20130108_USG-FW-P应标策略_天融信版V3.3.docx

USG-FW-P产品应对天融信策略V3.3V2.0更新条目 “支持针对URL长度进行限制功能，防止URL异常攻击；支持伪装HTTP协议识别和控制，可以隐藏和替换HTTP服务器版本信息（需在投标文件中提供截图证明）”V3.2更新条目QINQ技术支持（也称StackedVLAN或DoubleVLAN）支持802.1x CC攻击支持 可支持主机的SYN、ACK攻击数以及最大报文长度的限制支持针对访问目标进行URL重定向，URL重定向时间可设置命令行下支持中英文诠释，支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 V3.3更新条目(天融信经常会在百千中低端墙的标底里写入其高端擎天系列的架构要求，不管其用意何在，以下述方式应对即可)采用专用设计的硬件平台，控制和转发分离的架构，控制由专用路由引擎完成，转发由专用的安全处理模块完成，必须,请描述产品结构，控制和转发模块的具体型号应答：P系列控制由策略执行模块和协议加速模块组成，型号分别为（USG-FW-P-MEX、USG-FW-P-MPX）内部数据交互通过无阻塞矩阵，而非总线，必须，请描述矩阵型号应答：P系列多核产品采用环形栈桥矩阵技术控制，具体型号为Multi-core-Matrix，内部直接固化不单独报价说明该文档提供对天融信FW产品功能参数部分的分析及应对策略，应对策略分为应标策略和干预策略，前者用于对标底没有修改机会单纯应标，后者用于有修改或质疑机会时尽可能干预发标。应标策略标注为四类完全满足：功能与对手相当或有超出，如属超出则标注完全满足＋，没有应标风险谨慎满足：有与对手类似功能，但该功能弱于对手或不建议真实使用，应标风险略高擦边满足：虽无与对手相似功能，但可以用其他擦边功能应对，应标风险较高不能满足：完全没有可以应对的功能，应标风险最高天融信原指标应标策略干预策略支持虚拟防火墙功能，可将防火墙虚拟成若干个防火墙，每个虚拟防火墙具有独立的配置界面和独立的策略控制功能。（截图证明）谨慎满足目前我们暂时没有虚拟防火墙的配置界面，只有命令行界面截图，后续版本会提供虚拟防火墙配置界面，有界面后也不建议真实使用虚拟防火墙通常只在IDC机房多租户的情况下才有应用，每个虚拟防火墙的性能等于总性能/虚拟数，可以质疑此功能的必要性能够基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行访问控制，并支持策略分组管理；具备针对单条策略设置最大并发连接数、策略命中数统计与策略重复检查功能；（截图证明）擦边满足“单条策略并发连接数”可以用流量控制策略里的并发连接限制应答。流控策略不具备针对端口、流出网口的控制。流量控制策略也是策略擦边满足策略命中数统计功能实际不具备，但可以利用事件统计功能应对，事件的发现也是通过策略实现的不能满足最新版本不支持策略重复检查功能所谓单条策略并发连接数，是指这条策略可以同时作用于多少个会话，对并发能力足够大的设备来说没有意义，建议删除此条指标。避免策略重复的手段很多，既可以当策略重复时即时提示，也可以任由重复策略存在但实际只匹配第一条策略，事后检查的手段需要用户手工操作维护不便，疑为某厂商控标项建议删除或修改为“支持重复策略忽略或提示功能”内嵌快速扫描、深度扫描双引擎杀毒技术，并能够根据不同的被检测协议选择不同杀毒引擎；（截图证明）完全满足＋所谓快速扫描、深度扫描是我们最先提出的，提供快速扫描和完全扫描两种方式截图应对，并可参照干预策略应答不能满足“根据不同的协议选择不同杀毒引擎”无法提供截图证明该条指标描述模糊，防病毒引擎是依据协议内容工作的，切换也是依据内容本身自动进行，依靠协议切换不知所云。市面上的检测引擎基本都是对HTTP、FTP、SMTP、POP3、IMAP这5种协议检测，如果需要手动指定引擎适用的协议，说明这个引擎设计有缺陷，应是某厂商为自身落后病毒检测技术准备的说辞，建议删除。也可修改成：支持多层杀毒引擎嵌套技术，内嵌快速扫描、深度扫描双重杀毒，且快速扫描支持2级引擎检测技术；（截图证明）要求支持网络应用自学习功能并自动生成相关安全策略擦边满足新版本具有URL库远程云同步功能，对未知URL通过远程分析具备了自学习能力，远程分析结果自动同步至本地加入安全策略，可以用来应对此功能，但此功能目前为受控销售，只能用来演示可尝试修改成：支持通过云同步技术进行未知威胁自学习并自动匹配相关安全策略，我们后续会推出这样一个新技术做为未知威胁分析、阻断整套解决方案，更落地要求具有防止共享上网（截图证明）擦边满足可以使用“IP/MAC绑定”功能擦边满足。未进行绑定的主机均不允许通过，达到防止共享上网效果。该条指标描述模糊，所谓共享上网通常指若干电脑通过路由器下行LAN接口从WAN上行接入公网或一台自身接入公网的电脑共享连接给其他自身不能接入公网的电脑的方