虛擬化防火墻需求說明

虛擬化防火墻需求說明項目指標(biāo)指標(biāo)要求基礎(chǔ)組網(wǎng)兼容性本次采購的虛擬化防火墻實驗?zāi)K要求與我院現(xiàn)有信息安全實訓(xùn)平臺無縫對接，構(gòu)建虛擬化的實驗環(huán)境，打破物理安全設(shè)備的局限性，提高教學(xué)、實訓(xùn)上課效率，實現(xiàn)更高效真實的攻防實訓(xùn)、仿真測試的需要，開展防火墻技術(shù)及應(yīng)用的相關(guān)課程。網(wǎng)絡(luò)協(xié)議所投產(chǎn)品必須支持VTEP（VxLanTunnelEndPoint）模式接入VxLAN網(wǎng)絡(luò)，并可作為VXLAN二層、三層網(wǎng)關(guān)實現(xiàn)VxLan網(wǎng)絡(luò)與傳統(tǒng)以太網(wǎng)的相同子網(wǎng)內(nèi)、跨子網(wǎng)間互聯(lián)互通；支持通過綁定VLAN、VNI（VXLANNetworkIdentifier）、遠程VTEP，手動管理VxLan網(wǎng)絡(luò)；支持MAC、VNI、VTEP靜態(tài)綁定。所投產(chǎn)品必須支持MPLS流量透傳；支持針對MPLS流量的安全審查，包括漏洞防護、反病毒、間諜軟件防護、內(nèi)容過濾、URL過濾、基于終端狀態(tài)訪問控制等安全防護功能。路由協(xié)議所投產(chǎn)品必須支持支持靜態(tài)路由、策略路由及動態(tài)路由。策略路由支持用戶自定義其優(yōu)先級，動態(tài)路由應(yīng)至少支持RIPv1/v2/ng，OSPFv2/v3，BGP4/4+協(xié)議；必須支持靜態(tài)和動態(tài)多播路由，動態(tài)多播路由必須支持PIM-SM（稀疏模式）。所投產(chǎn)品必須支持基于策略的路由負載，支持根據(jù)應(yīng)用和服務(wù)進行智能選路，支持源地址目的地址哈希、源地址哈希、輪詢、時延負載、備份、隨機、流量均衡、源地址輪詢、目的地址哈希、最優(yōu)鏈路帶寬負載、最優(yōu)鏈路帶寬備份、跳數(shù)負載等不少于12種路由負載均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的鏈路探測，同時TCP與HTTP可使用自定義目標(biāo)端口進行測試。地址轉(zhuǎn)換所投產(chǎn)品必須支持全面的NAT轉(zhuǎn)換配置，包括一對一，一對多，多對一的源、目的地址轉(zhuǎn)換，并至少支持FULL_CONE模式和SYMMETRIC模式。所投產(chǎn)品必須支持在會話的源、目的地址同為IPv4地址時，可將目的地址轉(zhuǎn)換至指定服務(wù)器地址。所投產(chǎn)品必須支持在源地址轉(zhuǎn)換過程中，對SNAT（源地址轉(zhuǎn)換）使用的地址池利用率進行監(jiān)控，并在地址池利用率超過閾值時，通過SNMPTrap、郵件等方式告警。DNS代理支持IPv4的DNS代理功能，即從指定的入接口或源ISP接收到的DNS解析請求。支持出站的DNS代理功能，支持在不更改內(nèi)網(wǎng)終端設(shè)備DNS服務(wù)器地址設(shè)置的情況下，將DNS解析請求發(fā)送至指定的DNS服務(wù)器，并代理原DNS服務(wù)器返回解析結(jié)果。支持DDNS功能，支持Oray向日葵、Pubyun公云、Noip、Changeip提供的DDNS服務(wù)，將動態(tài)獲取的IP地址映射為固定的域名。高可靠性所投產(chǎn)品必須支持路由模式、透明模式的HA高可靠性部署，可工作于主備、主主模式，會話、用戶、配置可實時同步；HA高可靠性部署支持接口聯(lián)動，某個端口失效（DOWN），屬于同一接口組中其他端口都會進入失效狀態(tài)（DOWN）；HA高可靠性部署支持配置接口權(quán)重；支持鏈路探測。訪問控制訪問控制所投產(chǎn)品必須支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務(wù)、應(yīng)用、隧道、時間、VLAN等多種方式進行訪問控制。支持一種基于用戶的安全訪問控制的方法及裝置的技術(shù)(投標(biāo)時提供國家網(wǎng)絡(luò)安全審查技術(shù)與認證中心或國家知識產(chǎn)權(quán)局或公安部第三研究所的相關(guān)證明文件)，并支持地理區(qū)域?qū)ο蟮膶?dǎo)入以及重復(fù)策略的檢查。所投產(chǎn)品比如支持基于IPv4/v6地址、應(yīng)用的會話限制，限制動作包每IP新建、每IP并發(fā)、所有IP新建、所有IP并發(fā)，且可以基于安全域指定限制方向。應(yīng)用識別與控制所投產(chǎn)品必須支持應(yīng)用識別，應(yīng)用特征庫包含的應(yīng)用數(shù)量（非應(yīng)用協(xié)議的規(guī)則總數(shù)）大于200種，可深度識別每種應(yīng)用的屬性，為每種應(yīng)用提供預(yù)定義的風(fēng)險系數(shù)，并將應(yīng)用基于類型、使用場景、數(shù)據(jù)傳輸、風(fēng)險等級等特征分類。所投產(chǎn)品可直觀展示不同風(fēng)險等級的應(yīng)用在1天（24小時）或一周（7天）內(nèi)傳輸流量的絕對數(shù)值及占全網(wǎng)流量的百分比。用戶識別與認證所投產(chǎn)品必須支持基于用戶的訪問控制，可與LDAP/Radius/證書/ActiveDirectory/TACACS+/POP3等用戶認證系統(tǒng)聯(lián)動。所投產(chǎn)品必須支持802.1x認證，要求支持基于端口和MAC兩種接入控制方式。郵件過濾所投產(chǎn)品必須支持基于關(guān)鍵字的接收、發(fā)送或雙向Email發(fā)件人、收件人過濾，并支持自定義RLB服務(wù)器地址配置，并可結(jié)合IP黑名單或白名單。文件過濾所投產(chǎn)品必須支持對應(yīng)用的文件傳輸行為進行上傳、下載、雙向的文件類型過濾，應(yīng)用至少包含即時通訊、常用協(xié)議、文件共享、論壇、博客、網(wǎng)頁郵件五種分類。所投產(chǎn)品必須支持上傳、下載、雙向的文件內(nèi)容過濾；內(nèi)容過濾支持手工及文件批量導(dǎo)入兩種方式進行敏感信息定義；內(nèi)容過濾至少支持html、doc、docx、xls、xlsx、ppt、pptx、chm、7z等30種常見文件類型；文件類型識別基于文件特征而非擴展名，更改文件擴展名后仍可有效識別。流量管理所投產(chǎn)品必須支持多調(diào)度類相互嵌套最大5級的帶寬管理設(shè)置。支持設(shè)置每IP最大或最小帶寬，支持對每IP進行帶寬配額管理，可通過優(yōu)先級實現(xiàn)多應(yīng)用的差分服務(wù)。攻擊防護網(wǎng)絡(luò)攻擊防護所投產(chǎn)品必須支持基于不同安全區(qū)域防御SYNFlood、UDPFlood、ICMPFlood、IPFlood、DNSFlood、HTTPFlood攻擊，并支持警告、丟棄、普通防護、增強防護、授權(quán)服務(wù)器防護等多種防護措施。所投產(chǎn)品必須支持可配置閾值的基于安全域或基于二層接口局域網(wǎng)廣播防護，防止局域網(wǎng)內(nèi)廣播和多播數(shù)據(jù)包泛濫。所投產(chǎn)品必須支持DHCP協(xié)議防護；支持手動定義可信DHCP服務(wù)器IPv4和基于閾值限制DHCP請求傳輸速率。所投產(chǎn)品必須支持基于安全區(qū)域的異常包攻擊防御，異常包攻擊類型至少包括PingofDeath、Teardrop、IP選項、TCP異常、Smurf、Fraggle、Land、Winnuke、DNS異常、IP分片等；并可在設(shè)備頁面顯示每種攻擊類型的丟包統(tǒng)計結(jié)果。所投產(chǎn)品必須支持防御基于安全域的IP地址欺騙攻擊，指定IP或網(wǎng)段必須從特定安全域流入。病毒防護所投產(chǎn)品必須能夠?qū)TTP/FTP/POP3/SMTP/IMAP/SMB六種協(xié)議進行病毒查殺。所投產(chǎn)品必須支持對最多6級的壓縮文件進行解壓查殺。所投產(chǎn)品必須支持基于MD5的自定義病毒簽名；支持設(shè)置例外特征，對特定的病毒特征不進行查殺。入侵防御所投產(chǎn)品必須支持漏洞防護功能，同時將漏洞防護特征庫分類，至少包括緩沖區(qū)溢出、跨站腳本、拒絕服務(wù)、惡意掃描、SQL注入、WEB攻擊等六種分類；漏洞防護支持日志、阻斷、放行、重置等執(zhí)行動作,可批量設(shè)置針對某一分類或全部攻擊簽名的執(zhí)行動作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等應(yīng)用協(xié)議的漏洞防護。所投產(chǎn)品必須支持間諜軟件防護功能，同時將間諜軟件特征庫分類，至少包括木馬后門、病毒蠕蟲、僵尸網(wǎng)絡(luò)等三種分類。所投產(chǎn)品必須支持自定義TCP、UDP、HTTP協(xié)議的漏洞特征，漏洞特征可通過多個字段以文本或正則表達式的形式進行有序和無序匹配，并可自定義漏洞的源、目的端口范圍；同時可標(biāo)識自定義漏洞的CVE編號或CNNVD編號。支持一種網(wǎng)絡(luò)入侵行為檢測系統(tǒng)及檢測方法。所投產(chǎn)品必須支持自定義基于TCP、UDP、HTTP協(xié)議的間諜軟件特征。間諜軟件特征可通過多個字段以文本或正則表達式的形式進行有序和無序匹配；并可自定義間諜軟件的源、目的端口范圍。VPNIPSecVPN所投產(chǎn)品必須支持支持IPSecVPN功能，支持基于主模式（MainMode）、積極模式（AggressiveMode）、國密三種協(xié)商模式建立的網(wǎng)關(guān)-網(wǎng)關(guān)加密隧道。安全管理網(wǎng)絡(luò)異常感知所投產(chǎn)品必須支持基于主機或威脅情報視圖，統(tǒng)計網(wǎng)絡(luò)中確認被入侵、攻破的主機數(shù)量，至少可查看被入侵、攻破的時間、威脅類別、情報來源、威脅簡介、被入侵、攻破的主機IP、用戶名、資產(chǎn)等信息。所投產(chǎn)品必須支持用戶自定義重點URL分類和應(yīng)用，并可基于定義的重點關(guān)注對象進行用戶維度關(guān)聯(lián)，并結(jié)合分析中心進行基于關(guān)聯(lián)的用戶/地址、URL分類、應(yīng)用進行二次遞進式深度分析，挖掘異常用戶及異常網(wǎng)絡(luò)行為。策略與處置所投設(shè)備可在單條策略中啟用病毒防護、入侵防御、網(wǎng)址過濾、文件過濾、文件內(nèi)容過濾、終端過濾等安全功能選項。所投設(shè)備必須支持安全策略的快速檢索及基于名稱、地址、端口、協(xié)議多維度的高級策略檢索，支持策略的復(fù)制、調(diào)序、查詢。所投產(chǎn)品必須支持接收針對突發(fā)重大安全事件的“應(yīng)急響應(yīng)消息”，并至少在界面顯示安全事件名稱、類型、當(dāng)前防護狀態(tài)、處置狀態(tài)以及相應(yīng)的操作等信息。運維管理所投產(chǎn)品必須支持雙系統(tǒng)備份，且在系統(tǒng)切換中可實現(xiàn)配置的自動遷移；可記錄不同時間點的歷史配置文件。所投產(chǎn)品必須支持三權(quán)分立管理，權(quán)限設(shè)置至少包括全部權(quán)限，僅具有策略變更權(quán)限和僅具有日志審計權(quán)限、僅具有賬戶配置權(quán)限、虛系統(tǒng)配置管理權(quán)限以及虛系統(tǒng)審計權(quán)限；并支持以讀寫、只讀、無權(quán)限的方式自定義權(quán)限管理，權(quán)限管理的范圍至少包括策略配置、對象配置、網(wǎng)絡(luò)配置、系統(tǒng)配置、統(tǒng)計分析、威脅處置等。所投產(chǎn)品必須支持將告警信息以SNMPTrap、郵件、聲音、短信等形式通知管理員，告警信息的范圍至少包括配置變更、病毒事件、攻擊事件、異常事件、CPU利用率、內(nèi)存利用率、硬盤利用率、接口帶寬利用率、NAT端口池利用率等。所投產(chǎn)品必須支持將不同設(shè)備模塊產(chǎn)生的不同重要性的日志發(fā)送至不同的日志服務(wù)器，設(shè)備模塊至少包括流量、URL過濾、內(nèi)容過濾、郵件過濾、行為、威脅等，重要性等級至少包括緊急、警報、嚴(yán)重、錯誤、告警、通知