性能及配置要求.doc

A. 性能及配置要求投标产品应满足以下要求：1. 产品必须是在电信行业经过大量部署的成熟产品；2. 投标的产品必须提供Proxy防火墙技术，并具备可扩展的安全功能：n 支持协议异常检测技术，主动防范未知安全威胁；n 提供可选购的防病毒/攻击检测、垃圾邮件过滤、网页过滤功能模块；n 支持产品型号升级，无需变更硬件，通过许可证方式，即可升级到高端型号；3. 防火墙吞吐率不小于1Gbps；4. IPSec VPN吞吐率不小于400Mbps；5. 最大并发连接数不小于100万；6. 提供10个物理接口,其中至少3个为千兆接口,至少7个百兆接口B. 网络特性要求1. 支持拖放式VPN组建，鼠标拖放即可完成IPSec VPN的组建；2. 支持VPN链路容错备份；3. 同时支持IPSec、SSL及PPTP的移动VPN接入；移动IPSec VPN的配置只需在防火墙上集中进行，配置完毕自动生成加密配置文件，VPN客户端直接导入即可使用，无需对VPN客户端进行附加配置；4. 支持高强度VPN加密算法，支持AES 256bit加密算法；5. 支持VPN访问的策略控制，可控制VPN用户访问的IP、端口、应用等；6. 支持多WAN口接入，至少支持4条外网接入链路；多个WAN链路之间可以实现链路冗余以及负载均衡；7. 支持基于策略的源地址策略路由，同时支持指定策略路由的链路冗余，以确保策略路由通讯不间断；8. 支持BGP、OSPF、RIPv1/v2动态路由；9. 支持基于策略的QoS功能，支持DSCP及IP Precedence标记，支持基于QoS标记或自定义的流量优先级设定，自定义优先级至少支持8个级别；10. 支持基于策略的流量管理，可以设置该策略的最大带宽、最小带宽、并发连接数；11. 支持多种NAT方式，包括动态、静态、1to1，支持端口转发；C. 安全特性1. 防攻击特性：a) 内置入侵防御功能，并可自动将攻击来源实时加入黑名单列表，主动阻断攻击来源；b) 支持自定义攻击强度阀值，支持手工设置主机IP和端口黑名单；c) 至少可以防御：Spoofing、IP Source、Port/Address Space、IPSec Flood、IKE Flood、ICMP Flood、SYN Flood、UDP Flood等多种攻击；2. 应用层安全特性：a) 支持Proxy防火墙技术，提供协议异常检测功能，检测应用协议异常，避免未知安全威胁；b) 实现真正的应用级内容和命令安全检测,至少应支持DNS、HTTP、FTP、SMTP、POP3、HTTPS、SIP、H.323协议的应用检测；c) 对于HTTP协议，应提供HTTP请求方法、响应头字段的完整检测过滤，支持基于内容类型的检测过滤，支持Cookie的检测过滤，支持基于文件头的内容检测过滤；d) 对于FTP协议，应支持所有FTP命令的检测过滤，支持上传、下载路径及关键字的过滤；e) 对于SMTP、POP3协议，应支持收件人、发件人，主题，邮件大小的检测过滤，支持基于内容类型的附件检测过滤，并支持SMTP服务器的隐藏功能；f) 对于DNS协议，至少应支持DNS查询类型以及DNS查询域名的检测过滤；3. 支持基于时间的访问策略控制；支持基于用户名/用户组的访问策略控制；4. 支持多种认证方式，至少包括：本地认证、AD认证、Radius认证、SecurID认证、LDAP认证；5. 支持双机热备份；D. 安全管理特性1. 提供专用客户端进行设备的集中管理和配置，通过图形化界面可以完成设备的所有管理设置和实时监控；支持多台设备的实时集中管理，管理通讯加密传输；2. 管理软件集成图形化实时监控工具，至少应提供以下的实时监测功能：a) 实时网络连接显示，支持基于规则、端口、IP、方向的过滤及排序查看，并允许管理员实时阻断指定连接；b) 实时网络日志显示，支持日志的实时分类查看，至少应提供流量日志、告警日志、事件日志等类型，并支持实时的关键字过滤显示；c) 实时显示点对点VPN连接，实时显示移动VPN连接，管理员可实时切断指定VPN用户的连接；d) 实时查看防火墙资源占用情况，至少包括：并发连接数、NAT连接数、内存占用、CPU利用率等；3. 管理软件集成日志服务器，无需附加其它软件，即可实现支持多台设备的日志集中接收和管理，支持日志的加密传输，提供日志查看、管理工具；4. 管理软件集成报表编辑器，无需附加其它软件，即可实现网络活动图形报告的自动生成，并可自定义报告内容；5. 支持Syslog日志，支持SNMP，支持NTP；。