能力，需要支持OSFP、BGP、RIP、ISIS等路由协议，同时支持策略路由以及ISP路由并内置多运营商路由表，支持EBGP的multipath-relax以及PIM-SSM等特性。
4. 支持安全策略冗余检测，策略时间表有效性检测，实现对策略优化检查。支持安全策略冗余检测，策略时间表有效性检测，实现对策略优化检查。支持攻击防护，包含SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、ARP欺骗攻击，扫描与欺骗等，支持告警、丢弃两种模式，对不同安全域可设定不同阈值和处理模式。提供策略助手功能，通过安全策略开启流量自学习，生成访问控制精细化策略，细化到协议端口，提升管理员策略运维效率。支持微型策略满足云数据中心访问控制需求，仅使用源/目的地址、协议、目的端口、源/目的安全域作为流量的过滤条件、允许或拒绝处理动作的精简化的策略规则。支持基于源MAC、目的MAC地址的二层访问控制策略，支持正向、反向和双向流量匹配，支持通过和丢弃动作。支持一体化安全策略，实现在一条策略中配置五元组信息、应用、时间表、安全引擎（入侵防御、URL过滤、病毒过滤），可显示策略命中数及策略实时会话详情。支持IP黑名单批量导入功能，满足重保、演练、护网场景下IP黑名单手动导入和FTP自动更新，导入模式支持增量导入和覆盖导入。
5. 支持ISP路由表静态方式、基于链路质量探测的动态方式两种结合的方式实现链路负载。
6. 要求所投产品具备IPSec VPN\SSL VPN\L2TP VPN\GRE VPN等VPN技术，无需额外购买许可，且SSL VPN具备USB-KEY认证的能力。在SCVPN场景下，支持本地用户或RADIUS认证用户通过口令+邮件验证码的方式进行认证。
7. 要求所投产品支持应用类别、风险等级、应用技术等多维度的应用定义，支持自定义应用以及应用组，可联动云平台实时更新应用特征库，并可基于深度应用识别进行应用访问控制。
8. 支持SSO功能，用户在认证系统认证通过后，防火墙通过多种方式获取其认证信息，之后该用户不需要再次在设备上进行认证，即可实现对已认证用户进行访问控制与审计；支持无Agent方式的AD SSO以及通过SSO Monitor标准协议等进行认证用户同步。
9. 支持文件过滤，可对文件名称、文件类型、文件传输协议方式进行参数设置，并支持记录日志和阻断，防止敏感文档文件外泄。支持内容过滤功能，可对网页关键字、Web外发信息、邮件收发件人内容和FTP、HTTP、TELNET应用关键字、请求行为等进行记录日志和阻断。
10. 支持上网行为审计，可对QQ、微信、新浪微博IM软件流量行为进行审计。
11. 支持智能移动终端安装APP的方式对设备进行管理，通过扫描二维码方式简便安装，手机APP软件可实现设备移动运维，支持对设备状态、流量、攻击的信息进行分析。支持基于标准SYSLOG文本以及二进制的日志两种格式 二进制日志支持分布式存储到多台日志服务器。支持管理员可信管理主机设置，支持以IP地址、MAC地址进行限制，可对登录协议进行设置。
12. 提供3年硬件保修、应用识别库升级和软件升级维护服务。