防火墙招标参数.DOC

1、防火墙招标参数（参考型号：天融信 NGFW4000（TG-4508） ）指标 指标项 规格要求专用的硬件和软件保障采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；专用的安全操作系统具有自主知识产权；硬件设备可以机架安装。双操作系统 采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。软件模块化设计 软件采用模块化结构设计，可以根据需要组合，可以扩展 IPSEC VPN，SSL VPN，防病毒、安全审计等功能。硬件模块化设计 硬件采用模块化设计，设备在用户现场就可以进行接口的扩展。端口数量和扩展能力 1U 机型，配置为 4 个 10/100

2、/1000MBase-T 端口，4 个 SFP 插槽 标配双电源工作环境 工作温度、湿度：温度 040 摄氏度，相对湿度 10 90%，非冷凝； 存储温度：-4070 摄氏度； 电源：AC100240V，频率：4763HZ； 功率：90W( 最大)设备基本要求MTBF 不少于 80000 小时网络吞吐量 2.5Gbps最大并发连接数 160 万每秒最大新建连接数 1.8 万性能要求VPN 最大隧道数 无限网络部署 工作模式 支持透明、路由、混合、直连（虚拟线）模式内容过滤框架采用完全内容检测（Complete Content Inspection）技术。支持基于流、数据包、透明代理的过滤方式。

3、支持对 HTTP、SMTP、POP3、IMAP、FTP 等协议的深度内容过滤。支持 DNS 过滤。支持 DNS 中继。支持 web 重定向。支持伪装 http 连接识别。支持 RSH 命令过滤。支持 telnet 命令过滤。支持对移动代码如 Java applet、Active-X 、VBScript、Java script 的过滤。支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。支持反垃圾邮件功能（用户配置黑白名单），支持反垃圾邮件功能实时黑名单（RBL），支持反垃圾邮件功能反向 DNS 解析（RDNS），支持反垃圾邮件功能灰

4、名单，支持 ftp 命令过滤，可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP 、POP3、 telnet,HTTP）的 BANNER 信息。应用程序识别支持近百种应用程序库的过滤，包括 P2P、IM、炒股、网游等等。支持 MSN，QQ，Skype 等 Instant Messenger 通信，并可以对于这些应用进行登陆限制和帐号过滤。支持 MSN 在线用户显示。可限制 BT，eMule ，eDonkey，迅雷等 P2P 应用。支持基于应用的流量统计支持基于应用的流量排名，支持基于应用的历史流量趋势图，支持基于主机的应用流量统计，支持流量异常检测，深度流量过滤（DFI ），针对

5、 P2P 行为的识别控制。URL 分类过滤 支持 87 个分类，分类库的规模达到 700 万，支持挂马网站过滤支持手动设置的 URL 过滤。支持 HTTP URL 长度限制。网络安全性恶意网站过滤 支持防网页挂马。指标 指标项 规格要求支持 HTTP，FTP，POP3 ，SMTP ，IMAP 协议的病毒查杀查杀邮件正文/附件、网页及下载文件中包含的病毒支持 150 万余种病毒的查杀，病毒库定期与及时更新支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀支持启发式扫描查杀未知病毒支持 ZIP/ARJ/CAB/RAR/GZIP/BZIP2 等压缩文件的病毒查杀支持 TAR 等多种打包文件的病毒查杀支持

6、基于类型、来源、协议的病毒统计支持绘制病毒历史趋势图支持基于名称、次数、发现时间、处理方式等的病毒排名支持基于文件类型的文件阻断防病毒提供快速扫描及完全扫描两种扫描方式访问控制基于状态检测的动态包过滤。基于源/目的 IP 地址、MAC 地址、端口和协议、时间、用户的访问控制。支持基于用户的 PPTP 的访问控制。支持报文合法性检查。动态端口支持协议：H.323、SIP 、FTP 、RTSP、SQL*NET、 MMS、RPC、TFTP、PPTP。可实现 IP/MAC绑定。会话收集整理，由收集数据生成访问控制策略。访问控制策略分组管理。地址对象源目的发起连接数控制，支持全网段地址。支持大数量级的策

7、略匹配加速算法。支持对于策略重复和策略冲突的检查。支持对象的每秒新建连接数限制。基于域名对象的访问控制；策略命中统计，和控制放行的并发连接数；防代理上网功能。防御攻击非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。统计型报文攻击：Synflood、Icmpflood 、Udpflood、 Portscan、ipsweep。 Topsec 联动：可与支持TOPSEC 协议的 IDS 设备联动，以提高入侵检测效率。端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。SYN

8、代理：对来自定义区域的 Syn Flood 攻击行为进行阻断过滤。CC 攻击：可通过设置端口和阀值阻断 CC 攻击。可记录攻击日志和报警。支持手动设置和根据 IDS 规则自动生成黑名单。支持手动设置和根据可信连接达到一定规模后升级为白名单用户。NAT 支持双向 NAT。支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式的地址转换。支持虚拟服务器功能。路由支持静态路由、动态路由。支持基于源/目的地址、源/目的端口、协议类型、接口的策略路由。支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。支持 Vlan 路由，能够在不同的 VLAN 虚接口间实现路由功能。支持RIP、

9、OSPF、BGP 动态路由协议。支持源路返回的智能选路方式。支持加权的路由均衡方式（WCMP ）。支持根据 IP 探测结果进行路由切换功能。组播 支持 Pim、IGMP 组播协议。支持 IGMP SNOOPING。可有效地实现视频会议等多媒体应用。VLAN可与交换机的 Trunk 接口对接，并且能够实现 Vlan 间通过安全设备传播路由。交换口和子接口都支持 802.1Q，能进行封装和解封。支持 ISL，能进行 ISL 的封装和解封。在同一个 Vlan 内能进行二层交换。支持 QinQ 技术（vlan-vpn），对报文进行二次基于 802.1Q 封装。网络适应性生成树 支持 802.1D、PV

10、ST 生成树协议。指标 指标项 规格要求端口聚合 支持对物理端口的聚合，提高带宽利用率。每个聚合组的端口数不做限制，提高了聚合组的配置灵活性。ARP 支持 ARP 代理、 ARP 学习。可设置静态 ARP。可设置防 ARP 欺骗。DHCP 支持 DHCP Client、DHCP Server、DHCP relay。接入 支持最大 4 路的 ADSL 拨号接入。4 路 ADSL 可以通过路由方式互为链路备份。4 路 ADSL 可以作为负载均衡链路其它 支持 MPLS 及非 IP 协议 IPX/NetBEUI 的协议透传与报文控制。证书格式 支持 X.509 V3 数字证书，支持 DER/PEM/

11、PKCS12 多种证书编码。本地 CA支持内置 CA，为其他设备或移动用户签发证书。支持本地 CA 根证书、根私钥的更新。支持证书废弃，支持生成标准 CRL 列表。PKI第三方 CA支持同时导入多个第三方 CA 的根证书和 CRL 列表，对不同 CA 证书用户进行身份认证，支持通告 HTTP 协议定时下载 CRL 列表。支持通过 OCSP/LDAP 等协议在线认证证书。协议 支持 ESP/AH/IKE/NATT 等标准 IPSEC 协议，支持隧道模式、传输模式算法支持 DES/3DES/AES 等标准加密算法，支持 MD5/SHA1 等标准 HASH 算法，支持 DH GROUP1/2/5，R

12、SA 1024/2048 非对称算法，支持国家商密专用的SSP02/SSF33/SCB2 算法硬件加速 支持高速算法加速卡数据压缩 支持高效数据流压缩算法隧道认证 支持预共享密钥、数字证书认证，支持扩展认证网络适应性支持网状、树型、星型等多种 VPN 网络拓扑，支持隧道的 NAT 穿越、双向NAT 隧道建立，支持全动态 IP 地址间的 VPN 组网，支持隧道转发，支持多机多隧道的负载均衡和冗余备份方案，支持隧道内的访问控制，支持 GRE over IPsec 方式，支持组播穿越 IPSec 隧道，支持动态路由协议通过 IPSec 隧道扩散，支持采用XAUTH 的 IKE 协商，支持隧道利用技术

13、，单隧道承载多保护子网的方式可信接入 支持基于角色的可信接入，支持检查接入机的操作系统，支持检测操作系统的补丁，支持可信接入分级授权DDNS 内置免费 DDNS 客户端与账号，支持采用 DNS 域名建立隧道集中管理支持 TopPolicy 的集中认证；支持 TopPolicy 集中制定并下发隧道策略；支持TopPolicy 集中监控隧道状态、设备状态和移动用户状态；支持 TopPolicy 的集中远程配置。支持 TopPolicy 集中管理静态隧道。流量统计 支持隧道内加解密成功、失败流量统计；支持隧道内认证成功、失败流量统计；支持隧道持续时间统计等IPSEC VPN负载与备份 支持多条隧道的

14、负载均衡，支持多条隧道的备份与自动切换，支持多机之间的流量负载与自动切换，支持隧道、专线之间的备份与自动切换指标 指标项 规格要求移动客户端支持第三方标准 IPSec 客户端接入；支持 VRC 客户端接入；支持用户口令的接入认证；支持基于数字证书的接入认证，支持动态口令卡接入认证；支持证书口令双因子认证；支持 USB KEY 模式的身份认证；支持移动用户硬件特征码认证功能；支持为移动用户自动分配内部 IP 地址、DNS/WINS 服务器地址；支持基于角色的访问权限控制；支持 Radius 下发权限；支持 AD 服务器下发权限；支持给证书用户单独授权；支持基于时间的移动用户访问控制策略； 支持多

15、线路自动检测；支持用户修改口令；支持标准 X509 证书；支持第三方 CA 认证；支持本地用户认证、外部 Radius 认证、LDAP 认证、AD 认证等；支持移动用户两网分离，支持安全版、限制版；支持英文版，支持中英文切换。L2TP 支持远程用户通过 L2TP 接入，建立 L2TP 隧道访问内部网络安全接入 PPTP 支持远程用户通过 PPTP 接入，建立 PPTP 隧道访问内部网络用户认证支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA ）等常用的安全认证方式。支持使用第三方认证，如RADIUS、TACACS/TACACS+ 、 LDAP、域认证等

16、安全认证方式。支持 Session 认证、HTTP 会话认证。支持认证保活功能。可将认证用户信息加密存放在本地数据库。支持短信认证。日志支持 Welf、Syslog 日志格式的输出。支持日志分级和按类型输出。支持通过第三方软件来查看日志。可对日志进行加密传输。支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。TA-L 除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。监控 支持网络接口、CPU 利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。可根据配置文件进行错误恢复。报警内置了“ 管理 ”、“系统

17、”、“ 安全”、“策略” 、“通信”、“ 硬件”、“容错”、“测试” 等多种触发报警的事件类。支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。安全管理流量统计支持基于 IP 对 session 数的统计，并有阀值报警功能。支持基于 IP 对流量的统计。支持基于传输层端口进行流量、session 数的统计。支持 NETFLOW 协议版本 5,支持设置过滤条件。QoS流量整形QOS 带宽管理。根据 IP、协议、网络接口、时间定义带宽分配策略。支持最小保证带宽和最大限制带宽。支持根据源/目的进行独享的带宽管理方式。支持 DSCP 和COS 的设置。支持对 p2p 的带宽限制，支持

18、优先级。带宽管理优先级 支持 8 级优先级控制。双机热备支持双机热备（Active-Standby）。支持负载均衡模式（Active-Active）。支持连接保护模式（Session Protect）。支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复正常情况时抢回主设备状态。支持 VPN 网关的双机热备功能。支持接口 Metric 值。支持连接同步确认。支持自动的配置同步功能。支持多台设备的配置同步。支持心跳口备份功能。支持根据 IP 探测结果进行主备切换功能。支持切换抑制时间高可用性其它功能 支持基于 IP 探测的链路备份功能。支持双系统引导，主用系统灾难还原及主备系统切

19、换引导。支持 Watchdog 功能。配置管理 配置方式 支持 WEB 图形配置、命令行配置。支持 TP 管理。支持基于 SSH、HTTPS 的安全配置。支持细粒度定义管理员权限指标 指标项 规格要求命令行 支持配置命令分级保护。支持中英文。支持命令历史、命令补齐、命令错误提示等功能。WEBUI支持初装配置向导。支持配置即时定义。支持即时的配置和状态提示。支持中文联机帮助。支持 HTTPS 客户端证书认证方式。支持 CPU、内存、连接数、接口流量的即时监控图和历史趋势图。支持应用识别、病毒、入侵防御统计数据的图形化显示。SNMP 支持 SNMP 的 v1 、v2 、v2c 、v3 版本。与当前

20、通用的网络管理平台兼容，如 HP Openview 等。系统升级 支持双系统升级。支持远程维护和系统升级。支持 TFTP 升级。支持 webui 升级。支持 ftp 升级。报文调试提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。支持发送虚拟报文。支持端口镜像功能，能够通过设置过滤条件选择性镜像报文。配置恢复 可以进行完整配置的下载备份、上载恢复可以进行部分配置本地和异地的批量导出和导入。时钟调整 支持网络时钟协议 NTP，可自动根据 NTP 服务器时钟调整本机时间。入侵防御 支持路由、交换、直连三种模式。支持基于源、目的、规则集的入侵检测。支持自定义动作。支持时间对

21、象。支持与防火墙联动。DDOS 防御非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。统计型报文攻击：Synflood、Icmpflood、Udpflood 、Portscan、ipsweep。 可记录攻击日志和报警。规则库维护 支持自定义规则库导入、导出。支持系统规则库手动、自动升级。系统规则系统定义超过 3500 条规则，包含Backdoor，bufferoverflow，dosddos，im，p2p，vulnerability，scan，webcgi，worm， game

22、。入侵防御自定义规则 支持自定义规则。支持自定义规则集。市场占有率 为近三年国内防火墙市场占有率前三名，并提供权威第三方调查机构的证明。销售许可 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证型号证书 中国国家信息安全测评认证中心颁发的国家信息安全认证产品型号证书军用认证证书 中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书保密局检测证书 中国国家保密局测评中心颁发的涉密信息系统产品检测证书商用密码定点生产单位证书 国家密码管理局颁发的国家商用密码定点生产单位证书商用密码定点销售单位证书 国家密码管理局颁发的国家商用密码定点销售单位证书防火墙系统软件著作权登记证 国家版权局颁发的防火墙系统计算机软件著作权登记证书资质要求安全操作系统著作权登记证 国家版权局颁发的专用安全操作系统计算机软件著作权登记证书