应用防火墙技术参数
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求一、防火墙参数要求:1.性能方面:1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接>15万。
1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。
1.3冗余双电源,支持HA、冗余或热备特性。
1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。
1.5内置硬盘,不小于600G,用于日志存储。
2.功能方面(包含并不仅限于以下功能):2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。
2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。
2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。
2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。
2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。
2.7具有内置或第三方CA证书生成、下发及管理功能。
2.8具有身份认证、身份审计功能,支持用户ID与用户IP 地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。
2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。
2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。
2.11具有病毒防护模块,可包含5年病毒库升级服务。
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求一、防火墙参数要求:1. 性能方面:1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接〉15万。
1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。
1.3冗余双电源,支持HA、冗余或热备特性。
1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。
1.5内置硬盘,不小于600G,用于日志存储。
2. 功能方面(包含并不仅限于以下功能):2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。
2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。
2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。
2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。
2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。
2.7具有内置或第三方CA证书生成、下发及管理功能。
2.8具有身份认证、身份审计功能,支持用户ID与用户IP地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。
2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。
2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。
2.11具有病毒防护模块,可包含5年病毒库升级服务。
2.12具备基于WEB页面的管理、配置功能,可通过WEB页面实现所有功能的配置、管理和实时状态查看。
深信服应用防火墙参数
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
防火墙参数
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
防火墙
技术指标
指标要求
★接口
标准1U机架式设备,标配4个10/100/1000 Base-T千兆电口,并含2个高速USB2.0接口,1个RJ45串口
★性能
整机吞吐量≥1.5Gbps,七层吞吐量≥180Mbps,并发连接数≥5,00,000,每秒新建连接数≥30,000
部署方式
支持网关模式,支持NAT、路由转发、DHCP等功能;支持网桥模式,以透明方式串接在网络中;支持同时开启网关和网桥模式。
厂商资质
国家规划布局重点软件企业和国家级高新技术企业证书;具有国密办商用密码产品生产定点单位证书
售后服务体系通过ISO9001认证
网络安全应急服务支撑单位证书(省级)和CMMI L3认证证书;
为了保障项目的环境质量,要求产品制造厂商具备IS014001环境管理体系认证证书
产品资质
产品应具备软件著作权登记证书;
WAF招标参数
WAF招标参数标题:WAF招标参数引言概述:Web应用防火墙(WAF)是一种保护Web应用程序免受各种网络攻击的安全设备。
在选择WAF产品时,招标参数是非常重要的参考依据。
本文将从五个方面详细介绍WAF招标参数。
一、性能参数1.1 带宽:WAF产品的带宽是指其支持的最大传输速率,根据实际需求选择合适的带宽。
1.2 吞吐量:WAF产品的吞吐量是指其每秒处理的请求数量,需根据网站流量进行评估。
1.3 响应时间:WAF产品的响应时间应尽可能短,以保证网站正常运行。
二、安全参数2.1 攻击检测率:WAF产品的攻击检测率是指其检测和防御攻击的能力,应选择具有较高检测率的产品。
2.2 防护能力:WAF产品的防护能力是指其对各类攻击的防御效果,需选择能够有效防护的产品。
2.3 安全策略:WAF产品的安全策略应灵活可配置,以适应不同的安全需求。
三、部署参数3.1 部署方式:WAF产品可部署在云端或本地,需根据实际情况选择合适的部署方式。
3.2 集成性:WAF产品应易于集成到现有网络环境中,不影响原有系统的正常运行。
3.3 扩展性:WAF产品应具有良好的扩展性,能够满足未来业务发展的需求。
四、管理参数4.1 管理界面:WAF产品的管理界面应友好易用,操作简单方便。
4.2 日志记录:WAF产品应具有完善的日志记录功能,方便进行安全事件的追踪和分析。
4.3 报警机制:WAF产品应具有报警机制,能够及时发现并应对安全事件。
五、服务支持参数5.1 技术支持:WAF产品的厂商应提供专业的技术支持服务,保障产品的正常运行。
5.2 更新维护:WAF产品的厂商应定期更新产品,修复漏洞并提供最新的安全防护功能。
5.3 培训服务:WAF产品的厂商应提供培训服务,帮助用户更好地使用和管理产品。
结论:在招标WAF产品时,应根据性能、安全、部署、管理和服务支持等参数进行综合评估,选择适合自身需求的产品,以保障Web应用程序的安全运行。
希望本文提供的WAF招标参数能够帮助读者更好地选择和使用WAF产品。
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
web防火墙技术参数
WEB应用防火墙详细技术参数1、提供的产品不能少于1*RJ45管理口,1*RJ45串口,6*GE电口(BYPASS) ,1个接口扩展槽,硬盘容量不少于1T。
网络层处理能力不能小于4Gbps。
最大并发HTTP连接数≥280万,每秒新建HTTP连接数≥2.2 万2、产品的部署方式要简单、灵活,应支持透明、旁路牵引、反向代理部署等多种部署方式,且各种工作模式下均提供完整WAF功能(如HTTPS防护);支持多路防护,适应复杂网络环境的需求;支持紧急模式,当连接数超过阀值时,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈。
支持HA、支持BYPASS。
3、支持HTTP 0.9/1.0/1.1,完全解析HTTP事务;支持对SSL(HTTPS)加密会话进行卸载分析。
支持对SSL加密加壳。
应支持NAT环境下的用户识别能力。
4、应采用基于行为分析的检测技术,对0day攻击能够很好地防范。
5、应支持对Web相关应用协议进行自定义,并提供详细协议分析变量。
6、应具备基础的网络层访问控制功能。
7、应具备黑白名单全局访问控制功能。
9、应具备HTTPS应用防护能力。
10、应支持Cookie信息防篡改功能,至少包括Cookie签名、Cookie保护属性设置。
11、应支持网站盗链行为检测与防御。
支持各类DDOS防护,包括TCP Flood、HTTP Flood防护,检测算法包括:etag、http cookies、url cookies、ascii-image、bmp-image。
支持SYN-proxy抵御机制。
12、应具备网页挂马检测与防御能力。
13、应具备WebShell检测与防御能力14、应具备基于URL的应用层访问控制功能。
15、应支持针对HTTP的请求头信息进行合规性检查。
16、应支持针对指定的URL页面,对HTTP请求信息中的方法以及参数长度等信息进行检测。
17、应支持Web服务器操作系统指纹信息返回保护。
深信服应用防火墙参数
特征库数量
漏洞特征库: 2500+ ,并且能够自动或者手动升级
特征库信息
*必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
防护类型
包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等
技术
规范
安装空间
标准2U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
电源Βιβλιοθήκη 冗余电源性能参数吞吐量
吞吐量≥5G
VPN连接数
不小于1500
并发连接数
不小于80万
新建连接数
*≥60000
延时
<10 us
平均无故障时间(MTBF)
≥100,000小时
二、详细功能要求
项目
指标
具体功能要求
实时监控
*支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等
理网关管
管理界面
支持SSL加密WEB方式管理设备
告警管理
支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等
排障工具
*提供图形化排障工具,便于管理员排查策略错误等故障
理日志管
数据中心
*设备必须支持内/外置数据中心
NAT功能
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址与目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、、SIP等
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用防火墙技术参数:
品牌要求:网神、网御星云、山石网科
系统功能
设备参数接口数目
★至少6个10/100/1000自适应电口+2SFP插槽,其中包
括1个带外管理口,1个HA口,4个业务接口, 1U设备性能参数
★至少1200Mbps网络吞吐量,应用层吞吐量不小于
500Mbps,http新建速率大于5000/s,http最大并发为40
万,网络并发连接数150万
防护策略防护规则提供内置规则,同时支持用户自定义防护特征Web扫描
★提供Web安全扫描功能(提供相应截图)
自定义Web安全扫描任务,定期进行Web安全扫描
安全特性HTTP RFC符合
性
支持对HTTP和HTTPS的协议合法性进行验证
网络层防护
支持访问控制功能,能够有效防御基于网络层的攻击
应能支持URL级别访问控制,支持IP级别黑、白名单WEB应用防护
可防御蠕虫、缓冲区溢出、目录遍历等攻击
可以识别和阻断应用层拒绝服务攻击,如CC攻击等
可以对网页请求/响应内容中的非法关键字进行检测、过
滤,非法上传阻断,包括Webshell攻击防护
应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置
攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓
冲区溢出攻击、弱口令攻击
★支持HTTPS卸载和加壳:即客户端到服务器端可以任
意选择HTTPS和HTTP,强化应用层安全(需要提供截图)
可以识别和阻断SQL注入攻击,Cookie 注入攻击,命令注
入攻击
可以防御防盗链攻击、爬虫防护,应能控制网络扫描行为
可以进行HTTP报文请求的字段进行严格,中等和宽松的
限制
可以识别和阻断跨站脚本(XSS)注入式攻击
主动防御
★能根据攻击状态进行学习,形成动态阻断列表(提供相
应截图,加盖原厂公章)
★能根据阻断状态,动态建模(提供相应截图,加盖原厂
公章)
网页篡改防护
★系统支持网页防篡改模块,支持linux,windows,Aix,
FreeBSD等主流操作系统(需要提供截图,加盖原厂公章)
采用基于文件过滤驱动保护技术、事件触发机制相结合方
式
提供定期检查功能,发现页面被篡改后以短信、邮件方式报警
支持IIS、Weblogic、Websphere、Apache、Tomcat等
应支持支持超过4GB以上网页防篡改保护和恢复功能,以适应客户业务发展需要
支持内核控制、本地备份、异地备份多种安全网页防篡改组合模式
系统可以从本地或异地备份文件夹自动同步到监测目录中
系统支持主/备目录和主/备服务器两种备份模式
提供网页防篡改的发布模式,能和主流的CMS系统集成进行内容发布,提供32、64位系统集成
抗拒绝服务攻击应能支持Syn-Proxy代理模式抵御DDos 攻击,应能根据攻击情况自动切换Syn-Proxy攻击防护模式
应能支持对Http的GET CC攻击防范,应能根据攻击情况自动切换CC攻击防护模式
应能支持SYNFlood,ICMPFlood,UDPFlood防范,应能支持对每服务器进行的Icmp,Udp,Tcp的流量控制
应能支持每客户端的连接数限制,应能支持服务器连接数总数限制
应用交付Cache加速
应具备系统内嵌应用加速模块,通过对各类静态页面及部
分脚本高速缓存,大大提高访问速度
负载均衡
★应支持多服务器的负载均衡,工作在网关模式,对保护
的多台负载WEB服务器,达到平均分发、按比例分发、负
载分摊、响应比分摊等多种负载均衡模式(需要提供截
图)
能配合现有的负载均衡设备协同工作,支持任意部署,而
不影响客户现有拓扑。
支持链路负载均衡和自动路由选择
WEB审计访问行为审计
对用户访问网站的行为跟踪统计分析,可以记录访问来源
地址,访问来源区域所在地
对攻击事件进行详细审计,要能记录访问的时间、IP、事
件类型、资源、参数等;对受保护的内容访问的审计
操作安全审计
对与系统自身安全相关的下列事件产生审计记录:管理员
登陆后进行的操作行为;对安全策略进行添加、修改、删
除等操作行为;对管理角色进行增加、删除和属性修改等
操作行为;对其他安全功能配置参数的设置或更新等行为
报表系统报表功能
系统支持对一定时期(包括年、月、周)的攻击进行统计
并查询。
系统须能够对遭受攻击按照攻击次数、防护的网站、遭受
攻击的网页、攻击类型、攻击时间(或者发现攻击的时间)
等进行统计并排名。
能够根据网站的访问防护的网站、被篡改内容、篡改内容
的类型、试图进行的篡改、成功的篡改、发现的日期、事
件发生的日期等条件进行详细信息的查询。
报表应该可以通过表格以及图形方式进行展现,支持将生成的报表以Excel及打印等通用格式输出。
告警系统多种告警方式
支持syslog、SNMP协议、邮件等多种告警方式、短信报
警
管控及网络适应能力
部署能力工作模式
★支持透明模式、路由模式,反向代理模式,旁路模式部
署,云部署模式(提供截图,加盖原厂公章),端口平移
模式(提供截图),能够快速部署在各种网络环境中
接入方式
★支持VLAN划分,支持多VLAN环境下的部署;支持链路
聚合(Channel)部署,提高链路带宽(需要提供截图)
集中监控集中管理
能够通过统一的网页篡改防护系统对多个网站进行监控;
能进行集中管理和统一监控,并且支持8级级联部署
实时监测
能实时检测工作组件工作状态以及系统关键资源的运行
状态
系统管理系统管理
支持分级分权管理,支持License控制。
支持基于WEB的CLI管理,方便调试(需要提供截图,加
盖原厂公章)
系统诊断
支持远程技术支持信息提取
支持ping,tcpdump,ifconfig,urltest等调试方式(需要
提供截图)
设备自身安全性、可靠性
设备自身安全性设备网络管理采用HTTPS,支持中英文多语言管理
BYPASS方案
网络接口内置fail-open特性,产品出现故障时,能自动
转变成通路,不影响流量正常传输
★支持软件BYPASS功能,系统软件故障时,系统自动实
现旁路保护,避免网络中断等事故的发生
可靠性冗余功能双机热备,主主模式运行,主备模式运行
支持VRRP协议,VRRP组管理(需要提供截图)
★支持双系统,支持系统回滚,避免单一系统故障而影响正常业务(需要提供截图,加盖原厂公章)
产品资质★计算机信息系统安全专用产品销售许可证(增强级)中国国家信息安全产品认证证书(简称:3C认证)
★国家保密局涉密信息系统产品检测证书
军用信息安全产品认证证书
★国家信息测评中心 EAL 1级资质
★中关村国家自主创新示范区新技术新产品(服务)证书计算机软件著作权等级证书
备注:为了便于管理要求以上产品为统一品牌
需要提供设备原厂商出具针对本项目的授权及三年原厂质保函(含软件及病毒
升级)。