防火墙设备技术要求

合集下载

110kV变电站二次安防-防火墙

66kV变电站综合自动化专用技术规范110kV变电站二次安防-防火墙通用技术规范本规范对应的专用技术规范目录66kV变电站综合自动化专用技术规范110kV变电站二次安防—防火墙采购标准技术规范使用说明1. 本物资采购标准技术规范分为标准技术规范通用部分和标准技术规范专用部分。

2. 项目单位根据需求选择所需设备的技术规范。

技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。

3. 项目单位应按实际要求填写“项目需求部分”。

如确实需要改动以下部分，项目单位应填写专用部分“表5 项目单位技术差异表”，并加盖该网、省公司物资部（招投标管理中心）公章，与辅助说明文件随招标计划一起提交至招标文件审查会：1）改动通用部分条款及专用部分固化的参数；2）项目单位要求值超出标准技术参数值范围；3）根据实际使用条件，需要变更污秽等级、海拔高度、耐受地震能力、压力释放能力、环境温度等要求。

经招标文件审查会同意后，对专用部分的修改形成“项目单位技术差异表”，放入专用部分中，随招标文件同时发出并视为有效，否则将视为无差异。

4. 投标人逐项响应技术规范专用部分中“1 标准技术参数表”、“2 项目需求部分”和“3 投标人响应部分”三部分相应内容。

填写投标人响应部分，应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。

投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。

“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时，以差异表给出的参数为准。

投标人填写技术参数和性能要求响应表时，如有偏差除填写“表6 投标人技术偏差表”外，必要时应提供证明参数优于招标人要求的相关试验报告。

5. 对扩建工程，项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。

6. 技术规范范本的页面、标题等均为统一格式，不得随意更改。

目次110kV变电站二次安防—防火墙采购标准技术规范使用说明 (63)1总则 (65)1.1引言 (65)1.2供方职责 (65)2技术规范要求 (65)2.1使用环境条件 (65)2.2110kV变电站二次安防总的技术要求 (65)2.3防火墙的具体技术要求 (66)3试验 (66)3.1安装调试 (66)3.2设备验收 (67)4技术服务 (67)4.1技术服务 (67)66kV变电站综合自动化专用技术规范1总则1.1引言投标人需具有ISO 9001质量保证体系认证证书、宜有ISO 14001环境管理体系认证证书、宜有OHSAS 18001职业健康安全管理体系认证证书，并具有AAA级资信等级证书、宜有重合同守信用企业证书并具备良好的财务状况和商业信誉。

Power V系列防火墙技术指标

有效防护CC各种攻击方式，如直接攻击，代理攻击，僵尸网络攻击
关联安全
支持关联安全标准(CSC)
可实现与IDS等设备的联动，要求提供防火墙与IDS设备联动的技术专利号
可与终端管理系统协同工作，实现对终端的网络准入认证控制
管理配置
支持友好的Web图形界面配置
支持远程SSH、Telnet和串口命令行配置
支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级
要求支持P2P视频播放控制并提供细粒度带宽控制，识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件
要求支持即时通讯软件控制并提供细粒度带宽控制，识别和控制QQ、MSN等常用IM软件，一键式阻断IM软件机密文件传输
要求支持在线游戏、炒股控制，识别和控制魔兽、CS、征途、联众等数十种在线游戏软件，大智慧、同花顺等数十种炒股软件
技术指标
指标要求
硬件架构
产品形态、芯片架构、机箱等
接口
网络接口、串口、USB接口、电源
性能
吞吐率(bps)
最大并发连接数
每秒新建连接数
IPSec VPN隧道数
SSL VPN并发用户数
系统要求
要求具备自主研发的安全操作系统，并提供该安全操作系统的软件著作权及彩页作为证明
★要求支持多系统引导，并可在WEB界面上直接配置启动顺序
SSL VPN能进行个性门户（portal）定制化处理，可替换图片、文字等
VRC(VPN客户端)
IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通
支持基于动态令牌的双因子认证
支持基于USB Key的证书认证方式
支持国密办专用算法SM1
★IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统

深信服应用防火墙参数

IPS入侵防护
特征库数量
漏洞特征库: 2500+ ，并且能够自动或者手动升级
特征库信息
*必须是微软“MAPP”计划会员，特征库必须获得CVE“兼容性认证证书”（需提供截图证明）
防护类型
包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等
技术
规范
安装空间
标准2U机架尺寸
储存温度
－20℃～70℃
相对湿度
5～95%（无凝结状态）
电源Βιβλιοθήκη 冗余电源性能参数吞吐量
吞吐量≥5G
VPN连接数
不小于1500
并发连接数
不小于80万
新建连接数
*≥60000
延时
<10 us
平均无故障时间（MTBF）
≥100,000小时
二、详细功能要求
项目
指标
具体功能要求
实时监控
*支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等
理网关管
管理界面
支持SSL加密WEB方式管理设备
告警管理
支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等
排障工具
*提供图形化排障工具，便于管理员排查策略错误等故障
理日志管
数据中心
*设备必须支持内/外置数据中心
NAT功能
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址与目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG，包括DNS、、SIP等

H3CSecPathF1050防火墙招标参数

支持状态检查，协议包括：，支持时间段安全策略设置。
★支持基于、内存等硬件划分资源的完全虚拟化技术,可分配吞吐量、新建、并发，虚拟防火墙可独立重启、配置独立导出，虚拟防火墙பைடு நூலகம்量≥个，要求提供配置截图及公司盖章
虚拟防火墙支持、等多业务
免费支持高性能、、功能
★支持高性能功能，最大并发可扩展≥
能实现与安卓、系统自带组件的、、对接
支持路由模式、透明模式和混杂模式
★电源
实配内置固化双交流电源
产品认证
符合欧盟绿色环保认证
欧盟强制性要求
第二阶段增强型认证金色证书
能提供以上认证的证书
配套管理
支持、2C、，
支持、、管理方式
支持时间同步
支持协议，管理
支持接口
资质证明
具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件。
支持一个公网地址无限连接
支持策略功能
支持二进制日志
能够防范攻击：
、、、、、、、、、、（）攻击、欺骗、报文标志位不合法、超大报文、地址扫描的防范、端口扫描的防范、、、、分片、
★智能管理
支持统一管理软件，可实现全网拓扑管理
风险地图显示
攻击溯源功能
支持技术：基于功能、菜单、命令界别的基于用户角色的授权
部署模式
整机混合包吞吐量≥3G
整机小包吞吐量≥900M
整机深度防御吞吐量≥3G
加密≥3G
加密≥3G
可靠性要求
支持的链路备份
★支持双机集群式高可靠性技术，融合后可统一管理配置，对外单一节点，单并实现主备主主方式转发，要求提供配置截图及公司盖章
支持的状态同步
支持隧道备份切换

【精品】网络交换路由防火墙等技术要求

四、计算机网络系统主要设备技术参数要求一、XX专网1.1、路由器*1、电源、主控等关键模块支持1:1冗余备份，所有单板支持热拔插，插槽数≥6个*2、包转发率≥12Mpps，交换容量≥40Gbps*3、内存≥4G，FLASH≥4G4、支持GESFP、GERJ45、GECombo、FE、155MPOS、155M通道化POS、E1/CE1等接口类型，支持Wlan、10GE接口*5、整机最大支持三层GE接口数≥84，整机最大支持POS/CPOS接口数≥166、支持RIP1/2、OSPF、IS-IS、BGP等路由协议，整机IPV4FIB表项≥512K7、支持RIPng、OSPFv3、IS-ISv6、BGP4+等IPv6协议，整机IPV6FIB表项≥128K8、支持IPv4/IPv6双协议栈，支持IPv4/v6过渡机制：手工通用隧道和自动6To4隧道、6PE、NAT-PT等9、完备的VPN功能，包括BGP/MPLSVPN、二层MPLSVPN（VPLS/VPWS）、L2TPVPN、IPsecVPN、GREVPN等。

10、支持丰富的队列技术、拥塞避免技术、调度技术，支持CAR，可以为用户提供完善的QOS保障措施11、支持防火墙功能，支持应用代理和应用过滤等技术，支持防DDOS攻击，减轻或解除网络攻击的威胁12、通过了CE认证，包括EMC测试等13、通过了IPV6READY金牌认证14、提供信息产业部的电信设备IPV4和IPV6进网许可证及入网检测报告*15、与交换机、防火墙、WLAN同一品牌，便于管理1.2、防火墙1、*网络接口≥10个，其中千兆接口≥2个，百兆接口≥8个2、*防火墙吞吐量≥1.5Gbps，并发会话数≥1M，每秒新建会话数≥20K/s，策略数≥4K3、支持接口DHCP和PPPoE接入，支持静态路由设置4、支持基于源地址策略路由功能。

支持IP/MAC地址绑定。

5、*支持RIPv1,RIPv2,OSPF,BGP,组播路由等动态路由设置6、*支持IPv6，支持IPv4与IPv6混合环境7、*支持本地数据库，LDAP,RADIUS,TACACS+,RSASecureID等认证方式8、*支持VoIP协议（SIP,SCCP）的NAT穿越9、*支持并提供防病毒模块，支持对HTTP、FTP、SMTP、POP3等协议的病毒检测和过滤10、*支持虚拟防火墙系统（虚拟域）的功能，并提供8个以上虚拟防火墙许可。

防火墙参数需求

支持智能DNS功能。（需提供界面截图或官方技术文档做证明）注：SMARTDNS功能实现当外部用户访问内部服务器时，电信用户解析到的域名IP为电信地址，联通用户解析到的域名IP为联通地址。从而优化服务质量。
支持智能选择联通、电信、移动等出口链路，无需手动配置复杂多变的策略路由
支持基于P2P、web视频等应用的智能引流（要求提供产品界面截图）注：智能引流功能实现当内部用户访问外部网络时，可以智能识别出流量中的P2P、Web视频等应用流量，并且自动将应用流量按用户要求分配到指定接口，从而充分利用链路带宽
性能指标
最大吞吐量≥2Gbps
最大并发会话数≥100万
每秒新建会话数≥10000
IPS吞吐量≥200Mbps
病毒过滤吞吐量≥70Mbps
IPsec VPN吞吐量≥500Mbps
IPSEC VPN隧道数≥1000条
电源规格：标配双冗余电源
基本功能
防火墙系统可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式
1、防火墙参数需求：
指标项
具体要求
★基本要求
硬件平台采用先进的MIPS非X86多核网络专用硬件平台，处理器最低配置双核心以上并行处理CPU（要求在技术应答中明确说明所投产品采用的多核处理器型号，并提供设备前面板实物照片与多核CPU运行截图）要求采用完全自主版权的操作系统，具备操作系统著作权证书；提供主、备双操作系统，提高设备自身可靠性和网络的可用性。原有防火墙配置直接迁移至新设备。不少于8×GE+2×GE/SFP互斥口。
资质要求
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书（千兆）》（三级）
要求通过全球IPV6测试中心的“IPv6 Ready”认证，并提供认证证书

防火墙、交换机技术参数

性能交换容量640gbps包转发率476mpps端口类型整机万兆端口密度24可支持2个40g端口扩展二层功能mac地址表128k支持ieee8021d8021w8021s同时支持ieee8021qvlan4k支持gvrp支持多个端口的链路聚合每个组支持8个端口每个堆叠支持128支持igmpv1v2v3支持igmpv1v2v3snooping支持ieee8021x支持sflow等流量统计功能支持jumbo帧9kbytes支持单向链路检测udld三层功能支持ripv1v2ospfv1v2v3等主流路由协议ipv4路由表8kipv6路由表4k支持策略路由pbr支持pimsm和pimdm支持vrrp虚拟化支持跨机箱的链路聚合mlag支持openflow标准qos支持ieee8021pdscp支持wrr和pq每端口8个队列支持基于端口和流量的qos服务模式融合网络功能支持dcb支持pfc8021qbbets8021qazdcbxiscsitlv和iscsi可靠性提供电源和风扇冗余并支持热插拔支持12台交换机堆叠功能安全性可启用或禁用websshtelnetssl管理访问通过telnethttphttpssslssh和snmp进行管理访问的ip地址筛选支持radius和tacacs管理性支持cli需兼容业界主流标准支持telnetconsolehttphttpssslssh和snmpv1v2v3等管理方式支持rmon支持syslog日志格式设备配置每台交换机包含原厂所有万兆交换模块及相应线缆注
★业务需要
需要提供一套服务器虚拟化管理软件，所有的计算资源都进行统一整合，业务软件或者业务系统上线时直接通过管理中心新建一个虚拟机，分配系统需要的CPU和内存等资源即可完成环境准备，然后安装软件立即就能提供服务；
★功能模块
要求

WAF防火墙设备指标及参数说明

1
台
硬件模块化设计
硬件采用模块化设计，可以通过扩展卡来增减业务接口，而非软件WAF。
和端口数量扩展能力
个可插拨默认包括2个接口；2U机架式结构；最大配置为26（其10/100/1000BASE-TSFP插槽接口和4个的扩展槽和4个接口（作为2，个10/100/1000BASE-T个中2SFP+万兆插槽）口和管理口）；HA
可以查看使用业务接口的上下行实时流量。
地IP客户端和服务器及的所有可以查看通过WAFIPV4IPV6址及端口连接数及状态。
3 / 5
可以实时查看设备新建连接数、并发连接数、每秒事务数及应用层吞吐率等数据并以可视化的方式展示。HTTP
设备运行数据分析
固态硬盘等自身使用率情SSDCPU、内存、可以实时查看设备况。
1 / 5
WEB安全防护
800+条以上的应用层规则。支持
注入攻击，命令注入注入攻击,Cookie应能识别和阻断SQL攻击。
(XSS)攻击。应能识别和阻断跨站脚本
支持对中国菜刀等工具对后webshell等后门上传防护、支持门连接的阻断。
awvs等扫描器的扫描防护支持对appscan、
支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护
等第三方扫描w3af支持虚拟补丁功能，支持导入appscan、WAF的规则，对此类网站漏洞直接防护。器的扫描结果生成
可停用或启用任意一条规则，当触发规则后可以制定针对该条规则的动作，包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。
不用再上内使用，wafhttps证书支持直接将证书内容填充到传或者转换证书使用。
命令执行等常见Struts2参数污染攻击、00截断、支持HTTP攻击防护

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

功能要求
基本要求
➢ Gartner UTM产品排名前三的综合安全网关产品（以2016年度
魔力象限图为准，需提供报告）。
➢ 设备使用自有开发的安全操作系统，单个操作系统包含所有安全
功能。
➢ 为保证防火墙运行的稳定性和高速性，要求设备采用ASIC和
NP芯片对各项安全功能进行加速优化处理。

访问控制
➢ 状态检测支持对IP包中ICMP、TCP、UDP头信息的智能过滤。
➢ 策略具备接口、地址、服务、时间、用户、设备类型（Windows、
Linux、iOS、Android等）、带宽等的配置。
➢ 支持基于IP网段、IP范围、域名、反掩码等的地址定义方法。
➢ 支持基于特定源地址、目的地址、应用端口组合的会话数限制。
➢ 支持基于策略、用户组、单个IP、应用的流量限制。支持修改
数据包DSCP值。
➢ 支持多种用户认证方式，包括本地、Radius、LDAP、TACACS+、
Windows AD、数字证书等。内置双因子认证（基于时间的动态
口令）支持，无需额外认证服务器或硬件设备。
➢ 支持Windows AD、Radius单点登录功能。
➢ 支持数字证书，支持SCEP、OCSP协议。

组网能力
➢ 支持RIP、OSPF、BGP、ISIS动态路由协议，能够与网络无缝
集成。
➢ 支持基于源地址、目的地址、协议等内容组合控制策略路由。
➢ 支持等值路由（ECMP），并支持链路权重设置。
➢ 支持组播路由（PIM）。
➢ 支持基于用户身份认证的路由。
➢ 支持主-备和主-主HA方案。双机热备要能支持多种组网形式，
确保可靠性，并且数据接口和心跳线支持冗余。
➢ 支持双活模式部署（单机模式下同步设备配置及会话表）。
➢ 支持VRRP冗余。
➢ 支持虚拟系统功能，能够在虚拟系统中应用所有安全特性。支持
10个虚拟系统，并可根据需要扩展。
➢ 支持NAT和透明模式部署，在任何模式下都支持虚拟防火墙技
术和各种HA功能。支持NAT和透明的混合部署模式。
➢ 支持多种NAT方式，包括静态NAT、动态NAT、Fullcone NAT、
固定端口块NAT、动态端口块NAT（PBA）等。
➢ 支持链路负载均衡及服务器负载均衡功能。支持HTTP多路复
用及SSL卸载。
➢ 支持软交换功能，可将多个防火墙接口划分至一个虚拟交换机
（VLAN），实现二层透明转发。
➢ 支持Sniffer（旁路侦听）模式部署。
➢ 支持802.1Q Trunk，支持不同VLAN之间的数据隔离。
➢ 支持802.3AD链路聚合、支持端口冗余。
➢ 支持外接USB 3G/4G modem，接入3G/4G无线网络。
➢ 支持WCCP/ICAP内容路由。
➢ 支持单点（透明/显式代理，本地缓存）及点对点广域网加速功
能。
➢ 支持完善的IPv6功能，包括动态路由、NAT64、VPN、隧道、
应用层安全功能等。

VPN及加密 ➢ 支持IPSec VPN功能，基于硬件3DES、AES、SHA-1、SHA-256等VPN加密、认证算法。 ➢ 支持IKE v1、v2。 ➢ 支持基于路由的IPSec VPN，可以实现通过结合RIP/OSPF等路由实现VPN线路备份。
➢ 支持SSL VPN功能，满足远程用户的安全接入内网，支持Web
代理模式、端口转发模式、隧道模式。支持SSL VPN客户端虚
拟桌面功能。
➢ 支持PPTP、L2TP VPN。
➢ 支持GRE。

高级安全
功能

➢ 支持Dos & DDoS防攻击检测和阻止。

➢ 支持基于策略的安全检测，具备基于用户的安全检测，支持改变
应用端口的检测，例如HTTP 8080端口，支持协议检测（不使
用端口识别应用）。
➢ 支持7000种以上的入侵检测特征数目，支持特征码检测和行为
检测，并支持分级启用（提供截图）。
➢ 入侵防御功能支持原始数据包留存功能。
➢ 能识别常用网络应用软件（QQ、微信、BT、迅雷等），支持检
测3000种以上网络应用，并可进行阻断（提供截图）。
➢ 支持用户自定义攻击特征、自定义应用特征。
➢ 支持HTTP、、POP3、SMTP、HTTPS、IMAPS、POP3S、SMTPS、
MAPI协议病毒过滤，支持深达10级以上的文件压缩。可以限
制过滤文件的大小，对超大文件采取“通过”或“阻止”动作。
➢ 防病毒功能支持流模式（基于数据包）及代理模式（基于文件）
的选择。
➢ 对于可疑文件，可自动提交至云沙箱，在云沙箱中使用Windows
XP/Windows 7等虚拟化系统运行可疑文件，进行行为分析，识
别未知病毒。
➢ 支持僵尸网络IP黑名单，自动阻止僵尸网络与控制中心之间的
连接。
➢ 支持Web分类过滤数据库，数据库中Web站点数量应在10亿
个以上。支持DPI模式、DNS解析模式过滤。
➢ 防垃圾邮件功能支持IP地址过滤、邮件地址过滤、MIME头信
息、邮件内容过滤、RBL实时黑名单、域名解析等多种方法。
➢ 支持防数据泄漏功能，能对HTTP、、POP3等协议中的敏感内
容进行过滤和阻断。支持指纹识别、水印过滤功能。
➢ 支持对SSL加密流量的内容检测和安全过滤。
➢ 能够针对新的攻击方法及时升级防护手段或攻击库特征。
➢ 支持在线升级和手工升级两种方式。在线升级可以区分到“小时”
级别，并支持“推送式”升级。
➢ 可自动隔离病毒或入侵来源。
管理功能
➢ 提供Web管理配置，通过Web管理不需要使用硬件密钥或软件
的客户端。支持Telnet/SSH命令行管理。
➢ Web界面内置命令行功能，可在不开放SSH、Telnet端口的情
况下操作命令行。
➢ 设备本身支持管理权限分级（大于5级：管理员、一般管理员、
节点监控人员、远程协助、特殊应用保留）。
➢ 支持SNMP监视和配置，支持标准MIB和专用MIB。支持SNMP
v1、v2、v3。
➢ 支持NetFlow、sFlow协议对网络数据进行采样。
➢ 支持NTP同步时间，并支持提供NTP服务，为其它设备同步时
间。
➢ 支持热补丁技术，不中断业务更新DoS/IPS/应用识别等防护方
法和特征库。
➢ 设备内置抓包功能，可针对接口抓包，并保存为Wireshark可直
接打开的格式文件。
➢ 支持漏洞评估功能，可对内网设备、主机的漏洞进行扫描。
➢ 为便于维护，设备需提供友好的中文维护界面和中文操作界面。
➢ 具备全网对设备的集中管理、统一监控。
➢ 支持RESTful API，与第三方管理平台集成。

日志功能
➢ 支持查看当前网络会话状态，并能根据源、目标地址、端口、协
议等进行查看过滤。支持会话排名查看功能。
➢ 支持IP地址地理信息（所在国家等）查询。
➢ 支持用户（IP）综合安全评估功能，为每个IP进行威胁度打分
并排名，实现量化管理。
➢ 支持日志输出到外置服务器，支持Syslog等。
➢ 日志系统支持对日志的搜索、报表、分析等功能。