三层吞吐量

≥2.5Gbps  

应用层吞吐量

≥450Mbps

并发连接数

≥1,000,000

设备接口

标配6个千兆电口，并含2个高速USB2.0接口，1个RJ45串口

电源

单电源

尺寸

标准1U架构

部署方式

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式；

网络特性

支持802.1Q  VLAN Trunk、access接口，VLAN三层接口，子接口；            

支持链路聚合功能；

支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端下行/上行端口自动切断链路；

路由支持

支持静态路由，ECMP等价路由；

支持RIPv1/v2，OSPFv2/v3，BGP等动态路由协议；

支持多播路由协议；

支持路由异常告警功能；

★支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能；（需提供相关功能截图证明）

基础功能

支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体IP的会话记录；

访问控制规则支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式；

访问控制规则支持失效规则识别，如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况；

★访问控制规则支持数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；

访问控制规则支持分组管理；

★支持根据国家/地区来进行地域访问控制；（需提供相关功能截图证明）；

能够识别管控的应用类型超过1200种，应用识别规则总数超过3000条；

支持IPv4／v6  NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP、目的IP和双向IP连接数控制；

支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制；

★支持IPSec  VPN，SSL  VPN，GRE，GRE  over OSPF，GRE  over IPSec等VPN接入方式；

支持在防火墙上配置VPN安全策略对加密隧道内的流量进行清洗；

内容安全

内置病毒样本数量超过200万；

支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；

★支持针对SMTP、POP3、IMAP邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件账号撞库攻击检测等，支持根据邮件附件类型进行文件过滤；（需提供相关功能截图证明）

DoS/DDoS攻击防护

支持Land、Smurf、Fraggle、WinNuke、Ping  of Death、Tear  Drop、IP  Spoofing攻击防护，支持SYN  Flood、IPv4和IPv6  ICMP  Flood、UDP  Flood、DNS  Flood、ARP  Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；

支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况

支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS  Flood等DDoS攻击行为；

入侵防护功能

设备具备独立的入侵防护漏洞规则特征库，特征总数在7000条以上； （需提供相关功能截图证明）

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、  RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

具备防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；

★可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；（需提供相关功能截图证明）

Web应用安全防护

设备具备独立的WEB应用防护识别库，特征总数在3000条以上； （需提供相关功能截图证明）

支持HTTP  1.0/1.1，HTTPS协议的安全威胁检测；

支持服务器资产自动识别；

支持抵御SQL注入、XSS、系统命令等注入型攻击；

支持CC攻击、CSRF攻击、COOKIE攻击等攻击防护功能；

支持关联上下文，对webshell脚本上传动作进行语法，语义匹配和过滤；

支持对服务器已经被植入webshell后门之后的通信动作进行识别和阻断；

支持上传文件类型识别，防止文件后缀名修改绕过；

支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；

★支持针对网站的漏洞扫描进行防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测；

★支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；（需提供相关功能截图证明）

★支持对网站黑链进行检测； （需提供相关功能截图证明）

支持Windows和Linux系统下网页防篡改功能；

僵尸主机检测

设备具备独立的僵尸网络识别库，特征总数在40万条以上；（需提供相关功能截图证明）

★支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；（需提供相关功能截图证明）

★对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；（需提供具备相关云端查杀能力的证明） 

★支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；（需提供具备相关云端大数据分析能力的证明） 

安全可视化

★支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别；（需提供相关功能截图证明） ★支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示，实时监测和展示最新的攻击威胁信息；（需提供相关功能截图证明） ★支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证；（提供安全报表并加盖厂商公章）

支持受保护业务和用户的关联安全事件展示；

支持以攻击链方式来匹配和展示资产遭受到的攻击行为；

安全集中管理

支持安全设备的集中管理，包括配置统一下发，规则库统一更新，安全日志，流量日志实时上报等功能；

支持接入统一的安全监测平台，通过安全监测平台可以实时看到每台安全设备的详细安全状态信息，包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计；

安全监控平台可以查看到每台安全设备最近的有效安全事件及安全有效事件趋势图，支持根据每台安全设备的最近的安全趋势进行安全状况分级；

高可用性

双机支持A/S，A/A方式部署；

支持配置同步，会话同步和用户状态同步；

支持双机心跳线冗余；

系统配置管理

支持以安全策略模板方式快速部署安全策略，安全策略模板支持默认模板和自定义模板等多种格式；

支持安全策略一体化配置，通过一条策略既可实现不同安全功能的配置；（需提供相关功能截图证明）

支持场景化的配置向导功能，可以选择不同的部署方式以及使用场景实现产品的快速实施；（需提供相关功能截图证明）

支持管理员权限分级，支持安全管理员、审计员、系统管理员三种权限；

支持自动备份配置，最大支持十五天内的配置恢复；

支持修改TCP，UPD和ICMP协议的连接超时时间；

支持内置规则库的手动/自动更新；

支持邮件、短信和微信告警；

厂商资质

厂商软件研发实力需通过CMMI  L5认证

厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；

厂商需是中国反网络病毒联盟ANVA成员单位；

国家信息安全漏洞共享平台(CNVD)技术组成员；

要求厂商是微软安全响应中心（Microsoft  Security Response Center）发起的MAPP（Microsoft  Active Protection Program）计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护。

厂商需是CSA云安全联盟会员单位；

厂商需是国家信息安全漏洞库CNNVD技术支撑单位

厂商售后服务体系通过ISO9001认证

产品资质

产品应具备计算机信息系统安全专用产品销售许可证；

产品应具备ISCCC中国国家信息安全产品认证证书；

涉密信息系统产品检测证书；

信息技术产品安全测评证书（EAL3+）；

军用信息安全产品认证证书（军B）；

产品成熟度要求

要求所投防火墙产品经过国际知名实验室NSS  Labs测试，并获得recommended推荐级别；（提供NSS  Labs相关测试报告并加盖厂商公章）

要求所投防火墙产品符合公安部第二代防火墙标准（GA／T  1177-2014）的要求，并提供公安部颁发的第二代防火墙销售许可证；

要求所投防火墙产品入围2016年Gartner企业级防火墙魔力象限

要求所投防火墙产品在IDC  2016年集成类防火墙(UTM)市场占有率排名前三；