深信服应用防火墙参数

1、*内部公开一、 性能及配置要求 AF-1320-L 对应 NS-SecPath U200-A项目指标具体功能要求接口电口具备至少6个10/100/1000 Base-T 千兆电口Bypass*支持故障时Bypass功能（1路）技术规范安装空间标准1U机架尺寸储存温度2070相对湿度595%（无凝结状态）性能参数吞吐量吞吐量1GVPN连接数不小于400并发连接数不小于40万新建连接数*15000延时10 us平均无故障时间（MTBF）100,000小时AF-1820-D 对应 天清汉马USG-2000C项目指标具体功能要求接口接口10个千兆电口4个千兆光口Bypass*支持故障时Bypass功能

2、（3路）技术规范安装空间标准2U机架尺寸储存温度2070相对湿度595%（无凝结状态）电源冗余电源性能参数吞吐量吞吐量5GVPN连接数不小于1500并发连接数不小于80万新建连接数*60000延时10 us平均无故障时间（MTBF）100,000小时二、详细功能要求项目指标具体功能要求实时监控设备资源信息提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息联动封锁源IP*提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理（需提供截图证明）流量状态实时提供IP流量、应用流量排名、流量管理状态、DHCP状态、在线用户管理防火墙/VPN功能包过滤与状态检测提供静态的包过滤

3、和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、D

4、oS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能NAT功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、SIP等IPSec VPN功能支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法支持各种NAT网络环境下的VPN组网支持第三方标准IP

5、Sec VPN进行对接*总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略（提供自主知识产权证明）IPS入侵防护特征库数量漏洞特征库: 2500+ ，并且能够自动或者手动升级特征库信息*必须是微软“MAPP”计划会员，特征库必须获得CVE“兼容性认证证书”（需提供截图证明）防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议

6、异常/ IPS逃逸攻击等防护对象*漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）处理动作“云联动“*支持自动拦截、记录日志、上传灰度威胁到“云端”（需提供截图证明）服务器防护*Web应用防护识别库*支持web攻击特征数量1000+（需提供截图证明）Web服务隐藏*支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义（需提供截图证明）FTP服务隐藏*支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等Web攻击防护*支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防

7、护、支持根据网站登录路径保护口令暴力破解（需提供截图证明）网站扫描防护支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护策略制定配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号文件上传过滤*严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性其他应用防护* ftp弱口令防护、telnet弱口令防护敏感信息防泄漏*可定义的敏感信息内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5密码等http敏感信息检测

8、支持正常访问http连接中非法敏感信息的外泄操作漏洞风险评估*支持服务器、客户端的漏洞风险评估功能弱口令扫描*支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描智能策略联动*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明）网页篡改防护*网关型网页防篡改*支持网关型网页防篡改，无需在服务器中安装任何插件篡改实时检查支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式，保证网站安全动态网页/静态网页支持*全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保

9、护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改业务管理与安全管理分离*支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容篡改防护效果*支持通过替换、重定向等技术手段，防护篡改页面病毒防护病毒引擎基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀防护类型*能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒病毒库数量支持10万条以上的病毒库，并且可以自动或者手动升级流控应用特征

10、识别库*支持对1000种以上应用2000种以上的应用动作（需提供截图证明）应用流控*支持基于应用类型划分与带宽分配网站流控*支持基于网站类型的划分与带宽分配文件流控支持基于文件类型划分与分配带宽WEB安全防护URL过滤*对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志文件类型过滤*支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志ActiveX过滤*支持基于签名证书的ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的

11、ActiveX过滤，如视频、在线杀毒、娱乐等；脚本过滤*支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等理网关管管理界面支持SSL加密WEB方式管理设备告警管理支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等排障工具*提供图形化排障工具，便于管理员排查策略错误等故障理日志管数据中心*设备必须支持内/外置数据中心风险评估报表*提供端口、服务、漏洞、弱密码等安全风险评估报表（需提供截图证明）安全日志必须支持将应用的受攻击对象进行统计排行和报表输出，支持按照行为次数和应用的排行统计各攻击类型名称；支持各种攻击类型的报表输出和统计；安全趋势报表*提供可定义时间内安全趋势分析报表安全统计报表*支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容，并形成报表病毒信息统计*必须支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行报表订阅*支持将统计/趋势/查询等报表自动发送到指定邮箱报表导出*支持导出统计/趋势/查询等报表，包括Excel、PDF等格式三、其他