深信服应用防火墙参数.docx

内部公开©深信服科技，2012 1 / 4一、 性能及配置要求AF-1320-L 对应 NS-SecPath U200-A项目 指标 具体功能要求电口 具备至少 6个 10/100/1000 Base-T 千兆电口接口Bypass *支持故障时 Bypass功能（1 路）安装空间 标准 1U机架尺寸储存温度 －20℃～70℃技术规范相对湿度 5～95%（无凝结状态）吞吐量 吞吐量≥1GVPN连接数 不小于 400并发连接数 不小于 40万新建连接数 *≥15000延时 <10 us性能参数平均无故障时间（MTBF） ≥100,000 小时AF-1820-D 对应 天清汉马 USG-2000C项目 指标 具体功能要求接口 10个千兆电口4个千兆光口接口Bypass *支持故障时 Bypass功能（3 路）安装空间 标准 2U机架尺寸储存温度 －20℃～70℃相对湿度 5～95%（无凝结状态）技术规范电源 冗余电源吞吐量 吞吐量≥5GVPN连接数 不小于 1500并发连接数 不小于 80万新建连接数 *≥60000延时 <10 us性能参数平均无故障时间（MTBF） ≥100,000 小时二、详细功能要求项目 指标 具体功能要求设备资源信息 提供设备实时 CPU、内存、磁盘占用率、会话数、用户数、网络接口等信息联动封锁源 IP *提供实时智能模块间联动封锁的源 IP以便实现动态智能安全管理（需提供截图证明）实时监控流量状态 实时提供 IP流量、应用流量排名、流量管理状态、DHCP 状态、用户管理防火墙/VPN功能包过滤与状态检测提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP） 、SQLNET、MMS、PPTP 等；传输层协议：TCP、UDP*内部公开©深信服科技，2012 2 / 4抗攻击特性支持防御 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺骗攻击防范、ARP 主动反向查询、TCP 报文标志位不合法攻击防范、支持 IP SYN速度限制、超大 ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC 和 IP绑定功能NAT功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持 DNS映射功能可配置支持地址转换的有效时间支持多种 NAT ALG，包括 DNS、FTP、H.323、SIP 等IPSec VPN功能支持 AES、DES、3DES、MD5、SHA1、DH、RC4 等算法，并且支持扩展国密办SCB2等其他加密算法支持 MD5及 SHA-1验证算法支持各种 NAT网络环境下的 VPN组网支持第三方标准 IPSec VPN进行对接*总部与分支有多条线路，可路间一一进行 IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证 IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略（提供自主知识产权证明）特征库数量 漏洞特征库: 2500+ ，并且能够自动或者手动升级特征库信息 *必须是微软“MAPP”计划会员，特征库必须获得 CVE“兼容性认证证书”（需提供截图证明）防护类型 包括蠕虫/木马/后门/DoS/DDoS 攻击探测 /扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS 逃逸攻击等防护对象 *漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）IPS 入侵防护处理动作“云联动“ *支持自动拦截、记录日志、上传灰度威胁到“云端” （需提供截图证明）Web应用防护识别库 *支持 web攻击特征数量 1000+（需提供截图证明）Web服务隐藏 *支持 Web网站隐藏，包括 HTTP响应报文头出错页面的过滤，web 响应报文头可自定义（需提供截图证明）FTP服务隐藏 *支持 FTP服务应用信息隐藏包括：服务器信息、软件版本信息等Web攻击防护*支持 OWASP定义 10大 web安全威胁，保护服务器免受基于 Web应用的攻击，如 SQL注入防护、XSS 攻击防护、CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解（需提供截图证明）网站扫描防护 支持 web站点扫描、web 站点结构扫描、漏洞扫描等扫描防护策略制定 配置选项:可设置源、目的区域、目的 IP和端口号，端口号支持设置 Web应用、FTP、mysql、telnet、ssh 服务的端口号文件上传过滤 *严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全服务器防护*其他应用防护 * ftp 弱口令防护、telnet 弱口令防护*内部公开©深信服科技，2012 3 / 4可定义的敏感信息内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5 密码等http敏感信息检测 支持正常访问 http连接中非法敏感信息的外泄操作漏洞风险评估 *支持服务器、客户端的漏洞风险评估功能弱口令扫描 *支持 ftp、mysql、oracle、mssql、ssh、RDP、网上邻居 NetBIOS、VNC 等多种应用的弱口令评估与扫描敏感信息防泄漏*智能策略联动 *风险评估可以实现与 FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明）网关型网页防篡改 *支持网关型网页防篡改，无需在服务器中安装任何插件篡改实时检查 支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式，保证网站安全动态网页/静态网页支持*全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改业务管理与安全管理分离*支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容网页篡改防护*篡改防护效果 *支持通过替换、重定向等技术手段，防护篡改页面病毒引擎 基于流引擎查毒技术，可以针对 HTTP、FTP、SMTP、POP3 等协议进行查杀防护类型 *能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒病毒防护病毒库数量 支持 10万条以上的病毒库，并且可以自动或者手动升级应用特征识别库 *支持对 1000种以上应用 2000种以上的应用动作（需提供截图证明）应用流控 *支持基于应用类型划分与带宽分配网站流控 *支持基于网站类型的划分与带宽分配流控文件流控 支持基于文件类型划分与分配带宽URL过滤 *对用户 web行为进行过滤，保护用户免受攻击；支持只过滤 HTTP GET、HTTP POST、HTTPS 等应用行为；并进行阻断和记录日志文件类型过滤 *支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志ActiveX过滤 *支持基于签名证书的 ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的 ActiveX过滤，如视频、杀毒、娱乐等；WEB安全防护脚本过滤 *支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等管理界面 支持 SSL加密 WEB方式管理设备理网关管 告警管理 支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等*内部公开©深信服科技，2012 4 / 4排障工具 *提供图形化排障工具，便于管理员排查策略错误等故障数据中心 *设备必须支持内/外置数据中心风险评估报表 *提供端口、服务、漏洞、弱密码等安全风险评估报表（需提供截图证明）安全日志 必须支持将应用的受攻击对象进行统计排行和报表输出，支持按照行为次数和应用的排行统计各攻击类型名称；支持各种攻击类型的报表输出和统计；安全趋势报表 *提供可定义时间内安全趋势分析报表安全统计报表 *支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容，并形成报表病毒信息统计*必须支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信息统计新增恶意 URL排行报表订阅 *支持将统计/趋势/查询等报表自动发送到指定邮箱理日志管报表导出 *支持导出统计/趋势/查询等报表，包括 Excel、PDF 等格式三、其他要求服务 服务机构要求 *必须在用户所在地或用户所在的省会城市有厂家直属的售后服务机构*设备生产厂商注册资本大于 5000万*售后服务体系通过 ISO9001认证*国家级高新技术企业证书厂商资质 厂商资质要求*具有 CVE兼容性认证证书计算机软件著作权登记证书计算机信息系统安全专用产品销售许可证产品资质 产品资质要求ISCCC中国国家信息安全产品认证证书。