产品名称 | 功能描述 |
数据中心防火墙 | 一.硬件性能要求 整机网络层吞吐量≥80Gbps 最大并发TCP连接数≥3000.000万 每秒**连接≥52万 产品形态2U 电源:冗余电源 内存≥16G 硬盘≥1T 接口配置:网络接口:≥2个千兆电口、≥6个万兆光口,2个可扩展插槽。 防病毒规则库:升级许可,含一年专业版快速查杀病毒库≥3年升级许可。 硬件质保:≥5年硬件质保服务。 二.功能参数要求: 1.网络接入:路由、透明、混合及直连部署模式;静态路由、动态路由、策略路由及ISP路由; 2.安全防护:基于传统五元组、用户、应用、内容、时间等多元组一体化访问控制;支持策略冲突检测、策略冗余检测;源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略;支持FTP、TFTP、PPTP、SQLNET、H.323、SIP、RTSP等动态端口协议; 3.身份认证:采用内网终端统一管理的集中式认证系统;支持本地认证与第三方外部认证(如RADIUS、TACACS、LDAP等);集成PKI服务,内置CA并支持第三方CA; 4.系统服务:提供DHCP服务器/客户端/中继、NTP等网络服务;支持跨越三层设备进行IP/MAC绑定; 5.支持网关虚拟化技术; 6.负载均衡:多运营商接入(内置ISP路由),支持多种路由均衡算法及路由备份功能; 采用链路有效性探测实现智能链路切换;支持服务器负载均衡,提供多种负载均衡算法并支持服务器的应用有效性探测; 7.连接限制:基于源地址、目的地址、应用的连接限制;支持每IP连接总数限制、所有IP连接总数限制、每IP**连接数限制; 8.流量管理:基于应用、用户、源安全区域、目的安全区域、源地址、目的地址、服务、时间段和通道优先级等方式进行细粒度的带宽策略定义; 支持虚拟链路及虚拟通道对流量进行进一步的细化管理;支持保证带宽、限制带宽及带宽优9.先级设置;DDos:DDoS攻击防护,包括非法报文攻击及统计型报文攻击;支持NTP DDOS防护,采用阀值检查、源/目的限流、源认证等方式综合进行NTP REQUEST FLOOD、NTP REPLY FLOOD攻击防护; 10.入侵防御:内置11大类,超过5000条入侵防御实时规则;支持自定义规则; 支持根据威胁事件、攻击来源、受威胁主机查询攻击; 11.WEB攻击防护:具有独立的网站应用级入侵防御功能规则库,数量在1000条以上;支持自定义规则库;支持XSS注入、SQL注入、信息泄露、Webshell防护等Web应用安全防护功能; Web应用防护白名单 12.病毒防御:支持HTTP、FTP、SMTP、POP3、IM等协议进行病毒检测;支持木马病毒、蠕病毒、宏病毒、后门病毒查杀;防火墙应具备DGA检测功能,当发现恶意域名时,应该具备加入黑名单功能,并且在设备上存留相应的DGA日志。 13.邮件安全:基于发件人、收件人、邮件主题、邮件附件等方式对邮件进行过滤; 支持邮箱防暴力破解;邮件黑、白名单; 14.异常行为分析:内置统计智能学习算法,对**连接数、并发连接数、流量等数据智能学习;监控对象包括:源IP、目的IP,地址对象支持主机地址、子网地址、范围地址; 防火墙应具备隐秘信道检测检测功能,能够检测到ICMP、DNS、NTP类型的隐秘信道的攻击,并在设备上产生相应的隐秘信道日志。 15.上网行为管理:支持包括P2P、IM、炒股、网游、流媒体等类别的应用识别与过滤;支持加密流量识别;HTTP、FTP、SMTP、POP3、Telnet等协议的深度内容过滤; 16.行为审计:支持网站、微博论坛、邮件、FTP协议、telnet协议审计;支持上网流量和时长审计; 17.远程接入:IPSEC VPN、SSL VPN、GRE多种隧道接入技术,支持DES/3DES/AES等标准加密算法及MD5/SHA1等标准HASH算法; 18.数据中心:内置16类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持周期性报表的生成、支持一次性报表的生成;支持报表按照PDF、WORD及EXCEL格式导出。 19.链路聚合:支持手动和LACP链路聚合,可根据源/目的MAC、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。 20.IP/MAC绑定:支持IP/MAC绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出,以便对IP/MAC绑定关系进行批量操作; 21.地址转换:支持多种地址转换,支持源/目的NAT、双向NAT、NoNAT转换方式;支持源IP转换同一性;支持端口块地址转换和EIM地址转换; 22.访问控制:支持一体化安全策略配置,可以通过一条策略实现五元组、源MAC、源地区、目的地区、域名、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、URL过滤、高级威胁防护、WAF、邮件安全、数据过滤、文件过滤、僵木蠕防御、审计、防代理、APT等功能配置,简化用户管理; 23.**虚拟化:支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接**速率为每个虚拟系统分配**,实配不少于24个虚拟防火墙授权; 24.功能虚拟化:支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、僵木蠕、高级威胁防护、内容过滤、邮件安全、审计、报表、防代理等安全功能虚拟化; 25.黑名单:内置静态黑名单功能,可设置多个对象条件,如:五元组信息、源MAC、地址范围、应用、用户,实现对特定报文进行快速过滤; 26.配置维护:支持配置文件本地备份和回滚,支持>3个配置文件备份,支持对访问控制策略、NAT策略等关键配置进行单独及加密备份和恢复;支持对配置命令及配置文件的操作行为进行审计; 27.安全审计:提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、FTP;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等; |
未知威胁检测(API) | 1、软硬一体化2U标准机架式设备;电源:1+1冗余电源;硬盘容量:4T*2,带RAID,可用磁盘空间≥4T; 内存≥64G;标配接口数量≥12:千兆管理电口≥2;千兆业务电口≥4;千兆业务光口≥4;万兆光口≥2(标配万兆多模光模块) 2、网络层吞吐≥4Gbps;应用层吞吐≥2Gbps;HTTP最大并发数≥7万/秒;邮件处理数≥150万封/24小时;文件检测≥5万个/24小时;支持管理节点≥10个; 3、云端威胁情报订阅模块:提供威胁情报离线库并支持更新;提供攻击主机、僵尸网络、病毒木马、APT情报等情报的活跃时间、置信度、家族分类,可应用于本产品的实时分析;设备支持在线查询与溯源:云端提供对IoC威胁类型、威胁情报、WHOIS、开放端口、SSL数字证书等多维度的溯源分析;云端服务:支持自动从APT云端更新软件版本和策略库,云端提供最新APT入侵、0day漏洞预警、病毒变种情况等威胁情报 4、支持旁路部署和分布式部署,管理中心支持自动同步版本、策略及排错平台升级包到探测器设备。 5、支持全流量检测,支持双向流量审计,可对请求和响应内容进行审计。支持IPv4和IPv6网络环境下的部署,可同时对IPv4和IPv6网络流量分析检测。 6、支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOW V9、TFTP等协议报文(HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书),并提供审计协议类型的端口号配置,可根据需要变更端口号; 7、支持自定义配置旁路阻断规则,可自定义策略名称、阻断类型、防护IP范围、规则ID、生效时间等信息,可一键开启/关闭旁路阻断功能 8、支持WEBSHELL检测,可检测访问webshell的行为,包含具体对应的URL、返回码、返回数据包内容等,可显示一句话类webshell后门是否植入成功 9、支持HTTP、IMAP、SMTP、POP3、Redis、Telnet、FTP、PostgreSQL、MQTT等协议的弱口令检测。 10、支持自定义启用/禁用扫描行为模型;并支持自定义配置模型统计周期、访问次数等参数。 11、支持自定义启用/禁用拒绝服务攻击模型;并支持自定义配置模型统计周期、单包长度阈值、统计周期内包数量阈值等参数。 12、支持从多个维度统计风险告警数量,包括但不限于告警类型、客户端IP、服务端IP、威胁情报、告警规则ID,支持导出excel表格,帮助用户进行告警研判。 13、支持将分析到的恶意文件攻击行为同步到EDR,实现APT深度威胁分析与EDR联动查杀。 |
安全自动化编排系统 | 1.部署要求: 系统支持虚拟机方式部署。 虚拟机最低配置为8核CPU,16G内存,2T硬盘。 系统支持通过外挂存储方式扩展存储空间。 需使用安全操作系统,需提供操作系统强安全访问控制系统软件著作权证书或操作系统安全增强系统软件著作权证书。非原制造商需提供原制造商授权文件。 2.支持通过syslog方式,实现对主流的安全设备、网络设备、主机设备、应用系统等的数据采集。包括但不限于:钛安、奇安信、安恒、绿盟、启明星辰、天融信、深信服、Cisco、华为、H3C、锐捷等安全类硬件设备的日志数据采集, Linux、windows、AIX等操作系统的日志数据采集,Oracle、SQL Server、DB2、MySQL等数据库的日志数据采集,Weblogic、WebShpere、JBoss、IIS、Tomcat等中间件的日志数据采集;Xen、VMWare、Hyper-V、华为、H3C、深信服等虚拟化平台的日志数据采集。 3.需支持IE、Chrome、Firefox、360等主流浏览器;可确保同一流程满足在不同系统分辨率情况下无障碍运行;支持图形化流程编辑功能;支持智能录制,通过录制可以自动形成流程脚本,无需独立开发。(5)支持光学字符识别OCR;支持PDF、word、excel等类型文档识别。 4.系统需支持通过Restful API、Standard HTTP、SOAP over HTTP、WebSocket、SSH/TeInet、JDBC、SNMP等API接口方式,实现对第三方安全能力的调用,包括针对第三方能力的增、删、改、查以及状态信息获取等; 系统支持对对以下第三方能力调用:中睿天下态势感知平台、安恒态势感知平台、奇安信态势感知平台、绿盟态势感知平台、绿盟漏洞扫描、绿盟WAF、山石防火墙、迪普防火墙、迪普断网装置、华为网络设备、城市热点系统、威胁情报、地理位置、微信、邮件、FTP、Excel、Nmap等。 5.支持针对不同类型****运营中心。 运营中心可以根据需要增加参与处置的人员。 运营中心支持文字、图片、文件等方式交互。 运营中心内,支持调用系统安全能力和安全剧本,实现安全事件的快速处置。 6.支持通过页面拖拽、零编码方式,实现多个能力的关联和处置流程编排。 支持在流程编排过程中插入逻辑判断功能。 支持通过计划任务定义,实现流程周期性调用。 支持查看流程执行中各能力执行结果。 需提供系统截图并加盖投标人公章。 7.支持安全监测类设备与安全阻断类设备联动,实现攻击自动化阻断。 支持黑白名单设置,支持外网威胁情报、地理位置关联分析。 支持阶梯解封策略设置,实现自动化解封功能。 支持一键攻击阻断和攻击解封。 可提供完善的攻击阻断统计、查询界面,支持报表一键导出。 8.可设置日志存储备份策略。包括系统日志保存期(天)、磁盘使用率百分比;支持日志备份传送到FTP服务器;支持日志文件备份到外挂存储设备。 系统提供安全运维大屏,包括网络安全作战拓扑展示,组织资产、漏洞、威胁趋势统计等信息。 系统提供安全威胁大屏,包括互联网暴露资产威胁分析大屏、关键业务系统威胁分析大屏等。 9.根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理。 |
按照国家相关标准、行业标准执行
三、技术规格:按照相关技术规格执行
四、交付时间和地点:交付时间:30个工作日内完**装调试。
交付地点:采购人指定的地点配送。
交货方式:送货上门,并安装调试完毕,验收合格。
五、服务标准:供货范围
1、成交人负责供应所需设备及安装所需的零配件、材料等;
2、成交人负责设备及相关设施的安装;
3、成交人负责产品到施工地点的全部运输,包括装卸及现场搬运等。
4、成交人负责产品在施工地点的保管,直至项目验收合格。
5、成交人负责其派出的送货及施工人员的人身意外保险。
附件及零配件(包括专用工具)、备品备件的要求
1、成交人应将所需设备在正常寿命期内正常使用及安装调试所需的所有附件、备品备件等列明清单,并在交货时一并提交。
2、质保期内,系统和设备维护与维修所需的各种零配件,由成交人免费提供。
3、质保期后,当采购人维护或维修设备及系统所需的零配件,成交人应及时优惠供应,并派专业人士进行维护或维修。
安装调试及技术服务(含培训)要求
1、本项目的安装调试由成交人负责。
2、成交人应对所提供的设备提供全面的7x24小时的技术服务与支持。
3、成交人须加强施工的组织管理,所有施工人员须遵守文明安全施工的有关规章制度,持证上岗。
4、项目完成后,成交人应将项目有关的全部资料,包括产品资料、技术文档、施工图纸等,移交采购人。
5、培训:成交人应负责培训采购人指定的操作管理及维护人员,达到熟练掌握产品性能,能及时排除一般故障的程度。
售后服务要求
1、提供7x24小时的故障服务受理。接到故障处理通知后,2小时内响应,一般故障应在24小时内排除:重大故障应在24小时内响应并提出解决方案,需在48小时内解决排除。
2、产品维护。要求提交以下内容。
1)定期维护计划。
2)对采购人不定期维护要求的响应措施。
3)对用户修改设计要求的响应措施。
3、技术支持
1)提供7x24小时的技术咨询服务。
2)敏感时期、重大节假日提供技术人员值守服务。
4、质保期:项目整体质保期为叁年(技术参数要求另规定除外),质保期从验收合格后开始计算。如超出产品厂家正常保修范围的,成交人需向厂家购买,未在报价文件中单列其费用的,视为免费提供。如成交人未按招标要求履行合同,采购人有权终止其合同。
5、采购文件要求相关产品质保期超过厂家提供的质保期限的,可由供应商提供延期服务并提供服务承诺函或原厂授权供应商提供服务的授权函。
6、质保期内出现任何质量问题(人为破坏或自然灾害等不可抗力除外),由成交人负责全免费(免全部工时费、材料费、管理费、财务费等等)更换或维修。质保期满后,无论采购人是否另行选择维保供应商,成交人应及时优惠提供所需的零配件。
六、验收标准:1、项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。
2、根据相关规定,本项目采用简易程序验收。
3、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为成交人原因造成的,由成交人承担检测费用:否则,由采购人承担。
4、验收不合格的,由成交人免费无条件修正达到要求、再行验收,以及给采购人造成的损失等费用由成交人承担。连续两次验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交人承担。
七、其他要求:详见附件采购需求
采购需求仅供参考,相关内容以采购文件为准。