2023年7月27日发(作者：)

下一代防火墙

性能与配置 三层吞吐量（大包）≥5Gbps；三层吞吐量（小包）≥1Gbps，应用层吞吐量≥700Mbps；并发连接数≥1000,000；新建连接数≥90,000；不少于6个千兆电口，含三年IPS升级授权，含三年软件平台升级及硬件质保

指标要求

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。

支持链路聚合功能

支持端口联动

支持802.1Q VLAN Trunk、access接口，子接口。

支持静态路由，ECMP等价路由

支持RIPv1/v2，OSPFv2/v3动态路由协议

支持多链路出站负载，支持基于应用类型的策略路由选路。

访问控制策略支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式；

能够识别应用类型超过1100种，应用识别规则总数超过3000条；

支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；

支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制；

移动终端支持通过IPSec/SSL VPN方式接入，分支支持通过IPSec VPN方式接入；

支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；

技术指标

部署方式

网络特性

路由支持

基础功能

内容安全

支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异DDoS攻击防护

常报文检测和TCP协议异常报文检测；

支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；

入侵防护漏洞规则特征库数量在4000条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；（需提供截图证明并加盖厂商公章）

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

入侵防护功能 具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；

支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；（要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图并加盖厂商公章）

产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上；

Web应用安全防护 具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；

支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；

支持对被防护网站是否被挂黑链进行检测；

支持CC攻击防护；

支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

终端安全防护

具备独立的僵尸网络特征库，恶意软件识别特征总数在50万条以上；

对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；

支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；（提供威胁报告并加盖厂商公章）

支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引；

提供安全报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势；支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；

支持每天/每周/每月自动生成报表，并将报表自动发送到指定邮箱，可以自定义报表内容；

支持对指定IP自定义业务名称，在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况；

支持报表以HTML、Excel、PDF等格式导出；

具有国密办商用密码产品生产定点单位证书

售后服务体系通过ISO9001认证

厂商具备CMMI L5认证证书

网络安全应急服务支撑单位证书（省级）；

具有国家信息安全测评中心颁发的《信息安全服务资质证书》安全工程类一级；

中国反网络病毒联盟成员；

国家信息安全漏洞共享平台(CNVD)用户组成员；

要求厂商是微软安全响应中心（Microsoft Security Response Center）发起的MAPP（Microsoft Active Protection Program）计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护。

产品应具备计算机信息系统安全专用产品销售许可证；

产品应具备ISCCC中国国家信息安全产品认证证书；

安全可视化

产品资质

IPSEC VPN

功能

硬件要求

指标

网络接口

具体功能要求

具备2个百兆WAN电口及10个百兆LAN口，1个百兆DMZ电口 电源

IPSec VPN加密速度

性能要求

IPSec VPN隧道数

并发IPSec客户端数

防火墙吞吐量

功能模块要求 多功能集成一体化

网关模式

部署模式

单臂模式

支持WEB认证

PORTAL 推送

单电源

12Mbps（128-bit AES）

45条

50个

100Mbps

集成流控、防火墙、VPN、多网口交换机

设备必须支持网关模式，能提供代理上网、防火墙等功能

设备必须支持单臂模式，以在不影响原有网络情况下同时能降低网络单点故障的发生概率。并在此模式下仍能实现多线路功能

支持用户名密码认证

IP+MAC绑定认证

支持自定义广告，实现首次URL重定向

支持状态检测防火墙功能；能防御包括Synflood,Icmpflood,碎片攻击等多种攻击；能够进行包过滤或ACL控制；支持对内网ARP欺骗的防御；防范来自外网、内网的DOS攻击；支持NAT和DHCP等功能

支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持国密办SM3、SM4加密算法（提供设备界面截图证明，加盖厂商公章）

除用户名/密码认证方式外，还支持基于网关硬件特征的高安全身份验证技术（提供设备界面截图证明，加盖厂商公章）

支持用户接入VPN网络后，断开与公网其他地址的连接，避免公网安全风险的潜入（提供设备界面截图证明，加盖厂商公章）

按用户、组分配不同的访问权限和应用资源；支持双向的内网权限分配策略，权限粒度细致到源IP、源端口、目的IP、目的端口级别

支持与传统的IPSec VPN设备进行对接（如Cisco、华为等设备）

不依赖于第三方的基于动态IP寻址的VPN组网技术（非DDNS方式，提供自主知识产权证明）

支持各种NAT网络环境下的VPN组网

支持视频、语音等基于组播的应用及路由协议

保证每个接入分支都能合理的利用带宽资源，从而顺畅的访问总部内网应用

使具有相同内网地址的分支机构都能同时接入总部，最大保护用户网络结构的完整性

支持基于用户名、原IP子网、代理子网、网段类型、子网掩码的VPN隧道内NAT的状态查询

可以记录VPN帐户最后登陆时间和这个帐户最后使用时间

总部与分支有多条线路，可在线路间一一进行IPSecVPN隧防火墙功能

支持加密算法扩展

安全性

硬件特征识别

VPN专线功能

权限控制

传统IPSec支持

支持全动态IP接入

网络适应性

组播包支持

易用性

VPN隧道间流控

VPN隧道内NAT

VPN隧道内NAT查询

VPN帐户的最后登陆时间和使用时间

多线路自动备份切换 道建立，并可根据需要自行设置主隧道组及备份隧道组，对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配；主隧道组线路全部无效时可自动切换到备份隧道组上，保证业务不中断；以上隧道分配策略可在每一分支根据需要设置不同的策略；单臂部署下同样支持多线路策略

配置管理

分级管理员

管理员限制IP

加速优化

跨运营加速模块

支持局域网划分vlan

客户端零配置接入

虚拟IP池功能

强身份认证

基于WEB的图形化配置管理界面；支持配置的导入、导出和备份

设备管理员支持分级分权限设置

可支持管理员限制登录IP，保证接入安全性

支持针对跨运营商访问业务实现链路加速优化，消除丢包和延迟业务体验慢情况（提供设备截图证明）

支持划分虚拟局域网，实现不同业务和部门逻辑隔离

对于移动端支持基于零配置USB DKEY技术,通过KEY接入可以免除手动启动、配置客户端程序的繁琐

为接入用户分配内网指定的IP地址

支持用户名/密码、USB-Key、硬件特征码、IP/MAC等多种动态身份认证方式；

支持用户的批量导入和导出

支持用户分组授权

支持在线禁止修改密码

通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间，并支持冻结非法用户

支持可在线查看每条线路连接状态，流量，连接总数，剩余授权总数。可详细查看基于用户、类型、实时流量、InternetIP、内网IP、接入时间、传输类型的详细情况

具有20多个大类、超过850条应用识别规则，并支持应用协议识别库实时更新

可手工添加基于“深度内容检测”技术的新应用协议识别规则，实现个性化识别和封堵，提供无限扩展能力

支持弱特征识别等相关技术，识别非常见的、新出现的P2P软件、原有P2P软件的新版本

可分组、分时段、分服务控制网络使用，支持设定用户网络访问时间限额及网速限额

基于应用协议识别库,非简单的IP+端口方式，可对网游、IM、炒股、在线流媒体、P2P工具等应用进行封堵

以半小时为单位，支持任意的时间段设置；支持每天多个时间段设置；支持每周七天每天各不相同的时间 段设置，为客户提供最灵活的时间段控制能力

允许指定用户使用P2P行为，但对其占用的带宽资源进行管理和控制

业 界 最 灵 活 的 流 可根据用户的网络应用行为、访问的网站类型、不同用户/控 用户组、区别的时间段进行流量管理 策略

WAN->LAN流控

带宽通道状态查看

将出口中指定的带宽资源划分，并将指定的带宽资源分配给指定对外提供访问的服务器，实现对外发布 应用的保障

支持实时查看各带宽通道的使用情况、状态、流量等，实时显示当前流量前十名的应用、用户

用户管理

禁止修改密码

在线用户管理

在线状态查询

应用识别规则库

手工添加应用识别

智能P2P的识别

访问控制策略

应用协议控制

流量管理

自定义上网时间段

P2P流控 在线用户管理

VPN网络的监控

通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间，并支持冻结非法用户

能够提供图形化的实时监控状态，并且能够清楚的区分网络设备的运行状态； 既可整体监控又可局部监控；查看整网VPN拓补，详细显示VPN网络设备的连接状态；可保存和打印监控拓扑图；在监视界面可以远程重启设备；

有专业统一的平台进行VPN全网的策略编辑、部署和维护；支持离线配置；新策略支持即时下发和定时下发两种模式；可在线禁用、中断用户联接；策略数据库支持定时自动备份

VPN网络管理

VPN安全组网

VPN网络状态实时监控 支持查看即时显示设备状态,包括CPU、内存、磁盘占用，以及内外网接口流量；支持查看设备异常信息；查看设备版本信息，细显示设备的版本信息及同步情况

VPN升级管理 支持所有VPN端点的自动的升级功能；支持分批升级功能，以防止同时升级带来的带宽拥塞；能提供所有的VPN客户端版本详细的升级报告

详细的日志报表，包括网点流量统计、网点版本明细、用户、管理员登录统计、告警日志、错误日志、系统调试日志

所有策略可以按时间进行生效与否进行管理

支持SNMP协议

支持Syslog导出、实现上网行为记录的转储功能

必须支持单独的硬件设备来进行VPN全网管理

管理员可按照分级权限、多用户同时管理；支持三种不同类型的管理员：普通管理员、区域管理员、系统管理员

提供原厂商售后服务体系ISO9001认证证书

设备生产厂家研发体系具有CMMI5认证证书

设备生产厂商需为国家密码管理局发布的《IPSec VPN技术规范》起草单位之一

设备生产厂商具有国家密码管理局颁发的《商用密码产品生产定点单位证书》

日志系统

时间管理

SNMP

Syslog

集中管理

集中管理平台管理员

产品及企业资质

厂商资质

设备生产厂商具有国家密码管理局颁发的《商用密码产品销售许可证》

设备生产厂商具有国家高新技术企业证书

要求原厂商在新疆区域设有直属办事处等服务机构，以便于为客户提供完善、及时的售后服务。

产品售后服务 必须提供7×24小时800电话支持；本地化应急服务紧急攻击事件2小时内响应，最大限度减少损失；

三层网络交换机

要求交换容量达到256G

包转发率不低于72Mbpps

不少于24×10/100/1000Base-T， 和4个复用的千兆SFP Combo

提供不少于一个堆叠扩展插槽 遵循IEEE 802.1d标准

支持MAC地址自动学习和老化

支持静态、动态、黑洞MAC表项

支持源MAC地址过滤

MAC地址容量：16K

支持智能堆叠

支持虚拟电缆检测(Virtual Cable Test)

支持RMON

支持eSight网管系统、支持WEB网管

支持自动配置、EasyOperation方案

支持SNMPv1/v2c/v3

支持系统日志、分级告警

支持4K个VLAN

支持Guest VLAN、Voice VLAN

支持SuperVLAN

支持MUX VLAN功能

支持GVRP协议

支持1:1和N:1 VLAN Mapping功能

支持基于MAC/协议/IP子网/策略/端口的VLAN

静态路由

支持三层动态路由