虛擬化防火墻需求說(shuō)明

虛擬化防火墻需求說(shuō)明項(xiàng)目指標(biāo)指標(biāo)要求基礎(chǔ)組網(wǎng)兼容性本次采購(gòu)的虛擬化防火墻實(shí)驗(yàn)?zāi)K要求與我院現(xiàn)有信息安全實(shí)訓(xùn)平臺(tái)無(wú)縫對(duì)接，構(gòu)建虛擬化的實(shí)驗(yàn)環(huán)境，打破物理安全設(shè)備的局限性，提高教學(xué)、實(shí)訓(xùn)上課效率，實(shí)現(xiàn)更高效真實(shí)的攻防實(shí)訓(xùn)、仿真測(cè)試的需要，開(kāi)展防火墻技術(shù)及應(yīng)用的相關(guān)課程。網(wǎng)絡(luò)協(xié)議所投產(chǎn)品必須支持VTEP（VxLanTunnelEndPoint）模式接入VxLAN網(wǎng)絡(luò)，并可作為VXLAN二層、三層網(wǎng)關(guān)實(shí)現(xiàn)VxLan網(wǎng)絡(luò)與傳統(tǒng)以太網(wǎng)的相同子網(wǎng)內(nèi)、跨子網(wǎng)間互聯(lián)互通；支持通過(guò)綁定VLAN、VNI（VXLANNetworkIdentifier）、遠(yuǎn)程VTEP，手動(dòng)管理VxLan網(wǎng)絡(luò)；支持MAC、VNI、VTEP靜態(tài)綁定。所投產(chǎn)品必須支持MPLS流量透?jìng)?；支持針?duì)MPLS流量的安全審查，包括漏洞防護(hù)、反病毒、間諜軟件防護(hù)、內(nèi)容過(guò)濾、URL過(guò)濾、基于終端狀態(tài)訪問(wèn)控制等安全防護(hù)功能。路由協(xié)議所投產(chǎn)品必須支持支持靜態(tài)路由、策略路由及動(dòng)態(tài)路由。策略路由支持用戶自定義其優(yōu)先級(jí)，動(dòng)態(tài)路由應(yīng)至少支持RIPv1/v2/ng，OSPFv2/v3，BGP4/4+協(xié)議；必須支持靜態(tài)和動(dòng)態(tài)多播路由，動(dòng)態(tài)多播路由必須支持PIM-SM（稀疏模式）。所投產(chǎn)品必須支持基于策略的路由負(fù)載，支持根據(jù)應(yīng)用和服務(wù)進(jìn)行智能選路，支持源地址目的地址哈希、源地址哈希、輪詢、時(shí)延負(fù)載、備份、隨機(jī)、流量均衡、源地址輪詢、目的地址哈希、最優(yōu)鏈路帶寬負(fù)載、最優(yōu)鏈路帶寬備份、跳數(shù)負(fù)載等不少于12種路由負(fù)載均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的鏈路探測(cè)，同時(shí)TCP與HTTP可使用自定義目標(biāo)端口進(jìn)行測(cè)試。地址轉(zhuǎn)換所投產(chǎn)品必須支持全面的NAT轉(zhuǎn)換配置，包括一對(duì)一，一對(duì)多，多對(duì)一的源、目的地址轉(zhuǎn)換，并至少支持FULL_CONE模式和SYMMETRIC模式。所投產(chǎn)品必須支持在會(huì)話的源、目的地址同為IPv4地址時(shí)，可將目的地址轉(zhuǎn)換至指定服務(wù)器地址。所投產(chǎn)品必須支持在源地址轉(zhuǎn)換過(guò)程中，對(duì)SNAT（源地址轉(zhuǎn)換）使用的地址池利用率進(jìn)行監(jiān)控，并在地址池利用率超過(guò)閾值時(shí)，通過(guò)SNMPTrap、郵件等方式告警。DNS代理支持IPv4的DNS代理功能，即從指定的入接口或源ISP接收到的DNS解析請(qǐng)求。支持出站的DNS代理功能，支持在不更改內(nèi)網(wǎng)終端設(shè)備DNS服務(wù)器地址設(shè)置的情況下，將DNS解析請(qǐng)求發(fā)送至指定的DNS服務(wù)器，并代理原DNS服務(wù)器返回解析結(jié)果。支持DDNS功能，支持Oray向日葵、Pubyun公云、Noip、Changeip提供的DDNS服務(wù)，將動(dòng)態(tài)獲取的IP地址映射為固定的域名。高可靠性所投產(chǎn)品必須支持路由模式、透明模式的HA高可靠性部署，可工作于主備、主主模式，會(huì)話、用戶、配置可實(shí)時(shí)同步；HA高可靠性部署支持接口聯(lián)動(dòng)，某個(gè)端口失效（DOWN），屬于同一接口組中其他端口都會(huì)進(jìn)入失效狀態(tài)（DOWN）；HA高可靠性部署支持配置接口權(quán)重；支持鏈路探測(cè)。訪問(wèn)控制訪問(wèn)控制所投產(chǎn)品必須支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務(wù)、應(yīng)用、隧道、時(shí)間、VLAN等多種方式進(jìn)行訪問(wèn)控制。支持一種基于用戶的安全訪問(wèn)控制的方法及裝置的技術(shù)(投標(biāo)時(shí)提供國(guó)家網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心或國(guó)家知識(shí)產(chǎn)權(quán)局或公安部第三研究所的相關(guān)證明文件)，并支持地理區(qū)域?qū)ο蟮膶?dǎo)入以及重復(fù)策略的檢查。所投產(chǎn)品比如支持基于IPv4/v6地址、應(yīng)用的會(huì)話限制，限制動(dòng)作包每IP新建、每IP并發(fā)、所有IP新建、所有IP并發(fā)，且可以基于安全域指定限制方向。應(yīng)用識(shí)別與控制所投產(chǎn)品必須支持應(yīng)用識(shí)別，應(yīng)用特征庫(kù)包含的應(yīng)用數(shù)量（非應(yīng)用協(xié)議的規(guī)則總數(shù)）大于200種，可深度識(shí)別每種應(yīng)用的屬性，為每種應(yīng)用提供預(yù)定義的風(fēng)險(xiǎn)系數(shù)，并將應(yīng)用基于類型、使用場(chǎng)景、數(shù)據(jù)傳輸、風(fēng)險(xiǎn)等級(jí)等特征分類。所投產(chǎn)品可直觀展示不同風(fēng)險(xiǎn)等級(jí)的應(yīng)用在1天（24小時(shí)）或一周（7天）內(nèi)傳輸流量的絕對(duì)數(shù)值及占全網(wǎng)流量的百分比。用戶識(shí)別與認(rèn)證所投產(chǎn)品必須支持基于用戶的訪問(wèn)控制，可與LDAP/Radius/證書(shū)/ActiveDirectory/TACACS+/POP3等用戶認(rèn)證系統(tǒng)聯(lián)動(dòng)。所投產(chǎn)品必須支持802.1x認(rèn)證，要求支持基于端口和MAC兩種接入控制方式。郵件過(guò)濾所投產(chǎn)品必須支持基于關(guān)鍵字的接收、發(fā)送或雙向Email發(fā)件人、收件人過(guò)濾，并支持自定義RLB服務(wù)器地址配置，并可結(jié)合IP黑名單或白名單。文件過(guò)濾所投產(chǎn)品必須支持對(duì)應(yīng)用的文件傳輸行為進(jìn)行上傳、下載、雙向的文件類型過(guò)濾，應(yīng)用至少包含即時(shí)通訊、常用協(xié)議、文件共享、論壇、博客、網(wǎng)頁(yè)郵件五種分類。所投產(chǎn)品必須支持上傳、下載、雙向的文件內(nèi)容過(guò)濾；內(nèi)容過(guò)濾支持手工及文件批量導(dǎo)入兩種方式進(jìn)行敏感信息定義；內(nèi)容過(guò)濾至少支持html、doc、docx、xls、xlsx、ppt、pptx、chm、7z等30種常見(jiàn)文件類型；文件類型識(shí)別基于文件特征而非擴(kuò)展名，更改文件擴(kuò)展名后仍可有效識(shí)別。流量管理所投產(chǎn)品必須支持多調(diào)度類相互嵌套最大5級(jí)的帶寬管理設(shè)置。支持設(shè)置每IP最大或最小帶寬，支持對(duì)每IP進(jìn)行帶寬配額管理，可通過(guò)優(yōu)先級(jí)實(shí)現(xiàn)多應(yīng)用的差分服務(wù)。攻擊防護(hù)網(wǎng)絡(luò)攻擊防護(hù)所投產(chǎn)品必須支持基于不同安全區(qū)域防御SYNFlood、UDPFlood、ICMPFlood、IPFlood、DNSFlood、HTTPFlood攻擊，并支持警告、丟棄、普通防護(hù)、增強(qiáng)防護(hù)、授權(quán)服務(wù)器防護(hù)等多種防護(hù)措施。所投產(chǎn)品必須支持可配置閾值的基于安全域或基于二層接口局域網(wǎng)廣播防護(hù)，防止局域網(wǎng)內(nèi)廣播和多播數(shù)據(jù)包泛濫。所投產(chǎn)品必須支持DHCP協(xié)議防護(hù)；支持手動(dòng)定義可信DHCP服務(wù)器IPv4和基于閾值限制DHCP請(qǐng)求傳輸速率。所投產(chǎn)品必須支持基于安全區(qū)域的異常包攻擊防御，異常包攻擊類型至少包括PingofDeath、Teardrop、IP選項(xiàng)、TCP異常、Smurf、Fraggle、Land、Winnuke、DNS異常、IP分片等；并可在設(shè)備頁(yè)面顯示每種攻擊類型的丟包統(tǒng)計(jì)結(jié)果。所投產(chǎn)品必須支持防御基于安全域的IP地址欺騙攻擊，指定IP或網(wǎng)段必須從特定安全域流入。病毒防護(hù)所投產(chǎn)品必須能夠?qū)TTP/FTP/POP3/SMTP/IMAP/SMB六種協(xié)議進(jìn)行病毒查殺。所投產(chǎn)品必須支持對(duì)最多6級(jí)的壓縮文件進(jìn)行解壓查殺。所投產(chǎn)品必須支持基于MD5的自定義病毒簽名；支持設(shè)置例外特征，對(duì)特定的病毒特征不進(jìn)行查殺。入侵防御所投產(chǎn)品必須支持漏洞防護(hù)功能，同時(shí)將漏洞防護(hù)特征庫(kù)分類，至少包括緩沖區(qū)溢出、跨站腳本、拒絕服務(wù)、惡意掃描、SQL注入、WEB攻擊等六種分類；漏洞防護(hù)支持日志、阻斷、放行、重置等執(zhí)行動(dòng)作,可批量設(shè)置針對(duì)某一分類或全部攻擊簽名的執(zhí)行動(dòng)作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等應(yīng)用協(xié)議的漏洞防護(hù)。所投產(chǎn)品必須支持間諜軟件防護(hù)功能，同時(shí)將間諜軟件特征庫(kù)分類，至少包括木馬后門、病毒蠕蟲(chóng)、僵尸網(wǎng)絡(luò)等三種分類。所投產(chǎn)品必須支持自定義TCP、UDP、HTTP協(xié)議的漏洞特征，漏洞特征可通過(guò)多個(gè)字段以文本或正則表達(dá)式的形式進(jìn)行有序和無(wú)序匹配，并可自定義漏洞的源、目的端口范圍；同時(shí)可標(biāo)識(shí)自定義漏洞的CVE編號(hào)或CNNVD編號(hào)。支持一種網(wǎng)絡(luò)入侵行為檢測(cè)系統(tǒng)及檢測(cè)方法。所投產(chǎn)品必須支持自定義基于TCP、UDP、HTTP協(xié)議的間諜軟件特征。間諜軟件特征可通過(guò)多個(gè)字段以文本或正則表達(dá)式的形式進(jìn)行有序和無(wú)序匹配；并可自定義間諜軟件的源、目的端口范圍。VPNIPSecVPN所投產(chǎn)品必須支持支持IPSecVPN功能，支持基于主模式（MainMode）、積極模式（AggressiveMode）、國(guó)密三種協(xié)商模式建立的網(wǎng)關(guān)-網(wǎng)關(guān)加密隧道。安全管理網(wǎng)絡(luò)異常感知所投產(chǎn)品必須支持基于主機(jī)或威脅情報(bào)視圖，統(tǒng)計(jì)網(wǎng)絡(luò)中確認(rèn)被入侵、攻破的主機(jī)數(shù)量，至少可查看被入侵、攻破的時(shí)間、威脅類別、情報(bào)來(lái)源、威脅簡(jiǎn)介、被入侵、攻破的主機(jī)IP、用戶名、資產(chǎn)等信息。所投產(chǎn)品必須支持用戶自定義重點(diǎn)URL分類和應(yīng)用，并可基于定義的重點(diǎn)關(guān)注對(duì)象進(jìn)行用戶維度關(guān)聯(lián)，并結(jié)合分析中心進(jìn)行基于關(guān)聯(lián)的用戶/地址、URL分類、應(yīng)用進(jìn)行二次遞進(jìn)式深度分析，挖掘異常用戶及異常網(wǎng)絡(luò)行為。策略與處置所投設(shè)備可在單條策略中啟用病毒防護(hù)、入侵防御、網(wǎng)址過(guò)濾、文件過(guò)濾、文件內(nèi)容過(guò)濾、終端過(guò)濾等安全功能選項(xiàng)。所投設(shè)備必須支持安全策略的快速檢索及基于名稱、地址、端口、協(xié)議多維度的高級(jí)策略檢索，支持策略的復(fù)制、調(diào)序、查詢。所投產(chǎn)品必須支持接收針對(duì)突發(fā)重大安全事件的“應(yīng)急響應(yīng)消息”，并至少在界面顯示安全事件名稱、類型、當(dāng)前防護(hù)狀態(tài)、處置狀態(tài)以及相應(yīng)的操作等信息。運(yùn)維管理所投產(chǎn)品必須支持雙系統(tǒng)備份，且在系統(tǒng)切換中可實(shí)現(xiàn)配置的自動(dòng)遷移；可記錄不同時(shí)間點(diǎn)的歷史配置文件。所投產(chǎn)品必須支持三權(quán)分立管理，權(quán)限設(shè)置至少包括全部權(quán)限，僅具有策略變更權(quán)限和僅具有日志審計(jì)權(quán)限、僅具有賬戶配置權(quán)限、虛系統(tǒng)配置管理權(quán)限以及虛系統(tǒng)審計(jì)權(quán)限；并支持以讀寫(xiě)、只讀、無(wú)權(quán)限的方式自定義權(quán)限管理，權(quán)限管理的范圍至少包括策略配置、對(duì)象配置、網(wǎng)絡(luò)配置、系統(tǒng)配置、統(tǒng)計(jì)分析、威脅處置等。所投產(chǎn)品必須支持將告警信息以SNMPTrap、郵件、聲音、短信等形式通知管理員，告警信息的范圍至少包括配置變更、病毒事件、攻擊事件、異常事件、CPU利用率、內(nèi)存利用率、硬盤利用率、接口帶寬利用率、NAT端口池利用率等。所投產(chǎn)品必須支持將不同設(shè)備模塊產(chǎn)生的不同重要性的日志發(fā)送至不同的日志服務(wù)器，設(shè)備模塊至少包括流量、URL過(guò)濾、內(nèi)容過(guò)濾、郵件過(guò)濾、行為、威脅等，重要性等級(jí)至少包括緊急、警報(bào)、嚴(yán)重、錯(cuò)誤、告警、通知