防火墙天融信NGFW4000-UFNG-51028

2024年3月24日发(作者：)

防火墙: 天融信 NGFW4000-UF NG-51028

指标项 规格要求

★产品由专用的硬件平台、 安全操作系统及功能软件构成。

系统结构

设备 配置模块化；

1U

标准高度；设备采用自主知识产权的专

用安全 操作系统，采用多核多平台并行处理特性；

操作系统

安全操作系统采用冗余设计， 出于安全性考虑， 多系统需在

设备 启动过程中进行选择不得在

WEB

维护界面中设置系统切

★系统出厂默认支持病毒防御、入侵防御、应用识别、网站分

系统软件

类 库过滤、

IPSEC VPN

功能；系统具有良好的扩展性，除默

认支持 的功能模块外，还可以支持扩展

APT

防御功能；

★防火墙吞吐率：

6Gbps

；并发连接数：

220

万；每秒新建

连接：

防火墙吞吐

8

万；

★设备默认配置为

6

个

10/100/1000BASE-T

接口和

2

个

SFP

插槽， 不少于

2

个端口扩展卡插槽， 为了便于维护， 所有

接口配置

扩展卡插槽均 要求位于设备前面板，并且在维护现场即可进行

扩展（无需返 厂）；可扩展至少

24

个千兆端口 （非

combo

光电互斥接口或共享 交换接口）；

工作模式

路由功能

交换功能

接入功能

支持路由、交换、混合、虚拟线工作模式；

支持静态路由、策略路由模式；

支持

802.1q

、

QinQ

模式；

支持

IPSEC VPN

接入；

★支持智能

DNS

功能，有效提高用户跨网访问效率；

智能

DNS

支持

DNS Docting

，能够将来自内部网络的域名解析请求定

向 到真实内网资源，降低路径开销，提高访问效率；

支持

ICMP

、

Traceroute

、

TCP

、

HTTP

、

DNS

等多种链路质量

链路质量探测

探测 方式，用户可以根据探测结果有效判断链路质量；通过

HTTP

链

路质量探测方式，探测结果可以提供

DNS

解析响应时间、

TCP

探测结果可以提供

TCP

建立连接时间等； 通过

DNS

链路质量

探测 方式，探测结果可以提供

DNS

解析响应时间等；

双栈模式

支持

IPv4/IPv6

双栈工作模式；

支持

IPv6

安全控制策略设置，能针对

IPv6

的目的

/

源地

访问控制

址、目 的

/

源服务端口、区域、服务、时间、扩展头属性等

条件进行安 全访问规则的设置；

支持基于

IPv6

的应用层检测（

FTPTFTP

）、病毒过滤、

IPS

检测；

内置强大的用户身份管理系统，支持

RADIUS

、

LDAP

、证书等

多 种认证协议和认证方式；

综合运用身份认证与访问控制技术， 通过内置智能过滤引擎实

现

基于用户身份的安全防护策略部署与可视化监控；

★内置强大应用识别引擎，综合运用端口识别、行为识别、特

征 识别、关联识别等技术手段，准确识别传统应用如

P2P

、

应用识别

安全防护

用户认证

用户管控

web

应 用、移动应用、云应用、加密应用等；同时支持基于

IPv4/IPv6

的应用协议识别； 内置上千种应用识别特征库，

支持应用特征库 在线或本地更新，支持应用特征自定义；

支持应用流量排名， 可根据应用类型进行实时流量、 实时会

流量排名

话数、 统计流量排名， 同时通过图表或表格的方式进行展

示， 展示的图 表和表格支持自动刷新；

★支持基于

IP/IP

组、用户

/

用户组、服务

/

服务组、应用

/

带宽管理

应用 组和时间等配置带宽策略，支持针对带宽策略中对每

IP

、每用 户进行带宽控制；支持带宽策略优先级、父通道、

★内置高度集成的一体化智能过滤引擎技术， 实现在同一条访

问 控制策略中配置传统的五元组信息、应用、服务、时间、安

一体化访问控 制

全引 擎（入侵、

URL

过滤、病毒过滤、

DLP

、内容过滤）的

识别与控 制；

★内置攻击检测引擎，采用协议分析、模式识别、统计阀值和

流 量异常监视等综合技术手段来判断入侵行为； 支持

web

攻

应用层攻击防 护

击识别 和防护，如跨站脚本攻击、

SQL

注入攻击；支持超过

特征库，同时支持自定义特征库

,

且厂商具备强大的漏洞和

功放 研究能力，为

CNNVD

一级支撑单位， 能够确保每周至少

更新

1

次 攻击特征库。

★内置攻击检测引擎，支持独立的

DDOS

检测、阻断能力，支

持 检测包括

land

、

Smurf

、

winnuke

、

tcp_sscan

、

DDOS

防御

ip_option

、

targa3

、

Synflood

、

Icmpflood

、

★支持

DNS

异常包检测，支持

DNSQ uery flood

、

DNSR

eply Flood

攻击；

★支持

DHCP

异常包检测，支持

DHCP Flood

攻击检测；

★内置病毒检测引擎， 支持

HTTP/SMTP/POP3/FTP/IMA

等

P

协议的 病毒防御； 内置至少

2

种专业反病毒厂商或研究机

病毒过滤

构的病毒特征 库，符合等级保护相关标准对网关防病毒特征库

和主机防病毒特 征库异构的要求。病毒特征库规模超过

500

支持病毒白名单， 用户可以根据实际业务需求将特定威胁进行

排 除；

内置互联网

URL

分类库，支持超过

80

大类、

1500

万的

URL

URL

分类过滤

地址 分类库， 用户可根据上述网站类别， 对自身网络的

WEB

应用实施 全面化管控，杜绝非法、违规网站的访问行为，

从而净化网络应 用环境；

内置文件过滤引擎，支持对

HTTP/FTP/SMTP/POP

等

3

应用协

DLP

议传 送

PDF

、

Office

、

java-class

、

jpg

等超过

20

种

文档类型的文件 过滤；

双系统

高可靠性

配置维护

升级维护

日志管理

支持双操作系统并存，且备份系统为全功能系统；

★支持基于

VRRP

协议的双机热备和负载均衡功能；

★能与现由防火墙实现双机热备；

支持多个配置文件并存，配置文件数量不少于

20

个；

支持多个系统升级包并存， 系统升级包文件数量不少于

5

个；同

时支持系统升级包的删除；

支持

SYSLOG

格式的日志， 可外发至

SYSLOG

服务器， 且能

够输出

的日志类型至少包括： 设备运行信息、 配置管理、安全策略

日志、

NAT

日志、应用流量日志等。

★本次采购的设备需要设备生产商工程师上门安装调试并负责和原有设备做双

机调试，投标供应商不得虚假应标，由此所产生的一切风险由中标供应商承担