网络边界安全招标要求1边界防火墙防火墙吞吐量最大2Gbps.DOC

网络边界安全招标要求 1、边界墙上 指标项 功能描述 品牌型号 山石网科SG-6000-G2110 设备硬件要求 专有硬件平台 1U机架式设备，硬件采用MIPS多核处理架构，多核核数≥4个 接口数量 ≥16个10/100/1000M自适应三层电口，每个接口可划分到不同安全域实现各接口间的安全隔离，1个Consle口，1个USB接口 扩展性要求 支持扩展日志存储板卡，要求本地能够记录不少于一年的日志信息 性能要求 设备性能 最大吞吐量≥2Gbps，IPS吞吐量≥500Mbps，IPSEC VPN≥1Gbps,最大并发连接数≥200万，每秒新建连接≥3万 网络适应性 支持端口镜像 支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析，支持基于源IP、目的IP、源端口、目的端口、网络协议（TCP、UDP、ICMP）等条件对镜像流量进行过滤（提供产品界面截图有效） 接入模式 支持透明、路由、混合、旁路、直连（虚拟线）五种工作模式 ★NAT功能 支持动态地址转换和静态地址转换，支持多对一、一对多和一对一等多种方式的地址转换 支持NAT444模式，支持导出NAT444静态映射表（提供产品界面截图有效） 为解决公网IP地址资源问题，支持NAT的端口扩展技术，实现单个公网IP的无限地址转换 NAT支持Sticky模式，每一个源IP产生的所有会话将被NAT到同一个固定的IP地址（提供产品界面截图有效） 路由协议 支持静态路由、等价路由、策略路由，以及BGP、RIPv1/v2、OSPF、ISIS等动态IPv4路由协议（非透传） 策略路由支持基于指定IP地址、指定应用协议、指定时间表生效（提供产品界面截图有效） 高可用性（HA） 支持A/P模式、A/A模式，支持非对称路由场景 支持基于接口、HTTP、PING、ARP、DNS、TCP等监测对象实现HA切换（提供产品界面截图有效） 负载均衡 ★链路负载均衡 支持基于ISP的路由功能，支持内置ISP地址列表和自定义地址列表功能，实现电信资源从电信线路访问、联通资源从联通线路访问 支持基于多出口的DNS代理功能，可根据配置实现对不同外网线路的DNS服务器地址管理，当一条链路出现故障时，流量自动切换到其他链路的同时将DNS服务器进行切换，避免出现跨运营商解析而导致访问变慢或中断（提供产品界面截图有效） 支持SmartDNS功能；注：SMARTDNS功能实现当外部用户访问内部服务器时，联通用户解析到的域名IP为联通地址，电信用户解析到的域名IP为电信地址（提供产品界面截图有效） 支持线路过载保护功能，当某条外网线路拥塞时，自动将其流量切换到其他链路；系统对各出口的流量带宽进行实时监测，当自身接口的流量带宽超过配置的阈值时，新建会话的流量将不再从这个接口转发。当此接口的流量带宽回落到正常值以下时，新建会话的流量再恢复从这个接口转发 支持基于接口时延的动态切换能力：系统从多出接口向外部某一个或多个目的地址探测时延。当自身接口的时延超过配置的阈值时，新建会话的流量就不再从这个接口转发，而是走其它接口。当此接口的时延回落到正常值以下后，新建会话的流量再允许从这个接口转发 支持就近探测算法（根据SYN报文探测的响应时间和PING报文探测的响应时间等方法自动生成静态路由表，并将探测的响应时间生成日志）选择最优路径 ★服务器负载均衡 支持服务器的负载均衡，提供加权轮询、加权最小连接数、加权散列等多种负载均衡方式 支持基于PING、TCP等监控类型对服务器状态进行监控 支持web界面实时显示所有服务器的状态和当前连接数 虚拟化 虚拟交换机 支持虚拟交换机功能，每个虚拟交换机拥有独立的MAC地址表 虚拟路由器 支持虚拟路由功能，每个虚拟路由中拥有独立的路由表 防火墙 地址簿设置 支持基于IP/掩码、地址范围设置地址簿，并支持排除地址设置 web管理界面可显示地址簿成员的关联项，显示在哪些策略、源NAT、目的NAT、会话限制、策略路由、QOS流控中被使用，便于管理和维护 服务簿 web管理界面可显示服务簿成员的关联项，显示在哪些策略、源NAT、目的NAT、策略路由、QOS流控中被使用，便于管理和维护 ★抗DDoS攻击 支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke，动作支持记录、阻断两种模式（必须具备攻击防护软件自主知识产权证明） 策略管理 支持防火墙策略命中数统计功能，便于管理员维护防火墙策略 上网行为管理 应用协议智能识别 支持对1300+ 种应用