辽宁铁道职业技术学院安全网络防火墙建设采购项目招标公告

序号

设备名称

参数

*

***应用防火墙

*.★**硬件设备，提供**管理口，*****，*********口，业务口：≥*个千兆电口（含两对内置******），≥*千兆光口，硬盘：≥**，双电源； *.★****吞吐量≥*****，*****吞吐量≥*****，****最大并发连接数≥******，****最大新建连接数≥*****，*****最大并发连接数≥*****，*****最大新建连接数≥****，每秒事务处理数≥*****； *.支持自动发现网络环境中存在的***业务系统，记录服务器的**、****、域名等信息，并可通过网页防篡改功能实现网站站点防篡改； *.支持*****协议的选择可以选择***/***协议版本，可选*****、****.*、****.*、****.*，支持*****站点***算法自动探测功能，探测时可以设置指定站点及端口，可以显示探测结果； *.支持对跨站脚本(***)和注入式攻击（包括***注入、命令注入 、代码注入、文件注入、****注入、***注入等）的检测防护，支持***防护，***攻击行为包括*** ****，支持网页篡改防护，可基于目录、进程、**、用户等进行设置篡改规则； *.内置********检测规则，可以对上传的文件内容进行检查，防止恶意********文件上传，对已经上传的********发起请求的行为进行拦截阻断； *.内置身份证、银行卡、手机号、社保号等个人敏感信息数据，对服务器返回的敏感个人信息数据通过星号进行隐藏，并支持用户自定义敏感词； *.支持智能检测并防御**攻击，保证网站正常服务能力。低中高*级防护：策略验证、******、**脚本混合验证、抗图片识别工具的干扰色图片验证； *.支持各类网页文件的保护，包括静态和动态网页以及各类文件信息，支持对指定文件夹以及子文件夹的保护，避免上传非法文件及木马等恶意文件或插入恶意代码，*键启停所有对监控端的保护； **.提供访问日志记录与查询功能，可根据域名、***、客户端**、返回码、访问区域、访问时间段进行查询，查询后的日志数据可导出*****文件； **.提供*年维保服务和特征库升级服务。

*

防火墙系统

*.★**硬件设备,≥*个千兆电口，≥*个千兆光口,万兆接口扩展卡（含至少*个*******插槽）；冗余电源,*个扩展槽位,防火墙吞吐：≥***，并发连接：≥***万，每秒新建连接：≥**万；至少包含*年病毒库升级服务许可，*年***攻击规则特征库级许可； *.具备通过*条策略实现包括但不限于*元组、源***、源地区、目的地区、域名、应用、服务、时间、长连接、并发会话、***认证、***、**、***过滤、高级威胁防护、***、邮件安全、数据过滤、文件过滤、僵木蠕防御、审计、防代理、***等功能配置； *.支持包括但不限于路由、交换、虚拟线、*********、混合工作模； *.支持在***界面进行网络诊断，支持包括但不限于****、**********、***、****、***等诊断方式 *.支持策略略路由，支持包括但不限于根据入接口、源/目的**地址、协议、用户、应用、选路算法、探测等多种条件设置策略路由 *.支持包括但不限于对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略，可控制所有或单**会话总数及单**新建连接数；

*

***应用安全防护系统

*.★**硬件设备,≥*个千兆电口，≥*个千兆光口,冗余电源,*个扩展槽位,应用层吞吐：≥**，网络层吞吐：≥***,并发连接：≥***万；至少包含*年***产品特征库升级******* *.不得在服务器中安装任何插件，采取网关型网页防篡改机制保障对网站文件内容进行篡改防护，当检测到篡改后可以实时恢复篡改内容； *.支持包括但不限于无**纯透明模式串联部署、负载均衡模式部署、反向代理模式部署、旁路监测模式部署； *.支持识别和阻断跨站脚本(***)攻击； *.支持识别和阻断***注入攻击,****** 注入攻击，命令注入攻击； *.支持识别和阻断跨站请求伪造(****)攻击，支持**** *****防护和*******匹配防护等多种防护方式； *.具备********攻击，文件包含漏洞利用、目录遍历等攻击的防护功能； *.支持对网站登录页面提供暴力破解防护功能； *.具备盗链防护功能，防止服务器资源被滥用； **.支持******安全防护，通过对******进行加密签名，保障******信息安全可信；

*

***应用防护系统

*. ★**机架式设备；≥*个*******口，≥*个***口；≥*个千兆电口，*组******；≥*个万兆光口；*个扩展槽；≥**硬盘；冗余双电源； *. ★****吞吐≥*.*****，****新建（***）≥**,***/*，****新建事务能力（***）≥**,***/*，****最大并发连接数≥*,***,***； *. 支持透明流、透明代理、反向代理，旁路镜像检测模式及旁路镜像阻断模式。支持路由牵引部署模式，通过路由牵引、***回注方式对流量进行过滤。 *. 支持****和****双协议栈流量过滤防护。支持多种证书类型的***卸载，可根据实际证书格式进行灵活选择证书类型，支持多域名多证书防护、支持泛域名防护。 *. 支持黑白名单策略，包括**及***黑白名单，支持**访问控制，可根据源目的**，端口，协议等进行访问控制处理，并可自定义访问过期时长。 *. 支持协议合规校验，可根据实际网络状况自定义协议参数合规标准，过滤非法数据，支持****请求走私防护。支持敏感信息检测防护，检测类型包括：中间件信息保护，数据库信息保护，敏感文件保护，代码错误信息保护，隐私信息保护，支持敏感词检测及过滤，自带敏感词库并进行可自定义。 *. 支持入侵防护功能，并提供入侵防护特征库，特征库需要提供**种类型并提供至少*****条入侵检测特征库，支持检测恶意活动，包括恶意***证书、钓鱼攻击、非法获取权限、重定向攻击、拒绝服务等。 *. 支持智能分析****防护，内置*个防护等级，并可自定义防护等级；支持防护策略阈值自定义。 *. 支持威胁情报中心提供的相关数据运用到产品防御策略中，提供基于僵尸网络、恶意**、扫描探探、********、代理**、***节点、漏洞利用、暴力破解、拒绝服务、恶意代码以及木马蠕虫等情报类型。 **. 支持虚拟补丁功能，支持导入*******和*******扫描器的扫描结果生成***的规则，对此类网站漏洞直接防护。 **. 支持资产探测功能，提供自动识别资产系统类型和开放端口。 **. 支持机器学习功能，通过流量学习对进行业务建模，并对学习到的***、****等信息以网站结构树形图进行展示，并支持对***的访问量和响应健康度进行图形化统计。 **. 支持流量限速功能，根据流量智能自动生成流量阈值。 **. 支持集中管理平台进行集中管理并可针对特征库统*升级，支持针对设备分组管理以及策略分组下发。 **. 支持*权分立的管理，系统管理员、审计管理员、账号管理员，可以根据管理账号角色的不同，分配不同的权限。 **. 支持手动、自动导出报表功能，提供时间端，报表类型，分析维度，报表模块，归属地，攻击源**等因素的报表导出 **. 提供*年产品硬件质保，*年产品规则库升级服务

*

下*代防火墙

*. ★性能参数：网络层吞吐量≥****，应用层吞吐量≥***，***吞吐量≥***，并发连接数≥****万，****新建连接数≥**万； *. ★硬件参数：尺寸≥**硬件设备，内存≥***，硬盘≥*** ***+***** ***，网口：千兆电口≥*个，千兆光口≥*个，万兆光口≥*个（含**个万兆光模块）； *. ★产品至少包含***功能、***功能。 *. 产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式，适应复杂使用环境的接入要求； *. 支持对****、***、***、***等协议进行****防护； *. 支持静态路由和多播路由，支持***、****、***等动态路由协议； *. 支持****/****双栈工作模式，以适应****发展趋势； *. 产品支持多维度安全策略设置，可基于时间、用户、应用、**、域名等内容进行安全策略设置； *. 提供设备生产厂商*年特征库与保修服务。

*

下*代防火墙

*. ★标准机架式设备，≥**个**/***/****自适应电口（*对******），≥*个***接口，≥*个***+接口，≥*个接口扩展槽位，≥*个**** *******接口，≥*个***接口，≥*个***口，≥*个**口，交流双电源；提供至少*年硬件保修、应用识别库升级和软件升级维护服务。 *. ★吞吐率(***)≥******，最大并发连接数≥***万，每秒新建连接数≥**万，提供***** ***隧道数≥*****条，提供≥*个*** ***并发用户数，*** ***并发用户数支持扩展到*****个。 *. 支持****以及****路由能力，需要支持****、***、***、****等路由协议，同时支持策略路由以及***路由并内置多运营商路由表，支持****的*********-*****以及***-***等特性。 *. 支持安全策略冗余检测，策略时间表有效性检测，实现对策略优化检查。支持安全策略冗余检测，策略时间表有效性检测，实现对策略优化检查。支持攻击防护，包含*** *****、*** *****、**** *****、**** ** *****、*****、***欺骗攻击，扫描与欺骗等，支持告警、丢弃两种模式，对不同安全域可设定不同阈值和处理模式。提供策略助手功能，通过安全策略开启流量自学习，生成访问控制精细化策略，细化到协议端口，提升管理员策略运维效率。支持微型策略满足云数据中心访问控制需求，仅使用源/目的地址、协议、目的端口、源/目的安全域作为流量的过滤条件、允许或拒绝处理动作的精简化的策略规则。支持基于源***、目的***地址的*层访问控制策略，支持正向、反向和双向流量匹配，支持通过和丢弃动作。支持*体化安全策略，实现在*条策略中配置*元组信息、应用、时间表、安全引擎（入侵防御、***过滤、病毒过滤），可显示策略命中数及策略实时会话详情。支持**黑名单批量导入功能，满足重保、演练、护网场景下**黑名单手动导入和***自动更新，导入模式支持增量导入和覆盖导入。 *. 支持***路由表静态方式、基于链路质量探测的动态方式两种结合的方式实现链路负载。 *. 要求所投产品具备***** ****** ******* ****** ***等***技术，无需额外购买许可，且*** ***具备***-***认证的能力。在*****场景下，支持本地用户或******认证用户通过口令+邮件验证码的方式进行认证。 *. 要求所投产品支持应用类别、风险等级、应用技术等多维度的应用定义，支持自定义应用以及应用组，可联动云平台实时更新应用特征库，并可基于深度应用识别进行应用访问控制。 *. 支持***功能，用户在认证系统认证通过后，防火墙通过多种方式获取其认证信息，之后该用户不需要再次在设备上进行认证，即可实现对已认证用户进行访问控制与审计；支持无*****方式的** ***以及通过*** *******标准协议等进行认证用户同步。 *. 支持文件过滤，可对文件名称、文件类型、文件传输协议方式进行参数设置，并支持记录日志和阻断，防止敏感文档文件外泄。支持内容过滤功能，可对网页关键字、***外发信息、邮件收发件人内容和***、****、******应用关键字、请求行为等进行记录日志和阻断。 **. 支持上网行为审计，可对**、微信、新浪微博**软件流量行为进行审计。 **. 支持智能移动终端安装***的方式对设备进行管理，通过扫描*维码方式简便安装，手机***软件可实现设备移动运维，支持对设备状态、流量、攻击的信息进行分析查看。支持基于标准******文本以及*进制的日志两种格式 *进制日志支持分布式存储到多台日志服务器。支持管理员可信管理主机设置，支持以**地址、***地址进行限制，可对登录协议进行设置。 **. 提供*年硬件保修、应用识别库升级和软件升级维护服务。