伟思千兆网闸控标参数.doc

安全隔离网闸 标段 一标段 设备名称 安全隔离网闸 质量层次 国 产 数量 1台 预算价 6.5万元 功能点 指标性能要求(★为关键指标，不允许负偏离) ★硬件配置和性能指标 机型规格 标准2U机架式，标配双电源，千兆安全隔离与信息交换系统硬件设备 接口 内网6个10/100/1000M RJ45接口（含一个管理口），1个串口；外网6个10/100/1000M RJ45接口（含一个HA口），1个串口 网络吞吐量 ≥900Mbps（实际） 并发连接数 ≥100000 内部交换带宽 ≥6GB 系统指示 设备提供明显指示，可直观显示硬件故障提示报警，如通讯故障、硬件故障、系统故障等。 时延 系统延时1ms 日志审计 专门的系统管理模块 支持日志信息输出到SysLog、WebTrends外部日志系统，可定义外部服务的接收IP、端口以及0-7级分类日志输出；可通过邮件形式将违反规则的行为发送到管理员报警信箱；提供全面的日志记录，支持日志备份功能。 产品架构 系统结构 采用 “2+1”主机架构，主机系统采用安全加固的LINUX操作系统，主机系统间采用专有协议“摆渡”数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。 隔离部件 中间隔离部件是基于专用硬件隔离电子开关系统，具有不可编程性。不采用SISC、网卡以及任何其他加/解密等方式；隔离区信息交换采用DMA方式实现。 功能模块 文件交换功能 实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能；支持增量传输方式，可实现只传输修改和增加了的源文件；支持传输后删除方式，可实现传输结束后删除源文件。 数据库传输功能 数据库支持：提供对主流数据库SQL Server，Oracle，Sybase，DB2等的支持，具有数据库单向、双向访问和同步技术；数据库同步应支持全表复制、增量更新、全表更新、标识更新；要求具备普遍适用性，部署网闸无需更改数据库环境设置 安全浏览功能 实现内网用户安全浏览外网资源，支持基于CHAP、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能。系统可扩展内置WEB Application应用保护系统，支持全面的WEB保护功能，包括：DLL、ASP/JSP脚本控件、WebService、等函数中方法调用的安全过滤；对多次认证失败的用户可锁定其IP或用户名 安全管理和访问功能 支持集中式管理，支持基于SSL的加密安全管理；支持https全Web式的浏览器管理，系统后置于可信端主机，通过SAT、Proxy安全访问方式实现隔离系统两端数据交换 WEB站点保护功能 支持全面的WEB保护功能，包括：URL字段、Webservice安全过滤功能、cookies加密、WEB目录、活动脚本访问权限控制、防WEB漏洞攻击以及智能学习等功能。 定制访问功能 实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，如黑白名单控制、关键字过滤等。 上网用户身份认证功能 可严格控制上网用户，结合专用VIIE认证客户端浏览网页，用户列表存储在网闸设备上，未经授权的用户和使用普通IE用户将无法上网。 邮件收发认证功能 可严格控制邮件收发，结合专用VIMAIL邮件客户端，对收发邮件的用户进行身份认证，用户列表存储在网闸设备上，未经授权的用户和使用普通OUTLOOK和FOXMAIL等邮件客户端的用户将无法正常收发邮件。 传输控制 双向可控:支持单向，内到外,外到内两个方向的数据交换随意控制 协议检查 应采用独有的协议分析技术全面检测应用层攻击并及时予以阻断，作裸数据的转发，并且有详细的协议分析和控制。支持高达30多种协议检查功能。 AI安全过滤功能 提供包括应用层协议命令检查、应用层协议分析、内容过滤、控制字符过滤等在内的AI安全过滤功能 ★攻击防御 入侵检测功能 主机系统内置独立的入侵检测模块具有实时入侵检测与防御机制。内置IDS系统并与隔离网闸形成联动对入侵行为做出及时处理 抗DDoS攻击 具有抗DoS、DdoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答。防止多个DOS攻击源一起攻击某台服务器。防止多个DOS攻击源一起攻击某台服务器 管理方式 安全可靠的管理方式 管理策略后置于可信端计算机，非可信端计算机不能控制访问策略。内网主机系统具有唯一的管理接口，管理配置采用可信端内网管理，外网系统不允许管理配置网闸（非内外网点对点配置）。为保证系统配置的安全性，不能使用USB等任何带有底层链路的设备进行管理配置。 其他功能 接入方式 支持应用层透明接入，实现透明访