应用防火墙技术参数
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求一、防火墙参数要求:1.性能方面:1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接>15万。
1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。
1.3冗余双电源,支持HA、冗余或热备特性。
1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。
1.5内置硬盘,不小于600G,用于日志存储。
2.功能方面(包含并不仅限于以下功能):2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。
2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。
2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。
2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。
2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。
2.7具有内置或第三方CA证书生成、下发及管理功能。
2.8具有身份认证、身份审计功能,支持用户ID与用户IP 地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。
2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。
2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。
2.11具有病毒防护模块,可包含5年病毒库升级服务。
防火墙招标参数
防火墙招标参数一、背景介绍随着信息技术的快速发展,网络安全问题日益突出,为了保护企业的信息系统免受恶意攻击和未经授权的访问,防火墙作为一种重要的网络安全设备被广泛应用。
本文旨在为防火墙招标提供标准格式的文本,包括招标参数的详细描述。
二、招标参数1. 防火墙类型:- 网络层防火墙- 应用层防火墙- 混合型防火墙2. 防火墙性能指标:- 吞吐量:最大支持数据传输速率(例如,500Mbps)- 连接数:最大支持同时连接数(例如,100,000个)- 延迟:数据包处理的最大延迟时间(例如,小于1毫秒)- 并发会话数:最大支持同时会话数(例如,50,000个)3. 安全功能要求:- 包过滤:支持基于源IP地址、目标IP地址、源端口、目标端口和协议类型的包过滤- NAT功能:支持网络地址转换(例如,PAT、NAPT)- VPN功能:支持虚拟专用网络(VPN)隧道加密传输- IDS/IPS功能:支持入侵检测系统/入侵谨防系统功能- URL过滤:支持基于URL的网页内容过滤- 应用控制:支持对特定应用程序的访问控制4. 管理和监控要求:- 远程管理:支持通过Web界面或者命令行远程管理设备 - 日志记录:支持事件日志记录和审计功能- 告警功能:支持异常事件的告警和通知- 流量监控:支持对网络流量的实时监控和统计- 升级和维护:支持固件升级和设备维护功能5. 可靠性和可用性要求:- 冗余性:支持设备冗余配置,以确保高可用性- 高可靠性:具备故障自动恢复和故障转移功能- 高可用性:支持主备模式,实现无缝切换6. 兼容性要求:- 网络协议:支持TCP/IP、UDP、ICMP等常用网络协议 - 网络环境:兼容IPv4和IPv6网络环境7. 物理要求:- 尺寸:设备尺寸要适应安装环境- 接口:提供足够数量的以太网接口和其他必要接口- 电源:支持双电源供电,以确保设备稳定运行三、总结本文针对防火墙招标参数提供了详细的标准格式文本,包括防火墙类型、性能指标、安全功能要求、管理和监控要求、可靠性和可用性要求、兼容性要求以及物理要求。
深信服应用防火墙参数
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
参数
吞吐量
吞吐量≥1G
VPN连接数
不小于400
并发连接数
不小于40万
新建连接数
*≥15000
延时
<10 us
平均无故障时间(MTBF)
≥100,000小时
AF-1820-D对应天清汉马USG-2000C
项目
指标
具体功能要求
接口
接口
10个千兆电口
4个千兆光口
Bypass
*支持故障时Bypass功能(3路)
策略制定
配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号
文件上传过滤
*严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性
其他应用防护
* ftp弱口令防护、telnet弱口令防护
设备资源信息
提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息
联动封锁源IP
*提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明)
流量状态
实时提供IP流量、应用流量排名、流量管理状态、DHCP状态、在线用户管理
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求一、防火墙参数要求:1. 性能方面:1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接〉15万。
1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。
1.3冗余双电源,支持HA、冗余或热备特性。
1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。
1.5内置硬盘,不小于600G,用于日志存储。
2. 功能方面(包含并不仅限于以下功能):2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。
2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。
2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。
2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。
2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。
2.7具有内置或第三方CA证书生成、下发及管理功能。
2.8具有身份认证、身份审计功能,支持用户ID与用户IP地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。
2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。
2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。
2.11具有病毒防护模块,可包含5年病毒库升级服务。
2.12具备基于WEB页面的管理、配置功能,可通过WEB页面实现所有功能的配置、管理和实时状态查看。
深信服应用防火墙参数
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
10G防火墙技术参数表
实现IPV6动态路由协议、IPV6对象及策略、IPV6状态防火墙、IPV6攻击防范、IPV6 GRE/IPSEC VPN、IPV6日志审计、IPV6会话热备等功能。
支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略。(提供功能截图)
7、支持国密SM1/2/3/4算法。提供官网截图证明
交换容量
网络层吞吐量≥10Gbps,
处理能力
最大并发连接数≥500万,每秒新建连接数≥10万,
功能特性
支持sql注入、跨站脚本、远程代码执行、字符编码等攻击的防护,支持对网络设备、网页服务器、数据库等设备的专属特征分类,支持CC攻击防护,可基于检测请求报文头的X-forward-for字段,以获取真正的源IP地址(提供功能截图) WAF规则支持用户自定义,同时支持导入和导出功能
4、支持IPsec VPN智能选路,根据隧道质量调度流量。(提供功能截图)
5、可基于每个SSL VPN用户的会话连接数、连接时间和流量阀值进行细颗粒度的管控。(提供功能截图)
6、支持DNS透明代理功能,可基于负载均衡算法代理内网用户进行DNS请求转发,避免单运营商DNS解析出现单一链路流量过载,平衡多条运营商线路的带宽利用率。(需提供设备功能界面截图证明)
2.5.1 10G防火墙
指标项目
指标参数
பைடு நூலகம்主要参数
1、1U高度采用非X86多核架构,具备可插拔冗余电源模块,可插拔冗余风扇模块
2、提供≥16个千兆电口,≥4个Combo口,≥4个千兆光口,≥6个万兆光口,扩展槽位≥2个,≥2个硬盘扩展槽
★3、支持2台设备堆叠成一台设备使用,实现统一管理,统一配置,所投设备支持高可靠性(包含主备/主主模式)部署,上述功能要求须提国家相关部委认可的第三方实验室测试报告证明,提供报告复印件,且必须加盖原厂公章或项目授权章。
WAF招标参数
WAF招标参数标题:WAF招标参数引言概述:Web应用防火墙(WAF)是一种保护Web应用程序免受各种网络攻击的安全设备。
在选择WAF产品时,招标参数是非常重要的参考依据。
本文将从五个方面详细介绍WAF招标参数。
一、性能参数1.1 带宽:WAF产品的带宽是指其支持的最大传输速率,根据实际需求选择合适的带宽。
1.2 吞吐量:WAF产品的吞吐量是指其每秒处理的请求数量,需根据网站流量进行评估。
1.3 响应时间:WAF产品的响应时间应尽可能短,以保证网站正常运行。
二、安全参数2.1 攻击检测率:WAF产品的攻击检测率是指其检测和防御攻击的能力,应选择具有较高检测率的产品。
2.2 防护能力:WAF产品的防护能力是指其对各类攻击的防御效果,需选择能够有效防护的产品。
2.3 安全策略:WAF产品的安全策略应灵活可配置,以适应不同的安全需求。
三、部署参数3.1 部署方式:WAF产品可部署在云端或本地,需根据实际情况选择合适的部署方式。
3.2 集成性:WAF产品应易于集成到现有网络环境中,不影响原有系统的正常运行。
3.3 扩展性:WAF产品应具有良好的扩展性,能够满足未来业务发展的需求。
四、管理参数4.1 管理界面:WAF产品的管理界面应友好易用,操作简单方便。
4.2 日志记录:WAF产品应具有完善的日志记录功能,方便进行安全事件的追踪和分析。
4.3 报警机制:WAF产品应具有报警机制,能够及时发现并应对安全事件。
五、服务支持参数5.1 技术支持:WAF产品的厂商应提供专业的技术支持服务,保障产品的正常运行。
5.2 更新维护:WAF产品的厂商应定期更新产品,修复漏洞并提供最新的安全防护功能。
5.3 培训服务:WAF产品的厂商应提供培训服务,帮助用户更好地使用和管理产品。
结论:在招标WAF产品时,应根据性能、安全、部署、管理和服务支持等参数进行综合评估,选择适合自身需求的产品,以保障Web应用程序的安全运行。
希望本文提供的WAF招标参数能够帮助读者更好地选择和使用WAF产品。
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用防火墙技术参数:
品牌要求:网神、网御星云、山石网科
系统功能
设备参数接口数目
★至少6个10/100/1000自适应电口+2SFP插槽,其中包
括1个带外管理口,1个HA口,4个业务接口, 1U设备性能参数
★至少1200Mbps网络吞吐量,应用层吞吐量不小于
500Mbps,http新建速率大于5000/s,http最大并发为40
万,网络并发连接数150万
防护策略防护规则提供内置规则,同时支持用户自定义防护特征Web扫描
★提供Web安全扫描功能(提供相应截图)
自定义Web安全扫描任务,定期进行Web安全扫描
安全特性HTTP RFC符合
性
支持对HTTP和HTTPS的协议合法性进行验证
网络层防护
支持访问控制功能,能够有效防御基于网络层的攻击
应能支持URL级别访问控制,支持IP级别黑、白名单WEB应用防护
可防御蠕虫、缓冲区溢出、目录遍历等攻击
可以识别和阻断应用层拒绝服务攻击,如CC攻击等
可以对网页请求/响应内容中的非法关键字进行检测、过
滤,非法上传阻断,包括Webshell攻击防护
应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置
攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓
冲区溢出攻击、弱口令攻击
★支持HTTPS卸载和加壳:即客户端到服务器端可以任
意选择HTTPS和HTTP,强化应用层安全(需要提供截图)
可以识别和阻断SQL注入攻击,Cookie 注入攻击,命令注
入攻击
可以防御防盗链攻击、爬虫防护,应能控制网络扫描行为
可以进行HTTP报文请求的字段进行严格,中等和宽松的
限制
可以识别和阻断跨站脚本(XSS)注入式攻击
主动防御
★能根据攻击状态进行学习,形成动态阻断列表(提供相
应截图,加盖原厂公章)
★能根据阻断状态,动态建模(提供相应截图,加盖原厂
公章)
网页篡改防护
★系统支持网页防篡改模块,支持linux,windows,Aix,
FreeBSD等主流操作系统(需要提供截图,加盖原厂公章)
采用基于文件过滤驱动保护技术、事件触发机制相结合方
式
提供定期检查功能,发现页面被篡改后以短信、邮件方式报警
支持IIS、Weblogic、Websphere、Apache、Tomcat等
应支持支持超过4GB以上网页防篡改保护和恢复功能,以适应客户业务发展需要
支持内核控制、本地备份、异地备份多种安全网页防篡改组合模式
系统可以从本地或异地备份文件夹自动同步到监测目录中
系统支持主/备目录和主/备服务器两种备份模式
提供网页防篡改的发布模式,能和主流的CMS系统集成进行内容发布,提供32、64位系统集成
抗拒绝服务攻击应能支持Syn-Proxy代理模式抵御DDos 攻击,应能根据攻击情况自动切换Syn-Proxy攻击防护模式
应能支持对Http的GET CC攻击防范,应能根据攻击情况自动切换CC攻击防护模式
应能支持SYNFlood,ICMPFlood,UDPFlood防范,应能支持对每服务器进行的Icmp,Udp,Tcp的流量控制
应能支持每客户端的连接数限制,应能支持服务器连接数总数限制
应用交付Cache加速
应具备系统内嵌应用加速模块,通过对各类静态页面及部
分脚本高速缓存,大大提高访问速度
负载均衡
★应支持多服务器的负载均衡,工作在网关模式,对保护
的多台负载WEB服务器,达到平均分发、按比例分发、负
载分摊、响应比分摊等多种负载均衡模式(需要提供截
图)
能配合现有的负载均衡设备协同工作,支持任意部署,而
不影响客户现有拓扑。
支持链路负载均衡和自动路由选择
WEB审计访问行为审计
对用户访问网站的行为跟踪统计分析,可以记录访问来源
地址,访问来源区域所在地
对攻击事件进行详细审计,要能记录访问的时间、IP、事
件类型、资源、参数等;对受保护的内容访问的审计
操作安全审计
对与系统自身安全相关的下列事件产生审计记录:管理员
登陆后进行的操作行为;对安全策略进行添加、修改、删
除等操作行为;对管理角色进行增加、删除和属性修改等
操作行为;对其他安全功能配置参数的设置或更新等行为
报表系统报表功能
系统支持对一定时期(包括年、月、周)的攻击进行统计
并查询。
系统须能够对遭受攻击按照攻击次数、防护的网站、遭受
攻击的网页、攻击类型、攻击时间(或者发现攻击的时间)
等进行统计并排名。
能够根据网站的访问防护的网站、被篡改内容、篡改内容
的类型、试图进行的篡改、成功的篡改、发现的日期、事
件发生的日期等条件进行详细信息的查询。
报表应该可以通过表格以及图形方式进行展现,支持将生成的报表以Excel及打印等通用格式输出。
告警系统多种告警方式
支持syslog、SNMP协议、邮件等多种告警方式、短信报
警
管控及网络适应能力
部署能力工作模式
★支持透明模式、路由模式,反向代理模式,旁路模式部
署,云部署模式(提供截图,加盖原厂公章),端口平移
模式(提供截图),能够快速部署在各种网络环境中
接入方式
★支持VLAN划分,支持多VLAN环境下的部署;支持链路
聚合(Channel)部署,提高链路带宽(需要提供截图)
集中监控集中管理
能够通过统一的网页篡改防护系统对多个网站进行监控;
能进行集中管理和统一监控,并且支持8级级联部署
实时监测
能实时检测工作组件工作状态以及系统关键资源的运行
状态
系统管理系统管理
支持分级分权管理,支持License控制。
支持基于WEB的CLI管理,方便调试(需要提供截图,加
盖原厂公章)
系统诊断
支持远程技术支持信息提取
支持ping,tcpdump,ifconfig,urltest等调试方式(需要
提供截图)
设备自身安全性、可靠性
设备自身安全性设备网络管理采用HTTPS,支持中英文多语言管理
BYPASS方案
网络接口内置fail-open特性,产品出现故障时,能自动
转变成通路,不影响流量正常传输
★支持软件BYPASS功能,系统软件故障时,系统自动实
现旁路保护,避免网络中断等事故的发生
可靠性冗余功能双机热备,主主模式运行,主备模式运行
支持VRRP协议,VRRP组管理(需要提供截图)
★支持双系统,支持系统回滚,避免单一系统故障而影响正常业务(需要提供截图,加盖原厂公章)
产品资质★计算机信息系统安全专用产品销售许可证(增强级)中国国家信息安全产品认证证书(简称:3C认证)
★国家保密局涉密信息系统产品检测证书
军用信息安全产品认证证书
★国家信息测评中心 EAL 1级资质
★中关村国家自主创新示范区新技术新产品(服务)证书计算机软件著作权等级证书
备注:为了便于管理要求以上产品为统一品牌
需要提供设备原厂商出具针对本项目的授权及三年原厂质保函(含软件及病毒
升级)。