1

互联网边界攻击防护系统（主备部署）

1.1U机架式设备, 网络处理能力≥20Gbps, ≥1个console接口、≥2个USB接口、≥8个千兆电口，≥4个千兆SFP接口，硬盘≥1T SSD，最大并发连接数≥600万，每秒新建连接数≥60万/秒，提供至少3年IPS规则库升级，3年AV规则库升级，3年应用特征升级，3年URL库升级，3年资产防护升级，3年威胁情报升级服务。支持具备状态检测，动态开放端口，IP/MAC地址绑定、带宽管理、连接数控制、会话管理、WAF、SD-WAN、威胁情报等功能。设备主备部署，需2台。
2.支持路由、透明及混合部署模式；
3.支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响；
4.支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
5.支持SSL加密流量的全面安全防护，对通过设备的SSL流量进行解密，并综合运用IPS、防病毒安全防护避免加密流量攻击，支持代理模式和透明模式两种组网；并支持客户端模式（由内向外）和服务器模式（从外到内）两种模式；
6.支持HTTP的异常检测，包括版本、方法、头域字段、传输文件等的合规性检查；
7.支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于1200万。
8.支持对常见应用（如HTTP、Telnet、FTP、SMTP、POP3等）进行弱口令检查，并上报安全事件；
9.支持对口令频繁暴力破解的检测。检测到暴力破解后可选择告警、精准阻断、阻断源ip等动作；
10.支持HTTP的异常检测，包括版本、方法、头域字段、传输文件等的合规性检查；
11.支持通过主动及被动探测方式，识别终端类型（至少包括：PC、网络打印机、网络摄像机、网络设备、防火墙、负载均衡等），支持多种资产异常告警选项包括MAC地址、操作系统、厂商、类别、指纹等；
12.支持对经过设备访问的域名以及目的ip进行威胁情报查询，如果查询威胁访问，支持告警、阻断动作。支持根据情报的威胁值、信誉值、威胁类型等进行处置判定；
13.支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡。负载均衡算法至少包括轮询、加权轮询、优先级；
14.支持静态路由、动态路由（RIP、OSPF、OSPFv3、BGP4）；
15.支持链路复制技术，针对核心业务如“视频”，提供多路复制，单路收发功能，在多条链路间实现业务无缝切换；
16.支持HTTP压缩功能，采用工业标准的GZIP或Deflate算法来压缩HTTP数据，从而减少传输数据量并降低带宽消耗，缩短客户端访问的下载等待时间；
17.接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
18.支持双路HA物理心跳线，确保HA运行稳定可靠；
19.支持HA设备之间的配置自动同步，确保用户只需在一台设备进行业务配置；

2

互联网Web应用防护系统

1.设备为机架式设备、≥6个电口,≥1TB硬盘，HTTP吞吐：≥6Gbps； HTTP新建（CPS）≥9500/s ，≥5个网页防篡改授权，提供至少3年的升级服务。提供Web应用攻击防护能力，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保护业务系统的运行连续性和完整性有着极为重要的意义。同时针对当前的业务热点问题，如SQL注入攻击、网页篡改、网页挂马等，按照事件发生的时序考虑问题，优化最佳安全成本平衡点，有效降低安全风险。
2.支持在旁路镜像阻断模式下，可配置多组阻断以及镜像口，对检测到的攻击进行旁路阻断，并可指定对端设备MAC地址；
3.支持透明流模式、透明代理模式、反向代理模式、路由牵引模式、镜像检测模式及镜像阻断模式；
4.支持地域访问控制功能，支持根据国家、地区、城市等元素进行地域访问控制；
5.支持定时下线功能，能根据日期、工作日、时间等多因素控制网站访问时效；
6.支持外联URL安全监测，提供自定义外联URL能力，精准识别并拦截非法外链访问，确保数据安全可控；
7.支持业务流程控制，防止非法用户通过不合规流程请求，对web服务器进行攻击；
8.支持通过移动终端管理，不需要安装APP和第三方插件，通过手机浏览器即可,并可管理设备实现网站快速应急处置；
9.支持多种证书类型的SSL卸载，可根据实际证书格式进行灵活选择证书类型；
10.支持防护资产安全状态展示，可针对资产的TCP，UDP,ICMP/ICMP6，RAW-IP,HTTP,DNS等数据进行统计；
11.支持检测并清洗的攻击类型包括但不限于：Land、Winnuke、Smurf等；TCP（SYN、SYN-ACK、ACK、RST、FIN等）；UDP（各种端口扫描、Flood）；ICMP（不可达，Flood)；DNS Query Flood、HTTP GET Flood、HTTP Post Flood、CC等；
12.支持检测并清洗的攻击类型：IP攻击，TCP攻击，UDP攻击，ICMP攻击，DNS攻击，HTTP攻击等20多种DDoS攻击类型；
13.支持攻击态势大屏实时展示，可通过产品自带的实时态势监测模块进行攻击态势地图展示，包含对源地址、源地域、目标资产、安全防护攻击类型、攻击趋势、HTTP并发请求及实时事件的动画统计；
14.支持威胁情报中心提供的相关数据运用到产品防御策略中，提供基于僵尸网络、恶意IP、扫描探探、Webshell、代理IP、TOR节点、漏洞利用、暴力破解、拒绝服务、恶意代码以及木马蠕虫等情报类型；
15.可通过管理平台WEB界面 (HTTPS方式)对设备进行管理。支持旁路和串联模式部署，通过配置web安全防护策略，实现基于http协议的应用防护和攻击防护，并支持邮件告警。
16.支持物理旁路反向代理模式的下IP还原部署，在反向代理模式下，服务端可看到真实的客户端IP；
17.能够根据网站的访问防护的网站、被篡改内容、篡改内容的类型、试图进行的篡改、成功的篡改、发现的日期、事件发生的日期等条件进行详细信息的查询；
18.具备基于识别资产类型及自发现漏洞的web 防护方法。

19.WEB应用防护设备支持通过BGP方式对流量进行牵引，并在清洗攻击后回注，回注过程支持设置SNAT策略；

20.支持WebShell攻击防护功能，通过对请求头、请求体、响应体及参数等行为特征进行深度分析，识别潜在的WebShell攻击行为，并实时拦截和阻断恶意请求。；

21.WEB应用防护设备支持通过自学习的URL参数的长度、类型、范围及请求方法等数据特点创建黑白名单模型，如果参数违反模型则判断为非法流量，直接执行阻断或封禁动作；

22.具备在透明代理及反向代理部署方式下，能够对网络中发生的攻击地址进行溯源的能力;

3

互联网入侵检测系统

1. 设备为2U机架式设备；板载≥6个100/1000M电口，≥2组Bypass； ≥2个扩展槽； ≥2T硬盘；冗余双电源；整机吞吐≥16G； IPS吞吐≥8G； 最大并发连接数≥600万；至少3年的升级服务；
2.至少支持串连、旁路部署；
3.支持向导配置，可通过向导进行串联部署和旁路部署模式的快速上线配置，可在向导配置中直接引用防护策略模板，完成快速上线;
4.支持基于802.1q协议的Trunk封装，支持链路聚合功能，可将多条物理链路聚合成一条带宽更高的逻辑链路使用;
5.支持检测恶意活动，包括恶意SSL证书、钓鱼攻击、非法获取权限等；
6.支持静态ARP配置以及动态ARP获取;
7.支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历等；
8.支持网络层DDoS检测，如SYN 、TCP 、UDP、ICMP Flood等攻击检测；支持应用层DDoS检测，如HTTP GET Flood、HTTP POST Flood、DNS请求Flood及DNS缓存投毒等攻击检测；
9.支持在入侵防护日志中，展示cve漏洞相关描述、影响范围、处置建议等信息；
10.支持基于协议识别的防病毒，包括HTTP、FTP、SMTP、IMAP、POP3等类型；
11.支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历等；
12.为保证设备自身的可靠性，要求所投设备支持双机热备功能；
13.支持邮件炸弹检测功能，并能够自定义邮件炸弹阈值、发送频率、连接数、邮件尺寸、收件人数等参数；
14.支持检测Web攻击类攻击，包括注入攻击、跨站脚本、Webshell等；
15.支持弱口令防护功能，针对HTTP、FTP、SMTP、IMAP、POP3等协议，提供弱口令字典匹配、口令强度检测检测方法；
16.攻击特征库可支持本地、FTP服务器升级，同时支持在线更新和自动更新；
17.支持手工备份和自动备份功能，可按每天、每周、每月自定义备份周期，并支持自动清除历史备份数据，保障数据和配置安全性;
18.支持基于Web的在线运维工具，包括Webshell、Ping、tcpdump、traceroute等;
19.支持HTTP、SMTP、DNS、FTP等协议的内容安全防护检测；
20.入侵检测防御系统的入侵防护特征库≥15000条；

4

上网行为管理审计系统

1.1U标准机架式设备；≥4G内存；≥32G MSATA盘，≥1T数据盘；≥4个千兆电口、≥2个千兆光口；网络层吞吐量≥5Gbps，应用层吞吐量≥3Gbps，并发连接数≥160万；至少三年服务。
2.系统内置资产导入规则，支持对导入资产的去重规则选择
3.系统支持自定义资产展示列表项，包括：资产名称、资产类型、资产型号、隶属区域、网段、制造商、操作系统、资产IP、内存容量、负责人、联系电话、邮件地址、厂商电话、资产编号、备注信息、安全组件类型等列表项。点击详情查看资产详情信息。
4.为了处理不同网络的资产具有相同IP的问题，系统支持对于网络和IP地址段的管理。
5.系统支持对IP对象的自动发现功能；支持对自动发现的设备的资产转化或删除。
6.为便于维护记录不同资产类型的个性化资产属性，系统应支持自定义资产属性能力，包括对自定义资产属性的添加、编辑、删除操作。
7.资产自定义属性应具备灵活定义特征，支持以控件可视化配置方式定义资产属性。资产属性控件可选范围应包括但不限于文本控件、文本域控件、下拉控件、时间控件、单选控件、多选控件；同时，支持可视化配置资产自定义属性控件选项内容的数据字典。
8.系统应支持根据运维审计侧重点自定义配置安全事件列表所展示的事件属性列表项，自定义安全事件展示列表项应包括：事件类型、事件类别、事件名称、事件级别、发生源IP、发生源设备、协议、聚合开始时间、聚合结束时间、源IP、目的IP、源端口、目的端口，点击详情查看事件详情和原始日志。
9.支持可视化配置日志聚合策略，支持以单一或组合日志属性作为日志聚合规则。日志聚合属性应包含：事件等级、事件类型、设备种类、设备类型、日志编号、协议、发生源IP、源IP、源端口、目的IP、目的端口、事件名称。
10.为了挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，系统应提供GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的。

5

流量复制汇聚平台

1.支持≥8个千兆电口，≥2个千兆光口，≥6个万兆/千兆光口；≥1个带外管理电口；1个console口； 带LCD；支持硬件拨码开关控制；支持取证模式；双电源；整机吞吐≥80Gbps；至少3年的升级服务。
2.支持物理端口的收发包数量与速率统计；
3.支持基于流量分类规则的复制, 支持同时将报文输出到至少64个输出端口组以支持多个业务后端系统；
4.支持源 MAC、目的 MAC、以太网协议、源 IP、目的 IP、协议类型、源端口、目的端口、TCP Flag、输入接口号,内外层 VLAN ID 等多元组匹配流量过滤规则，并支持 IPv4 和 IPv6；
5.支持逻辑接口的收发包数量与速率统计；
6.支持固定偏移字符串规则；

6

设备质保服务

提供三年质保及升级服务。