防火墙设备采购需求说明.docVIP

信息管理部 采购需求说明 PAGE6 / NUMPAGES6 防火墙设备采购需求说明 性能要求： （1）互联网出口 指标项 具体参数 是否满足 吞吐量 64Byte UDP：≥18Gbps 512Byte UDP：≥35Gbps 1518Byte UDP：≥35Gbps 延迟 (64 byte, UDP) 不大于60us 包转发率（每秒包数量） ≥24Mpps IPS吞吐量 ≥4Gpbs 防病毒吞吐量 (代理/流) ≥1G/4G 最大并发连接数(TCP) ≥600万 每秒新建会话数(TCP) ≥20万 接口配置 每台防火墙至少满足12个以上电口，4个以上光口 模块配置 每台防火墙至少配足12个电口模块；光纤模块至少配足2个单模、2个多模SFP接口模块；2个万兆SFP接口模块。 （2）T3航站楼 指标项 具体参数 是否满足 吞吐量 64Byte UDP：≥3Gbps 512Byte UDP：≥6Gbps 1518Byte UDP：≥6Gbps 延迟 (64 byte, UDP) 不大于60μs 包转发率（每秒包数量） ≥5Mpps IPS吞吐量 ≥1Gbps 防病毒吞吐量 (代理/流) ≥100Mbps/250Mbps 最大并发连接数(TCP) ≥200万 每秒新建会话数(TCP) ≥3万 接口配置 1*RJ45串口，1*RJ45管理口，2*USB接口，6*GE电口（Bypass）,1个接口扩展槽位(8*GE电口)。 模块配置 每台防火墙至少配足6个电口模块；光纤模块至少配足2个单模、2个多模SFP接口模块。 功能要求： 指标项 具体参数 是否满足 硬件架构 操作系统自主研发 多核硬件平台 独立硬件设备，不可以为交换机插板模式。 物理接口丰富，100M/1G/10G自适应电口/光口，并可支持扩展。 冗余电源，电源可以热插拔。 具备独立HA接口 具备电源灯、网卡灯、系统状态灯。 网络接入 具备支持VLAN（802.1Q）和子接口802.1Q封装 具备支持静态路由、动态路由、策略路由等协议，如：BGP、OSPF等网络协议。 具备支持IPv6相关协议和IPV6穿越技术 具备路由有效性探测 具备链路负载均衡方式，如基于带宽利用率，路由权重，运营商选路方式。 具备全面NAT功能，对多种应用层协议支持ALG功能，包括DNS、PPTP、SIP、FTP、RTSP等。 具备支持FTP、TFTP、RTSP、MMS、H.323、SIP、SQLNET、PPTP等动态端口协议。 部署模式 具备支持路由模式、透明模式、混合模式等。 具备支持主备部署（AS）和主主部署（AA） 具备支持通过监测端口或IP状态实现双机快速切换 访问控制 具备支持基于MAC地址、源地址、目的地址、源端口、目的端口、服务和时间的访问控制。 具备长连接应用的支持 具备基于域名的访问控制 具备基于策略的连接数控制 可自定义服务/服务组/地址/地址组/时间表 可实时查看通讯的会话表，最大源或目标的会话排行。 具备支持防代理上网 流量控制 具备支持基于IP和应用协议设置带宽策略，包括设置最大带宽、保证带宽、协议流量优先级等。 防病毒及邮件过滤 具备HTTP/SMTP/POP3/IMAP/FTP的内容及病毒检测 具备动态病毒阻拦和监视模式 具备病毒库手动/自动更新 病毒处理方式具备清除、删除、记录等方式 禁止特定类型文件传输 具备过滤垃圾邮件、钓鱼邮件 具备基于内容的邮件过滤和附件类型的邮件过滤 具备邮件自定义黑名单、自定义关键字过滤 具备多级压缩文件查杀 具备URL黑白名单和IP地址黑白名单 防DoS/DDoS 具备SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御 具备基于应用层协议的攻击防范包括：HTTP、HTTPS、DNS等Flood攻击 具备自定义DDOS规则 入侵防护 具备基于系统及应用漏洞的入侵防御技术，支持蠕虫、0Day攻击、特洛伊木马、Activex插件漏洞、backdoor漏洞、恶意软件等攻击防护。 具备防护ARP攻击 具备基于源/目的地址并发连接数、新建连接数限制 具备DNS防攻击（DNS域名解析、DNS重定向） 具备防路由攻击 漏洞库和特征库可自动更新 具备基于策略的攻击防御，可自定义攻击特征。 内容过滤 具备URL过滤 具备HTTP Header过滤 具备网页内容过滤 具备Activex、Applet、Java Script过滤 支持应用过滤器，至少支持4个维度进行过滤，比如：应用类别、实现技术、风险等级、标签。 具备自定义敏感信息，如用户名、密码、邮箱、身份证信息等。 可不通过主机扫描等技术，即可