防火墙要求.docVIP

防火墙要求 序号 项目 要求 说明 1 基本要求 自主研发 产品应为国内自主研发，并拥有软件著作权登记证书 权威认证 应具备国内权威机构的相关认证：公安部、国家信息安全测评认证中心、中国人民解放军信息安全测评认证中心、国家保密局，并提供相关证书编号 ASIC架构 通过专用的ASIC芯片处理内容层数据 基于ASIC架构的内容层处理可以有效提升性能，减少网络延时 2 硬件参数 网络接口及性能指标 4个10/100M内网（Internal）网络接口(RJ-45)，交换端口。 2个10/100M DMZ网络接口(RJ-45) 2个10/100M 外网（WAN）网络接口(RJ-45) 并发会话数目≥20万， 每秒新建会话数目≥4000， 网络处理能力≥100Mbps 3DES加密≥40Mbps （抗病毒性能≥25Mbps） MTBF 平均无故障时间(MTBF)不小于8万小时 3 功能参数 工作模式 应支持透明、路由、NAT的工作模式 网口模式设定 应当可以通过图形配置界面方便的对网口的工作模式进行设定，如半双工/全双工、MTU等。 基于网络接口的配置，能提高用户配置的灵活性，是防火墙网络环境适应能力的重要体现 多媒体协议支持(如视频会议……) 应全面支持H.323、SIP协议 网络电话和视频（VOIP）由于其运营成本极低，已经成为政府机关、大型企事业单位内部主流的通讯手段，所以有必要要求网络防火墙对此类应用的全面支持。 NAT下多媒体支持 应当支持在NAT工作方式下的多媒体协议穿透（如SIP协议的穿透） 动态协议支持 应支持FTP、H.323等动态协议。 时间 应支持基于时间的访问控制、应当可以手工配置时间、应当支持NTP服务器。 必须能够根据时间制定访问策略，同时多台防火墙必须保证时钟的一致 NAT 支持多种网络地址转换，包括： （1）支持源网络地址转换 （2）支持目的网络地址转换 （3）支持双向地址转换 （4）支持端口映射 内容过滤 可对邮件、Web网页、FTP、VPN隧道内的应用中的病毒、攻击信息、灰色软件进行过滤 VLAN 产品应当支持802.1Q协议的穿透；产品应当可根据VLAN设定访问控制规则。 DHCP 产品应当支持DHCP服务器、DHCP Relay、DHCP客户端Gnutella、KaZaa、WinNY等P2P应用的带宽控制 支持对MSN、YAHOO、AIM、ICQ的阻断 4 安全性 系统安全 专用的操作系统，系统本身无漏洞 IPS 防火墙内置特征库、特征库数量要求大于2000种 可自定义防火墙特征库 支持后门程序的协议解码器 可以针对不同的特征制定不同的防火墙动作（丢弃、通过、重置、重置客户端、重置服务器、丢弃会话、清除会话、通过会话） 能够对网络中存在的多种攻击行为（tcp、udp、icmp攻击/扫描）进行不同的防火墙动作（丢弃、通过、重置、重置客户端、重置服务器、丢弃会话、清除会话、通过会话） 病毒检查 能够阻断多种类型的文件、 能够对HTTP、FTP、POP3、SMTP、IMAP中的文件进行检查和隔离 防火墙内置病毒库、病毒库可升级 能够对灰色软件及其变种进行阻断 有效地防御大多数流行的网络蠕虫病毒通过防火墙进行传播 VPN隧道病毒检查 支持对VPN隧道的病毒扫描 有效防护病毒通过VPN隧道的传播 反垃圾邮件 支持自定义禁忌词汇 支持匹配码、正则表达式方式 支持多语言 支持对邮件主体和主题进行过滤 垃圾邮件内容检查 支持对邮件URL的分析，强化对邮件中网络钓鱼和恶意网页的过滤（需要购买LXupgrade-AntiSpam服务） 有效防护通过邮件进行网络钓鱼和恶意链接 WEB过滤 支持多种语言、 支持内容过滤（支持通配符、表达式）、支持黑名单/白名单功能支持网址过滤（支持表达式）、支持黑名单/白名单功能 WEB分类过滤 对互联网站点进行分类访问控制 需要购买（LXupgrade - Web Filtering） 相对于静态过滤给有效，防护效果更好 5 日志管理 日志记录 详细记录防火墙上曾经发生过的事件（配置管理、运行信息、网络攻击、端口扫描等）。 日志审计 可以按条件进行日志查询 日志存储 本地和网络数据库两种存放方式，支持主流的数据库，日志数据可以导出 日志授权 对授权管理员划分不同的安全角色，并按照安全角色进行授权管理。 6 管理功能 管理界面 产品应当具备全中文的web界面 命令行 产品应当支持命令行的配置方式 配置导入导出 应当支持产品配置的导入导出功能 状态监控 可通过图形界面对网络接口、处理器