DSP LICENSE 800402 MGW VOIP 800136 XOIP G729 LICENSE 800411 PRI DCHAN LICENSE 800404 SS7 LINK LICENSE 800403 CAB-E1-RJ45BNC 800904 SNC-1000 800201 PLATFORM LICENSE 800424 iSX1000 MB 4T 800208 iSX1000 SIG-SIP-2000 800145 DSP LICENSE MGW VOIP 800136 XOIP G729 LICENSE PRI DCHAN LICENSE SS7 LINK LICENSE RJ45-BNC转换线 iSX1000机箱 编程平台许可 iSX1000 4E1 母版 iSX1000 SIG-SIP板 2个 1块 1个 1个 1个 1PCS 1台 1个 1块 1块
3.4下一代防火墙
序号 指标项 功能参数 标准1U设备,标配6个10/100/1000M Base-TX,12个combo接口(每个1 ▲硬件参数 Combo口为1个千兆SFP光口和1个千兆电口); 设备吞吐量6G,并发连接数300万。 支持多系统(≥3个)引导,并可配置启动顺序。 2 操作系统 切换多系统设置可在Web界面上完成全部操作。 支持基于应用的策略路由,可实现为不同的应用类型智能选择相应的链路; 支持基于 WEB地址URL的策略路由,可实现将不同类型的网站流量智能分配到不同的链路; 3 网络适应性 支持基于文件类型的策略路由,可实现将预定义或者自定义的文件按照不同的分类进行智能选路; 支持ISP路由,支持联通、电信、教育网、移动等ISP服务商地址列表,列表可导出及导入,可通过Web界面选择不同的ISP服务商实现快速切换。 支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析; 4 网络管理 支持无线设备接入的MAC地址认证,可设置默认接收或拒绝MAC地址; ▲支持一体化安全策略配置,可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理(提供截图证明并加盖原厂商公章); 5 网络访问控制 第11页,共61页
支持同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型; 支持策略命中数显示,并支持通过安全策略命中数范围查询。 6 会话管理 抗拒绝服务攻击 支持对攻击结果选择性进行处理,至少应包括日志告警、是否丢弃攻击报文等行为。 ▲必须支持IPv4和IPv6双栈协议模式的入侵检测与防护(提供截图证明并加盖原厂商公章); 支持对HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多种协议的分析; 内置IPS特征库,特征规则数量不少于3,000条,特征库可按分组进行管理,并可自定义入侵攻击和应用软件的特征; 入侵防御事件库至少应包括木马后门、间谍软件、可疑行为、安全漏洞及网络数据库攻击等的特征事件(提供相关界面截图证明,每种特征一张,共5张); 支持端口扫描和主机扫描防护; 必须支持IP/MAC地址绑定的方式防止ARP欺骗,可采用手动建立或自动探测的方式生成IP/MAC对; 8 入侵防护 对非固定IP网络环境,采用至少两种除IP/MAC地址绑定外的手段防止ARP攻击,说明实现的防护手段; 支持入侵场景保留,可记录入侵行为相关的网络数据报文,报文可保存至U盘或某台内网服务器; 支持多接口的攻击行为监听检测方式,可并行旁路检测多个网段内的网络攻击行为,用于高可靠性要求的旁路应用环境; 至少支持丢弃封包、切断会话、记录日志、邮件报警、声音报警五种响应方式; 支持IPS云防护功能,可将检测出的攻击特征备份至云端进行分析; 支持实时的入侵防护事件分级报警列表,可按事件的源IP、目的IP、协议、时间等显示;通过不同的入侵防护事件实时阻断入侵源IP,阻断时间可控(提供入侵防护事件分级列表界面和实时阻断界面截图证明); ▲入侵模块支持三年持续升级、维护服务。 ▲支持IPv4和IPv6双栈协议下的病毒扫描与防护(提供截图证明); 9 防病毒 支持HTTP,SMTP,FTP,PO3P,IMAP,等多种应用协议下病毒防护,支持自定义非标准端口下应用协议的病毒防护; 支持MSN(非加密和非压缩模式下)等IM协议病毒防护; 支持基于IP、协议、连接数的方式统计会话,统计结果可导出。 支持专业的DNS Flood和HTTP Flood攻击防护; 7 第12页,共61页
支持常见WEB邮件系统的病毒防护; 支持路由、透明、混合等各种工作模式下的网络病毒检测,支持无IP地址的透明桥下的网络病毒检测模式,支持VPN 模式下的病毒扫描; 支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为,用于高可靠性要求的旁路应用环境; 支持病毒感染主机分析与隔离,防止病毒进一步扩散,提高网络整体安全性; 采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎; 除基本型防病毒引擎外,可扩展支持增强型防病毒引擎,扩展后可包含基本和增强型病毒库; 病毒库不少于600万种病毒特征; 对检验用样本库,病毒检测率不低于95%,提供权威的第三方检测报告; 系统支持3种病毒防护模板,支持自定义病毒防护模板; 支持gzip、rar、zip等压缩格式的病毒扫描; FTP使用断点续传工具传输时(仅全面扫毒模式下),支持病毒检查; 支持过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒; 支持对当前主流的蠕虫做检测与阻断,例如: RedCode、Slammer、sober等; 支持基于病毒防护规则设置病毒隔离、阻断、清除、记录日志,发送电子邮件报警等; 支持AV云防护功能,可将检测出的病毒文件备份至云端进行分析; ▲防毒模块支持三年持续升级、维护服务。 具备1000+针对Web服务攻击防护的特征库; 可对SQL注入攻击行为进行防护; 具备对XSS跨站脚本攻击行为的防护能力; 具备对Web恶意扫描行为的防护能力,至少包含对弱口令、版本探测、漏洞扫描三种行为的防护能力; 10 ▲WEB安全 必须可发现Webshell恶意上传行为并进行拦截,具备50种以上的行为特征库; 必须具备应用层Dos攻击防护能力,在发生攻击时能拦截攻击行为; 针对Web服务缓冲溢出攻击行为可拦截; 必须支持WEB服务器错误信息替换,防止服务器信息泄露,提供功能设置、替换信息Web页面及生效日志; 11 安全日志 支持至少3个Syslog服务器,发送流量、系统或默认3类型日志到不同服务器; 第13页,共61页
支持在三权分立模式下,对日志文件的加密导出/导入。 支持WEB界面的命令行操作,管理员可通过命令行进行配置、调试; 12 管理配置 支持web界面debug、traceroute、arp探测等网络调试功能。 支持端口、上下行端口组的联动,可以实现单端口决定同组中的任意接口13 高可用性 失效启动链路切换; 自动同步、心跳接口多级(≥2级)物理备份。 产品资质 14 (提供复印件加盖原厂公章) 厂商资质 15 (提供复印件加盖原厂公章) 厂商为CSA成员; 产品具有《第二代防火墙系统计算机信息系统安全专用产品销售许可证》; 产品具有《中国国家信息安全产品认证证书》; 产品具有中国信息安全测评中心《自主原创产品测评证书》。
3.5边界防火墙
序号 指标项 功能参数 硬件平台采用先进的多核网络专用架构。硬件平台采用多核处理器,使用64位MIPS多核处理器; 1 硬件规格 ▲配置9个10/100/1000MBase-T电口,每个接口可划分到不同安全域实现各接口间的安全隔离。提供官网可下载的白皮书或者彩页,并提供官网站点地址; ▲防雷击,必须通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目,并出具国家无线电监测中心检测中心委托测试报告。 吞吐率(bps)≥1G,最大并发连接数≥40万,VPN吞吐量(bps) ≥600Mbps,每秒新建连接数≥1.2万,提供IPSec VPN隧道数≥1000条,并发SSL VPN用户许可≥6个;提供官网可下载的白皮书或者彩页,并提供官网站点地址。 支持透明、路由、混合、直连(虚拟线)模式; 支持对3000+ 种应用的识别和控制,包括200+移动应用; 要求支持多系统引导,并可在WEB界面上直接配置启动顺序; 3 网络适应性 支持静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS等动态IPv4路由协议(非透传); 支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析,支持基于源IP、目的IP、源端口、目的端口、网络协议(TCP、UDP、ICMP)等条件对镜像流量进行过滤,并且支持选择入方向、出方向及双向流量镜像; 2 性能 第14页,共61页
支持BFD 功能,支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性; 支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接; 支持基于应用协议的路由功能,根据应用类型进行路由选择(提供产品界面截图证明); 支持基于多出口的DNS代理功能,可根据配置实现对不同外网线路的DNS服务器地址管理;支持为不同运营商的DNS设置不同权重,用户根据权重比例选择不同运营商DNS进行解析实现不同线路的负载均衡功能; 支持线路过载保护功能; 支持基于接口时延的动态切换能力。 支持多对一、多对多的NAT地址转换,且公网地址池可选择逐一使用和同时使用两种模式; 为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT 4 NAT功能 full cone模式; 支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断。 提供IPS软件著作权证书; 支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入\\流出\\双向等方向); IPS吞吐量≥400Mbps;必须提供官方网站可下载的产品彩页或白皮书作证明; 5 IPS功能 ▲具备7000种以上攻击特征库规则列表,并可自定义特征库(提供产品真实界面截图证明); 具备1100种以上HTTP特征库规则列表; 支持CC攻击检测,支持访问限速、代理限速、自定义请求阈值、爬虫友好等方法,检测到CC攻击时支持JS Cookie、重定向、访问确认、验证码四种认证方法。 6 VPN功能 支持标准IPSec协议,能够与Cisco等知名厂商的VPN设备互联互通;支第15页,共61页