功能项 | 详细功能要求 |
产品要求 | 所投产品必须为下一代防火墙,非UTM或其他产品,产品采用X86多核及自主知识产权的多核并行安全操作系统构成;(提供相应资质证明);配备1年应用特征库升级许可;3年描查杀病毒库升级服务许可; |
为保障系统运行的可靠性与稳定性,要求信息安全设备、系统软件的开发、生产符合TL9000-HSV R6.3/R5.7标准,提供认证证书复印件; |
性能指标 | 防火墙吞吐≥20Gbps,应用(HTTP)吞吐量≥16 Gbps,每秒新建连接数≥16 万,并发连接数≥500万;用于HIS等业务系统服务群安全防护 |
硬件指标 | 机箱高度≤2 U,默认配置6 个千兆电口,4个千兆光口,4个万兆光口,配置交流冗余电源,配置1T硬盘; |
工作模式 | 支持路由、交换、虚拟线、Listening、混合工作模式; |
路由交换 | 支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由; |
链路聚合 | 支持链路聚合,可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法; |
支持具备多核下子连接并发识别与处理的能力,有效的提高了从控制连接中识别子连接并进行后续处理的性能,有效的提高了系统的并发处理能力。 |
DNS Doctoring | 支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡; |
媒体业务 | 支持SIP协议的媒体业务接入,实现内外网媒体系统之间上联和下联安全防护,符合GB/T 28181-2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》; |
访问控制 | 支持一体化安全策略配置,通过一条策略实现五元组、源MAC、域名、地理区域、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、WAF、URL过滤、邮件安全、数据过滤、文件过滤、审计、APT等功能配置,简化用户管理; |
提供策略命中、冗余、冲突、包含检查及策略查询功能,支持五元组快速查询以及针对策略名、源/目的区域、源/目的地址、服务、对象、未命中时间等条件进行细粒度查询; |
支持资源利用最大化,具备提高防火墙芯片硬件加速性能的能力 |
应用控制 | 内置P2P应用(提供P2P流量识别能力相关权威证明材料)、加密应用(提供截图与加密流量识别相关能力权威证明材料)、数据库应用、工控物联网协议等应用特征库;支持应用特征库在线或本地更新,支持自定义应用特征; |
URL分类过滤 | 支持超过80类、1000万的URL地址分类库,可针对网站类别实施管控,杜绝非法、违规网站的访问行为; |
文件过滤 | 内置文件过滤引擎,支持HTTP/FTP/SMTP/POP3等标准协议进行检测,识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤; |
内容过滤 | 内置内容过滤功能,可对FTP上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等信令以及邮件发件人、收件人、主题、内容、附件等进行过滤; |
黑名单 | 支持将五元组、源MAC、地址范围、应用、用户等加入静态黑名单,可与URL过滤、病毒过滤、防代理功能进行联动实现动态黑名单封锁,(提供截图证明)支持静态和动态黑名单命中统计和监控; |
防代理 | 内置防代理功能,阻断网络用户通过代理主机进行攻击、共享上网等行为; |
连接控制 | 支持连接控制和监控,可对源/目的地理对象、应用制定连接限制策略,可展示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息; |
入侵防御 | 支持独立的入侵防护规则特征库,规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类,特征总数在5000条以上;能对常见漏洞进行安全防护,兼容国家信息安全漏洞库; |
入侵防护动作包括告警、阻断、记录攻击报文,支持针对地址、应用设置入侵防御白名单,支持攻击规则搜索以及自定义,可对自定义规则导入导出; |
厂商需具备强大的漏洞和攻防研究能力,为CNNVD一级支撑单位,能够确保每周至少更新1次攻击特征库; |
病毒防御 | 支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御;支持至少2种专业反病毒厂商的病毒特征库(提供至少2家专业防病毒厂商或研究机构的合作文件复印件),病毒特征库规模超过400万 |
联动阻断 | 为提高服务器区针对SQL注入攻击等行为防范能力,设备支持与用户现有数据库审计系统TA-DB联动功能。从而可以实现由TA-DB系统进行监听,由联动防火墙进行阻断的安全策略; |
DDOS防御 | 支持针对IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议进行DDOS防护; |
支持基于UDP协议的检测清洗,包括对源、目的限速,对UDP最大及最小报文限制;支持UDP关联认证,对源地址进行合法性认证; |
支持DNS FLOOD防护,能对DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒、DNS格式等攻击提供DNS REPLY源认证、源限速、目的限速、域名限速等综合防护手段; |
支持NTP流量检测清洗,能对NTP QUESY FLOOD、NTP REPLY FLOOD等攻击进行检测并提供基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略; |
邮件安全 | 内置邮件安全防护功能,可进行匿名发件人、收发件人同名、非标客户端、收/发件人频率、收/发件IP频率、邮件长度、附件名称、附件数量检测,支持黑、白名单检测; |
IPSEC VPN | 支持IPSec VPN功能,支持AES、DES、3DES、MD5、SHA-1等VPN加密、认证算法,支持对隧道内网络流量进行监控展示; |
SSL VPN | 支持SSL VPN功能,满足远程用户安全接入内网,支持windows、Android、iOS等远程客户端接入; |
配置维护 | 支持多个配置文件并存,配置文件备份能力不少于4个;配置文件支持选择部分配置和全部配置导入导出; |
升级维护 | 支持主、备双系统以及多个系统版本文件并存,系统版本数量不少于5个; |
审计 | 支持独立审计策略,可对URL地址、网页标题、网页内容、邮件行为、邮件内容、FTP上传/下载行为及文件内容进行审计; |
提供完善的审计数据查询功能,可对用户访问网站、邮件收发、论坛微博、FTP、TELNET等上网行为以及用户上网流量时长等内容进行查询; |
日志 | 支持日志本地存储,可对不同类型日志设置存储空间,支持日志外发至多个服务器,可设置日志传输协议、时间类型、日志语言、是否合并及加密传输等参数; |
设备状态 | 支持对设备CPU、内存、磁盘、整机流量、新建、并发进行统计,展示设备CPU、内存、硬盘实时利用率及其历史走势图; |
流量统计 | 为方便用户运维管理,设备支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数; |