3、项目实施要求.docVIP

防火墙技术要求 设备清单 序号 设备或软件 数量 1 防火墙 1台 参数要求 类别 技术规格要求 数量 单位 硬件规格 ★采用多核AMP+构架； 1 台 ★标准配置6个10/100/1000M自适应电口，1个扩展板卡插槽（可增加8个千兆SFP插槽或8个千兆电口），1个Console口，面板具有液晶屏显示功能； ★标准2U机架结构 性能参数 ★整机吞吐率≥12G ★每秒新建连接数≥25万 ★并发连接数≥320万 产品资质 ★国家信息安全认证产品型号证书千兆EAL3+； ★中国国家信息安全产品认证证书三级 ★涉密信息系统产品检测证书 多核并行操作系统软件著作权登记证书； 软件产品登记证书 ★高性能IPv6防火墙系统计算机软件著作权登记证书 ★高性能一体化智能安全处理引擎计算机软件著作权登记证书 ★IPv6 Ready金牌认证资质 厂商资质 ★风险评估服务资质（一级） ★应急处理服务资质（一级） ★计算机系统集成资质（二级） ★国家信息安全测评信息安全服务资质（安全开发类一级） ★国家信息安全测评信息安全服务资质（安全工程类二级） ★信息系统安全集成服务资质（一级） ★信息安全等级保护安全建设服务机构能力评估合格证书 ★网络安全应急服务支撑单位证书（省级） ★涉及国家秘密的计算机信息系统集成资质证书（甲级） ★中国通信企业协会通信网络安全服务能力评定证书（风险评估乙级） ★中国通信企业协会通信网络安全服务能力评定证书（安全设计与集成乙级） 网络适应能力 产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求 支持安全域的配置，包括二层安全域和三层安全域 支持使用命令对策略路由默认优先级进行调整；支持根据应用进行智能选路 支持物理子接口技术，可以虚拟多个逻辑接口（不依靠vlan区分） 支持vlan子接口技术，可以依靠vlan区分来虚拟多个逻辑接口 支持vlan接口和桥接口的配置 支持二层接三层聚合接口，并具备热备、轮询、802.3ad三种聚合方式，同时802.3ad拥有三种负载算法 支持镜像接口，可将接口的上下行流量分别镜像至指定接口 支持tunnel口，即隧道接口，多用于封装组播 支持DHCP服务器和客户端，并支持DHCP地址绑定，支持WINS、SMTP、POP3域名服务器 支持动态路由:RIPv1、v2c，OSPF，BGP 支持对称路由；静态和动态多播路由 地址转换能力 支持一对一、多对一、多对多的地址转换技术，支持静态和动态地址转换，支持端口复用 支持Full Cone NAT，可用于类似运营商环境下，实现对特殊业务，如P2P流量做加速处理等需求 负载均衡能力 支持链路负载均衡，下一跳网关支持4种均衡方式:最优路径、流量、会话、主机，3种探测类型：ICMP、TCP、HTTP 支持服务器负载均衡，支持3种方式:轮询、权重轮询、源地址HASH IPv6 支持接入IPv6网络，支持NAT64和DNS64，支持IPv6的静态路由和安全策略 虚拟防火墙 最大支持256个虚系统，支持系统资源分配，路由、NAT、安全策略、攻击防护、黑名单、IPS、日志以及系统配置的独立管理 可通过虚系统对网络环境进行完全的隔离（包括二层和三层），各虚系统之间不存在冲突；内置虚拟交换机，可通过虚系统接口来实现虚系统之间的通信需求。 虚拟安全防护 支持虚拟二层安全域和虚拟三层安全域，可实现业务分组与隔离；支持构建虚系统来实现业务、管理及防护策略的分组与隔离 SNMP 支持SNMPv1、v2、v3 访问控制能力 支持基于地理区域的安全策略，并支持地理区域对象的导入、导出（提供截图、测试方案） 支持按源目的IP、源目的接口、用户、地理区域及应用进行流量排名，并显示流量统计 用户认证 具备集成AD活动目录、LDAP、RADIUS的第三方认证与本地认证功能 支持用户认证客户端 支持对用户的登录地址、可访问目的地址、可访问应用、可使用服务、可用带宽及访问生效时间等通过规则进行限制 带宽管理能力 支持根据IP地址、用户、服务、应用等信息划分虚拟QoS通道（提供测试方案） 支持4层28级调度类嵌套；支持优先级设置实现差分服务（提供截图） 支持对剩余带宽根据优先级进行动态分配 抗攻击能力 可抵御SYN Flood、ICMP Flood、UDP Flood、IP Flood、IP地址扫描攻击、端口扫描、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle