2024年3月24日发(作者:)

天融信防火墙参数:

指标 招标指标项 招标参数具体要求(出于对用户所用产品的网络扩展性和安全性

考虑,其中“▲”部分为必须满足项;)

专用的硬件和软件保障 采用专用硬件架构与专用安全操作系统,基于操作系统内核的完

全检测技术;专用的安全操作系统具有自主知识产权;硬件设备

可以机架安装。

双操作系统

设备

基本

要求

MTBF

网络吞吐量

最大并发连接数

每秒最大新建连接数

可以扩展VPN模块

VPN最大隧道数

灵活的接入方式

端口数量和扩展能力

采用双安全操作系统,防止配置不当或防火墙系统故障造成的网

络中断,充分保证了系统的稳定性。

提供6个10/100/1000BASE-T接口(其中2个可作为HA口和管理

口),4个千兆SFP插槽;最大可扩展至26个接口,包括2个可

插拨的扩展,另外具有专门的RJ45终端管理接口

不少于80000小时

不少于5Gbps

不少于220万

不少于5.5万

能够同时支持IPSEC VPN及SSL VPN

无限制

防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以

及混合接入模式。

备注

支持虚拟防火墙

性能

要求

强大的访问控制

实现路由(包括NAT)和交换模式下的虚拟系统

1、虚拟系统提供独立的管理帐户和界面

2、虚拟系统提供独立的节点管理

3、虚拟系统提供独立的自定义服务管理

4、虚拟系统提供独立的策略管理

5、虚拟系统提供独立的虚拟系统重启功能

 支持基于源IP地址、目的IP地址、源端口、目的端口、时

间、用户、文件、网址、关键字、邮件地址、脚本、MAC地

址等多种方式进行访问控制;

支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支

持URL、关键字过滤;

支持对移动代码如Java applet、Active-X、VBScript、

Jscript、Java script的过滤;

动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、

TFTP、RPC(msrpc,dcerpc)等;

完善的上网行为管理 

可实现静态或自动的IP/MAC绑定;

支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant

Messenger通信,并可以对于这些应用进行登陆限制,支持根

据登陆等帐号进行登陆限制;

功能

要求

支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP

地址的IM应用通信的连接统计;

可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以

统计和控制P2P流量和连接数;

可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、

SMTP、POP3、Telnet,HTTP)的BANNER信息;

指标 招标指标项 招标参数具体要求(出于对用户所用产品的网络扩展性和安全性

考虑,其中“▲”部分为必须满足项;)

可以实现telnet、DNS等应用协议的深度过滤;

支持HTTP 重定向功能,可以对伪装HTTP的协议进行识别

和阻断。

备注

完善的网络地址转换能

多种身份认证方式

防火墙系统有完善的地址转换能力,可以支持正向、反向地址/

端口转换、双向地址转换等,能够提供完整的地址转换解决方案。

防火墙系统要支持多种、灵活的身份认证技术,至少包括

Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。

完善的路由功能 支持静态和动态路由,动态路由至少包括:RIP和OSPF动态路由

协议;静态路由协议支持基于源地址、目的地址、METRIC值、网

络接口的路由;

VLAN和生成树 支持802.1d生成树,能进行802.1d的生成树协商;支持与交换

机的Trunk接口对接,并且能够实现Vlan间通过防火墙设备进行

路由;支持802.1q,能进行802.1q的封装和解封装;支持ISL,

能进行ISL的封装和解封装;在同一个Vlan内能进行二层交换。

链路备份 支持链路备份功能,可以在用户的多条网络出口之间进行自动的

切换;

高可用性 

支持双机热备功能,包括主备模式(A/S),主主模式(A/A)

支持VRRP协议;

支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、

加权最少链接、基于源IP地址HASH调度等多种负载均衡方

式;

DHCP功能

强大的抗攻击能力

防火墙系统要对长连接的提供全面的解决方案;

支持链路聚合;

支持OPSEC或TOPSEC等类似联动协议,能够与主流入侵检

测产品进行联动;

可以识别并阻断以下攻击行为:

支持DHCP SERVER/CLIENT/RELAY功能

防非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、

tcp_sscan、ip_option、teardrop、targa3、ipspoof;

防统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、

ipsweep;

告警能力

端口阻断:可以根据数据包的来源和数据包的特征进行阻断

设置;

CC攻击:可通过设置端口和阀值阻断CC攻击;

完善的预防ARP欺骗解决方案;

支持反向地址检查;

支持根据协议或地址,限制连接数目;根据连接数目进行源

地址排名。

支持告警信息分类、分级;当发生安全事件的时候支持以邮件、

NETBIOS、声音、SNMP、控制台等方式告警。

指标 招标指标项 招标参数具体要求(出于对用户所用产品的网络扩展性和安全性

考虑,其中“▲”部分为必须满足项;)

备注

管理功能 

可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、

SSH、TELNET等;

远程集中监控管理功能:支持远程集中管理监控功能,在同

一个管理平台下能够对所管理网络中所有的防火墙设备进

行管理和监控,提供远程升级和配置变更方法,非常方便用

户对防火墙软件版本和配置变更的管理;

完善的日志审计功能

支持SNMP 的v1 、v2 、v2c 、v3 等不同版本,并与当前

通用的网络管理平台兼容,如HP Openview 等;

支持Netflow

各类资源对象、安全策略可单独导入、导出,可以提供简单

方便的配置备份与恢复机制,并且可以恢复到出厂设置;

支持远程TFTP、FTP、HTTP等方式升级。

日志分级、分类;系统要能够提供多种日志存储方式,可以缓存

在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志

格式的输出;具有完善的日志收集、传输、存储、分析、报告等

解决方案。

完整解决方案 防火墙可以内嵌VPN功能模块,并可以提供VPN客户端软件,可

具有完善的解决方案。

方便地建立网关-网关、网关-客户端、客户端-客户端的加密隧道,

兼容性 支持标准IKE,能与市场上主流的基于标准IKE协议的其他 IPSEC

VPN设备进行互联、互通。

算法 要求提供高加密强度,支持国际主流加密算法和经国密办认证的

SCB2算法等。

VPN

功能

要求

认证 支持基于证书的认证,证书遵循X.509证书体系,可自建CA,也

支持第三方CA;支持预共享方式的认证。

网络适用性

支持DDNS

支持NAT穿越,提供NAT自动发现机制。

支持DDNS功能,可以在用户的网络环境中没有任何一个合法地址

的情况下建立VPN 隧道。

市场占有率

军用认证证书

为近三年国内防火墙市场占有率前三名,并提供IDC的证明。

中国人民解放军信息安全测评认证中心颁发的《军用信息安全产

品认证证书》

销售许可

资质

要求

中华人民共和国公安部颁发的《计算机信息系统安全专用产品销

售许可证》

型号证书 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品

型号证书》

保密局检测证书

等级证书

厂商资质

厂商服务能力

中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》

EAL3等级认证证书;

原厂商具备信息安全服务二级资质;

杭州分公司有技术人员10人以上,且必须具有至少3人具备CISP

(注册信息安全工程师)或BS7799认证工程师资格,可以提供本

地原厂紧急响应服务。