深信服下一代防火墙AF招标参数

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付，协助用户满足GB/T-22239-2019等保三级的相关技术要求，特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域（三级系统域）增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求：1)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；配置步骤：1、点击【网络】-【接口/区域】。

SANGFOR深信服下⼀代防⽕墙介绍（AF-1120AF-1210）国内下⼀代防⽕墙第⼀品牌深信服下⼀代防⽕墙（Next-Generation Application Firewall）NGAF是⾯向应⽤层设计，能够精确识别⽤户、应⽤和内容，具备完整安全防护能⼒，能够全⾯替代传统防⽕墙，并具有强劲应⽤层处理能⼒的全新⽹络安全设备。

NGAF解决了传统安全设备在应⽤识别、访问控制、内容安全防护等⽅⾯的不⾜，同时开启所有功能后性能不会⼤幅下降。

区别于传统的⽹络层防⽕墙，NGAF具备L2-L7层的协议的理解能⼒。

不仅能够实现⽹络层访问控制的功能，且能够对应⽤进⾏识别、控制、防护，解决了传统防⽕墙应⽤层控制和防护能⼒不⾜的问题。

区别于传统DPI技术的⼊侵防御系统，深信服NGAF具备深⼊应⽤内容的威胁分析能⼒，具备双向的内容检测能⼒为⽤户提供完整的应⽤层安全防护功能。

同样都能防护web攻击，与web应⽤防⽕墙关注web应⽤程序安全的设计理念不同，深信服下⼀代防⽕墙NGAF关注web系统在对外发布的过程中各个层⾯的安全问题，为对外发布系统打造坚实的防御体系。

关键指标（产品参数可能有改动，以深信服公司公告为准）功能参数项⽬具体功能部署⽅式⽀持⽹关、⽹桥、旁路和混杂模式；实时监控实时提供CPU、内存、磁盘占⽤率、会话数、在线⽤户数、⽹络接⼝的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发⽣事件、源IP、⽬的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理；⽹络适应性⽀持静态路由、RIP v1/2、OSPF、策略路由；⽀持ARP、域名解析、DHCP中继、DHCP 服务器、DHCP客户端等IP服务；包过滤与状态检测提供静态的包过滤和动态包过滤功能；⽀持的应⽤层报⽂过滤，包括：应⽤层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；NAT地址转换⽀持多个内部地址映射到同⼀个公⽹地址、多个内部地址映射到多个公⽹地址、内部地址到公⽹地址⼀⼀映射、源地址和⽬的地址同时转换、外部⽹络主机访问内部服务器、⽀持DNS 映射功能；可配置⽀持地址转换的有效时间；⽀持多种NAT ALG，包括DNS、FTP、H.323、SIP等抗攻击特性可防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood等多种DOS/DDOS攻击IPSEC VPN ⽀持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且⽀持扩展国密办SCB2等其他加密算法⽀持MD5及SHA-1验证算法；⽀持各种NAT⽹络环境下的VPN组⽹；⽀持第三⽅标准IPSec VPN进⾏对接；*总部与分⽀有多条线路，可在线路间⼀⼀进⾏IPSecVPN 隧道建⽴，并设置主隧道及备份隧道，对主隧道可进⾏带宽叠加、按包或会话进⾏流量平均分配，主隧道断开备份隧道⾃动启⽤，保证IPSecVPN 连接不中断；可为每⼀分⽀单独设置不同的多线路策略；单臂部署下同样⽀持多线路策略；应⽤访问控制策略⽀持应⽤2000种以上的应⽤动作的应⽤识别；⽀持应⽤更新版本后的主动识别和控制的应⽤智能识别；提供基于应⽤识别类型、⽤户名、接⼝、安全域、IP地址、端⼝、时间进⾏应⽤访问控制列表的制定；⼆层协议⽀持802.3、AX25、802.2等多种⼆层协议过滤威胁检测⽀持基于特征匹配、协议异常检测、智能应⽤识别等⽅式针对已知威胁进⾏检测；⽀持基于威胁关联分析的检测机制，针对未知威胁进⾏分析检测；IPS⼊侵防护（选配）微软“MAPP”计划会员，漏洞特征库: 2800+并获得CVE“兼容性认证证书”，能够⾃动或者⼿动升级；防护类型包括蠕⾍/⽊马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利⽤漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；防护对象分为保护服务器和保护客户端两⼤类，便于策略部署；漏洞详细信息显⽰：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容；⽀持⾃动拦截、记录⽇志、上传灰度威胁到“云端”服务器防护（选配）⽀持web攻击特征数量1000+；⽀持Web⽹站隐藏，包括HTTP响应报⽂头出错页⾯的过滤，web响应报⽂头可⾃定义；⽀持FTP服务应⽤信息隐藏包括：服务器信息、软件版本信息等；⽀持OWASP定义10⼤web安全威胁，保护服务器免受基于Web应⽤的攻击，如SQL注⼊防护、XSS攻击防护、CSRF攻击防护、⽀持根据⽹站登录路径保护⼝令暴⼒破解；⽀持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护；可严格控制上传⽂件类型，检查⽂件头的特征码防⽌有安全隐患的⽂件上传⾄服务器，并⽀持结合病毒防护、插件过滤等功能检查⽂件安全性；⽀持指定URL的⿊名单、加⼊排除URL⽬录，ftp弱⼝令防护、telnet 弱⼝令防护等功能；敏感信息防泄漏内置常见敏感信息的特征，且可⾃定义敏感信息特征，如⽤户名、密码、邮箱、⾝份证信息、MD5密码等，可⾃定义具有特殊特征的敏感信息；⽀持正常访问http连接中⾮法敏感信息的外泄操作；⽀持数据库⽂件敏感信息检测，防⽌数据库⽂件被“拖库”、“暴库”；风险评估⽀持服务器、客户端的漏洞风险评估功能，⽀持对⽬标IP进⾏端⼝、服务扫描；⽀持ftp、mysql、oracle、mssql、ssh、RDP、⽹上邻居NetBIOS、VNC等多种应⽤的弱⼝令评估与扫描；风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，⾃动⽣成策略；⽹页篡改防护⽹关型⽹页防篡改，⽆需在服务器中安装任何插件；⽀持⽂件⽐对、特征码⽐对、⽹站元素、数字指纹⽐对多种⽐对⽅式，保证⽹站安全；全⾯保护⽹站的静态⽹页和动态⽹页，⽀持⽹页的⾃动发布、篡改检测、应⽤保护、警告和⾃动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的⽹页被访问的可能性及任何使⽤Web⽅式对后台数据库的篡改；⽀持各级页⾯模糊框架匹配、精确匹配的⽅式适⽤不同的⽹页类型；⽀持提供管理员业务操作界⾯与⽹管管理界⾯分离功能，⽅便业务⼈员更新⽹站内容；⽀持通过替换、重定向等技术⼿段，防护篡改页⾯；⽹站维护管理员必须通过短信认证才可进⾏⽹站更新业务操作（选配）；⽀持短信报警、邮件报警、控制台报警等多种篡改报警⽅式；病毒防护（选配）⽀持基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进⾏查杀；能实时查杀⼤量⽂件型、⽹络型和混合型等各类病毒；并采⽤新⼀代虚拟脱壳和⾏为判断技术，准确查杀各种变种病毒、未知病毒；内置10万条以上的病毒库，并且可以⾃动或者⼿动升级；检测到病毒后⽀持记录⽇志、阻断连接；Web安全防护对⽤户web⾏为进⾏过滤，保护⽤户免受攻击；⽀持只过滤HTTP GET、HTTP POST、HTTPS 等应⽤⾏为；并进⾏阻断和记录⽇志；⽀持针对上传、下载等操作进⾏⽂件过滤；⽀持⾃定义⽂件类型进⾏过滤；⽀持基于时间表的策略制定；⽀持的处理动作包括：阻断和记录⽇志；⽀持基于签名证书的ActiveX过滤；⽀持添加⽩名单和合法⽹站列表；⽀持基于应⽤类型的ActiveX过滤，如视频、在线杀毒、娱乐等；⽀持基于操作类型的脚本过滤，如注册表读写、⽂件读写、变形脚本、威胁对象调⽤、恶意图⽚等；流量管理⽀持同时连接多条外⽹线路，且⽀持多线路复⽤和智能选路技术；⽀持将多条外⽹线路虚拟映射到设备上，实现对多线路的分别流控；⽀持基于应⽤类型、⽹站类型、⽂件类型的带宽划分与分配；⽀持时间和IP的带宽划分与分配；⽤户管理⽀持基于⽤户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证⽅式；⽀持AD域结合、Proxy、POP3、web 表单等多种单点登陆⽅式，简化⽤户操作；*可强制指定⽤户、指定IP段的⽤户必须使⽤单点登录；⽀持添加到指定本地组、临时账号和不允许新⽤户认证等新⽤户认证策略；⽀持强制AD域认证，指定⽤户必须⽤AD域账户登录操作系统，否则禁⽌上⽹；认证成功的⽤户⽀持页⾯跳转，包括最近请求页⾯、管理员制定URL、注销页⾯等；⽀持CSV格式⽂件导⼊、扫描导⼊和从外部LDAP服务器上导⼊等账户导⼊⽅式；⽤户分组⽀持树形结构，⽀持⽗组、⼦组、组内套组等组织结构；⽹关管理⽀持SSL加密WEB⽅式管理设备；⽀持邮件、短信（可扩展）等告警⽅式，可提供管理员登陆、病毒、IPS、web攻击以及⽇志存储空间不⾜等告警设置；提供图形化排障⼯具，便于管理员排查策略错误等故障；提供路由、⽹桥、旁路等部署模式的配置引导，提供保护服务器、保护内⽹⽤户上⽹安全、保证内⽹⽤户上⽹带宽、保证遭到攻击及时提醒和保留证据等⽹关应⽤场景的配置引导，简化管理员配置；⽇志管理与报表提供端⼝、服务、漏洞、弱密码等安全风险评估报表；提供DOS攻击、web防护、IPS、病毒、web威胁、⽹站访问、应⽤控制、⽤户登录、系统操作等多种安全⽇志查询；提供可定义时间内安全趋势分析报表；⽀持⾃定义统计指定IP/⽤户组/⽤户/应⽤在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；⽀持将统计/趋势等报表⾃动发送到指定邮箱；⽀持导出安全统计/趋势等报表，包括⽹页、PDF等格式；。

WAF招标参数一、引言网络应用防火墙（Web Application Firewall，简称WAF）是一种用于保护网络应用免受恶意攻击的安全设备。

为了确保WAF的质量和性能，招标过程中需要明确一些参数要求。

本文将详细介绍WAF招标参数的标准格式。

二、参数要求1. 性能要求WAF的性能直接影响到系统的响应速度和用户体验。

以下是对WAF性能的要求：- 最大并发连接数：WAF应支持最大并发连接数不少于50000个。

- 吞吐量：WAF应具备每秒处理请求数不少于10000个的能力。

- 响应时间：WAF的平均响应时间应不超过5毫秒。

2. 安全功能要求WAF的安全功能是保护网络应用免受各类攻击的关键。

以下是对WAF安全功能的要求：- 攻击防护：WAF应支持常见的攻击防护功能，包括但不限于SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等。

- 恶意流量过滤：WAF应能够过滤并阻挠恶意流量，如DDoS攻击、恶意爬虫等。

- 恶意文件检测：WAF应具备检测上传文件中的恶意代码的能力，以防止恶意文件传播。

- 安全日志记录与分析：WAF应能够记录并分析网络应用的安全日志，以便及时发现和应对潜在的安全威胁。

3. 可用性要求WAF的可用性是指系统能够持续正常运行的能力。

以下是对WAF可用性的要求：- 高可靠性：WAF应具备高可靠性，能够提供24/7不间断的服务。

- 容错能力：WAF应支持故障转移和冗余备份，以确保在硬件或者软件故障时不中断服务。

- 可扩展性：WAF应支持水平和垂直的可扩展性，以适应未来业务的扩展需求。

4. 管理和监控要求WAF的管理和监控功能对于运维人员来说至关重要。

以下是对WAF管理和监控的要求：- 管理界面：WAF应提供友好且易于使用的管理界面，支持实时配置和监控。

- 日志和报告：WAF应能够生成详尽的日志和报告，包括攻击事件、流量统计等信息。

- 健康检查：WAF应具备自动健康检查功能，能够监测自身状态并及时报警。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品系列型号产品型号AF-1000-L4170 AF-1000-L4175 AF-1000-L4178 AF-1000-L4270 AF-1000-L4370 三层吞吐 1.5Gbps 2Gbps 2.5Gbps 2.5Gbps 3Gbps七层吞吐200Mbps 250Mbps 250Mbps 350Mbps 450Mbps并发连接数800,000 800,000 800,000 800,000 1,200,000网络接口3GE 4GE 6GE 4GE 6GE安装空间桌面式1U 1U 1U 1U电源单电源单电源单电源单电源单电源产品型号AF-1000-L4470AF-1000-L4473 AF-1000-L4475 AF-1000-L4478AF-1000-L4478P AF-1000-L4570三层吞吐 3.5Gbps4Gbps 4Gbps 5.5Gbps 5.5Gbps7Gbps七层吞吐550Mbps600Mbps 650Mbps 800Mbps800Mbps1Gbps并发连接数1,800,0001,800,000 1,800,000 2,000,0002,000,0002,000,000网络接口4GE+2SFP10GE 4GE+4SFP 6GE6GE4GE+2SFP 安装空间1U1U 1U 1U1U1U 电源单电源单电源单电源单电源单电源单电源产品型号AF-1000-L4670AF-1000-F440AF-1000-FA40AF-1000-G640AF-1000-G680AF-2000-H642三层吞吐8Gbps8Gbps10Gbps10Gbps14Gbps16 Gbps七层吞吐 1.6Gbps2Gbps2Gbps3Gbps4Gbps 4 Gbps并发连接数2,000,0002,000,0002,200,0002,200,0002,500,0002,500,0006GE+4SFP 网络接口8GE4GE+4SFP 10GE+4SFP 6GE+4SFP 6GE+8SFP+2*10G SFP+ 安装空间1U2U2U2U2U2U 电源单电源单电源冗余电源冗余电源冗余电源冗余电源产品型号AF-2000-H644 AF-2000-I482 AF-2000-I484AF-2000-J444AF-2000-J448三层吞吐18Gbps 20 Gbps 25 Gbps40Gbps80Gbps七层吞吐8 Gbps 12 Gbps 15 Gbps20Gbps40Gbps并发连接数4,000,000 8,000,000 8,000,00012,000,00016,000,000网络接口6GE+4SFP+4*10G SFP+4GE+8SFP+2*10G SFP+4GE+8SFP+4*10G SFP+4GE+4SFP+4*10G SFP+4GE+4SFP+8*10G SFP+安装空间2U 2U 2U2U2U 电源冗余电源冗余电源冗余电源冗余电源冗余电源产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

防火墙招标参数随着网络安全问题日益严峻，防火墙作为网络安全的重要组成部份，扮演着至关重要的角色。

在选择防火墙产品时，招标参数是一个关键因素。

本文将从多个方面详细介绍防火墙招标参数。

一、性能参数1.1 吞吐量：防火墙的吞吐量是指其处理数据包的速度，通常以每秒处理的数据包数量来衡量。

吞吐量越大，防火墙的性能越强大。

1.2 连接数：防火墙的连接数指其同时支持的最大连接数，包括并发连接和连接速率。

连接数越大，防火墙能够支持的用户数量和数据流量越多。

1.3 延迟：防火墙的延迟是指数据包通过防火墙所需的时间，延迟越小，网络响应速度越快。

二、安全功能参数2.1 防火墙规则：防火墙规则是指防火墙对数据包的过滤规则，包括允许或者拒绝特定IP地址、端口或者协议的数据包通过。

规则灵便性和定制性是评判防火墙功能的重要指标。

2.2 VPN支持：防火墙是否支持虚拟私人网络（VPN）功能，包括IPSec VPN 和SSL VPN等，以确保远程访问和数据传输的安全性。

2.3 威胁检测：防火墙是否具备威胁检测功能，包括入侵检测系统（IDS）、入侵谨防系统（IPS）等，以及对恶意软件和漏洞的检测和防护能力。

三、管理参数3.1 远程管理：防火墙是否支持远程管理功能，包括Web界面、命令行界面等，以方便管理员对防火墙进行配置和监控。

3.2 日志记录：防火墙是否支持详细的日志记录功能，包括数据包日志、安全事件日志等，以匡助管理员及时发现和应对安全事件。

3.3 定期更新：防火墙是否能够及时更新安全策略、漏洞库等，以保证其安全性和有效性。

四、可扩展性参数4.1 接口类型：防火墙是否支持多种接口类型，包括以太网接口、光纤接口等，以满足不同网络环境的需求。

4.2 高可用性：防火墙是否支持高可用性功能，包括热备份、负载均衡等，以确保网络的稳定性和可靠性。

4.3 扩展性：防火墙是否支持模块化设计和可扩展性，包括添加新功能模块、升级硬件等，以适应未来网络发展的需求。

防火墙招标参数随着网络安全问题日益凸显，防火墙成为企业网络安全的重要组成部分。

在选择防火墙时，招标参数是一个至关重要的考虑因素。

本文将从多个方面详细介绍防火墙招标参数。

一、性能参数1.1 吞吐量：防火墙的吞吐量是指其处理数据包的能力，通常以每秒处理的数据包数量来衡量。

在招标时，需明确所需的吞吐量，以满足网络流量需求。

1.2 连接数：防火墙的连接数是指其同时支持的最大连接数量，包括并发连接和新建连接。

在招标时，需考虑网络规模和用户数量，选择合适的连接数参数。

1.3 延迟：防火墙的延迟是指数据包通过防火墙时所增加的时间，影响网络性能。

在招标时，需关注防火墙的延迟情况，选择低延迟的产品。

二、安全功能参数2.1 攻击防御能力：防火墙的攻击防御能力是其最基本的功能，包括对DDoS、恶意软件等攻击的检测和防护。

在招标时，需了解防火墙的攻击防御能力，选择能够有效保护网络安全的产品。

2.2 内容过滤：防火墙的内容过滤功能可以对网络流量进行深度检测，包括应用层协议和内容过滤。

在招标时，需考虑是否需要内容过滤功能，选择符合需求的产品。

2.3 VPN支持：防火墙的VPN支持功能可以实现远程访问和站点间连接的安全通信。

在招标时，需了解防火墙的VPN支持情况，选择能够满足远程办公和分支机构连接需求的产品。

三、管理参数3.1 管理接口：防火墙的管理接口包括Web界面、命令行接口等，用于管理和配置防火墙。

在招标时，需了解防火墙的管理接口是否友好、功能是否齐全，选择易于管理的产品。

3.2 日志和报警：防火墙的日志和报警功能可以记录网络活动并及时发出警报。

在招标时，需考虑防火墙的日志记录和报警功能是否满足监控和审计需求。

3.3 安全更新：防火墙的安全更新是保障网络安全的关键，包括漏洞修复和安全补丁。

在招标时，需了解防火墙的安全更新策略和频率，选择能够及时更新的产品。

四、可扩展性参数4.1 高可用性：防火墙的高可用性是指其在故障情况下能够保持网络的正常运行。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服AF设备配置
深信服防⽕墙AF配置
1.深信服防⽕墙AF设备出⼚manage⼝ip地址为10.251.251.251，⾸先给⾃⼰电
脑配置同⽹段ip地址10.251.251.200，把AF设备manage⼝和笔记本⽤⽹线连起来，打开浏览器输⼊https://10.251.251.251,输⼊⽤户名：admin、密码：admin，登录WEB控制台，
2.防⽕墙⽹关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接⼝eth1和eth2。

3.配置⽹络接⼝，wan区域eth1⼝配置公⽹ip地址，lan区域配置内⽹规划ip 地址
4.配置默认路由和去往内⽹的回包路由
5.配置源地址转换，代理内⽹⽤户上⽹，转换为出接⼝ip地址
6.防⽕墙默认拒绝所有，应⽤控制策略放通。

7.配置僵⼫⽹络，内⽹pc上⽹防护。

8.配置IPS防护内⽹客户端
9.配置流量管控，对内⽹pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，⾸先启⽤流控，内⽹⽤户p2p下载和在线影视限制50M。

深信服参数表产品型号硬件参数深信服AF-9070-05标配8个千兆电口，8个千兆光口，4个万兆光口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-1070-05标配4个10/100/1000BASE-T接口，2个高速USB2.0接口，1个RJ45串口，配置IPSEC VPN深信服AF-1370-05标配6个10/100/1000BASE-T接口，2个高速USB2.0接口，1个RJ45串口，配置IPSEC VPN深信服AF-1570-05标配4个10/100/1000BASE-T接口，2个SFP 接口，2个高速USB2.0接口，1个RJ45串口，配置IPSEC VPN 深信服AF-1870-05标配10个10/100/1000BASE-T接口，4个SFP接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-2070-05标配8个10/100/1000BASE-T接口，2个SFP 接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-4070-05标配10个10/100/1000BASE-T接口，4个SFP接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-8070-05标配8个10/100/1000BASE-T接口，4个万兆光口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-6070-05标配8个10/100/1000BASE-T接口，4个SFP 接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-7070-05标配8个10/100/1000BASE-T接口，4个SFP 接口，2个高速USB2.0接口，1个RJ45串口，双电源性能参数功能参数最大并发连接数100万每秒新建连接数2万最大吞吐量1.2Gbps最大并发连接数150万每秒新建连接数9万最大吞吐量5Gbps最大并发连接数150万每秒新建连接数10万最大吞吐量6Gbps最大并发连接数220万每秒新建连接数13万最大吞吐量10Gbps最大并发连接数230万每秒新建连接数13万最大吞吐量12Gbps最大并发连接数600万每秒新建连接数21万最大吞吐量18Gbps最大并发连接数800万每秒新建连接数25万最大吞吐量20Gbps最大并发连接数1200W每秒新建连接数28W最大吞吐量24Gbps最大并发连接数1500万每秒新建连接数32万最大吞吐量30Gbps最大并发连接数1600万；每秒新建连接数60万，最大吞吐量80Gbps 深信服应用防火墙，含基础防火墙、攻击防护、NAT、VPN 等安全功能。

序号设备名称数量1防火墙1台2上网行为控制系统1台3无线覆盖设备6套1、防火墙招标参数：一、基础要求：★要求产品应为国产知名品牌;要求1U机架式设备；至少配置4个10/100/1000BASE-T接口和2个SFP插槽，要求所有接口非combo光电互斥接口或共享交换接口。

防火墙吞吐量≥6Gbps，最大并发连接数≥400万。

考虑产品售后服务及安全防护体系建设的完整性和统一性，要求本次采购防火墙须与上网行为管理系统同一品牌。

二、功能参数：1、为提高链路可靠性，需支持手工链路聚合及LACP链路聚合，提供不少于10种的负载分担算法，灵活实现对聚合组内业务流量的负载分担。

2、要求支持智能DNS及DNS Docting功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率；同时支持通过配置多条DNS Doctoring，实现内网资源服务器的负载均衡。

3、要求至少支持254个虚拟防火墙，虚拟防火墙支持IPv4/IPv6双栈部署，并能够实现IPv4/IPv6双栈的各种安全控制，虚拟防火墙同样支持策略自学习功能。

4、要求支持防ARP欺骗与自学习功能（提供截图）。

5、要求支持连接监控功能，显示最近被拦截的IP、地址对象及应用的节点信息；同时支持对连接数限制策略匹配信息进行分类统计，方便管理员根据统计分析结果进行相应的防护控制。

6、具有IP/MAC绑定功能，保证IP地址唯一性；可免客户端的跨路由设备IP/MAC绑定（提供截图）。

7、要求支持黑名单功能，可设置多个对象条件。

如：五元组信息、地址范围、应用、用户等，实现对特定报文进行快速过滤。

8、成交供应商必须在中标公示发布之日起6日内（签订合同前）向采购人提交所投产品的设备厂家关于本项目的三年硬件质保函和项目授权书原件。

如不能提供采购方有权拒绝签订合同。

2、上网行为管理系统招标参数：一、基础要求：★要求国产知名品牌，1U机架式设备，至少包括1个扩展槽和4个10/100/1000BASE-T接口，接口支持Bypass；要求所有接口非combo光电互斥接口或共享交换接口。

防火墙招标参数一、引言防火墙是网络安全的重要组成部份，用于保护网络免受未经授权的访问和恶意攻击。

为了确保网络安全，我们计划进行防火墙的招标采购。

本文将详细介绍防火墙的招标参数，包括硬件要求、软件要求、性能指标等内容。

二、硬件要求1. 外观设计：防火墙应具有紧凑、美观的外观设计，方便安装和放置。

2. 尺寸和分量：防火墙的尺寸应适中，便于安装在机房或者办公环境中。

分量应轻便，方便搬运和维护。

3. 网络接口：防火墙应提供足够数量的网络接口，包括以太网口、光纤口等，以满足不同网络环境的需求。

4. 电源供应：防火墙应支持双电源冗余供应，以确保系统的稳定性和可靠性。

三、软件要求1. 操作系统：防火墙应采用成熟稳定的操作系统，如Linux、Windows等。

操作系统应具备良好的兼容性和安全性。

2. 防火墙功能：防火墙应支持基本的防火墙功能，如包过滤、访问控制列表、NAT等。

同时，还应支持高级功能，如入侵检测、虚拟专用网络等。

3. 管理界面：防火墙应提供友好的管理界面，方便管理员进行配置和管理。

界面应支持中英文切换，以满足不同地区的需求。

4. 更新机制：防火墙应支持自动更新机制，及时获取最新的安全更新和补丁，以提高系统的安全性和稳定性。

四、性能指标1. 吞吐量：防火墙应具备较高的吞吐量，以满足网络流量的需求。

吞吐量应根据实际网络环境进行评估，确保能够支持网络的正常运行。

2. 连接数：防火墙应支持大规模的并发连接数，以满足多用户同时访问的需求。

连接数应根据实际用户数量进行评估，确保能够承载大量的连接请求。

3. 延迟：防火墙的数据处理延迟应尽量低，以保证网络的响应速度。

延迟时间应根据实际应用场景进行评估，确保不会对网络性能造成明显影响。

五、安全性要求1. 防护能力：防火墙应具备较强的防护能力，能够有效识别和阻断各类网络攻击，如DDoS攻击、SQL注入等。

2. 安全认证：防火墙应支持多种安全认证方式，如用户密码认证、双因素认证等。

深信服下一代防火墙招标参数硬件平台国产设备，2U机架式硬件平台，采用多核处理器；安全系统采用专用安全操作系统；电源48V直流供电；提供42m 直流电源线性能吞吐量6Gbps，并发连接100万；设备接口6个千兆电口4个千兆光口，两路电口Bypass（公司盖章支持）网关管理1.支持网关、网桥、旁路、混杂模式部署；支持SSL加密WEB方式管理设备；支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等；提供图形化排障工具，便于管理员排查策略错误等故障；2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理（需提供截图证明）网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP 客户端，支持静态路由、RIP v1/2、OSPF、策略路由；2.必须支持基于应用制定策略路由的智能选路功能防火墙功能1.可以提供静态的包过滤和动态包过滤功能；2.支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP 等；传输层协议：TCP、UDP；3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP 报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP 重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能；4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明）IPS漏洞防护1.防护攻击类型：包括蠕虫/木马/后门/DoS/DDoS 攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；2.漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）；3.漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护；可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的配置；攻击特征库: 2200+，并且能够自动或者手动升级；4.支持TCP协议的乱序重传、TCP分包；5.支持自动拦截、记录日志、上传灰度威胁到“云端”（需提供截图证明）；6.必须是微软“MAPP”计划会员，特征库必须获得CVE“兼容性认证证书”（需提供截图证明）上网行为管理功能1.支持对900种以上应用1800种以上的应用动作、用户名进行识别,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；2.支持https(ssl）协议数据的识别；支持自定义规则；依据用户现有的业务系统需要识别如下应用：可识别丰富的内网应用如：Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LADP等；能精确识别Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民杀毒等软件更新；3.可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；4.支持应用更新版本后的主动识别和控制（必须提供自主知识产权证明，加盖厂商公章）流量控制管理功能1.网关能同时连接多条线路，且支持多线路复用和智能选路技术；2.支持基于应用类型、文件类型、网页类型、时间段划分与分配带宽策略；支持基于访问行为的目标IP实现带宽划分与分配；防病毒功能1.基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀；2.能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒；3.支持10万条以上的病毒库，并且可以自动或者手动升级；4.检测到病毒后的操作：支持记录日志、阻断连接；5.提供3年的病毒特征库升级服务。