综合安全网关设备(防火墙)主要参数

2024年4月26日发(作者：)

综合安全网关设备（防火墙）主要参数

序号 要求类别

1 性能要求

指标要求

最大吞吐量≥4Gbps，每秒新建连接数≥6万，并发连接数≥180

万

1U机架式设备，冗余电源，标准配置板载8个10/100/1000M自适

2 规格要求 应电口、2个SFP光接口（含两个千兆多模光模块）和2个SFP+

光接口,2个扩展插槽，支持扩展板卡，1个Console口

3 维保服务 提供三年硬件维保及软件升级服务

16个SSLVPN 并发用户数（最大300）、16个IPsecVPN 并发隧道

4 授权要求

数（最大1000）1年硬件维修服务。3年全功能模块升级订阅服务

包（含应用识别库、URL分类特征库、病毒防护特征库、入侵防御

特征库升级服务及威胁情报订阅服务）。含3年原厂维保服务。

支持多种工作模式（包括透明模式、路由模式、混合模式）、满

5 部署模式 足复杂网络环境的要求（防火墙冗余、防火墙旁路 ）、具备支持

流量标记、流量整形、带宽复用的能力

支持高级ISP路由，数量最少支持3个及以上、支持静态路由协

6

议、支持RIP、OSPF等动态路由协议、支持策略路由、支持多条

等价路由，提供目的路由和源地址路由功能以及目的路由负载均

衡。

所投产品必须支持基于策略的路由负载，支持根据应用和服务进

路由协议

行智能选路，支持源地址目的地址哈希、源地址哈希、轮询、时

延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、

7 最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12种

路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、

ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口

进行测试（需提供相关证明文件或功能截图）

所投产品必须支持全面的NAT转换配置，包括一对一，一对多，

8 多对一的源、目的地址转换，并至少支持FULL_CONE模式和

SYMMETRIC模式

地址转换

所投产品必须支持在源地址转换过程中，对SNAT（源地址转换）

9

使用的地址池利用率进行监控，并在地址池利用率超过阈值时，

通过SNMP Trap、邮件、声音、短信等方式告警。（需提供相关证

明文件或功能截图）

10 IPv6支持

所投产品必须支持IPv6下静态路由及策略路由、动态路由，动态

路由应包括RIPng、OSPFv3、BGP4+

所投产品必须支持基于源安全域、目的安全域、源用户、源地址、

11 访问控制

源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN

等多种方式进行访问控制，并支持地理区域对象的导入以及重复

策略的检查

所投产品必须支持应用识别，应用特征库包含的应用数量（非应

应用识别

12

与控制

用协议的规则总数）大于2800种，可深度识别每种应用的属性，

为每种应用提供预定义的风险系数，并将应用基于类型、使用场

景、数据传输、风险等级等特征分类

所投产品必须支持多调度类相互嵌套最大5级的带宽管理设置。

13 流量管理

支持设置每IP最大或最小带宽，支持对每IP进行带宽配额管理，

可通过优先级实现多应用的差分服务，并支持对剩余带宽进行基

于优先级的动态分配。

所投产品必须支持基于不同安全区域防御DNS Flood、HTTP Flood

14

网络攻击

防护

15

支持对HTTP、FTP、SMB、SMTP、POP3、IMAP协议进行病毒检测和

查杀，支持最大6层的压缩文件查杀。

攻击，并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、

自动重定向、手工确认等多种防护措施

所投产品必须支持基于安全区域的异常包攻击防御，异常包攻击

16

类型至少包括Ping of Death、Teardrop、IP选项、TCP异常、Smurf、

Fraggle、Land、Winnuke、DNS异常、IP分片等；并可在设备页

面显示每种攻击类型的丢包统计结果

所投产品必须支持支持IPSec VPN功能，支持基于主模式（Main

17

Mode）、积极模式（Aggressive Mode）、国密三种协商模式建立

的网关-网关加密隧道；支持本地CA并可为参与IPSec VPN隧道

建立的设备颁发用于身份认证的证书

所投产品必须支持L2TP、支持L2TP over IPSec、支持PPTP ，并

18

VPN功能

Directory/TACACS+/POP3等第三方用户认证系统。支持客户端地

址分配

IPSec VPN支持DES、3DES、AES、AES192、AES256等标准加密算

19 法，支持MD5、SHA1、SHA2-256、SHA2-384、SHA2-512等标准HASH

算法。

20

具备专线备份功能，可在专线策略路由异常情况下，主动切换至

IPSec VPN线路，保证网络数据传输的连续性。

所投产品必须支持基于主机视图，统计网络中确认被入侵、攻破

21

网络异常

感知

支持对失陷的主机进行检测并阻断隔离的功能（提供具备CNAS资

22 质的第三方机构颁发的第三方测试报告，第三方报告需体现失陷

主机检测及处置的测试方案内容）

策略与处

23

置

支持在单条安全策略中可同时启用入侵防御、防病毒、URL过滤、

文件过滤、Web应用防护等安全功能。

的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报

来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；

并对威胁情报发现的恶意主机执行自动阻断

支持本地认证以及LDAP/Radius/证书/Active

所投产品必须支持接收针对突发重大安全事件的“应急响应消

24

息”，并至少在界面显示安全事件名称、类型、当前防护状态、

处置状态以及相应的操作等信息；并可根据设备安全配置的变化

动态显示应急响应的处理结果（需提供相关证明文件或功能截图）

支持对第三方API接口的功能（提供具备CNAS资质的第三方机构

25 颁发的第三方测试报告，第三方报告需体现第三方接口支持的测

试方案内容）

所投产品必须支持针对“应急响应消息”的手动或自动处置，处

26 置方法至少包括基于漏洞的处置和基于威胁情报的处置（需提供

相关证明文件或功能截图）

27

运维管理

28

所投产品必须web页面必须内置抓包工具，并可通过表达式方便

灵活的指定抓包过滤条件

所投产品必须支持与云端联动，至少实现应用云识别。（需提供

相关证明文件或功能截图）

支持云端统一下发设备配置及安全风险的处置动作 （需提供相关

证明文件或功能截图）

所投产品具备国家信息安全测评中心颁发的《信息技术产品安全

测评证书》（EAL 4+）（需提供相关证明文件或功能截图）

所投产品具备公安部颁发的《计算机信息系统安全专用产品销售

许可证》（需提供相关证明文件或功能截图）

提供三年免费质量保障售后服务承诺

产品内置安全报表模板，可定义报表内容，包括网络整体安全状

况、服务器安全风险分析、终端主机安全分析等。

29

云端协同

30

31

产品资质

32

技术支持

服务

33