《深信服下一代防火墙NGAF招标参数》由会员分享,可在线阅读,更多相关《深信服下一代防火墙NGAF招标参数(5页珍藏版)》请在金锄头文库上搜索。
1、*内部公开深信服科技,2012 1 / 5深信服下一代防火墙 NGAF 招标参数一、性能及配置要求型号:SANGFOR AF-2020项目 指标 具体功能要求电口 具备至少 8 个 10/100/1000 Base-T 千兆电口光口 具备至少 2 个 SFP 千兆光口串口 具备至少一个串口CPU 支持双核 CPU接口Bypass *支持故障时 Bypass 功能吞吐量 吞吐量3GVPN 连接数 不小于 1500并发连接数 不小于 80 万新建连接数 80000性能参数延时 10 us二、详细功能要求项目 指标 具体功能要求网关模式 支持网关模式,支持 NAT、路由转发、DHCP 等功能网桥模式
2、 支持网桥模式,以透明方式串接在网络中部署方式混杂模式 同时开启支持网关和网桥模式设备资源信息 提供设备实时 CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息安全排行 提供基于服务器和终端安全的实时攻击状态排行信息实时安全日志 提供实时的安全事件信息,包括发生事件、源 IP、目的 IP、攻击类型、URL、攻击描述、处理动作等信息实时监控流量状态 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息IP 服务 ARP、域名解析、IP UNNUMBERED、DHCP 中继、DHCP 服务器、DHCP 客户端网络适应性 路由协议 支持静态路由、R
3、IP v1/2、OSPF、策略路由包过滤与状态检测提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP) 、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP防火墙/VPN 功能 抗攻击特性支持防御 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺骗攻击防范、ARP 主动反向查询、TCP 报
4、文标志位不合法攻击防范、支持 IP SYN 速度限制、超大 ICMP 报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC 和 IP 绑定功能*内部公开深信服科技,2012 2 / 5NAT 功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持 DNS 映射功能可配置支持地址转换的有效时间支持多种 NAT ALG,包括 DNS、FTP、H.323、SIP 等IPSec VPN 功能支持 AES、DE
5、S、3DES、MD5、SHA1、DH、RC4 等算法,并且支持扩展国密办SCB2 等其他加密算法支持 MD5 及 SHA-1 验证算法支持各种 NAT 网络环境下的 VPN 组网支持第三方标准 IPSec VPN 进行对接总部与分支有多条线路,可在线路间一一进行 IPSecVPN 隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证 IPSecVPN 连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略(提供自主知识产权证明)应用特征识别库支持对 600 种以上应用 1000 种以上的应用动作、用户名进
6、行识别,可以识别 P2P、IM、OA 办公应用、数据库应用、ERP 应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;应用智能识别 支持应用更新版本后的主动识别和控制(必须提供自主知识产权证明,加盖厂商公章)内网应用识别依据用户现有的业务系统需要识别如下应用:可识别丰富的内网应用如:Lotus Notes、RTX、Citrix、Oracle EBS、金蝶 EAS、SAP、LADP 等、(根据用户现有应用提供应用列表)能精确识别 Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民杀毒等软件更新应用访问控制基于用户、应用访问策略必须提
7、供基于应用识别类型、用户名、接口、安全域、IP 地址、端口、时间进行应用访问控制列表的制定支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测威胁检测机制 威胁检测引擎支持基于威胁关联分析的检测机制,针对未知威胁进行分析检测特征库数量 漏洞特征库: 2500+ ,并且能够自动或者手动升级特征库信息 必须是微软“MAPP”计划会员,特征库必须获得 CVE“兼容性认证证书”(需提供截图证明)防护类型 包括蠕虫/木马/后门/DoS/DDoS 攻击探测 /扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS 逃逸攻击等防护对象 漏洞分为保护服务器和保护客户端两大类,便于
8、策略部署(需提供截图证明)漏洞描述 漏洞详细信息显示:漏洞 ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容策略制定 可根据源区域、目的区域、目的 IP 组,目的 IP 组支持多选进行 IPS 策略的配置防躲避 支持 TCP 协议的乱序重传、TCP 分包IPS 入侵防护处理动作“云联动“ 支持自动拦截、记录日志、上传灰度威胁到“云端” (需提供截图证明)*内部公开深信服科技,2012 3 / 5Web 应用防护识别库 支持 web 应用防护识别数量 1000+(需提供截图证明)Web 服务隐藏 支持 Web 网站隐藏,包括 HTTP 响应报文头出错页面的过滤,web 响应报文
9、头可自定义(需提供截图证明)FTP 服务隐藏 支持 FTP 服务应用信息隐藏包括:服务器信息、软件版本信息等(需提供截图证明)Web 攻击防护支持 OWASP 定义 10 大 web 安全威胁,保护服务器免受基于 Web 应用的攻击,如 SQL 注入防护、XSS 攻击防护、CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解(需提供截图证明)网站扫描防护 支持 web 站点扫描、web 站点结构扫描、漏洞扫描等扫描防护策略制定 配置选项:可设置源、目的区域、目的 IP 和端口号,端口号支持设置 Web 应用、FTP、mysql、telnet、ssh 服务的端口号文件上传过滤 严格控制上传文
10、件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性访问权限控制 支持指定 URL 的黑名单、加入排除 URL 目录功能服务器防护其他应用防护 ftp 弱口令防护、telnet 弱口令防护端口服务扫描 支持目标 IP 进行端口、服务扫描漏洞风险评估 支持服务器、客户端的漏洞风险评估功能弱口令扫描 支持 ftp、mysql、oracle、mssql、ssh、RDP、网上邻居 NetBIOS、VNC 等多种应用的弱口令评估与扫描(需提供截图证明)风险评估智能策略联动 风险评估可以实现与 FW、IPS、服务器防护模块的智能策略联动,自动生成策略
11、(需提供截图证明)网关型网页防篡改 支持网关处网页防篡改,无需在服务器中安装任何插件篡改实时检查 支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全动态网页/静态网页支持全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web 方式对后台数据库的篡改检测方式 支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型业务管理与安全管理分离支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容重定向 支持网站
12、其他页面、自定义页面、web 备份服务器篡改后重定向网页篡改防护报警方式 支持短信报警、邮件报警、控制台报警等多种篡改报警方式病毒引擎 基于流引擎查毒技术,可以针对 HTTP、FTP、SMTP、POP3 等协议进行查杀防护类型 能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒病毒库数量 支持 10 万条以上的病毒库,并且可以自动或者手动升级病毒防护处理动作 检测到病毒后的操作:支持记录日志、阻断连接*内部公开深信服科技,2012 4 / 5URL 过滤 对用户 web 行为进行过滤,保护用户免受攻击;支持只过滤 HTTP GET
13、、HTTP POST、HTTPS 等应用行为;并进行阻断和记录日志文件类型过滤 支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志ActiveX 过滤 支持基于签名证书的 ActiveX 过滤;支持添加白名单和合法网站列表;支持基于应用类型的 ActiveX 过滤,如视频、在线杀毒、娱乐等;WEB 安全防护脚本过滤 支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等多线路技术 网关必须能同时连接多条外网线路,且支持多线路复用和智能选路技术虚拟多线路 必须支持将多条外网线路虚拟映射到设
14、备上,实现对多线路的分别流控;应用流控 支持基于应用类型划分与分配带宽文件流控 支持基于文件类型划分与分配带宽时间控制 支持基于时间段的带宽划分与分配策略流量管理目标 IP 流控 支持基于访问行为的目标 IP 实现带宽划分与分配本地认证 支持触发式 WEB 认证,静态用户名密码认证等第三方认证 支持 LDAP、Radius、POP3、Proxy 等第三方认证双因素认证 支持以 USB-Key 方式实现双因素身份认证IP、MAC 认证 支持 IP 认证、MAC 认证,及 IP/MAC 绑定认证等新用户认证 根据新用户的源 IP 网段实现新用户认证公用账户 支持多人使用同一帐号登录,且支持重复登陆
15、检测机制账户有效期 指定账户支持有效期限制,并支持自动过期支持 AD、POP3、Proxy 单点登录,简化用户操作单点登录可强制指定用户、指定 IP 段的用户必须使用单点登录强制 AD 认证 必须提供你指定用户必须用 AD 域账户登录操作系统,否则禁止上网认证失败 支持为认证失败用户提供基本网络访问权限机制页面跳转 认证成功的用户支持页面跳转,包括原用户输入 URL、管理员制定 URL、上网信息排行页面、注销页面等认证后公告 支持向认证通过的用户显示指定网页支持从本地导入和扫描导入,支持以文本导入帐户/分组/IP/MAC/描述/密码等信息帐户导入支持从 LDAP 服务器导入账户及分组信息组织结
16、构 用户分组支持树形结构,支持父组、子组、组内套组等用户认证用户状态查询 支持用户登录注销历史查询,包括显示上网流量管理界面 支持 SSL 加密 WEB 方式管理设备告警管理 支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等网关管理排障工具 提供图形化排障工具,便于管理员排查策略错误等故障数据中心 设备必须支持内/外置数据中心风险评估报表 提供端口、服务、漏洞、弱密码等安全风险评估报表(需提供截图证明)安全日志查询 支持 DOS 攻击、web 防护、IPS、病毒、web 威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询日志管理安全趋势报表 提供可定义时间内安全趋势分析报表*内部公开深信服科技,2012 5 / 5安全统计报表 支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表IPS服务器防护统计必须支持将应用的受攻击对象进行统计排行和报表输出,支持按照行为次数和应用的排行统计各攻击类型名
