1、防火墙.doc

丽水市广播电视总台互动播出系统硬件 丽水市广播电视总台互动播出系统硬件清单 序号 产品名称 数量 1 千兆防火墙 1台 2 WEB网站防护系统 1台 3 千兆交换机 2台 4 虚拟化服务器 3台 5 存储设备 2台 6 光纤交换机 2台 7 服务器虚拟化软件 1套 8 电视直播编码器 1台 防火墙 功能性能 参数要求 系统架构 采用专用机架式硬件平台，支持硬件模块化设计，可实现现场硬件端口扩展,无需返厂； 采用软件模块化设计，可实现功能模块的现场升级，无需返厂； 可以扩展IPSEC VPN，SSL VPN，防病毒、安全审计等功能，可根据需要灵活组合，； 采用完全自主版权的操作系统 ▲提供主、备双操作系统，提高设备自身可靠性和网络的可用性提供截图证明 ▲性能指标 2U机型：配置6个10/100/1000BASE－TX口和4个SFP插槽，双电源 网络吞吐量≥8G 最大并发连接数≥280W 每秒新建连接≥8W 防火墙功能 可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式； 安全区域可针对物理接口进行灵活地自定义（内网、外网或DMZ等区域）； ▲支持快速转发模式，可不经过二层交换以及三层路由的检查过程就将报文直接发送出去提供截图证明 可以支持正向、反向地址/端口转换、双向地址转换等，能够提供完整的地址转换解决方案。 支持透明模式下的地址转换功能。 ▲支持802.1Q VLAN、支持 CISCO ISL字段的解读，支持QinQ技术，可支持对VLAN的多层封装，支持PVST和CST 等生成树协议提供截图证明 ▲支持基于五元组（源、目的地址，源、目的端口和协议）的策略路由；策略路由支持全局、本地接口、虚接口提供截图证明，一种加速防火墙过滤规则匹配的方法 支持RIP/OSPF等动态路由协议； 支持防火墙虚拟系统功能，每个虚拟系统具备独立的功能，互不干扰； 可基于源/目的IP地址、MAC地址、端口和协议、时间、用户等对象进行访问控制； ▲支持会话收集整理，可由收集数据生成访问控制策略提供截图证明 可限制P2P（BT EMULE EDONKEY..)/IM(MSN QQ SKYPE..)软件应用，可对其实现禁止、限流； ▲支持可根据QQ/MSN帐号进行过滤和审计功能提供截图证明 可根据URL的地址、长度、网页内容关键字等进行过滤； 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤； 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤； 支持H.323、SIP、FTP、RTSP、SQL、NET、MMS、RPC、TFTP、PPTP等动态端口支持协议功能 支持带宽管理功能，可根据IP、协议、网络接口、时间定义带宽分配策略。 ▲支持基于源/目的的带宽独享功能提供截图证明 具有日志审计功能：支持WELF、Syslog等多种日志格式，可记录试图通过防火墙的非法数据包，可记录防火墙操作； 支持日志加密传输、日志分类、日志导出功能； 防攻击功能 支持非法报文攻击防护：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof。 支持统计型报文攻击防护：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。 支持免费ARP发送功能，防止ARP欺骗 支持与主流入侵检测产品的联动； ▲支持反向路径控制，可以根据数据包的来源和数据包的特征进行阻断设置提供截图证明 支持SYN代理，可对来自定义区域的Syn Flood攻击行为进行阻断过滤； 支持CC攻击防护，可通过设置端口和阀值阻断CC攻击。 ▲可支持主机的SYN、ACK攻击数以及最大报文长度的限制提供截图证明 ▲支持并发连接数、半连接数、每秒新建连接数的限制提供截图证明 可支持BANNER信息保护，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息； 高可靠性 ▲支持LACP或PAGP协议的链路捆绑功能，可实现端口的冗余和带宽的叠加； 聚合算法不少于：基于MAC、IP、port、packet、quinary； 支持基于VRRP协议的双机热备和负载均衡功能； 支持加权的路由均衡方式，实现多ISP链路冗余，可以通过此功能平均分流给各个网关，而对源IP则无需考虑； 支持链路探测功能，可根据探测结果自动切换链路 ▲支持源路返回的智能选路技术，保证数据包来回一致提供截图证明 支持Watc