产品名称

功能描述

数据中心防火墙

一.硬件性能要求

整机网络层吞吐量≥80Gbps

最大并发TCP连接数≥3000.000万

每秒新建连接≥52万

产品形态2U

电源:冗余电源

内存≥16G

硬盘≥1T

接口配置:网络接口：≥2个千兆电口、≥6个万兆光口,2个可扩展插槽。

防病毒规则库:升级许可,含一年专业版快速查杀病毒库≥3年升级许可。

硬件质保:≥5年硬件质保服务。

二.功能参数要求：

1.网络接入：路由、透明、混合及直连部署模式；静态路由、动态路由、策略路由及ISP路由；

2.安全防护：基于传统五元组、用户、应用、内容、时间等多元组一体化访问控制；支持策略冲突检测、策略冗余检测；源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略；支持FTP、TFTP、PPTP、SQLNET、H.323、SIP、RTSP等动态端口协议；

3.身份认证：采用内网终端统一管理的集中式认证系统；支持本地认证与第三方外部认证（如RADIUS、TACACS、LDAP等）；集成PKI服务，内置CA并支持第三方CA；

4.系统服务：提供DHCP服务器/客户端/中继、NTP等网络服务；支持跨越三层设备进行IP/MAC绑定；

5.支持网关虚拟化技术；

6.负载均衡：多运营商接入（内置ISP路由），支持多种路由均衡算法及路由备份功能；

采用链路有效性探测实现智能链路切换；支持服务器负载均衡，提供多种负载均衡算法并支持服务器的应用有效性探测；

7.连接限制：基于源地址、目的地址、应用的连接限制；支持每IP连接总数限制、所有IP连接总数限制、每IP新建连接数限制；

8.流量管理：基于应用、用户、源安全区域、目的安全区域、源地址、目的地址、服务、时间段和通道优先级等方式进行细粒度的带宽策略定义；

支持虚拟链路及虚拟通道对流量进行进一步的细化管理；支持保证带宽、限制带宽及带宽优9.先级设置；DDos：DDoS攻击防护，包括非法报文攻击及统计型报文攻击；支持NTP DDOS防护，采用阀值检查、源/目的限流、源认证等方式综合进行NTP REQUEST FLOOD、NTP REPLY FLOOD攻击防护；

10.入侵防御：内置11大类，超过5000条入侵防御实时规则；支持自定义规则；

支持根据威胁事件、攻击来源、受威胁主机查询攻击；

11.WEB攻击防护：具有独立的网站应用级入侵防御功能规则库，数量在1000条以上；支持自定义规则库；支持XSS注入、SQL注入、信息泄露、Webshell防护等Web应用安全防护功能；

Web应用防护白名单

12.病毒防御：支持HTTP、FTP、SMTP、POP3、IM等协议进行病毒检测；支持木马病毒、蠕病毒、宏病毒、后门病毒查杀；防火墙应具备DGA检测功能，当发现恶意域名时，应该具备加入黑名单功能，并且在设备上存留相应的DGA日志。

13.邮件安全：基于发件人、收件人、邮件主题、邮件附件等方式对邮件进行过滤；

支持邮箱防暴力破解；邮件黑、白名单；

14.异常行为分析：内置统计智能学习算法，对新建连接数、并发连接数、流量等数据智能学习；监控对象包括：源IP、目的IP，地址对象支持主机地址、子网地址、范围地址；

防火墙应具备隐秘信道检测检测功能，能够检测到ICMP、DNS、NTP类型的隐秘信道的攻击，并在设备上产生相应的隐秘信道日志。

15.上网行为管理：支持包括P2P、IM、炒股、网游、流媒体等类别的应用识别与过滤；支持加密流量识别；HTTP、FTP、SMTP、POP3、Telnet等协议的深度内容过滤；

16.行为审计：支持网站、微博论坛、邮件、FTP协议、telnet协议审计；支持上网流量和时长审计；

17.远程接入：IPSEC VPN、SSL VPN、GRE多种隧道接入技术，支持DES/3DES/AES等标准加密算法及MD5/SHA1等标准HASH算法；

18.数据中心：内置16类预定义报表模板，支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板；支持周期性报表的生成、支持一次性报表的生成；支持报表按照PDF、WORD及EXCEL格式导出。

19.链路聚合：支持手动和LACP链路聚合，可根据源/目的MAC、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法。

20.IP/MAC绑定：支持IP/MAC绑定，支持跨三层绑定，支持IP/MAC绑定表导入导出，以便对IP/MAC绑定关系进行批量操作；

21.地址转换：支持多种地址转换，支持源/目的NAT、双向NAT、NoNAT转换方式；支持源IP转换同一性；支持端口块地址转换和EIM地址转换；

22.访问控制：支持一体化安全策略配置，可以通过一条策略实现五元组、源MAC、源地区、目的地区、域名、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、URL过滤、高级威胁防护、WAF、邮件安全、数据过滤、文件过滤、僵木蠕防御、审计、防代理、APT等功能配置,简化用户管理；

23.资源虚拟化：支持在一台物理设备上划分出128个相互独立的虚拟系统，可根据连接配额及连接新建速率为每个虚拟系统分配资源，实配不少于24个虚拟防火墙授权；

24.功能虚拟化：支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、僵木蠕、高级威胁防护、内容过滤、邮件安全、审计、报表、防代理等安全功能虚拟化；

25.黑名单：内置静态黑名单功能，可设置多个对象条件，如：五元组信息、源MAC、地址范围、应用、用户，实现对特定报文进行快速过滤；

26.配置维护：支持配置文件本地备份和回滚，支持＞3个配置文件备份，支持对访问控制策略、NAT策略等关键配置进行单独及加密备份和恢复；支持对配置命令及配置文件的操作行为进行审计；

27.安全审计：提供完善的审计数据查询功能，方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询，包括访问网站、邮件收发、FTP；同时支持对用户上网流量时长进行完整的审计数据查询，包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等；

未知威胁检测(API)

1、软硬一体化2U标准机架式设备；电源：1+1冗余电源；硬盘容量：4T*2，带RAID，可用磁盘空间≥4T； 内存≥64G；标配接口数量≥12：千兆管理电口≥2；千兆业务电口≥4；千兆业务光口≥4；万兆光口≥2（标配万兆多模光模块）

2、网络层吞吐≥4Gbps；应用层吞吐≥2Gbps；HTTP最大并发数≥7万/秒；邮件处理数≥150万封/24小时；文件检测≥5万个/24小时；支持管理节点≥10个；

3、云端威胁情报订阅模块：提供威胁情报离线库并支持更新；提供攻击主机、僵尸网络、病毒木马、APT情报等情报的活跃时间、置信度、家族分类，可应用于本产品的实时分析；设备支持在线查询与溯源：云端提供对IoC威胁类型、威胁情报、WHOIS、开放端口、SSL数字证书等多维度的溯源分析；云端服务：支持自动从APT云端更新软件版本和策略库，云端提供最新APT入侵、0day漏洞预警、病毒变种情况等威胁情报

4、支持旁路部署和分布式部署，管理中心支持自动同步版本、策略及排错平台升级包到探测器设备。

5、支持全流量检测，支持双向流量审计，可对请求和响应内容进行审计。支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IPv6网络流量