1、A1 包、网络安全设备一、供应商资格要求1、符合中华人民共和国政府采购法第二十二条的规定。2、供应商的资质要求:无二、技术要求一、技术要求序号 产品名称 招标要求的技术指标 数量1. 上网行为管理性能规格吞吐量1.5Gbps,并发会话数400,000,支持用户数6000,配6 个千兆电口, 1 个 RJ45 串口,支持BYPASS多主模式 支持两台及两台以上设备同时做主机的部署模式;支持IPv6 部署链路负载 支持按剩余带宽、带宽比例、平均分配、前面优先等方式进行多链路负载;支持链路故障检测;Web 访问质量检测 针对内网用户的 web 访问质量进行检测,对整体网络提供整体网络质量评级支持以列
2、表形式展示访问质量差的用户名单支持对单用户进行定向 web 访问质量检测用户认证支持触发式 WEB 认证、静态用户名密码认证、以 USB-Key 方式实现双因素身份认证、短信认证、微信认证、访客二维码认证等;支持 LDAP、Radius、POP3、Proxy 等第三方认证; 支持 ISAlotus ldapnovel ldaporacle、sql server、db2、mysql 等数据库等第三方认证;共享接入管理(防共享) 设备能够发现私接路由(或者共享软件等)共享网络的行为:1.支持自定义配置终端数量、冻结时间、添加信任列表;2.支持显示以 IP 或用户名的维度统计一段时间内的趋势图。3.
3、支持例外排除功能。应用控制设备内置应用识别规则库,支持4000 条应用规则数,支持2000 种应用,600 种移动应用,并保持每两个1 台星期更新一次;支持应用标签化,每个应用支持列上图标;支持应用细分控制;动态流控 支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略;空闲值可自定义P2P 智能流控 支持 P2P 流量控制;流控黑名单 基于“流量” 、 “流速” 、 “时长”设置配额,当配额耗尽后,可将用户加入到指定的流控黑名单惩罚通道中。流控单位 支持灵活配置流控单位(IP 或用户名)SSL 加密内容审计 针对 SSL 加密的网站、论坛发帖、web
4、邮箱以及客户端邮箱(如闪电邮)等内容进行审计;应用审计 支持记录 QQ、MSN 等 IM 聊天行为和传文件的内容;支持移动 APP(IOS 和 android)审计;支持金融类应用内容审计。趋势报表 支持多种维度的流速趋势报表、流控通道趋势报表、应用行为趋势报表、网站分类行为趋势报表等单用户行为分析 针对单用户的行为分析(包括:应用流速趋势、应用流量排行、域名流量排行、应用时长排行、域名时长排行、行为汇总排行等)2. 下一代防火墙硬件参数本次配置千兆电口8 个,千兆光口2 个,硬盘500G,2U 设备,冗余电源。性能参数 网络层吞吐量12Gbps,应用层吞吐量3Gbps,并发连接数220000
5、0,每秒新建连接数220000。开启入侵防御 ips,web 应用防护,僵尸网络检测,实时漏洞防护,网页防篡改功能模块,AV 杀毒模块。部署方式支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式。配置 IPS 功能。支持链路聚合功能,支持端口联动,支持 802.1Q VLAN Trunk、access 接口,子接口。路由支持 支持静态路由,ECMP 路由,支持 RIPv1/v2,OSPFv2/v3动态路由协议,支持多链路负载,支持基于应用类型的策略路由选路。2 台访问控制策略支持基于源目的 IP,源端口,源目的区域,用户(组) ,应用/服务类型,时间组的细化控制方式;DDoS 攻击防护 支持
6、 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing 攻击防护、支持 SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood 等攻击防护,支持 IP 地址扫描,端口扫描防护 入侵防护功能 入侵防护漏洞规则特征库数量4000 条,入侵防护漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级等;可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;Web 应用安全防护 支持 Web 漏洞扫描功能,可扫描检测网站是否存
7、在 SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;支持对网站黑链进行检测;支持叠加云端安全服务实现对设备的托管,由云端安全专家对设备进行日志分析和策略配置调整,并按月输出运营月报僵尸主机检测 支持对终端已被植入远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入分析,展示和外部命令控制服务器的交互行为和其他可疑行为;具备对于未知威胁同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告; 支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;病毒防护 支持对 HTTP,F
8、TP,SMTP,POP3 等协议进行病毒文件检测;病毒样本数量1000 万;网页篡改防护具备网页防篡改功能;安全可视化 支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描) ,并根据被保护对象发现漏洞数量进行 TOP 10 排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析。3. 隔离网闸设备要求网络吞吐量:1000Mbps;整体时延:1ms;受控协议通道:256 种;并发连接数:16000硬件配置 机型 2U内端机端口:10/100/1000M RJ45 接口8 个;外端机端口:10/100/1000M RJ45 接口
9、8 个;电源:配置冗余电源;产品架构 专用传输隔离部件完全自主开发且外部无法编程控制;操作系统 系统基于可信安全操作平台,提供内核级主动防御;能够对内外两个主机系统提供安全防护;采用对象互斥和线程守护技术,保护主要进程的安全性和稳定性;内置病毒查杀库,可查杀操作系统各种主流病毒;应用协议支持 HTTP、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP 等可定制应用协议检查模块功能模块 安全上网: 提供安全上网访问,支持 HTTP 协议及代理等;访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等;支持对基于 HTTP 的SOAP 协议
10、进行过滤、支持对安全内容关键字过滤;脚本过滤:Javascript、Applet、ActiveX 等;其他过滤策略:文件类型、页面提交方式等;认证方式:支持用户名/密码认证方式;能够对每个用户的上网带宽进行限定;安全邮件: 提供安全的邮件访问,支持 POP3、SMTP 协议;文件传输:提供安全的文件传输功能,支持 FTP 等文件传输协议;支持用户名/密码认证;支持用户名/IP-MAC 绑定;支持对传输文件的类型过滤;支持访问时间控制;支持指令控制;支持将所传输的文件保存在网闸本地;文件同步:可通过专用客户端或共享方式提供安全文件同步功能;2 台支持 windows 平台和 linux 等平台;
11、同步传输方向可控,双向或单向;支持实时扫描传输;支持一对多或多对一传输;支持目录内子目录同步,支持32 级目录;支持中文文件名或目录同步;支持文件类型的过滤;支持增量传输;支持传输后删除源文件;提供详细日志审计;支持对所传输的文件进行 MD5 码检验数据库访问 支持对主流数据库(SQL Server、ORACLE、DB2、SYBASE 等)安全访问和操作;数据库同步基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLServer、ORACLE、DB2、SYBASE、MySQL 等)的数据交换;同步粒度可以达到表内具体字段;支持多种增量同步方式;实现源数据到目标数据之间的实时数据交换,支
12、持数据整合业务;支持数据一对一、一对多、多对多交换和同步;支持实时交换或定时同步的策略定义;采用 XML 技术,可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义;安全功能 支持用户名与密码认证;支持用户名与 IP-MAC 绑定; 支持访问时间控制;支持病毒查杀功能;支持对每个应用设定带宽及最大连接数支持对应用服务进行实时状态监控功能自定义协议 支持用户基于标准 TCP、UDP 开发的自定义协议软件;可以根据需求开发新的专用协议处理过滤功能;支持访问时间控制;支持 SIP 协议传输及控制;实现多机热备安全审计 SNMP 模块 支持 SNMP 协议,可与标准网管平台兼容;
13、SYSLOG 模块 支持 SYSLOG 协议,可与标准日志服务器平台兼容,可实时发送网闸运行状态;可动态实时显示网闸当前各个应用的并发连接数,非总体连接数发生异常状况时可通过短信以及邮件方式通知管理员;可通过图形化实时监控设备内部硬件传输带宽占用情况;安全防御 内置独立的入侵检测模块,可与网闸联动对入侵行为做出处理;抗攻击模块具有抗 DOS、DDOS 等功能;配套管理管理端和审计端软件支持 B/S 结构和用 C/S 结构 ;可通过串口终端管理方式对网闸进行维护;支持指纹登陆身份认证管理端和审计端需独立与管理口连接使用,不允许使用内端机或外端机上的通讯口对网闸进行配置管理。4. 堡垒机设备要求:
14、 2U 设备, GE 电口(内置电口 Bypass)6 个,接口扩展槽位(4GE/4SFP/8GE/8SFP)1 个,字符并发会话数800,图形并发会话数600,硬盘2T,授权管理200 台设备,双电源,内置前置机。功能要求:1.支持登录菜单访问。2.支持 Telnet、SSH、RDP、VNC、HTTP、HTTPS 等协议审计。3.支持客户端访问。4.支持个性化配置运维参数;可选择首页设备分组的默认方式,可配置本地客户端路径;可配置默认账号的登录参数,可配置图形、文件、应用运维默认值。5.访问策略支持设备视图和用户视图,视图可以按照xls 格式导出。6.支持手工登录目标设备,运维人员每次通过堡
15、垒机登录目标设备都需要手工输入目标设备用户名密码。7.支持运维人员半自动登录目标设备,即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码,运维人员就可以自动登录目标设备。1 台8.支持设备发现,通过 IP 地址扫描,快速发现指定 IP地址范围内的主机、服务器和网络设备,并自动识别启用服务和端口。10.支持数据库审计功能,能够将网络中的流量通过镜像的方式传到堡垒机,堡垒机以录屏加数据库日志的形式审计运维人员的操作,支持将操作语句与录屏进行实时绑定,能够准确快速的定位数据库语句执行时,整个屏幕的状态。11.支持批量导入/导出用户帐号及目标设备信息。12. 可通过应
16、用发布的方式进行协议扩展。13.具备工单系统。14.针对 Linux 服务器将采用公钥私钥登录,要求堡垒机支持公钥私钥代理登录。17.支持和防火墙联动。5. 安全运维感知平台要求通过平台+探针方式实现威胁感知,本次要求部署1 套平台与一套探针。平台要求:技术指标主动发现内网未被定义的设备资产的 IP 地址。资可以识别内网服务器资产的 IP 地址,操作系统,开放端口以及传输使用协议和应用。能够按资产 IP 地址/地址段,组合成为特定的业务组。通过访问关系学习展示用户、业务系统、互联网之间访问关系。通过颜色区分不同危险等级用户、业务系统。支持全网业务可视化,可以呈现全网业务对象的访问关系与被入侵业
17、务的图形化展示。支持用户自定义的业务资产管理的可视化内网违规访问,攻击行为,异常流量的图形化展示 展示 内网针对不同业务资产的正常访问,违规访问,攻击行为,异常流量,并用颜色区分。恶意 DNS 检测:具备自学习功能。安全日志:支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区域、ip、用户、特征/漏洞 ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志。全网攻击监测大屏:支持安全态势感知,对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。业务外连监控大屏:展示资产/业务被外网攻击的实时动态地图,图形化大
18、屏展示。可视化展示业务系统的外连区域,外连应用以及对应关系。对高危用户的风险操作和非法访问等行为进行可视化展示;管理功能 :1 套多次登录失败将锁定账号支持在线升级和离线升级两种升级方式,并支持定时自动升级可新增并管理用户,可控制用户使用权限。可扩展性 可扩展安全功能组件:沙箱,云端大数据,流量溯源,攻击链分析。探针要求:技术指标 基础检测功能:具备报文检测引擎,可实现 IP 碎片重组、TCP 流重组、应用层协议识别与解析等, 具备多种入侵攻击模式或恶意 URL 监测模式,可完成模式匹配并生成事件,可提取URL 记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP 对)进行原始报文的
19、录制。监测识别规则库能够识别应用类型1000 种,应用识别规则总数3000 条,具备亿万级别 URL 识别能力。漏洞利用规则特征库数量4000 条,漏洞利用特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级;异常会话检测 可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。深度监测能力 可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP 地址扫描,端口扫描,ARP欺骗,IP 协议异常报文检测
20、和 TCP 协议异常报文等常见网络异常流量事件类型;支持对节点检测节点内部主机外发的异常流量进行检测支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood 等 DDoS 攻击行为;支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测Web 应用安全检测能力 支持 HTTP 1.0/1.1,HTTPS 协议的安全威胁检测;支持针对 B/S 架构应用抵御 SQL 注入、XSS、系统命令等注入型攻击;支持跨站
21、请求伪造 CSRF 攻击检测;支持对主流脚本语言编写的 webshell 后门脚本上传的检测;支持其他类型的 Web 攻击,如文件包含,目录遍历,信息泄露攻击等的检测;具备独立的 Web 应用检测规则库,Web 应用检测规则总数3000 条; 支持敏感数据泄密功能检测,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;支持对被Web 网站是否被挂黑链进行检测僵尸主机检测支持对终端植入远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;具备独立的僵尸主机识别特征库,恶意软件识别特征总数50 万条;对于未知
22、威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;违规访问检测能够针对 IP,IP 组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单两种方式,并对检测到的违规访问进行实时告警流量记录能够对网络通信行为进行还原和记录。管理功能 提供网络管理功能,可进行静态路由配置多次登录失败将锁定账号支持在线升级和离线升级支持用户初次登陆强制修改密码功能。可实时监控设备的 CPU、内存、存储空间等使用情况。能够监控监听接口的实时流量情况部署 支持旁路部署,对镜像流量进行监听支持可以将多台探针同时部署于客户网络不同位置并将
23、数据传输到同一套安全感知平台6. 数据库防火墙设备要求: 2U 标准机架,含交流冗余电源模块,1*RJ45 串口,1*GE 管理口,6*GE 电口,1个接口扩展槽位,本次配置 2 个万兆光口板卡(满配万兆多模光模块) ,4T SATA 硬盘;支持外部存储设备,在线日志量15亿条,归档日志量40 亿条,纯数据库网络吞吐量:1.5Gbps,并发会话数4000 个;SQL 处理性能10000 条/秒;功能要求:1. 具备访问控制功能:登录控制,对 IP、MAC、客户1 台端、用户名、时间等进行限制;2. 具备虚拟补丁功能;3. 具备防 SQL 注入功能;4. 控制动作:中断会话:对需要阻断的访问,中
24、断数据库连接;拦截语句:对需要阻断的访问,返回防火墙的错误提示信息,并不将命令发送给数据库服务器;5. 系统的审计动作:审计记录:对数据库的所有访问语句进行记录 6.具备告警通知功能;7.具备应用建模功能;8. 部署模式:透明网桥模式;代理接入模式;旁路模式;混合模式,支持在一台数据库防火墙设备上同时进行串联和旁路两种接入模式。9. 实时运行监控:提供对风险访问行为统计、SQL 吞吐量统计、流量和平均响应时间统计、SQL 访问类别统计、告警阻断 SQL 统计。10. 风险和危害访问分析:提供对风险和危害访问的分析,包括:高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、SQ
25、L 注入行为分析和追踪11. 会话访问行为分析:提供会话统计分析和会话访问追踪能力,成功会话分析,失败会话分析12. 提供报表展示:提供会话行为报表、SQL 行为报表、危险行为报表13. 提供审计事件的检索功能,支持按、源 IP、源端口、目的 IP、目的端口、用户名、时间等进行统计,支持组合条件查询方式14. 图表类型支持 支持图表类型,包括曲线、柱形图和饼图及 3 维数据的图表15. 支持报告导出功能,可支持 HTML、cvs、PDF 等格式的导出二、其他要求1) 提供 20 人次、 4 天的原厂技术培训,提供培训清单和培训资料(实施本项目的网络拓扑图、原理图、布置图) ,费用包含在总报价中。2)投标人承诺在实施安装、调试作业过程中,遵守安全规程,保守采购人秘密,否则承担由此造成的全部责任。3)投标人须在投标文件中提供本项目完整建设方案和实施计划,确定每个实施阶段的时间表及工作目标;提供项目组成员名单、职务、学历、经历,每个系统建设阶段参与人员名单。
