2、具有独立承担民事责任的能力、良好的商业信誉和健全的财务会计制度;具有履行合同所必备的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录。参加政府采购活动前三年内,在经营活动中没有重大违法记录。
供应商如在“信用中国”(www.creditchina.gov.cn)、“中国政府采购网”(www.ccgp.gov.cn)出现不良信用记录,不得参与本次政府采购活动。
指标项 | 技术规格要求 |
规格 | ★标准2U专用千兆硬件平台 |
接口要求 | ★≥2*GE电口,≥2*10GE光口,≥4*GE电口,最大支持网口数:8个 |
电源 | ★1+1冗余电源 |
部署方式 | #设备采用旁路部署,不得影响业务环境;支持高可用部署,HA秒级切换 |
用户管理 | 支持用户多角色划分功能,如系统管理员、部门管理员、运维员、审计管理员、密码管理员等,对各类角色需要进行细粒度的权限管理 |
支持用户的批量导入/导出,按用户类型等分组方式;支持用户安全策略功能,如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等 |
支持按部门组织架构(至少5个层级的部门)管理用户数据、资产数据、授权数据、审计数据;每个部门的审计管理员可以管理本部门及下级部门的运维会话日志 |
身份认证 | 支持与AD、LDAP、RADIUS系统联动登录堡垒机 |
支持与get、post、soap发送方式的http短信网关平台进行联动,实现短信动态口令双因素认证机制,如与阿里云短信服务、SendCloud联动 |
支持手机APP动态口令认证方式登录堡垒机,且新用户首次登录后需强制绑定APP动态口令 |
堡垒机须内嵌动态令牌和usbkey认证引擎,可同时使用动态令牌和USBkey |
设备管理 | 支持常用的运维协议:SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin;可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具 |
支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机 |
IE代填应用发布:HTTP/HTTPS协议的web设备,且可以直接代填账号和密码 |
可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机 |
支持对设备进行按设备类型分组、按部门分组,支持设备批量导入/导出 |
支持设备帐户和密码的自动登录、手工登录、二次自动登录模式 |
支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,甚至可自动完成授权 |
自动改密 | 支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能 |
支持完善的自动改密安全保护机制,包括:改密前备份、备份失败不改密、改密后备份、密码文件加密;支持发送方式,包括邮件、FTP、SFTP等 |
支持自动密码恢复、手工验证密码、密码强度控制等 |
运维方式 | Web访问方式:至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具 |
支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具 |
客户端访问方式:支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备,视图界面一致性、搜索能力 |
支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备 |
支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备 |
支持在mac电脑里使用navicat工具通过堡垒机登录mysql、oracle等数据库服务器 |
AD/LDAP环境,支持直接使用登录堡垒机的AD/LDAP用户及密码可以直接自动登录到服务器里 |
审计日志 | 支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细行为日志 |
支持保存SSH的sz/rz命令(zmodem)传输的原始文件 |
支持保存SFTP/FTP传输的原始文件 |
支持审计主流数据库(如DB2、oracle、mysql、sql server)运维中的SQL语句,可进行关键信息定位查询 |
支持全局搜索审计日志,无需区分图形/字符/文件/应用类型,只需通过关键信息直接搜索定位 |
审计数据支持通过SFTP/FTP方式自动归档,并在页面中可以查询哪些数据是否归档,可以设置归档成功之后自动删除数据,归档后的数据可以用专用播放器离线查看 |
安全策略 | 支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略,授权用户可访问的目标设备 |
对重要设备启用登录审核功能,运维人员须向管理员申请登录,管理员允许之后才可登录,否则无法登录 |
支持自动推送命令任务,如可自动备份交换机/路由器的配置信息、可自动执行周期任务;并将结果以邮件/FTP/SFTP的方式发送给相关管理员 |
支持运维空闲会话时间全局设置限制功能 |
报表统计 | 内置丰富的报表统计模板,可点击柱状图、饼状图或曲线图进行数据钻取分析,且支持PDF、doc、html格式导出 |
内置根据运维人员和组生成各种维度的分析报表,维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数,分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供报表 |
支持运维报表自动定期发送,提供一键导出符合等级保护、SOX法案要求的综合分析报告 |
系统管理 | 支持自身审计,包括但不限于:系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等 |
支持系统日志报表统计功能,包括但不限于登录日志统计、配置日志统计、运维访问日志统计等,可以导出报表 |
支持邮件/syslog方式输出告警日志 |
支持SNMP方式输出系统信息 |
产品资质 | #具有公安部颁发的《计算机信息系统安全专用产品销售许可证》,提供证书复印件 |
指标项 | 技术规格要求 |
配置要求 | ★千兆电口≥16;千兆Combo接口≥8;光口≥2;SSL VPN并发数≥960;IPSec VPN隧道≥3960;虚拟防火墙数量≥95;配置1个电源,可扩展双电源 |
硬件架构 | #设备形态1U;采用多核架构;自研芯片(提供官网截图);支持交流双电源(提供证明截图);支持风扇可插拔(提供证明截图);支持前后风道(提供证明截图) |
接口要求 | ★千兆电口≥16;千兆Combo接口≥8;万兆光口≥2;千兆WAN口≥2;USB口≥2,支持USB2.0、USB3.0(提供设备照片) |
性能要求 | ★吞吐量≥4Gbps,最大并发连接数≥380万,每秒新建连接数≥7.5万,IPSec吞吐量≥2.5Gbps,SSL_VPN吞吐量≥450Mbps,IPS吞吐量≥2Gbps,SSL代理吞吐量≥450Mbps |
策略管控 | 能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、端口、域名组、URL分类、接入类型、终端类型、设备组、内容安全统一界面进行安全策略配置 |
路由功能 | 支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议 |
策略路由支持的匹配条件:源IP/目的IP,服务类型,应用类型,用户(组),入接口,DSCP优先级 |
IPV6 | 支持IPv6协议栈、IPV6穿越技术、IPV6路由协议 |
支持IPv6 over IPv4 GRE隧道,6RD隧道。 |
协议识别 | 可识别应用层协议数量≥5000种;支持识别国标SIP协议及主流安防厂家的私有协议 |
流量控制 | 可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等 |
支持流量整形 |
支持基于地理位置的流量和威胁分析 |
策略管理 | 支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。 |
支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余策略,提供安全策略优化建议 |
支持与firemon对接,实现策略的命中,冗余分析及风险调优 |
支持与algosec对接,实现策略的命中,冗余分析及风险调优 |
数据安全 | 支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配 |
支持在本地部署URL服务器实现URL过滤 |
支持DNS过滤,提高WEB网页过滤的性能 |
支持SafeSearch,过滤掉Google搜索引擎返回的不健康的内容 |
DDoS防护 | 支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略 |
支持IP信誉 |
NAT | 支持全面NAT功能,对多种应用层协议支持ALG功能,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS等 |
支持源NAT自动探测并排除NAT-IP地址池中无效地址(防封杀) |
支持三元组NAT smart-fullcone |
支持源NAT地址池使用率超限告警 |
入侵防御及病毒防护 | 基于特征检测,支持超过8000种特征的攻击检测和防御 |
支持基于场景进行策略入侵防御的模板定制 |
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能 |
IPS检出率获得NSS推荐级 |
支持恶意域名过滤,实现对C&C进行阻断 |
可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护。 |
加密流量安全防护 | 支持对HTTPS,POP3S,SMTPS,IMAPS加密流量代理解密后,并进行内容过滤,审计,安全防护 |
支持基于URL分类的精细化解密,提高解密性能 |
支持加密流量解密后镜像给第三方设备做审计,安全检测 |
集中管理及易用性 | #支持防火墙向云管理平台自动注册,云管理平台对防火墙进行统一的管理及运维 |
支持U盘升级,减少运维成本 |
开放RESTCONF,NETCONF等北向接口,对接第三方的管理平台 |
智能威胁防御 | #支持与云沙箱联动,实现对APT攻击的防御功能 |
#支持与本地沙箱联动,实现对APT攻击的防御功能。 |
支持防火墙内置流探针,对网络中的流量进行采集,上送网络安全智能分析系统进行威胁分析 |
上网用户认证 | 支持AD单点登录,Radius单点登录,NTLM认证,免认证,与认证服务器配合实现微信认证,MAC认证 |
支持Portal页面定制及调查问卷,进行营销推广 |
可靠性 | 支持BFD链路检测,支持BFD与VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换 |
支持HA平滑升级,升级窗口中支持不同版本的软件形成双机热备 |
支持跨数据中心集群,满足数据中心双活,多活场景 |
多出口智能选路 | 可根据目的地址智能优选运营商链路,支持主备接口配置以及按比例分配的负载分担方式 |
产品资质 | #具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》(USG6000E/V6 增强级),提供证书复印件 |
#具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》(USG6000E(千兆)/V6),提供证书复印件 |
指标项 | 技术规格要求 |
配置要求 | ★千兆电口≥16;千兆Combo接口≥8;万兆光口≥2;千兆WAN口≥2; SSL VPN并发数≥460;IPSec VPN隧道≥3900;虚拟防火墙数量≥50;配置1个电源,可扩展双电源 |
硬件架构 | #设备形态1U;采用多核架构;自研芯片;(提供官网截图);支持交流双电源(提供证明截图);支持风扇可插拔(提供证明截图);支持前后风道(提供证明截图) |
接口要求 | #千兆电口≥16;千兆Combo接口≥8;万兆光口≥2;千兆WAN口≥2;USB口≥2,支持USB2.0、USB3.0(提供设备照片) |
性能要求 | ★吞吐量≥2Gbps,最大并发连接数≥290万,每秒新建连接数≥7万,IPSec吞吐量≥1.5Gbps,SSL_VPN吞吐量≥280Mbps,IPS吞吐量≥1.3Gbps,SSL代理吞吐量≥270Mbps |
策略管控 | 能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、端口、域名组、URL分类、接入类型、终端类型、设备组、内容安全统一界面进行安全策略配置 |
路由功能 | 支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议 |
策略路由支持的匹配条件:源IP/目的IP,服务类型,应用类型,用户(组),入接口,DSCP优先级 |
IPV6 | 支持IPv6协议栈、IPV6穿越技术、IPV6路由协议 |
支持IPv6 over IPv4 GRE隧道,6RD隧道。 |
协议识别 | 可识别应用层协议数量≥5000种;支持识别国标SIP协议及主流安防厂家的私有协议 |
流量控制 | 可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等 |
支持流量整形 |
支持基于地理位置的流量和威胁分析 |
策略管理 | 支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维 |
支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余策略,提供安全策略优化建议 |
支持与firemon对接,实现策略的命中,冗余分析及风险调优 |
支持与algosec对接,实现策略的命中,冗余分析及风险调优 |
数据安全 | 支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配 |
支持在本地部署URL服务器实现URL过滤 |
支持DNS过滤,提高WEB网页过滤的性能 |
支持SafeSearch,过滤掉Google搜索引擎返回的不健康的内容 |
DDoS防护 | 支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略 |
支持IP信誉 |
NAT | 支持全面NAT功能,对多种应用层协议支持ALG功能,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS等 |
支持源NAT自动探测并排除NAT-IP地址池中无效地址(防封杀) |
支持三元组NAT smart-fullcone |
支持源NAT地址池使用率超限告警 |
入侵防御及病毒防护 | 基于特征检测,支持超过8000种特征的攻击检测和防御 |
支持基于场景进行策略入侵防御的模板定制 |
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能 |
IPS检出率获得NSS推荐级 |
支持恶意域名过滤,实现对C&C进行阻断 |
可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护。 |
加密流量安全防护 | 支持对HTTPS,POP3S,SMTPS,IMAPS加密流量代理解密后,并进行内容过滤,审计,安全防护 |
支持基于URL分类的精细化解密,提高解密性能 |
支持加密流量解密后镜像给第三方设备做审计,安全检测 |
集中管理及易用性 | #支持防火墙向云管理平台自动注册,云管理平台对防火墙进行统一的管理及运维 |
支持U盘升级,减少运维成本 |
开放RESTCONF,NETCONF等北向接口,对接第三方的管理平台 |
智能威胁防御 | #支持与云沙箱联动,实现对APT攻击的防御功能 |
#支持与本地沙箱联动,实现对APT攻击的防御功能。 |
支持防火墙内置流探针,对网络中的流量进行采集,上送网络安全智能分析系统进行威胁分析 |
上网用户认证 | 支持AD单点登录,Radius单点登录,NTLM认证,免认证,与认证服务器配合实现微信认证,MAC认证 |
支持Portal页面定制及调查问卷,进行营销推广 |
可靠性 | 支持BFD链路检测,支持BFD与VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换 |
支持HA平滑升级,升级窗口中支持不同版本的软件形成双机热备 |
支持跨数据中心集群,满足数据中心双活,多活场景 |
多出口智能选路 | 可根据目的地址智能优选运营商链路,支持主备接口配置以及按比例分配的负载分担方式 |
产品资质 | #具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》(USG6000E/V6 增强级),提供证书复印件 |
#具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》(USG6000E(千兆)/V6),提供证书复印件 |
指标项 | 技术规格要求 |
部署方式 | ★支持分布式部署与集中式(AllInOne)部署模式,产品客户端和服务器之间,采用私有协议进行通讯,或通过SSL协议进行保护 |
硬件要求 | ★采用独立的硬件,每台服务器配置不低于:2*10核2.2GHz CPU;内存不少于32G;硬盘不少于1.2TB SAS,24TB SATA |
性能要求 | ★最大日志源数为不低于1500个;二进制会话日志均值不少于250,000 EPS;文本日志均值不少于15,000EPS |
#支持日志压缩存储;支持通过二进制会话、Syslog、Dataflow、Netflow、FTP |
日志报表 | 系统支持根据日志特征对防火墙的Syslog日志进行如下分类:攻击防范、流量监控、黑名单、地址绑定、操作命令、防火墙登录、策略命中、内容过滤和其它 |
支持用户上网行为报表,支持对用户上网行为中的WEB访问、邮件收发、IM使用、上网时长进行统计和分析 |
支持用户威胁报表,支持对攻击、病毒等威胁事件的统计和分析 |
支持创建周期报表任务,支持用户自定义周期报表任务 |
审计和分析 | 支持多维度Dashboard:入侵防御趋势分析、入侵防御事件排行、攻击防范事件趋势、入侵防御目的IP排行、病毒事件目的IP排行、病毒事件趋势、策略趋势、URL分类排行、日质量趋势、采集器CPU性能、采集器内存性能、分析器CPU性能、分析器内存性能等 |
厂商资质 | #具有中国信息安全认证中心颁发《信息系统安全集成服务资质》(一级),提供证书复印件 |
指标项 | 技术规格要求 |
架构 | ★产品必须为标准机架的专业IPS设备,不能提供防火墙或UTM的IPS功能 |
硬件能力 | ★业务口≥16*GE 电口+8*Combo口+2*独立WAN口+2*10GE SFP+;支持1个GE独立管理口,1个Console口,2个USB口 |
#支持本地硬盘存储日志信息和查看报表,容量不少于240G,硬盘类型支持SSD |
支持配置双电源模块,电源支持热插拔 |
性能要求 | ★IPS检测吞吐量≥2Gbit/s;每秒新建连接数≥8万;最大并发连接数≥400万 |
部署方式 | #部署方式灵活,支持透明直路部署模式、旁路部署模式;单台设备支持IDS/IPS混合部署方式,实现部分接口旁路检测,部分接口对直路防护,设备支持单臂部署方式,可以旁挂在二层或者三层设备上进行入侵防御 |
路由 | 支持静态路由、策略路由,OSFP、BGP、ISIS等路由 |
可靠性 | 支持双机热备、支持主主部署模式、主备部署模式 |
入侵防护 | 能够防范各种应用层攻击,包括但不限于:后门程序,木马程序,间谍软件,蠕虫,僵尸主机,异常代码,协议异常,扫描,可疑行为审计类等, 能够对跨站攻击、SQL注入等WEB攻击行为进行有效防护,系统预定义入侵防御签名库数量不得少于7500条,支持用户自定义签名规则,支持正则表达式 |
报文检测类型 | 支持对VLAN、IPv4、MPLS、GRE、IPv6、IPv4 over IPv6、IPv6 over IPv4报文的入侵防护,支持SSL加密流量检测 |
应用识别及控制 | 支持对P2P,IM,网络游戏,炒股软件,语音聊天工具,流媒体,常用邮件以及远程控制软件等的识别和控制;支持不少于6000种的应用识别能力 |
DDoS防护 | 支持SYN Flood、SYN ACK、UDP Flood等DDoS防护,支持HTTP Flood、 HTTPS Flood等应用层DDoS防护 |
防病毒功能 | 支持对SMTP、POP3、HTTP、FTP协议实现病毒扫描检测 |
APT防护 | #支持与沙箱,云沙箱混合联动,对含有未知威胁的文件进行检测,并能阻断 |
系统管理 | 支持基于部署场景的策略模板,提供调整优化后的策略配置,支持分权分域管理 |
报表 | 支持安全威胁的分析报表,提供基于威胁趋势、排行等呈现方式,支持接口流量、应用流量的分析报表,支持按日、周、月、导出报表 |
产品资质 | #具有公安部颁发的入侵防御系统《计算机信息系统安全专用产品销售许可证》 NIP6000E/V6(三级),提供证书复印件 |
#具有中国信息安全认证中心颁发的《IT产品信息安全认证证书》,提供证书复印件 |
指标项 | 技术规格要求 |
硬件架构 | ★标准型2U机型,标配6个千兆电口,可扩展4电口或4光口插卡,1T硬盘,支持不低于持10个并发任务,支持并发扫描不低于60主机 |
总体要求 | #支持系统扫描、Web扫描、数据库扫描、安全基线检测、弱口令扫描在内的五大扫描能力 |
#产品支持分布式部署、层级管理,上级管理中心下发扫描任务到下级引擎并进行集中查询、分析 |
最大支持添加无限个资产扫描 |
支持HTTPS安全访问方式;支持信任访问管理,自定义限制可访问主机网段或IP,支持限制扫描IP范围 |
任务管理 | 支持针对已经新建的任务做任务复制,快速生成一个相同任务,支持对复制出来的任务进行再编辑,包括:扫描目标、扫描策略、任务调度、扫描参数 |
支持IPV4、IPV6双协议栈地址扫描 |
扫描能力 | 支持近10万条系统特征库,支持特征库涵盖标准包含CVE、CVSS、CNVID、CNNVD等 |
支持SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC等登录扫描 |
支持系统登陆验证功能,验证授权登陆正常 |
支持自动探测网段的未知站点,并转为资产进行web扫描 |
支持Web登陆扫描,支持Cookie/Session认证、Form认证、Basic认证、NTLM认证、Digest认证和SSL证书认证 |
支持三种漏洞验证方式:浏览器验证、注入验证、通用验证 |
支持网页挂马、暗链、表单绕过、弱口令、敏感文件和目录、信息泄露、恶意编码、第三方软件、中间件漏洞、CGI漏洞检测 |
支持主流数据库漏洞的检测,Postgres、Oralce、MySQL、MsSQL、DB2、Informix、Sybase |
支持数据库登录扫描,包括数据库账号,密码,SYSDBA、SYSOPER、NORMAL认证,SID、数据库名称、实例名称及实例号等登录选项的设置 |
支持数据库在线授权登陆验证,支持报表导出功能,可以导出Excel、Word、HTML、Pdf、XML5种格式的报表 |
支持多种协议的弱口令扫描:TELNET、FTP、SSH、POP3、SMB、SNMP、RDP、SMTP、REDIS、Oracle、MySQL、PostgreSQL、MsSQL、DB2、MongoDB |
报表管理及告警 | 报表具备导出功能,可导出Excel、Word等格式 |
支持邮件告警、短信告警、SNMP Trap告警、SYSLOG等告警 |
支持根据端口、漏洞、厂商信息、 IP地址等对主机漏洞情况进行查询及保存 |
资产管理 | 支持资产自动发现功能,利用历史扫描过程中所发现的在线主机信息,添加部门资产 |
支持对资产进行导出备份及恢复 |
升级管理 | 支持远程自动升级以及本地升级最新特征库 |
支持通过Proxy定期更新特征库 |
日志管理 | 支持日志存储监控及告警功能 |
支持记录系统及设备的操作记录 |
产品资质 | #具有公安部颁发的《计算机信息系统安全专用产品销售许可证》 web应用安全扫描(三级),提供证书复印件 |
指标项 | 技术规格要求 |
配置要求 | ★千兆电口≥12,万兆光口≥12,40GE接口≥2,配置交流双电源 |
硬件架构 | ★采用多核分布式硬件架构,1U高度 |
性能要求 | #DDoS清洗性能最高可达80Gbps |
单包攻击 | 支持畸形包攻击防御:包括Land、Smurf、Fraggle、Tear Drop、Winnuke;扫描攻击防御:地址扫描,端口扫描 |
网络层DDoS | 支持网络层DDoS攻击防御: Syn Flood,Syn-Ack Flood,Ack Flood,Fin/Rst Flood,TCP Fragment Flood,UDP Flood,UDP Fragment Flood,ICMP Flood等 |
HTTPS应用DDoS | HTTPS应用DDoS攻击防御:HTTPS Flood,SSL-DoS,SSL-DDoS |
DNS应用DDoS | 支持DNS应用DDoS攻击防御:DNS Query flood,DNS Reply Flood, DNS权威服务器攻击防护, DNS cache功能, DNS源限速,DNS域名限速,DNS漏洞过滤 |
引流 | 支持策略路由,OSPF、ISIS、BGP等多种动态路由引流方式 |
回注 | 支持策略路由回注,MPLS VPN回注,MPLS LSP回注,GRE Tunnel回注,二层回注等多种回注方式 |
IP信誉 | 全球最活跃的500万僵尸主机,支持每日自动更新,快速阻断攻击;支持本地业务访问IP信誉,基于本地业务访问会话建立动态IP信誉,快速转发业务访问流量 |
告警 | 支持账号管理和权限分配功能;支持设备性能监控功能;支持短信和邮件告警;支持日志转储功能 |
产品资质 | #具有公安部颁发的DDoS产品《计算机信息系统安全专用产品销售许可证》,提供证书复印件 |
#具有国家版权局颁发的异常流量清洗系统《计算机软件著作权登记证书》,提供证书复印件 |
指标项 | 技术规格要求 |
硬件规格 | ★机架式独立硬件设备,系统硬件为全内置封闭式结构,稳定可靠,加电即可运行,启动过程无须人工干预 |
★多核架构设计,采用模块化结构设计 |
#最大功率≤25W;支持硬件Bypass模块,在设备断电、重启时,可自动切换到Bypass状态,当设备恢复时,可自动切换回工作状态 |
★支持Combo千兆接口数量≥4,10M/100M/1000M自适应电接口数量≥14,千兆接口总数≥18,接口无路由/交换/LAN/WAN等固化区分,均可作为二三层接口使用,支持多桥组部署 |
性能 | ★网络吞吐量≥4.9Gbps;应用性能≥120Mbps;最大并发连接数≥191万;内存≥2G;最大用户数≥1000 |
部署模式 | 支持路由模式、透明(网桥)模式、混合模式,支持镜像接口,部署模式切换无需重启设备 |
NAT | 支持源地址转换、目的地址转换、双向地址转换 |
路由支持 | 支持静态路由、策略路由、RIP、OSPF、ISP路由,其中ISP路由支持自定义,并可提供基于应用的策略路由 |
IPv6 | 支持接入IPv6网络 |
支持配置基于用户和应用均为任意的7元组的IPv6策略 |
应用协议识别 | 支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;支持BYOD特征库,可识别ios版和安卓版移动互联网软件如微博、微信等特征;支持基于IP、端口等自定义协议服务;应用特征库可提供在线升级和手动升级 |
URL过滤 | 内置URL分类库,支持≥56个URL分类,URL库可在线升级 |
支持自定义URL过滤,并支持URL的模糊匹配,提供web界面配置截图 |
可广泛识别恶意网站、违法网站 |
用户行为审计 | 支持自定义关键字对象,提供多种匹配模式,匹配类型包含关键字和数字 |
支持即时通讯应用管控的精细化管理,例如微信的“所有行为”、“语音”、“发消息”、“收消息”、“登录”、“发文件”等行为 |
支持网络社区应用管控的精细化管理,例如可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为 |
支持收集网站访问日志,记录用户所有访问网站行为;支持收集搜索引擎日志,记录用户的搜索内容;支持收集IM通讯软件日志,记录用户登录、注销、收发消息、收发文件等行为;支持收集邮件日志,记录邮件发件人、收件人、主题、正文、附件等信息 |
支持基于IP、端口、协议、URL对应用自定义 |
流量管理 | 支持通道化的QoS,支持基于源地址、用户、服务、应用、时间进行带宽控制,并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、流量限额、带宽优先级等QoS动作,时间选择支持基于日计划、周计划、单次计划等。支持流量限额以日、月为单位配置 |
支持4级层次化QoS、支持多级用户/用户组嵌套 |
支持用户(用户组)+应用(应用组)+时间等条件的组合进行多线路带宽管理 |
用户认证功能 | 支持WEB Portal认证功能,支持本地认证、Radius认证、LDAP认证 和LDAP用户同步,支持对接AAS、SAM等常见AAA服务器,支持配置强制重新认证间隔,支持配置认证通过后重定向URL,要求本机自身支持短信认证功能 |
支持认证页面自定义 |
支持微信认证功能,使用微信连WiFi2.0接口,限制微信流量放通(移动端,认证通过放通),支持基于http获取access_token,支持微信内部浏览器http弹portal强制关注功能(定时检查用户是否关注公众号) |
支持短信认证,登录后方可认证上网 |
用户管理 | 支持同步LDAP用户,支持AD域单点登录,标准AD服务器和OPEN LDAP服务器的用户导入,支持针对同步的用户和用户组配置策略 |
支持与AD 的自动同步用户,支持定时、配置及手动同步第三方用户 |
支持自新建、移动、删除和搜索用户、用户组,支持模糊搜索用户名、用户组名 |
支持用户批量移动功能,支持一键删除所有的用户,用户组 |
支持针对管理员开启双因子认证 |
双机热备 | 支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN状态、特征库,支持配置抢占模式和抢占延时,支持配置HA监控接口 |
支持地址代理 |
支持非对称路由 |
系统维护 | web管理界面支持Ping、Traceroute、TCP Syn诊断工具,可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分析 |
支持命令行、界面管理端口的自定义 |
系统日志要求 | 支持本地日志记录和远程日志输出,支持专用的日志审计管理软件,支持中文日志,支持审计日志导出 |
资质要求 | #具有公安部颁发的《计算机信息系统安全专用产品销售许可证》,提供证书复印件 |
#具有公安部颁发的《互联网公共上网服务场所信息安全管理系统(无线接入前端)》,提供证书复印件 |
