20140103_USG-FW-P应标策略_深信服V2.5.docx

深信服高端FW设备标底应对策略v2.52.0版本更新内容说明新）要求具有网页防篡改功能并无需在服务器中安装任何插件，支持短信报警、邮件报警、控制台报警等多种篡改报警方式。不支持：深信服的WAF和FW可拆可整合，这是用WAF指标去控FW的标，需要跟用户说明情况支持APT检测功能，防止僵尸网络感染PC终端用户目前版本不支持，未来会有一个专门的模块去应对这个问题支持在默认桌面上虚拟出一个新的桌面，通过设置安全桌面和默认桌面网络访问权限，实现互联网和内网的内外网隔离；需要提供5个安全桌面授权不支持：SSLVPN的虚拟应用发布功能，深信服在SSLVPN应用发布上做的比较细，虚拟终端上的权限控制依靠RDP的app-v来实现操作控制提供风险评估模块，风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略不支持自动生成策略能检测操作系统版本/补丁、系统进程、硬盘文件、注册表信息等终端特征、并能调用管理员自写脚本实现个性化检测不支持：深信服SSLVPN客户端功能，也不是独有功能，SSLVPN模块稍微做的差不多的都有这个功能，主要是用于做接入条件限制投标产品应同时具备CVE兼容性认证和OWASPweb防火墙认证证书质疑：该标底暗箱操作！OWASPWEB是WAFweb防火墙的资质，没有防火墙产品去拿这个资质！支持管理员页面、管理后台的短信强认证机制不支持2.5版本更新内容说明新）总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略（必须提供自主知识产权证明，加盖厂商公章）。局部支持：不支持隧道带宽控制和流量管理，这个深信服有专利提供遭受攻击最多服务器、攻击类型分布、攻击最多来源IP、服务器安全说明、服务器安全分析等内容服务器安全报表(需提供截图证明并加盖厂商公章)质疑：WAF功能，防火墙不带这个功能提供支持实时漏洞检测分析，通过旁路部署流量镜像，检测主要业务系统安全漏洞(需提供截图证明并加盖厂商公章)质疑：FW旁路部署当漏洞扫描用？这是开玩笑说明该文档提供对深信服下一代万兆FW产品功能参数部分的分析及应对策略，应对策略分为应标策略和干预策略，前者用于对标底没有修改机会单纯应标，后者用于有修改或质疑机会时尽可能干预发标。应标策略标注为四类完全满足：功能与对手相当或有超出，如属超出则标注完全满足＋，没有应标风险谨慎满足：有与对手类似功能，但该功能弱于对手或不建议真实使用，应标风险略高擦边满足：虽无与对手相似功能，但可以用其他擦边功能应对，应标风险较高不能满足：完全没有可以应对的功能，应标风险最高标底内容项目指标具体功能要求应标策略干预策略接口电口至少8个千兆口，8个千兆光口谨慎满足：深信服高端FW设备型号较少且性能和配置都不高，可以用4000乃至14600GP去应对如果有SSLVPN的相关要求，请尽量删除，SSLVPN是深信服的起家产品，无论在应用支撑还是接入稳定性上都要强势光口至少2个SFP万兆接口Bypass 支持故障时Bypass功能硬件规格电源冗余电源CPU 必须支持多核CPU 硬盘不小于500G 性能参数吞吐量吞吐量≥10GVPN连接数不小于5000并发连接数不小于400万新建连接数≥200万平均无故障时间≥100，000小时部署方式网关模式支持网关模式，支持NAT，路由转发，DHCP等功能完全满足网桥模式支持网桥模式，以透明方式串接在网络中完全满足混杂模式同时开启支持网关和网桥模式完全满足网关管理管理界面支持SSL加密WEB方式管理设备完全满足排障工具提供图形化排障工具，便于管理设备完全满足实时监控设备资源信息提供设备CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息完全满足流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息、（要求提供产品界面截图，加盖厂商公章）完全满足安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象、帮助管理员处理安全事件谨慎满足：P系列的统计和告警信息也是相当全面的，但本条目写的“源对象”是厂商用词防火墙/VPN功能包过滤与状态检测提供静态的包过滤和动态包过滤功能，支持应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RISPH323(Q.931,H.245,RIP/RICP)、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP完全满足抗攻击特性防御Land、Sumrf、Fraggle、WinNuke、Ping of Death、Tear