1. 产品主要功能至少含有下一代防火墙及上网行为审计功能,产品可以采用单台设备实现采购技术要求,其硬件参数以下一代防火墙参数为准;也可以采用两台不同功能的设备实现采购技术要求,两台设备之间以万兆端口互通,且不影响整体实现性能。 2. 外型规格:单台设备≤2U;两台设备配合的,每台≤1U。 3. 下一代防火墙网络接口类型:接口数量≥6个,每个≥ 10GE (SFP+)(标配至少6个SFP+万兆单模光模块);≥10 x GE电口或光口,10个学院均具备一个独立端口。 4. 设备硬盘容量:系统盘要求≥256GB SSD;存储盘要求≥4TB;且满足日志存储所在盘要求能存储日志天数≥180天(验收依据:容量≥高峰期:一般为新学期第一个月新增的日志量÷试运行期间的计算机数×8000台*6个月÷70%)。 5. 内存:每台设备≥16GB。 6. console管理接口≥1;带外管理口≥1;USB2.0接口≥1。 7. 全部功能开启时,下一代防火墙网络层吞吐量≥30Gbps,应用层吞吐量≥20Gbps;上网行为管理网络层吞吐量≥15Gbps,应用层吞吐量≥3Gbps 8. 下一代防火墙并发连接数≥400万(按8000台×500进程计算);每秒新建连接数≥180万(按2000台×900进程计算);上网行为管理并发连接数≥120万(按8000台×150进程计算);每秒新建连接数≥3万(按2000台×15进程计算)。电脑行为管理并发可以实现≥2000台。 9. 串接设备电源要求:100-240VAC双电源模块。 10.自带僵尸网络特征库≥120万种; 11.满足SNMP网络管理功能。 12.能实现路由模式、透明模式、混合模式的路由功能,可以实现IPv4/IPv6下的多种路由协议可以实现静态路由、策略路由、多播路由协议及BGP、RIP、OSPF等动态路由协议。产品可以实现多对一、一对多和一对一等多种地址转换方式,可以实现NAT44 、NAT64、NAT66地址转换方式,可以实现NAT穿透技术ALG,可以实现FTP、TFTP、SQLNET、PPTP、RTSP、SIP、H.323等协议。 13.设备可以实现IPv4/IPv6双栈工作模式,可以实现基于应用、服务、时间、域名、IPv6对象等维度的访问控制。 14.★具备Radius、LDAP、AD等多种常用的认证协议和认证方式;具备可视化图形界面GUI管理界面,通过LDAP协议实现与校方统一身份认证平台进行数据对接,达到认证通过后可上网、不通过无法访问互联网的效果,实现终端用户上网行为管控和用户审计。在特殊情况下,如考试、培训等,可关闭认证上网功能,通过其他方式如DHCP,静态IP等上网。 15.实现对IPv4/IPv6终端在kbps级别粒度上的精细化流量控制和带宽通道的设置。 16.实现IPv4/IPv6安全防护功能,可以实现对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议及文件进行病毒检测和拦截等防御。能对压缩包中的病毒进行检测和拦截,压缩层数≥15层;可以实现杀毒白名单设置,可以例外排除特定MD5和URL的病毒文件,针对特定文件不进行查杀。 17.可以实现基于网络区域、网络对象、MAC地址、服务、应用、域名等维度进行访问控制策略设置。可以实现基于IMAP、FTP、RDP、VNC、SSH、TELNET、ORACLE、MYSQL、MSSQL等应用协议进行深度检测与防护,可以实现僵尸主机检测功能,可识别主机的异常外联行为,识别规则库包括挖矿、勒索软件、病毒和木马等。可以实现通过应用访问策略阻止翻墙行为。 18.能够对TeamView、QQ远程桌面、Github等应用做细分控制,可以允许放行或禁止联网,对高危应用制定细分动作规则,实施上网管控策略。 19.可以实现对加密HTTPS、SMTP-SSL、SMTP的邮件进行关键字过滤,可以实现基于关键字、发件人地址、正文关键字过滤,实现用户上网网络行为管控。 20.★对IPv4/IPv6终端用户主机中的挖矿、木马等失陷主机产生的异常行为进行检测,并生成审计安全日志。可以实现日志类型、日志级别、生成时间的查询分析。能够针对具体安全事件,直接查看安全事件的危害描述、漏洞特征、攻击特征和防护策略等相关内容,快速定位问题根源。与学校态势感知系统联动,将日志推送到态势感知系统,实现业务审计、带宽分析、上网态势分析、线路质量分析,可导出报表。安全统计报表至少包含网络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等信息内容,方便管理员对网络安全事件作出判断分析。 21.通过管控平台页面以直观的方式呈现当前的安全事件和危害,实现多维度、多元素的可视化,能自动化分析统计异常的网络流量、用户行为、安全威胁等,感知潜在安全风险。 22.自带杀毒引擎,结合最新人工智能技术实现针对未知威胁、病毒,在不依赖病毒特征库的情况下,实现检测。具有网关杀毒、病毒过滤、文件安全功能,可以实现双向流量检测,可以防止通过邮件附件或者下载文件而感染病毒,包括对发送和接收的邮件及邮件里面的附件、FTP下载、HTTP下载的文件进行病毒和查杀。 23.具有创建虚拟防火墙功能,可以实现学院能在虚拟防火墙中自设防火墙策略,虚拟防火墙数量≥10个(10个学院)。可以实现虚拟防火墙的创建、启动、关闭、删除功能;可以实现给各个虚拟系统分配动态资源;分权独立管理,独立保存配置,防火墙的虚拟系统可以实现应用控制策略和本机访问控制策略,每个虚拟防火墙的各种访问控制策略、流量控制等不影响其他虚拟防火墙的正常转发业务。 24.可以实现IPv6动态路由协议、IPv6对象及策略、IPv6状态防火墙、IPv6攻击和病毒防范、IPv6GRE/IPSECVPN、IPv6日志审计、IPV6会话热备等功能,保障IPv6的网络安全。 25.实现通过微信小程序远程监控防火墙设备的运行状态,如CPU资源、内存资源、硬件利用率、带宽利用率、威胁事件告警等信息;要求能发送微信安全事件告警信息,发生潜在的风险和安全事件时能通过微信小程序告知用户处理。 26.可以实现Web配置在线抓包功能,实现配置抓包网口、自定义IP地址、自定义端口,抓包结果可下载到本地电脑并可用目前主流流量分析工具Wireshark等对其进行查看分析,方便运维人员在遇到突发大流量的情形下,抓取流量分析,以判断故障源。 27.实现将该设备所有的日志数据推送到采购方在用的态势感知平台进行威胁分析,根据图形化呈现的分析结果了解当前网络安全状况,防范潜在的网络风险,及时处理已发生的威胁。 28.维保期五年。维保期内中标方每年派工程师到采购方进行功能培训一次;设备内置的应用识别、病毒库能所有包含的功能均能正常使用和特征库及时更新(至少半年一次),无需额外获取授权;中标方应获得与采购方在用的态势感知平台的日志推送受理及分析的第三方授权。采购方对此要求已在采购预算中涵盖,维保期内不在另外付费,采购费用包含调试及安装服务,调试及安装的材料由中标方提供。 |