深信服万兆应用防火墙招标参数
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAT功能
多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同进转换、外部网络主机访问内部服务器、支持DNS映射功能可配置支持地址转换的有效时间
支持多种NAT1AG,包括DNS、FTP、H323、S1P等
IPSecVPN功能
支持AHESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES>国密办算法多种加密算法支持MD5及SHA-I验证算法
双因素认证
支持经USB-key方式实现又因素身份认证
IP、MAC认证
支持IP认证、MAC认证、及IP/MAC绑定认证等
单点登录
支持AD、POP3、ProXy单点登录,简化用户操作
可强制指定用户、指定IP用户必须使用单点登录
账户导入
支持从本地导入和扫描导入,支持以文本导入账户/分组/IP/MAC/描述/密码等信息
ActiveX过滤
支持基于签名证书的ACtiVeX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ACtiVeX过滤,如视屏、、娱乐等
脚本过滤
支持基于操作类型的脚本过滤,如注册表读写、文凭读写、、威胁对象调用、恶意图片等
用户管理
本地认证
支持触发式Web认证,静态用户名密码认证等
第三方认证
支持1DAP、Radius、POP3、PrOXy等第三方认证
抗攻击特性
防御1and、Sumrf>Fragg1e、WinNUke、PingofDeathsTearDrop>IPSPoofing、SYNF1ood>ICMPF1ood>UDPFIOod、DNSQueryF1ood.ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达到报文控制等功能。此外还支持静态和动态黑名单功能、MAC和IP绑定功能
支持基于威胁关联分析的检测机制,针时未知威胁进行分析检测
IPS漏洞防护
防护攻击类型
包括蠕虫、木马、后门、DOS、DDOS攻击探测、扫描、间谍软件、利用漏洞的攻击、缓冲区溢出攻击、协议异常、IPS逃逸攻击等
防护对象分类
漏洞分为保护服务器和保护客户端两大类,同时具备安全界别分类:如“高”“中”“低”等
漏洞描述
基于用户、应用访问策略
必须提供基于应用识别类型、用户名、接口、安全域、Ip地址、端口、时间进行应用访问控制列表的制定
SS1加密网页
识别并过滤SS1加密和钓鱼网站、金融购物网站、非法网站等(需提供国家认证机构颁发的证明文件,加盖厂商公章)
威胁检测机制
威胁检测引擎
支持基于特征匹配、甥、智能应用识别等方式对已知威胁进行检测
处理动作
病毒后的操作:支持记录日志、阻断连接
Web安全防护
UR1过滤
对用户Web行为进行过滤,保护用户免受攻击:支持只过滤HTTPGET、HTTPPoST、HTTPS等应用行为;并进行阻断和记录日志(要求提供产品界面截图,加盖厂商公章)
文件类型过滤
支持针对上传、下载等打操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
服务器防护
Web攻击防护
保护服务器免受基于WCb应用的攻击,如SQ1注入防护。XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解(要求提供产品界面截图,加盖厂商公章)
FTP服务器隐藏
FTp服务应用信息隐藏包括:服务器信息、软件版本信息等
Web服务隐藏
Web网站隐藏,包括HTT1)响应报文头和HTTP出错页面和过滤,Web响应报文头可自定义(要求提供产品界面截图,加盖厂商公章)
资质要求
产品资质要求
软件著作权登记证书
中国国家信息安全产品认证证书
公安部销售许可证
日志管理
数据中心
设备必须支持内置数据中心
统计报表
支持自定义统计指定IP/用户组/用户/应用在指定安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表
趋势报表
支持自定义统计指定IP/用户组/用户/应用在指定安全风险、终端安全风险、上网行为、网络流量等内容形成报表
汇总报表
支持将指定时间段、指定应用的流量。行为。用户访问分布等汇总并输出报表
漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息。地址等内容,便于维护
策略制定
可根据源区域、目的区域、目的IP组,目的IP组支持多选IPS策略的配置
特征率
攻击特征库:2200+,并且能够自动或者手动升级(要求提供产品界面截图,加盖厂商公章)
防躲避
支持TCP协议的乱序重传、TCP分包
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息、(要求提供产品界面截图,加盖厂商公章)
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象、帮助管理员处理安全事件
防火墙/
VPN功能
包过滤与状态检测
提供静态的包过滤和动态包过滤功能,支持应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RISPH323(Q.931,H.245,RIP∕RICP)、SQ1NET、MMS、PPTP等;传输层协议:TCP、UDP
平均无故障时间
≥100,OOO小时
部署方式
网关模式
支持网关模式,支持NAT,路由转发,DHCP等功能
网桥模式
支持网桥模式,以透明方式串接在网络中
混杂模式
同时开启支持网关和网桥模式
网关管理
管理界面
支持SS1加密WEB方式管理设备
排障工具
提供图形化排障工具,便于管理设备
实时监控
设备资源信息
提供设备CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息
病毒防护ห้องสมุดไป่ตู้
病毒引擎
基于流引擎查毒技术,可以针对HTTP、FTP、SMTP›POP3等协议进行查杀(要求提供产品界面截图,加盖厂商公章)
防护类型
能实时查杀大量文件、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒
病毒库数量
支持10成群权上的病毒库,并且可以自动或者手动升级
内网应用识别
依据用户现有的业务系统需要识别如下应用:可识别丰富的内网应用如:1otusNotes›RIX、Citrix>Orac1eEBS、金蝶EAS、SAP、1ADP
能精确识至IJMiCrOSoft、360、SymantecSogou>kaspersky,金山毒霸、江民杀毒等软件更新(要求提供产品界面截图,加盖厂商公章)
策略制定
配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置TVeb应用、FTP、InySq1、te1net>ssh服务的端口号
文件上传过滤
严格控制上传文件,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性
访问权限控制
支持指定UR1的黑名单、加入UR1目录功能
网络协议
IP服务
ARP、域名解析、IPUNNUMBERED>DHCP中继、DHCP服务器、DHCP客户端
路由服务
支持静态路由、RIPVI/2、OSPFs策略路由
多线路技术
网关能同时连接多条外网统一口径,且支持多条线路流量利用和智能选择流速最快线路的技术(需提供国家认证机构颁发的证明文件,加盖厂商公章)
支持IKE主模式及野蛮模式
支持NAT穿越
支持使用1ZO高速压缩算法
应用访问控制策略
应用识别
支持对600种以上应用IOoO种以上的应用动作、用户名进行识别,可以识别P2P、INkOA办公应用、数据库应用。ERP应用、软件升级应用。木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则(要求提供产品界面截图,加盖厂商公章)
深信服万兆应用防火墙招标参数
项目
指标
具体功能要求
接口
电口
至少8个千兆口,8个千兆光口
光口
至少2个SFP万兆接口
Bypass
支持故障时Bypass功能
硬件规格
电源
冗余电源
CPU
必须支持多核CPU
硬盘
不小于500G
性能参数
吞吐量
吞吐量N1OG
VPN连接数
不小于5000
并发连接数
不小于400万
新建连接数
≥200万
多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同进转换、外部网络主机访问内部服务器、支持DNS映射功能可配置支持地址转换的有效时间
支持多种NAT1AG,包括DNS、FTP、H323、S1P等
IPSecVPN功能
支持AHESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES>国密办算法多种加密算法支持MD5及SHA-I验证算法
双因素认证
支持经USB-key方式实现又因素身份认证
IP、MAC认证
支持IP认证、MAC认证、及IP/MAC绑定认证等
单点登录
支持AD、POP3、ProXy单点登录,简化用户操作
可强制指定用户、指定IP用户必须使用单点登录
账户导入
支持从本地导入和扫描导入,支持以文本导入账户/分组/IP/MAC/描述/密码等信息
ActiveX过滤
支持基于签名证书的ACtiVeX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ACtiVeX过滤,如视屏、、娱乐等
脚本过滤
支持基于操作类型的脚本过滤,如注册表读写、文凭读写、、威胁对象调用、恶意图片等
用户管理
本地认证
支持触发式Web认证,静态用户名密码认证等
第三方认证
支持1DAP、Radius、POP3、PrOXy等第三方认证
抗攻击特性
防御1and、Sumrf>Fragg1e、WinNUke、PingofDeathsTearDrop>IPSPoofing、SYNF1ood>ICMPF1ood>UDPFIOod、DNSQueryF1ood.ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达到报文控制等功能。此外还支持静态和动态黑名单功能、MAC和IP绑定功能
支持基于威胁关联分析的检测机制,针时未知威胁进行分析检测
IPS漏洞防护
防护攻击类型
包括蠕虫、木马、后门、DOS、DDOS攻击探测、扫描、间谍软件、利用漏洞的攻击、缓冲区溢出攻击、协议异常、IPS逃逸攻击等
防护对象分类
漏洞分为保护服务器和保护客户端两大类,同时具备安全界别分类:如“高”“中”“低”等
漏洞描述
基于用户、应用访问策略
必须提供基于应用识别类型、用户名、接口、安全域、Ip地址、端口、时间进行应用访问控制列表的制定
SS1加密网页
识别并过滤SS1加密和钓鱼网站、金融购物网站、非法网站等(需提供国家认证机构颁发的证明文件,加盖厂商公章)
威胁检测机制
威胁检测引擎
支持基于特征匹配、甥、智能应用识别等方式对已知威胁进行检测
处理动作
病毒后的操作:支持记录日志、阻断连接
Web安全防护
UR1过滤
对用户Web行为进行过滤,保护用户免受攻击:支持只过滤HTTPGET、HTTPPoST、HTTPS等应用行为;并进行阻断和记录日志(要求提供产品界面截图,加盖厂商公章)
文件类型过滤
支持针对上传、下载等打操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
服务器防护
Web攻击防护
保护服务器免受基于WCb应用的攻击,如SQ1注入防护。XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解(要求提供产品界面截图,加盖厂商公章)
FTP服务器隐藏
FTp服务应用信息隐藏包括:服务器信息、软件版本信息等
Web服务隐藏
Web网站隐藏,包括HTT1)响应报文头和HTTP出错页面和过滤,Web响应报文头可自定义(要求提供产品界面截图,加盖厂商公章)
资质要求
产品资质要求
软件著作权登记证书
中国国家信息安全产品认证证书
公安部销售许可证
日志管理
数据中心
设备必须支持内置数据中心
统计报表
支持自定义统计指定IP/用户组/用户/应用在指定安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表
趋势报表
支持自定义统计指定IP/用户组/用户/应用在指定安全风险、终端安全风险、上网行为、网络流量等内容形成报表
汇总报表
支持将指定时间段、指定应用的流量。行为。用户访问分布等汇总并输出报表
漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息。地址等内容,便于维护
策略制定
可根据源区域、目的区域、目的IP组,目的IP组支持多选IPS策略的配置
特征率
攻击特征库:2200+,并且能够自动或者手动升级(要求提供产品界面截图,加盖厂商公章)
防躲避
支持TCP协议的乱序重传、TCP分包
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息、(要求提供产品界面截图,加盖厂商公章)
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象、帮助管理员处理安全事件
防火墙/
VPN功能
包过滤与状态检测
提供静态的包过滤和动态包过滤功能,支持应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RISPH323(Q.931,H.245,RIP∕RICP)、SQ1NET、MMS、PPTP等;传输层协议:TCP、UDP
平均无故障时间
≥100,OOO小时
部署方式
网关模式
支持网关模式,支持NAT,路由转发,DHCP等功能
网桥模式
支持网桥模式,以透明方式串接在网络中
混杂模式
同时开启支持网关和网桥模式
网关管理
管理界面
支持SS1加密WEB方式管理设备
排障工具
提供图形化排障工具,便于管理设备
实时监控
设备资源信息
提供设备CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息
病毒防护ห้องสมุดไป่ตู้
病毒引擎
基于流引擎查毒技术,可以针对HTTP、FTP、SMTP›POP3等协议进行查杀(要求提供产品界面截图,加盖厂商公章)
防护类型
能实时查杀大量文件、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒
病毒库数量
支持10成群权上的病毒库,并且可以自动或者手动升级
内网应用识别
依据用户现有的业务系统需要识别如下应用:可识别丰富的内网应用如:1otusNotes›RIX、Citrix>Orac1eEBS、金蝶EAS、SAP、1ADP
能精确识至IJMiCrOSoft、360、SymantecSogou>kaspersky,金山毒霸、江民杀毒等软件更新(要求提供产品界面截图,加盖厂商公章)
策略制定
配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置TVeb应用、FTP、InySq1、te1net>ssh服务的端口号
文件上传过滤
严格控制上传文件,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性
访问权限控制
支持指定UR1的黑名单、加入UR1目录功能
网络协议
IP服务
ARP、域名解析、IPUNNUMBERED>DHCP中继、DHCP服务器、DHCP客户端
路由服务
支持静态路由、RIPVI/2、OSPFs策略路由
多线路技术
网关能同时连接多条外网统一口径,且支持多条线路流量利用和智能选择流速最快线路的技术(需提供国家认证机构颁发的证明文件,加盖厂商公章)
支持IKE主模式及野蛮模式
支持NAT穿越
支持使用1ZO高速压缩算法
应用访问控制策略
应用识别
支持对600种以上应用IOoO种以上的应用动作、用户名进行识别,可以识别P2P、INkOA办公应用、数据库应用。ERP应用、软件升级应用。木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则(要求提供产品界面截图,加盖厂商公章)
深信服万兆应用防火墙招标参数
项目
指标
具体功能要求
接口
电口
至少8个千兆口,8个千兆光口
光口
至少2个SFP万兆接口
Bypass
支持故障时Bypass功能
硬件规格
电源
冗余电源
CPU
必须支持多核CPU
硬盘
不小于500G
性能参数
吞吐量
吞吐量N1OG
VPN连接数
不小于5000
并发连接数
不小于400万
新建连接数
≥200万