网络安全设备技术要求.doc

附件 2017年公司网络安全一期建设工程网络安全设备品牌、性能及参数要求 序号 设备 数量(套) 要求品牌 参数及要求 1 下一代防火墙 1 深信服、华为 标准机架式设备，3层吞吐量≥8Gbps，7层吞吐量≥2Gbps，并发连接数≥2,000,000；设备接口具备：≥4个千兆电口、2个千兆光口，1个RJ45串口，支持故障时BYPASS， 多合一功能集成，需提供产品具备传统防火墙、流量管理、应用控制、僵尸网络检测、IPS入侵防御、Web应用防护、网站篡改防护、web扫描、实时漏洞分析、威胁情报预警与处置等功能模块的配置实例以保障安全防护的完整性，设备需为全中文界面； 为实现各功能模块防护作用最大化，保障提供传统防火墙模块与IPS入侵防御模块、WEB应用防护模块、僵尸网络模块实现联动封锁的配置实例,智能生成临时规则联动封锁攻击源IP，临时封锁时间可自定义； 产品应具备独立的IPS漏洞特征识别库、WEB应用防护识别库，IPS漏洞特征识别库数量在4600条以上，WEB应用防护识别库数量在3200条以上，为保证功能可靠性提供设备配置实例并支持云分析引擎联动，以持续应对新型威胁保障安全防护能力； 支持服务器保护和客户端保护，设备生产厂商为国家信息安全漏洞共享平台(CNVD)技术组成员，需提供支持对常见应用服务（FTP、IMAP、SSH、Telnet 、SMTP、POP3）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能的配置图并支持同防火墙访问控制规则进行联动； 支持僵尸网络检测，具备独立的僵尸网络识别特征库≥39万，提供能够实现木马远控、恶意链接、移动安全、异常流量等外发的恶意流量进行检测识别的配置实例，检测到攻击后支持拒绝发送功能并生成日志记录，检测到内网中病毒的机器，可提供反僵尸网络软件； 支持在首页多维度的展示发现的安全威胁，如僵尸主机、黑链风险、数据风险、外发异常流量等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引，需提供设备首页配置实例以响应参数要求；具备攻击地图展示功能，需提供在设备可以展示攻击源IP地址、归属地、攻击次数、攻击描述，并支持一键加入“封堵名单”的操作实例，能够以世界地图的方式进行风险展示，帮助管理员分析攻击者分布；提供安全报表样本，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到攻击事件数和攻击趋势； 2 上网优化网关 1 深信服 性能参数：标准机架式设备，整机吞吐量≥3Gbps，并发连接数≥1,200,000；设备接口具备：≥4个千兆电口、2个千兆光口，1个RJ45串口，支持故障时BYPASS； 用户认证：支持触发式WEB认证，静态用户名密码认证、以USB-Key方式实现双因素身份认证、短信认证、微信认证、访客二维码认证；支持基于特权用户的免认证、免审计、免控制功能，提供用户使用特权DKey时，所有上网行为记录不被审计或者所有控制策略不生效的配置实例，以保障特权用户的上网行为机密信息；支持LDAP、Radius、POP3等第三方认证； 无线管理：支持有线无线统一的管理界面，能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态；支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略； 共享接入管理：支持共享接入管理（防共享）功能，能够发现共享设备的IP地址、共享用户名和共享接入的终端数量，提供可以针对所有终端（PC与PC、PC与移动终端、移动终端与移动终端）或仅限电脑终端进行共享统计，若发现共享行为，可以基于终端数量提供冻结时长的配置实例，以实现防止用户使用无线路由器、ccproxy代理、360wifi、百度wifi等无线接入设备共享其他终端上网； 应用控制：为保证精确识别网络流量，要求提供支持内置应用特征识别库5600条以上规则，移动业务应用特征识别库860条以上的相关证明；要求提供支持根据标签选择应用，标签分类至少包含安全风险、发送电子邮件、高带宽消耗、降低工作效率、论坛和微博发帖、外发文件泄密风险等几大类，支持给每一种应用列上图标的配置实例以保障功能的真实性，降低客户运维工作量； 应用细分控制：支持对新浪微博、腾讯微博等进行细分控制，如：登录、浏览、发微博、上传附件等；支持对天涯论坛、猫扑社区、百度贴吧等论坛类应用做细分控制，如：浏览、发帖回帖、上传附件等；支持对移动应用的细分权限控制，微信：微信网页版、微信传文件、微信朋友圈、微信游戏，QQ：QQ传文件、QQ视频语音等，提供包含上述所有细分功能的配置实例，支持根据端口设定用户不允许访问的目标IP组提供的服务； 流量优化：具备P2P智能流控功能，支持通过抑制P2P的下行流量，来减缓P2P的上行流量，需提