硬件平台国产设备,2U机架式硬件平台,采用多核处理器;
安全系统采用专用安全操作系统;
电源48V直流供电;提供42m 直流电源线
性能吞吐量6Gbps,并发连接100万;
设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持)
网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障;
2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明)
网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP 客户端,支持静态路由、RIP v1/2、OSPF、策略路由;
2.必须支持基于应用制定策略路由的智能选路功能
防火墙功能1.可以提供静态的包过滤和动态包过滤功能;
2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、
H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;
3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能;
4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;
2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明);
3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级;
4.支持TCP协议的乱序重传、TCP分包;
5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明);
6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
上网行为管理功能1.支持对900种以上应用1800种以上的应用动作、用户名进行识别,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;
2.支持https(ssl)协议数据的识别;支持自定义规则;依据用户现有的业务系统需要识别如下应用:可识别丰富的内网应用如:Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LADP等;能精确识别Microsoft、360、Symantec、Sogou、kaspersky、金山毒霸、江民杀毒等软件更新;
3.可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定;
4.支持应用更新版本后的主动识别和控制(必须提供自主知识产权证明,加盖厂商公章)
流量控制管理功能1.网关能同时连接多条线路,且支持多线路复用和智能选路技术;
2.支持基于应用类型、文件类型、网页类型、时间段划分与分配带宽策略;支持基于访问行为的目标IP实现带宽划分与分配;
防病毒功能1.基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀;
2.能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒;
3.支持10万条以上的病毒库,并且可以自动或者手动升级;
4.检测到病毒后的操作:支持记录日志、阻断连接;
5.提供3年的病毒特征库升级服务。
日志管理1.提供端口、服务、漏洞、弱密码等安全风险评估报表(需提供截图证明);
2. 支持DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;
3. 支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表
4、支持将内网可能中毒的用户进行统计排行和报表输出,支持按照行为次数和用户数的排行统计各新增病毒名称,支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行;
5.支持导出安全统计/趋势等报表,包括网页、PDF等格式(逐项提供原厂加盖公章的产品界面截图证明)
服务器防护1.支持web攻击特征数量1000+(需提供截图证明)
2.支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等(需提供截图证明)
3.支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义(需提供截图证明)
4.支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解(需提供截图证明)
5.支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描(需提供截图证明)
敏感信息防泄漏1.内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等;
2. 支持正常访问http连接中非法敏感信息的外泄操作;
3. 支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”
其他要求1.ISCCC中国国家信息安全产品认证证书,公安部销售许可证;
2.5年7X24小时原厂保修服务,设备选型或相当于深信服;
3.产品服务规范通过ISO 9001认证;
4.具有CVE兼容性认证证书;具有软件著作权登记证书
硬件平台国产设备,2U机架式硬件平台,采用多核处理器; 安全系统采用专用安全操作系统; 电源48V直流供电;提供42m 直流电源线 性能吞吐量6Gbps,并发连接100万; 设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持) 网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障; 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明) 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP 客户端,支持静态路由、RIP v1/2、OSPF、策略路由; 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能; 2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、 H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP; 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能; 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明) IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等; 2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明); 3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级; 4.支持TCP协议的乱序重传、TCP分包; 5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明); 6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
国内下一代防火墙第一品牌 深信服下一代防火墙(Next-Generation Application Firewall )NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产 品,深信服NGAF 不同于工作在L2-L4 层的传统防火墙,可以对全网流量进行 双向深入数据内容层面的全面透析。在 安全策略制定方面,区域别于传统防火 墙五元组安全策略,深信服NGAF 可对L2-L7层更多的元素(如,用户、应用类型、URL 、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF 采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。 功能列表 项目 具体功能 部署方式 支持路由,透明,旁路,虚拟网线,混合部署模式; 实时监控 实时提供CPU 、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发 生事件、源IP 、目的IP 、攻击类型以及攻击的URL 等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理; 网络适应性 支持ARP 代理、静态ARP 绑定,配置DNS 及DNS 代理、支持DHCP 中继、DHCP 服务器、 DHCP 客户端;支持SNMP v1,v2,v3,支持SNMP Trap ;支持静态路由、RIP v1/2、OSPF 、 策略路由;支持链路探测,端口聚合,接口联动; 包过滤与状态检测 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP 、 HTTP 、SMTP 、RTSP 、H.323(Q.931,H.245, RTP/RTCP )、SQLNET 、MMS 、PPTP 等;传 输层协议:TCP 、UDP ; NAT 地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到 公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG ,包括DNS 、FTP 、H.323、 SIP 等 抗攻击特性 支持防御Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、 SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query Flood 、ARP 欺骗攻击防范、ARP 主 动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大ICMP 报文攻击 防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能, 此外还支持静态和动态黑名单功能、MAC 和IP 绑定功能;
应用防火墙技术参数: 品牌要求:网神、网御星云、山石网科 系统功能 设备参数接口数目 ★至少6个10/100/1000自适应电口+2SFP插槽,其中包 括1个带外管理口,1个HA口,4个业务接口, 1U设备性能参数 ★至少1200Mbps网络吞吐量,应用层吞吐量不小于 500Mbps,http新建速率大于5000/s,http最大并发为40 万,网络并发连接数150万 防护策略防护规则提供内置规则,同时支持用户自定义防护特征Web扫描 ★提供Web安全扫描功能(提供相应截图) 自定义Web安全扫描任务,定期进行Web安全扫描 安全特性HTTP RFC符合 性 支持对HTTP和HTTPS的协议合法性进行验证 网络层防护 支持访问控制功能,能够有效防御基于网络层的攻击 应能支持URL级别访问控制,支持IP级别黑、白名单WEB应用防护 可防御蠕虫、缓冲区溢出、目录遍历等攻击 可以识别和阻断应用层拒绝服务攻击,如CC攻击等 可以对网页请求/响应内容中的非法关键字进行检测、过 滤,非法上传阻断,包括Webshell攻击防护 应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置 攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓 冲区溢出攻击、弱口令攻击 ★支持HTTPS卸载和加壳:即客户端到服务器端可以任 意选择HTTPS和HTTP,强化应用层安全(需要提供截图) 可以识别和阻断SQL注入攻击,Cookie 注入攻击,命令注 入攻击 可以防御防盗链攻击、爬虫防护,应能控制网络扫描行为 可以进行HTTP报文请求的字段进行严格,中等和宽松的 限制 可以识别和阻断跨站脚本(XSS)注入式攻击 主动防御 ★能根据攻击状态进行学习,形成动态阻断列表(提供相 应截图,加盖原厂公章) ★能根据阻断状态,动态建模(提供相应截图,加盖原厂 公章) 网页篡改防护 ★系统支持网页防篡改模块,支持linux,windows,Aix, FreeBSD等主流操作系统(需要提供截图,加盖原厂公章) 采用基于文件过滤驱动保护技术、事件触发机制相结合方 式
请您检查,询价采购文件共页 询价采购文件 项目编号:ZYZFCG()号【资财备】 项目名称:防火墙 采购单位:资阳市人民医院 集中采购机构:资阳市政府采购中心 中国·四川(资阳) 资阳市政府采购中心和资阳市人民医院编制 二一八年九月
目录 第一章询价邀请 (3) 第二章采购内容及要求 (5) 一、采购内容 (5) 二、采购项目技术要求 (5) 三、响应人资格条件 (6) 四、采购项目商务要求 (6) 第三章询价须知 (8) 一、总则 (8) 二、询价采购程序 (8) 三、询价采购文件 (9) 四、响应保证金 (9) 五、响应文件编制要求 (10) 六、响应文件的递交 (13) 七、询价活动的组织 (13) 八、响应文件的评审 (13) 九、询价活动终止 (16) 十、确定成交人 (16) 第四章响应人应当提供的资格证明材料 (18) 第五章响应人响应文件相关文书格式 (19)
第一章询价邀请 资阳市政府采购中心受资阳市人民医院委托,拟对防火墙项目采用询价采购方式执行采购,兹邀请符合本次询价采购要求的供应商进行响应报价。 (一)询价采购项目编号:ZYZFCG()号【资财备】。 (二)询价采购项目名称:防火墙。 (三)询价采购项目预算:元,大写:贰万陆仟元整。 (四)询价采购的内容及要求(即采购需求):详见本询价采购文件第二章。 (五)响应人参加本次政府采购活动应具备下列资格条件: .符合《中华人民共和国政府采购法》第二十二条规定条件。 .响应人应具有本次采购货物、服务或工程的经营范围。 .采购人要求的特殊资格条件:无 .本项目拒绝联合体投标。 注:根据上述资格要求,供应商须提供的资格证明材料详见本询价采购文件第四章。 (六)询价采购文件获取方式:网上下载。本询价邀请在四川政府采购网(https://www.doczj.com/doc/0217253326.html,)上以公告形式发布。请各潜在响应人报名之前认真仔细阅读、理解采购文件。 若对采购文件中的相关条款不能准确理解,请及时向资阳市政府采购中心咨询; 若对采购文件中的(《中华人民共和国政府采购法》第二十二条规定条件外的)资格、资质要求和拟购商品的规格、技术参数或指标要求及相关商务要求不能准确理解,请及时向采购单位咨询。 (七)报价资格确认方式:供应商在询价采购文件规定的保证金交纳截止时间前,以通过电子交易平台投标保证金交纳是否成功予以确认。 注:.为促进充分竞争,尽可能降低交易成本,切实方便潜在投标人投标,资阳市政府采购中心政府采购活动现已实行网上报名(资阳市公共资源交易网https://www.doczj.com/doc/0217253326.html,电子交易平台)。具体操作手册请在资阳市公共资源交易网下载中心查阅,或拨打技术服务电话-转、、,或电话联系我中心:采购科(标书内容咨询、质疑受理)-、-;综合科(保证金收退咨询)-、-。 .采购人对已发出的询价文件进行澄清或者修改,一律通过四川政府采购网公开发布,相关澄清或者修改的内容,均为询价文件的组成部分,请潜在投标人注意及时了解和下载。投标人因自身原因未及时查阅、下载而带来的一切后果,均应自行负责。) (八)响应保证金金额(不能超过采购预算金额的%):元,大写:肆佰元整。 (九)响应保证金交纳截止时间:年月日时分秒。 (十)响应保证金交纳方式:银行转账 (户名:资阳市公共资源交易中心,账号:电子
防火墙招标参数 ★1)产品架构:国产品牌、自主知识产权,多核处理器硬件架构(非X86)基于ASIC技术的网络和内容处理技术,1U高度设备; ★2)产品性能:整机吞吐量不低于16G,并发连接数不低于600万。内置硬件加密芯片、3DES加密性能≥1.2Gbps,扩展槽数量≥1;支持DES,3DES,AES加密算法及SHA-1,MD5认证算法。 3)支持基于状态检测的包过滤技术,能够根据源和目的IP地址进行数据包过滤,支持IPv4/v6,支持静态路由,RIP v1, RIP v2, OSPF, BGP, 组播路由等动态路由设置,支持策略路由,能够根据源地址和流入端口控制路由方向;(提供界面截图证明并加盖厂商公章),支持MPLS VPN、组播协议; 4)NAT功能:支持一对一、地址池等NAT方式,支持多种应用协议(如FTP、H323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT)的NAT ALG 功能,支持策略NAT及策略NAT ALG功能; 5)访问控制:支持关键字过滤功能、文件指纹过滤、支持链路负载均衡策略;支持针对服务器的负载均衡;针对服务器负载均衡,支持静态、轮询、加权、最早存活、最小响应时间、最小连接数、HTTP Host等多种负载均衡方式。(提供界面截图证明并加盖厂商公章); 6)抗DDoS攻击:支持抵御各种DDoS攻击类型,包括:SYN Flood、ICMP flood、UDP Flood、DNS Flood、连接数限制等; ★7)VPN功能:支持IPsec VPN、SSL VPN、GRE VPN、L2TP VPN; 8)多业务能力:支持专业的协议库、URL库、IPS库、病毒库;
360天擎终端安全管理系统: 技术指标 指标要求 (★为关键参数,不允许负偏离) ★系统管理控制中心:采用B/S架构管理端,能够设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、终端软件管理、硬件资产管理以及各种报表和查询等功能。 客户端:与安全控制中心通信,提供控制中心管理所需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作。 本项目共采购600点客户端授权许可 本次采购的客户端授权支持Windows XP/VISTA/WIN7/WIN8/WIN10 本次采购功能模块包括防病毒、补丁管理、运维功能 病毒、恶意代码、木马防护★支持浏览器防护,对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器设置 ★对敲诈者病毒提供防护机制,同时可提供相关解密工具,解密工具为自主研发 ★支持linux、国产操作系统、云桌面产品杀毒 ★文件被加入白名单,客户端不再查杀,加入黑名单,客户端不可执行此文件; 支持私有云查杀,预置至少4亿黑名单及2000万全面的白名单,终端威胁统一到控制中心查询黑白并进行查杀 要求产品在断网状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力 要求产品具备主动防御技术 要求产品具备应用级沙箱技术 按病毒、木马显示展示全网涉及的终端,可查杀指定或全部木马、加入信任;按终端显示展示全网每个终端存在的病毒、木马及可查杀的 ★要求支持通过数字签名或者文件名的方式分别显示文件,方便管理员管理全网终端上报的文件; 要求支持客户端升级时对网络带宽的保护,可以设定服务器端最大升级带宽。 ★聊天软件传输某些文件会添加“.重命名”,如果文件安全,将自动去除“.重命名” ★支持扫描发现文件遭破坏或被感染时触发修复流程,修复通过公有云下载正常文件替换遭破坏的文件; ★补丁管理终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁,可以查看或搜索系统已安装的全部补丁 产品具备漏洞集中修复,强制修复,自动修复;具备蓝屏修复功能
深信服下一代防火墙高校数据中心差异优势 支持对不同部门的业务流量进行实时流量分析,发现存在的漏洞威胁,并对发现漏洞次数最多的服务器进行排名,分析攻击类型,详情以及建议方案。 背景:对于高校用户来说,目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备,而漏扫设备存在两个不足,一是扫描时发出的攻击包可能影响正常业务开展;二是扫描都是阶段性、分批次的,无法实时监控所有业务系统的动态漏洞信息;一旦出现0day,响应还是不够及时;同时由于托管了很多二级学院及部门系统,需要分别分析分别处理,因此需要针对每个系统/部门生成单独的报表,包括系统存在哪些漏洞、外部如何攻击他的,哪些攻击真正有效等。 价值:深信服可以提供一种更加高效的解决方案,通过对业务流的全流量分析,能够提供被动式[不主动发包,不影响业务]的7*24小时业务漏洞检测手段,帮助用户更好的对可能存在对风险进行预警。
支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP(3389)、SSH (22)、FTP(20,21)、DNS(53)、HTTP(80)、HTTS(443)、SMTP(25)、POP3(110)等常见应用,常用
端口中的未知应用,可疑流量,能区分出占用这些正常应用的合法端口的危险行为。 背景:目标对象被黑客控制后,会在后端被开放一些端口进行数据的通信,而为了绕过安全设备的检测,黑客往往会采用一些知名端口来进行数据通信,所以如何能够识别知名端口是否跑了未知应用,已知应用跑在非标准端口就成了事后防护的主要检测手段; 价值:可检测知名端口是否跑了未知流量,已知应用是否运行在非标准端口,提供异常流量检测预警。 支持ASP,JSP,PHP语言编写的Webshell文件上传检测,支持对已被上传Webshell服务器的检测(单独检测工具)。 背景:Webshell 是黑客进行Web入侵常用的脚本工具,通常情况下是一个ASP、PHP或者JSP程序页面,也叫作网站后门木马,在入侵一个网站后,常常将这些木马放置在服务器WEB目录中,与正常网页混在一起。通过Webshell长期操纵和控制受害者网站; 价值:深信服可针对Webshell文件上传提供事前和事后全面的解决方案,内置独立的语义解析引擎结合常见Webshell后门特征规则,使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器,深信服也具备事后检测工具,一键解决安全隐患。
深信服和您一起解析防火墙的前世今生 [内容摘要]:面对现在网络复杂的应用情况,传统防火墙已经显得力不从心,下一代火墙应运而生。作为国内规模最大、创新能力最强的前沿网络设备供应商——深信服科技推出下一代应用防火墙(NGAF)产品,也是中国首家推出下一代防火墙的本土厂商。 关键词:深信服下一代防火墙上网行为管理 前世 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁,曾经如城墙般稳固的传统防火墙已黯然失色,失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代,逐渐被新的继任者重新定义了“防火墙”。 我们不禁要问:曾经在IP/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰?最主要的原因还在于“对网络应用快速发展的3大不适应症状” 1.安全不适症 传统防火墙基于IP/端口无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙。面对应用层的攻击,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2.管理不适症 传统防火墙的网络访问控制需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。 3.维护不适症 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中,同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度缓慢。而独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析,以及无法提供足够的空间和环境支持,大大提高了维护成本。 今生 2009年10月Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为,到2014年底,这个比例将增加到占安装量的35%,60%新购买的防火墙将是下一代防火墙(NGFW)。 在这个全新领域,国内规模最大的前沿网络设备厂商,同时也是全球网络设备领域发展最快
AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps,标配6个千兆电口,4个千兆光口,标准2U设备,配备冗余电源 部署方式网关模式支持网关模式,支持NAT、路由转发、DHCP等功能;网桥模式支持网桥模式,以透明方式串接在网络中; 旁路模式支持旁路模式,无需更改网络配置,实现上网行为审计; 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备; 分级管理不同用户组的管理权限支持分配给不同管理员; 集中管理多台设备支持通过统一平台集中管理、集中配置等; 被控设备加入统一平台支持以硬件证书验证身份; 告警管理支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等; 加密连接具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问; 排障工具提供图形化排障工具,便于管理员排查策略错误等故障; 上网故障排除系统支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大; 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; 安全状态实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全; 上网行为监控实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间; 用户管理本地认证支持触发式WEB认证,静态用户名密码认证等; 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证; 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证; 双因素认证支持以USB-Key方式实现双因素身份认证; IP、MAC认证支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等; 支持通过SNMP服务器跨三层获取MAC地址; 支持当用户MAC地址变动时,需要重新认证; 短信认证支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码; 短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑 内容包括文字、颜色风格、图片,且图片支持轮询播放 公用账户支持多人使用同一帐号登录,且支持重复登陆检测机制; 账户有效期指定账户支持有效期限制,并支持自动过期; 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作; 可强制指定用户、指定IP段的用户使用单点登录;
1.3.2汇聚防火墙(4台) 硬件平台国产设备,2U机架式硬件平台,采用多核处理器; 安全系统采用专用安全操作系统; 电源48V直流供电;提供42m 直流电源线 性能吞吐量6Gbps,并发连接100万; 设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持) 网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障; 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明) 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端,支持静态路由、RIP v1/2、OSPF、策略路由; 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能; 2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP; 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能; 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明) IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明); 3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级; 4.支持TCP协议的乱序重传、TCP分包; 5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明); 6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
C安全设备招标参数 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
技术规范—安全产品 杭州华三通信技术有限公司
目录
1.防火墙系列 防火墙整体引导策略: 1、要求采用指定架构(M9000的分布式架构、中低端的多核非X86架构等),屏蔽和 抬高友商。 2、按照我司产品接口形态(含扩展槽)引导(接口速度越高、接口数量越大友商商务 越高)。 3、强调整机最大吞吐量,及单位吞吐对应的新建数,并发数等关键性能指标。 4、要求实现多业务特性:出站链路负载均衡、多种VPN、智能安全策略。 5、要求支持完全虚拟化:SCF(多虚一)、SOP(一虚多)。 6、要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为(虚拟防 火墙/VPN均需要License)、思科(虚拟防火墙/SSL VPN需License费用)等厂家的商务; 7、要求支持基于IPV6的状态防火墙及攻击防范。 8、证书:要求提供CMMI4证书、IPv6 Ready认证证书。 1.1. M9000防火墙核心引导指标说明: 9、要求支持采用控制、数据、业务相分离的全分布式架构。 10、要求每槽位支持100G接口≥2个、40G接口≥4个. 11、要求接口数量引导32万兆接口(数量越大友商商务越高)。 12、强调整机最大吞吐量,及单位吞吐对应的新建数,并发数等关键性能指标。 13、要求实现多业务特性:出站链路负载均衡、多种VPN、智能安全策略。 14、要求支持完全虚拟化:SCF(多虚一)、SOP(一虚多)。 15、要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为(虚 拟防火墙/VPN均需要License)、思科(虚拟防火墙/SSL VPN需License费用)等厂家的商务; 16、要求支持基于IPV6的状态防火墙及攻击防范。 17、证书:本次招标引导的证书出来传统的公安部销售许可证证书外,我们要求提供 CMMI4证书、IPv6 Ready认证证书。 1.2. M9006
深信服下一代防火墙NGAF方案白皮书
目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品? (4) 2.“雇佣兵”式的安全服务? (5) 3.企业级的网络安全到底需要什么? (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品,还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)
3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)
网神SecGate 3600防火墙产品功能投标参数 说明: 1、本文功能仅适用于防火墙各产品型号。 2、文中蓝色字体标注的功能为我司优势功能,可作为控标或推荐使用。红色字体为应标参数。 软件功能: 功能要求网络接入方式可以支持路由、透明以及混合接入模式,满足复杂应用环境的 接入需求 访问控制能力●支持基于源IP地址、目的IP地址、源区域、目的区域、 VLAN、MAC、时间、用户、网址、VPN隧道等多种方式进 行访问控制; ●支持设定网段内共享的或者任一地址的新建连接限制,支 持设定网段内共享的或者任一地址的并发连接限制;提供 连接限制的查询和统计功能; ●支持SIP/H.323/H.323网守 /FTP/https://www.doczj.com/doc/0217253326.html,/MMS/RTSP/TFTP等动态协议 ●支持MSN、QQ、skype、等Instant Messenger通信的限 制; ●可限制BT、eDonkey、kazaa、winmx、讯雷等多种P2P 应用限制; ●可按接口、IP进行IP/MAC对探测,支持单、双向静态地 址绑定,防止ARP攻击 安全过滤●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤, 支持收、发信人地址、邮件主题、邮件内容关键字、附件 名称过滤;支持ftp的GET、PUT命令控制; ●支持对移动代码如Java 、Active-X、Java script的过 滤; 用户认证支持Web/Portal弹出页面(无客户端)认证,支持本地认证和 第三方认证,支持LDAP、Radius等认证 网络地址转换能力可以支持源、目的地址/端口转换、双向地址转换; 支持一对一,一对多,多对一地址转换方式 网络适应能力●支持多纯透明子桥; ●支持802.1d生成树,能进行802.1d的生成树协商;支持 与交换机的Trunk接口对接 ●支持DHCP服务器、中继及客户端;
一、招标技术要求 1.总体要求: 国家发布了新的《环境空气质量标准》(GB3095-2012),我市所辖10县(西峡县、镇平县、内乡县、淅川县、新野县、桐柏县、唐河县、方城县、南召县、社旗县)为实施新的空气质量考核,尽快落实空气质量新标准的实施工作,本次招标对县级空气站进行升级改造,完成空气质量监测数据上传至省、市平台工作。 2.建设内容: 通过本次项目的建设,要求按照新的《环境空气质量标准》(GB3095-2012),通过对南阳郊县空气站设备的升级改造,完成监测因子的升级,实现各郊县空气自动监测站与河南省环境监测中心、南阳市环境保护局的联网,从而通过互联网等方式将郊县空气质量数据实时对外发布。 项目建设清单:
3.技术要求: 3.1 城市环境摄像系统技术要求 (1)设备用途:主要用于室外环境能见度定时拍照和室内安保实时摄像监控 (2)配置要求:数字摄影分室外环境能见度定时拍照系统和室内安保实时摄像监控系统两部分 (3)技术参数: 室外环境能见度拍照系统: ●数字图像拍照 ●固定或旋转镜头,能够拍摄四个或更多方位,反映有代表性的视野开阔的城市环境 能见度状况 ●相片分辨率不低于800万象素 ●时间分辨率可调,至少能够达到每半小时(整点时间)定时拍照1次,每天48次 的水平 ●多种图像处理技术,无论顺光、逆光、白天、黑夜都可拍到清晰反映实际环境状况 的图片 数据采集传输: ●采集的图像可存储于数据采集终端,存储量大于1年,并可自由扩展,可循环覆盖 ●数字图片数据通过3G无线或有线宽带实时传输到城市站 ●支持一点多发功能,支持在条件具备时可联网到省级站和总站 ●温度范围:-20℃~50℃,湿度范围:0~100%,适用于室外较恶劣的监控环境, 能够适宜大范围温度的室外操作 ●防护罩具有防雾、防结霜等功能 室内安保实时摄像监控部分要求: ●旋转镜头,能够拍摄多个方位摄影分辨率大于40万象素 ●室内旋转镜头需至少覆盖自动监测室等关键部分 ●摄影数据实时传输到计算机储存,储存期至少2周 ●实时摄像远程传输到城市站,支持在网络条件具备时被省级站和总站调用 系统集成要求:
项目功能参数要求(标注★为必须满足项) 基本要求总体要求采用硬件防攻击和软件防篡改相结合的部署方式响应要求提供事前预防、事中防护、事后补偿的整体解决方案 ★接口 1U式机架设备,具备4个1000M电口,1个1000M 管理口,1个RS232串口,自带500G SATA硬盘,吞吐 量不小于200Mbps 功能要求HTTP协议理解 支持HTTP0.9/1.0/1.1 支持HTTP协议解码并对相关字段进行检查,包括URI、HTTP版本、请求方法、响应状态码、HTTP头部各字 段和其他HTTP元素 功能要求防护模式 ★防护策略模型由基于静态规则的反向(黑名单)安 全模式及基于智能用户行为识别的动态防护机制(正 向安全模式,即白名单)构建。 系统内置规则及自定义规则,便于管理员根据实际应 用灵活地调整具体特征规则。 安全特性 支持对HTTP协议合法性进行验证,提供HTTP协议防 护功能 支持对SSL(HTTPS)加密会话进行分析。 支持防护:蠕虫、缓冲区溢出、CGI信息扫描、目录 遍历等攻击。 支持SQL注入、XSS防护,支持使HTTP头域中的 Cookie、Referer、User-Agent,Except字段过防护策略 支持“SQL注入、XSS漏洞扫描”和“挂马扫描”,提 供配置界面截图证明 支持CSRF(跨站请求伪造)防护,支持爬虫防护,提 供配置界面截图证明 ★支持Cookie安全机制,包括加密和签名的防护方法, 支持Cookie自学习 ★支持对服务器状态码进行过滤和伪装的安全策略 产品提供URL访问控制功能,能够基于多种HTTP方 法执行访问控制,包括:GET、POST、UNKNOWN、HEAD、 PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、 PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、 CONNECT 能识别上传行为,并对上传行为的内容做安全检测, 可以根据需要,禁止上传以下文件类型:PE(windows Executable File)、ELF(linux Executable File)、PHP web shell、Linux shell、Power shell(windows Script File)、Java shell、Asp shell、Perl shell、Python shell 可以根据文件大小、MIME类型、及文件扩展名,灵
敢为天下先——深信服NGAF下一代应用防火墙评析 随着互联网的普及,IT管理人员面临着更为复杂和频繁的网络安全问题,病毒、恶意攻击日渐增多,80端口上不再只有web服务,QQ 也不再只是一个聊天工具,并且以经济利益为目的的网络攻击日益成为主流,而传统基于L3、L4的网络设备无法有效应对这些新的网络风险。另一方面,越来越多的业务依托互联网和广域网展开,关键业务面临系统稳定性差、网络速度慢等多种问题,IT管理者急需更为精细化和灵活的业务管理及优化策略。 部分供应商已逐渐意识到这种趋势,但受限于传统技术观点,大多数厂商只能提供部分解决方案,无法帮助IT管理者有效应对挑战。 为了帮助IT管理者解决目前网络所面临的问题,深信服科技于近期发布了NGAF系列下一代应用防火墙产品,成为首家推出NGFW产品的国内厂商。 前不久,计算机世界实验室韩勖发表了一篇《敢为天下先——5大厂商市售NGFW产品评析》文章,上面对深信服公司发布的下一代应用防火墙(NGAF)产品做出了比较全面、客观的介绍。 引文如下: “作为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为首家推出NGFW产品的国内
厂商。 深信服NGAF系列下一代防火墙产品提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW 定义中要求必备的所有特性。 有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGAF产品在应用识别与控制能力方面有着一定的先天优势。该公司还将WAF产品的主要功能集成到NGAF产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。 对于我们采访中问到的‘之前没有防火墙/UTM 产品,在状态检测技术和入侵防御技术方面是否有足够积累’的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGAF产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。 产品规格方面,深信服科技的NGAF产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供 200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启,后同),最高端的AF-8000系列则将该指标推向10Gbps。” “从深信服公司提供的下一代应用防火墙(NGAF)产品测试的最
网络安全项目-数据库防火墙招标技术参数 1.▲硬件和性能要求: (1)专用 2U 硬件设备,双电源; (2)标配内存≥64G; (3)硬盘不低于 2T,可支持 RAID1 存储; (4)不少于 1 个100/1000 Base-Tx 管理口; (5)不少于 2 组bypass 接口; (6) 板载不少于 4 个 100/1000M 电口; (7)可支持网卡扩展; (8)≥50000条SQL/秒级吞吐量; (9) ≥15000 条并发连接; (10) ≥30 个数据库实例数。 2.▲支持的数据库类型: (1)支持国际主流数据库: (2)Oracle (含Oracle 8/9/10/11 等)、SQL Server (含SQL Server 2000/2005/2008/2012/2016 等); (3)MySQL、DB2、sybase 等。 3.控制模式: (1)网络防火墙,支持对访问数据库的来源 IP 及端口的访问进行控制,支持IP 或端口白名单策略; (2)准入防火墙,通过白名单自学习进行访问准入规则的固化(自动学习到数据库访问行为的五元素,通过管理者人为固化安全规则),未被固化的数据库接入行为都会进行实时的告警或阻断(如:访问源地址异常、访问源主机名称异常、访问源实例名称异常、访问工具名称异常、登录帐号名称异常)。 1.▲加密账号规则: 可以识别 SQL server 2005 以上(含)版本数据库访问来源客户端、数据库账号等信息,可对非法访问进行快速有效识别,根据策略可对所有访问来源进行实时的告警或阻断。
2.防护规则元素: 客户端 IP 地址、数据库登录用户名、数据库实例名、客户端主机名、客户端应用名、SQL 操作语句(DDL、DML、DCL)、数据库表组(表、条件)等告警或阻断匹配条件。 3.策略管理: (1)支持全局策略设置; (2)支持超长 SQL 语句策略; (3)支持 SQL 注入策略; (4)支持虚拟补丁:对数据库的漏洞提供虚拟补丁防护。 7.审计内容: (1)支持数据库实时监控功能; (2)支持对所有数据库进行实时监控; (3)支持对单一数据库类型进行实时监控; (4)支持对单一数据库组进行实时监控; (5)支持对单一数据库进行实时监控; (6)审计内容包含但不限定于网络流量、数据包、突发连接数、并发连接数、SQL 语句,操作类型(DDL、DML、DCL 等),并以动态图表实时展示(需提供截图证明并加盖原厂商公章)。 8.会话分析: (1)支持会话级检索和详情展现;包括在线的并发会话、活跃会话、失败登录会话等提供专项的分析界面;访问源分析:可展现不同数据库节点的访问源统计、分析状态。 9.告警策略设置: (1)支持高、中、低风险告警; (2)支持风险登陆、风险操作、SQL 注入、漏洞攻击检测、口令攻击、频次攻击等中风险告警; (3)支持系统资源监控与告警。 10.告警方式:支持邮件告警、SYSLOG 告警等告警方式。 11.角色管理:支持建立系统账户角色,并根据角色分配产品功能使用权限。 12.自身安全:根据三权分立的原则,提供系统管理员、安全管理员和审计