技术指标要求核心安全网关数量1套.doc

1、技术指标要求一、 核心安全网关（数量：1套）序号指标项具体要求1、基本要求硬件平台要求必须具备：SSL VPN功能、防火墙功能、入侵防御（IPS）功能、防病毒（AV）功能、带宽（流量）管理功能、上网行为管理功能的纯硬件网络安全设备。但是所有功能必须满足下面的性能要求指标项电源配置单电源并支持双电源热插拔,支持风扇热插拔操作系统 要求具备自主研发的安全操作系统，并提供该安全操作系统的软件著作权证书加盖原厂商公章证明。端口数量8个千兆端口以上，所有端口必须能够自定义局域网口和广域网口扩展功能至少1个存储扩展插槽，可用于日志信息的存储 2、性能要求(要求提供原厂商彩页证明和原厂商官方网站证明)防火墙

2、吞吐量2Gbps，支持扩展到4Gbps最大并发会话数100万，支持扩展到200万每秒新建会话数30000入侵防御（IPS）吞吐量500Mbps防病毒（AV）吞吐量250MbpsIPsec VPN吞吐率1Gbps，（采用AES256+SHA-1）最大IPSEC VPN隧道数4000条SSL VPN用户要求配置100个并发用户，最大支持1000个并发用户3、设备特性要求端口镜像支持将任意接口数据完全镜像到设备自身的其余接口，用于抓包分析。接入模式支持透明、路由、混合三种工作模式多链路负载均衡(ECMP、WCMP)支持基于源、基于源和目的、基于会话等多种负载均衡模式支持对服务器的负载均衡支持链路pi

3、ng、应用端口等方式探测服务器状态VPN支持支持支持GRE和GRE over IPSec、IPSEC VPN、SSL VPN、L2TP VPNARP欺骗防护支持免费 ARP广播，ARP客户端认证（基于PKI技术）防止ARP攻击和ARP病毒路由协议（要求提供产品界面截图）支持常见的静态路由支持OSPF、BGP和RIPv1/v2等动态路由协议（非透传）支持策略路由（基于源地址、源接口和应用等多种方式）支持接口逆向路由支持ISP服务商路由（提供预定义和自定义的）高可用性（HA）支持A-S模式，A-A模式802.3ad 链路聚合透明、路由模式下支持将多条链路带宽进行捆绑4、访问控制（防火墙）功能抗DD

4、OS攻击可抵御DNS Query Flood、Synflood、udpflood、icmpflood、ping of death、smurf、winnuke、等攻击，会话控制(基于源/目的/Service)，基于安全区段和Profile的安全防护ALG应用要求支持H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等应用访问控制可按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制Web页面关键字加权过滤支持对某一关键字出现指定次数后方进行过滤策略管理支持对防火墙策略命中次数的统计功能用户认证

5、支持Radius认证、LDAP认证和MS AD认证，并支持LDAP和AD用户的批量自动导入5、SSL VPN功能用户认证支持双因素认证(用户名/口令USB-Key)硬件特征码绑定支持客户端硬件特征码绑定认证定制网页支持登陆SSLVPN后自动打开可客户化定制的网页客户端检测对登陆客户端进程、杀毒软件的端点安全检查6、IPSEC VPN功能互通性严格遵循RFC国际标准，支持的算法：DES、3DES、AES128、AES192、AES128、AES256，SHA-256、SHA-512等，并支持NAT穿越。网络兼容性性可于主流VPN设备互通7、入侵防御（IPS）功能入侵防御技术具有自主知识产权的检测

6、引擎，具备基于协议异常、会话状态和七层应用行为等的攻击识别功能特征规则内置IPS特征库，特征规则数量超过3000条，并提供3年IPS特征库的升级服务协议分析支持对HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多种协议的分析防护攻击类型在保障合法应用正常运转的前提下，提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破2解等恶意流量的检测和阻断有效抵御SQL注入、DoS、僵尸网络等多种常见的应用层安全威胁具备零日攻击防护能力，保护用户避免遭受新的安全威胁8、防病毒（AV）功能病毒库升级内置病毒（AV）特征库，采用国内外知名厂

7、商的病毒特征库，并提供3年的病毒特征库升级服务模式支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地址的透明桥下的网络病毒检测模式，支持VPN 模式下的病毒扫描应用类型可对HTTP、FTP、SMTP、POP3、IMAP等协议的应用进行文件的病毒扫描和过滤9、带宽（流量）管理功能应用流量可视化可按照应用分类进行流量监控并提供实时的图形化监控报表基于IP的带宽管理支持基于IP进行带宽管理，并支持每个IP内部根据协议嵌套进行带宽管理基于应用的带宽管理支持基于应用进行带宽管理，并支持基于应用里嵌套根据IP进行带宽管理其他QoS支持基于物理接口/应用的速率控制；提供保证带宽控制、最大带宽限

8、制、优先级控制、DiffServ控制等方式；支持弹性带宽，在网络空闲时间自动为内网用户增加可用带宽.应用特征库内置应用特征库，要求可升级，并提供3年的应用特征库升级服务10、上网行为管理功能Web分类管理支持两千万以上分类web页面库内容审计能对论坛发帖、网页邮件、聊天记录进行监控、行为控制和记录分层带宽管理支持IP、应用、角色方式的套嵌分层管理应用识别、控制及其管理QQ/MSN/Yahoo通/Skype/Jabber/Gtalk/BaiduHi/淘宝旺旺/Fetion等主流IM应用进行识别、控制及带宽管理街头篮球、魔兽世界、天下二、穿越火线、特种部队、超级舞者、 大话西游、巨人、魔域、天龙八

9、部、跑跑卡丁车、中国游戏中心、远航游戏、边锋游戏、Sina UT Game、传奇世界、赤壁、浩方游戏平台、搜狐游戏、征途、诛仙、热血传奇、QQ飞车、QQ炫舞、梦幻西游、QQ音速、地下城与勇士 泡泡堂、完美世界、冒险岛、热血江湖、联众、QQ GAME、刀剑等主流网络游戏应用进行识别、控制及管理大智慧/同花顺/指南针/钱龙/和讯股道/大策略在线炒股等主流炒股软件进行识别、控制及管理PPLive/QQLive/PPS/Funshion/TVAnts/TVKoo/5TTK/51TV/青娱乐/Feidian/迅雷看看/磊客/搜狐TV/新浪TV/PPGou/BBSee/UUSee/聆讯/CCIPTV/PP

10、NTVP2P等主流视频应用进行识别、控制及管理支持BT/迅雷/eDonkey/eMule/maze/PP点点通/Kugoo/KaZaA/Vagaa/腾讯超级旋风/百度下吧P2P下载应用进行识别、控制及管理应用特征库内置URL分类特征库，要求可升级，并提供3年的URL分类特征库升级服务11、管理功能系统回滚支持2个系统软件并存，并支持系统软件回滚。（要求提供产品界面截图）上网日志记录网页浏览记录 需要详细URL记录配置文件保存支持10个配置文件并存，并支持配置回滚管理界面中、英文操作界面统计要求支持基于IP地址的流量统计功能，包括5分钟和24小时统计要求支持基于应用的流量统计功能，包括5分钟和2

11、4小时统计要求支持基于IP地址的会话统计，包括5分钟和24小时统计要求支持基于应用的会话统计，包括5分钟和24小时统计要求支持自定义统计功能12、资质要求公安部销售许可证具备公安部颁发的计算机信息系统安全专用产品销售许可证 信息安全产品认证证书中国信息安全认证中心颁发的中国国家信息安全产品认证证书IP V6 Ready测试中心认证要求通过全球IP V6测试中心的“IPv6 Ready”认证，并提供认证证书国家保密局资质国家保密局涉密信息系统安全保密测评中心颁发涉密信息系统产品检测证书13、服务要求特征库更新所有特征库必须互为独立，都支持自动更新，并提供三年更新升级服务，提供原厂商特征库三年更新

12、服务承诺函设备质保原厂商三年724小时上门保修维护服务，并提供原厂商三年服务承诺函二、 千兆安全隔离与信息交换系统（数量：1套）分类特性/功能性能指标产品架构系统基本架构“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。安全体系结构仲裁审计系统部署于内端机上，通用协议无法通过外端机直接连接到仲裁审计系统。只能通过内端机上的管理口对网闸进行配置，不允许使用任何数据通讯口进行管理。可避免内外端机由于被黑客从通讯口入侵，导致隔离网闸

13、被黑客完全控制的现象。操作系统采用安全操作系统、增强型内核，能够对两个主机系统提供多层次、高强度的安全防护，保护其重要进程、文件、数据不受黑客侵袭。功能要求安全上网功能提供安全的上网访问，支持HTTP协议及代理等访问控制对象：源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等内容过滤：关键字过滤脚本过滤：javascript、Applet、ActiveX等其他过滤策略：文件类型、页面提交方式等提供用户名/密码认证方式安全邮件功能提供安全的邮件访问，支持POP3、SMTP协议支持邮件主机地址过滤支持邮件内容审计过滤支持发件地址、收件地址过滤支持邮件主题过滤支持附件传输进行控制支持

14、邮件大小控制支持邮件病毒查杀功能支持访问时间控制支持用户名/密码认证方式文件传输功能提供安全的文件传输功能，支持FTP等文件传输协议支持用户名/密码认证支持用户名/IP-MAC绑定支持对传输文件的类型过滤支持访问时间控制文件同步功能可通过专用客户端或共享方式提供安全的文件同步功能占用系统资源少，文件交换效率高，不会频繁的进行磁盘扫描支持windows平台和linux平台同步传输方向可控，双向或单向支持实时扫描传输支持一对多或多对一传输支持目录内子目录同步，至多支持32级目录支持中文文件名或目录同步支持文件类型的过滤提供详细的日志审计数据库访问功能提供对多种主流数据库（SQL、ORACLE、DB

15、2、SYBASE等）数据库系统的安全访问无需修改数据库工作模式或服务器注册表支持用户查询、修改、添加、删除等操作支持全表复制、增量更新、全表更新等支持操作时间限制，设定特定时间访问数据库操作数据库同步功能基于专用客户端与网闸安全连接方式，提供多种主流数据库（SQLS、ORACLE、DB2、SYBASE等）的单、双向数据交换无需修改数据库表结构，不涉及到代码修改及二次开发同步粒度可以达到表内具体字段支持多种增量同步方式，可分别定义增加、删除、修改的传输方式支持异构数据结构以及代码语义的转换规则定义，并实现源数据到目标数据之间的实时数据交换，支持数据整合业务支持数据一对一、一对多、多对多的单向或双

16、向交换和同步支持实时交换或定时同步的策略定义采用XML技术，具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义数据库同步高可靠性，即使发生网络故障，已变化数据也不会丢失自定义功能支持用户基于标准TCP、UDP开发的自定义协议软件无需对自定义协议软件进行二次修改开发可以根据需求开发新的专用协议处理过滤功能支持访问时间控制双机热备功能保证网闸数据交换的高可用性管理配置功能管理端和审计端软件采用C/S结构支持USB-KEY进行双因子身份认证管理端：用于通道建立、策略制定等审计端：用于日志查询、分析、导出等安全终端管理：可通过串口终端管理方式对网闸进行维护为保证网

17、闸安全性，管理端和审计端需通过独立的管理口与网闸相连，不允许采用内外端机上的数据通讯口其他要求接口要求标准配置：内网4个10/100M/1000M RJ45接口，1个串口，2个USB口外网4个10/100M /1000M RJ45接口，1个串口，2个USB口可扩展选项：内外网可再各扩展4个10/100/1000M RJ45口或内外网可再各扩展14个光纤口性能指标网络吞吐量：850Mbps系统整体时延：2毫秒最大受控协议通道：256种MTBF（小时）40000单个协议通道并发连接数：32767所有协议通道并发连接数：65535最大用户数：1024产品资质要求具有公安部计算机信息系统安全专用产品销售许可证；具有国家保密局涉密信息系统产品检测证书；具有国家信息安全认证产品型号证书；具有中国人民解放军信息安全测评认证中心的军用信息安全产品B级认证证书；l 中国国家信息安全产品认证证书(ISCCC)l 原厂商三年724小时上门保修维护服务，并提供原厂商服务承诺函