网络招标参数Word文档格式.docx
《网络招标参数Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络招标参数Word文档格式.docx(7页珍藏版)》请在冰点文库上搜索。
DDoS攻击防护
支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护、支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护,支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测;
支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNSFlood等DDoS攻击行为;
入侵防护功能
入侵防护漏洞规则特征库数量在4000条以上,入侵防护漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案;
(需提供截图证明并加盖厂商公章)
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源IP进行联动封锁,支持自定义封锁时间;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
Web应用安全防护
支持HTTP1.0/1.1,HTTPS协议的安全威胁检测;
支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;
支持跨站请求伪造CSRF攻击防护;
支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤;
支持对网站的扫描防护和防止恶意爬虫攻击;
支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等;
(要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图并加盖厂商公章)
产品应具备独立的Web应用防护规则库,Web应用防护规则总数在3000条以上;
具备针对主流网站内容管理系统CMS的安全防护能力,如dedecms,phpcms,phpwind等;
支持的CMS类型数量不少10种;
支持敏感数据防泄密功能,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;
支持B/S服务漏洞扫描功能,可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;
支持对被防护网站是否被挂黑链进行检测;
支持CC攻击防护;
终端安全防护
支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
具备独立的僵尸网络特征库,恶意软件识别特征总数在50万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
安全可视化
支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP10排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;
(提供威胁报告并加盖厂商公章)
支持在首页多维度的展示发现的安全威胁,如攻击风险,漏洞风险,终端安全威胁和数据风险等,并支持将所有发现的安全问题进行归类汇总,并针对给出相应的解决方法指引;
提供安全报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;
支持每天/每周/每月自动生成报表,并将报表自动发送到指定邮箱,可以自定义报表内容;
支持对指定IP自定义业务名称,在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况;
支持报表以HTML、Excel、PDF等格式导出;
产品资质
具有国密办商用密码产品生产定点单位证书
售后服务体系通过ISO9001认证
厂商具备CMMIL5认证证书
网络安全应急服务支撑单位证书(省级);
具有国家信息安全测评中心颁发的《信息安全服务资质证书》安全工程类一级;
中国反网络病毒联盟成员;
国家信息安全漏洞共享平台(CNVD)用户组成员;
要求厂商是微软安全响应中心(MicrosoftSecurityResponseCenter)发起的MAPP(MicrosoftActiveProtectionProgram)计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
产品应具备计算机信息系统安全专用产品销售许可证;
产品应具备ISCCC中国国家信息安全产品认证证书;
IPSECVPN
功能
指标
具体功能要求
硬件要求
网络接口
具备2个百兆WAN电口及10个百兆LAN口,1个百兆DMZ电口
电源
单电源
性能要求
IPSecVPN加密速度
12Mbps(128-bitAES)
IPSecVPN隧道数
45条
并发IPSec客户端数
50个
防火墙吞吐量
100Mbps
功能模块要求
多功能集成一体化
集成流控、防火墙、VPN、多网口交换机
部署模式
网关模式
设备必须支持网关模式,能提供代理上网、防火墙等功能
单臂模式
设备必须支持单臂模式,以在不影响原有网络情况下同时能降低网络单点故障的发生概率。
并在此模式下仍能实现多线路功能
安全性
支持WEB认证
PORTAL推送
支持用户名密码认证
IP+MAC绑定认证
支持自定义广告,实现首次URL重定向
防火墙功能
支持状态检测防火墙功能;
能防御包括Synflood,Icmpflood,碎片攻击等多种攻击;
能够进行包过滤或ACL控制;
支持对内网ARP欺骗的防御;
防范来自外网、内网的DOS攻击;
支持NAT和DHCP等功能
支持加密算法扩展
支持AES、DES、3DES、MD5、SHA、DH、RSA等算法,并且支持国密办SM3、SM4加密算法(提供设备界面截图证明,加盖厂商公章)
硬件特征识别
除用户名/密码认证方式外,还支持基于网关硬件特征的高安全身份验证技术(提供设备界面截图证明,加盖厂商公章)
VPN专线功能
支持用户接入VPN网络后,断开与公网其他地址的连接,避免公网安全风险的潜入(提供设备界面截图证明,加盖厂商公章)
权限控制
按用户、组分配不同的访问权限和应用资源;
支持双向的内网权限分配策略,权限粒度细致到源IP、源端口、目的IP、目的端口级别
易用性
传统IPSec支持
支持与传统的IPSecVPN设备进行对接(如Cisco、华为等设备)
支持全动态IP接入
不依赖于第三方的基于动态IP寻址的VPN组网技术(非DDNS方式,提供自主知识产权证明)
网络适应性
支持各种NAT网络环境下的VPN组网
组播包支持
支持视频、语音等基于组播的应用及路由协议
VPN隧道间流控
保证每个接入分支都能合理的利用带宽资源,从而顺畅的访问总部内网应用
VPN隧道内NAT
使具有相同内网地址的分支机构都能同时接入总部,最大保护用户网络结构的完整性
VPN隧道内NAT查询
支持基于用户名、原IP子网、代理子网、网段类型、子网掩码的VPN隧道内NAT的状态查询
VPN帐户的最后登陆时间和使用时间
可以记录VPN帐户最后登陆时间和这个帐户最后使用时间
多线路自动备份切换
总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并可根据需要自行设置主隧道组及备份隧道组,对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配;
主隧道组线路全部无效时可自动切换到备份隧道组上,保证业务不中断;
以上隧道分配策略可在每一分支根据需要设置不同的策略;
单臂部署下同样支持多线路策略
配置管理
基于WEB的图形化配置管理界面;
支持配置的导入、导出和备份
分级管理员
设备管理员支持分级分权限设置
管理员限制IP
可支持管理员限制登录IP,保证接入安全性
加速优化
跨运营加速模块
支持针对跨运营商访问业务实现链路加速优化,消除丢包和延迟业务体验慢情况(提供设备截图证明)
用户管理
支持局域网划分vlan
支持划分虚拟局域网,实现不同业务和部门逻辑隔离
客户端零配置接入
对于移动端支持基于零配置USBDKEY技术,通过KEY接入可以免除手动启动、配置客户端程序的繁琐
虚拟IP池功能
为接入用户分配内网指定的IP地址
强身份认证
支持用户名/密码、USB-Key、硬件特征码、IP/MAC等多种动态身份认证方式;
支持用户的批量导入和导出
支持用户分组授权
禁止修改密码
支持在线禁止修改密码
在线用户管理
通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间,并支持冻结非法用户
在线状态查询
支持可在线查看每条线路连接状态,流量,连接总数,剩余授权总数。
可详细查看基于用户、类型、实时流量、InternetIP、内网IP、接入时间、传输类型的详细情况
流量管理
应用识别规则库
具有20多个大类、超过850条应用识别规则,并支持应用协议识别库实时更新
手工添加应用识别
可手工添加基于“深度内容检测”技术的新应用协议识别规则,实现个性化识别和封堵,提供无限扩展能力
智能P2P的识别
支持弱特征识别等相关技术,识别非常见的、新出现的P2P软件、原有P2P软件的新版本
访问控制策略
可分组、分时段、分服务控制网络使用,支持设定用户网络访问时间限额及网速限额
应用协议控制
基于应用协议识别库,非简单的IP+端口方式,可对网游、IM、炒股、在线流媒体、P2P工具等应用进行封堵
自定义上网时间段
以半小时为单位,支持任意的时间段设置;
支持每天多个时间段设置;
支持每周七天每天各不相同的时间段设置,为客户提供最灵活的时间段控制能力
P2P流控
允许指定用户使用P2P行为,但对其占用的带宽资源进行管理和控制
业界最灵活的流控
可根据用户的网络应用行为、访问的网站类型、不同用户/用户组、区别的时间段进行流量管理策略
WAN->
LAN流控
将出口中指定的带宽资源划分,并将指定的带宽资源分配给指定对外提供访问的服务器,实现对外发布应用的保障
带宽通道状态查看
支持实时查看各带宽通道的使用情况、状态、流量等,实时显示当前流量前十名的应用、用户
VPN安全组网
VPN网络的监控
能够提供图形化的实时监控状态,并且能够清楚的区分网络设备的运行状态;
既可整体监控又可局部监控;
查看整网VPN拓补,详细显示VPN网络设备的连接状态;
可保存和打印监控拓扑图;
在监视界面可以远程重启设备;
VPN网络管理
有专业统一的平台进行VPN全网的策略编辑、部署和维护;
支持离线配置;
新策略支持即时下发和定时下发两种模式;
可在线禁用、中断用户联接;
策略数据库支持定时自动备份
VPN网络状态实时监控
支持查看即时显示设备状态,包括CPU、内存、磁盘占用,以及内外网接口流量;
支持查看设备异常信息;
查看设备版本信息,细显示设备的版本信息及同步情况
VPN升级管理
支持所有VPN端点的自动的升级功能;
支持分批升级功能,以防止同时升级带来的带宽拥塞;
能提供所有的VPN客户端版本详细的升级报告
日志系统
详细的日志报表,包括网点流量统计、网点版本明细、用户、管理员登录统计、告警日志、错误日志、系统调试日志
时间管理
所有策略可以按时间进行生效与否进行管理
SNMP
支持SNMP协议
Syslog
支持Syslog导出、实现上网行为记录的转储功能
集中管理
必须支持单独的硬件设备来进行VPN全网管理
集中管理平台管理员
管理员可按照分级权限、多用户同时管理;
支持三种不同类型的管理员:
普通管理员、区域管理员、系统管理员
厂商资质
产品及企业资质
提供原厂商售后服务体系ISO9001认证证书
设备生产厂家研发体系具有CMMI5认证证书
设备生产厂商需为国家密码管理局发布的《IPSecVPN技术规范》起草单位之一
设备生产厂商具有国家密码管理局颁发的《商用密码产品生产定点单位证书》
设备生产厂商具有国家密码管理局颁发的《商用密码产品销售许可证》
设备生产厂商具有国家高新技术企业证书
要求原厂商在新疆区域设有直属办事处等服务机构,以便于为客户提供完善、及时的售后服务。
产品售后服务
必须提供7×
24小时800电话支持;
本地化应急服务紧急攻击事件2小时内响应,最大限度减少损失;
三层网络交换机
要求交换容量达到256G
包转发率不低于72Mbpps
不少于24×
10/100/1000Base-T,
和4个复用的千兆SFPCombo
提供不少于一个堆叠扩展插槽
遵循IEEE802.1d标准
支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
MAC地址容量:
16K
支持智能堆叠
支持虚拟电缆检测(VirtualCableTest)
支持RMON
支持eSight网管系统、支持WEB网管
支持自动配置、EasyOperation方案
支持SNMPv1/v2c/v3
支持系统日志、分级告警
支持4K个VLAN
支持GuestVLAN、VoiceVLAN
支持SuperVLAN
支持MUXVLAN功能
支持GVRP协议
支持1:
1和N:
1VLANMapping功能
支持基于MAC/协议/IP子网/策略/端口的VLAN
静态路由
支持三层动态路由
升级会员 