项目

功能项

功能要求说明

硬件要求

硬件平台

★产品应用多核并行处理架构，并采用国产处理器和国产操作系统。

硬件规格要求

★产品不少于6个1000M以太网电口， 1 U机箱。

性能要求

工作模式

★网络层吞吐量≥10 Gbps，应用层吞吐量≥4Gbps，并发连接数≥400万，每秒**连接数≥10万。

基础网络特性

工作模式

产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。

硬件一虚多

产品支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等**。

链路状态检测

产品支持链路连通性检查功能，支持基于3种以上协议对链路连通性进行探测，探测协议至少包括DNS解析、ARP探测、PING和BFD等方式。

链路聚合

产品支持链路聚合功能，可以将多个物理链路组合成一个性能更高的逻辑链路接口，提高链路带宽和链路可靠性。

路由功能

产品支持静态路由、策略路由和多播路由协议，并支持BGP、RIP、OSPF等动态路由协议。

产品支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策略路由，支持不少于3种的调度算法，至少包括带宽比例、加权流量、线路优先等。

NAT功能

产品支持多对一、一对多和一对一等多种地址转换方式。

产品支持NAT44 、NAT64、NAT66地址转换方式。

支持NAT穿透技术ALG，支持FTP、TFTP、SQLNET、PPTP、RTSP、SIP、H.323等协议。

IPv6

产品支持IPv4/IPv6双栈工作模式，以适应IPv6发展趋势。

产品支持基于应用、服务、时间、域名、IPv6对象等维度的访问控制

用户识别与认证

认证方式

产品支持3种以上的用户认证方式,包含但不限于单点登录、本地账号密码、外部账号密码认证。

应用控制

应用识别

▲产品支持对不少于9160种应用的识别和控制，应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。（需提供产品功能截图证明）

流量控制

产品支持多维度流量控制功能，支持基于IP地址、用户、应用、时间设置流量控制策略，保证关键业务带宽日常需求。

会话控制

产品支持基于IP对象的会话控制策略，实现并发连接数的合理限制。

访问控制

访问控制策略

产品支持基于网络区域、网络对象、MAC地址、服务、应用等维度进行访问控制策略设置。

协议命令控制

▲产品支持ftp协议命令控制功能，至少包含delete、rmdir、mkdir、rename、mget、dir、mput、get、put等，保护对外服务不被恶意篡改。

安全防护

DDoS防护

产品支持对ICMP、UDP、DNS、SYN等协议进行DDOS防护。

产品支持异常数据包攻击防御，防护类型包括IP数据块分片传输防护、Teardrop攻击防护、Smurf攻击防护、Land攻击防护、WinNuke攻击防护等攻击类型。

URL分类过滤

产品支持管控非法、违规网站的访问行为，具备海量的URL分类库。

文件过滤

产品支持基于文件传输方式、文件类型等维度的管控策略配置。

加密流量安全防护

产品支持https解密功能，支持TCP代理和SSL代理。

防病毒

产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御。

▲产品支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上。

产品支持杀毒白名单设置，可以例外排除特定MD5和URL的病毒文件，针对特定文件不进行查杀。

▲产品支持勒索病毒检测与防御功能，需提供产品功能截图证明，******部计算机信息系统****检验中心、****中心、中华人民**国国家版权局、公****检测中心之中任意一家检测机构出具关于“勒索病毒”的证书或检测报告证明功能有效性。。

入侵防御

▲产品内置不低于10800种漏洞规则，同时支持在控制台界面通过漏洞ID、漏洞名称、危险等级、漏洞CVE标识、漏洞描述等条件查询漏洞特征信息，支持用户自定义IPS规则。（需提供产品功能截图证明）

产品支持基于IMAP、FTP、RDP、VNC、SSH、TELNET、ORACLE、MYSQL、MSSQL等应用协议进行深度检测与防护。

▲产品支持僵尸主机检测功能，产品内置僵尸网络特征库超过128万种，可识别主机的异常外联行为。（需提供产品功能截图证明）

账号安全

▲产品支持用户账号全生命周期保护功能，包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测，防止因账号被暴力破解导致的非法提权情况发生。（需提供产品功能截图证明）

安全策略管理

策略有效性分析

产品支持安全策略有效性分析功能，分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容，提供安全策略优化建议。

策略生命周期管理

▲产品支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理。（需提供产品功能截图证明）

安全运维管理

管理方式

产品支持Web管理、串口管理、SSH管理等多种不同方式。

带外管理

支持带外管理,保障管理网络和业务网络相互隔离。

安全日志设置

产品支持多种安全日志存储方式，至少包括防火墙本机、日志服务器等不同方式。

安全日志查询

产品支持多条件的安全日志组合查询，查询条件包括但不限于日志类型、日志级别、生成时间。

管理员账号权限管控

产品支持三权分立功能，根据管理员权限分为安全管理员、审计员、系统管理员三种角色。

双因素认证

▲产品支持管理员双因素认证功能，用户通过用户名/密码和Key等不同方式登陆产品管理界面。（需提供产品功能截图证明）

网管协议

产品支持SNMP V1/V2/V3/Trap等标准网络管理协议。