[AF1020参数.docxVIP

AF1020参数一、性能及配置要求项目具体功能要求网络接口具备至少4个10/100/1000 Base-T 千兆电口具备至少一个串口并发用户数≥300并发连接300,000吞吐量100MCPU*支持双CPU内存2GBypass功能*支持故障时Bypass功能尺寸标准1U机架二、详细功能要求项目指标具体功能要求部署方式网关模式*支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；混杂模式同时开启支持网关和网桥模式网关管理管理界面支持SSL加密WEB方式管理设备；分级管理*不同用户组的管理权限支持分配给不同管理员；告警管理*支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等；排障工具*提供图形化排障工具，便于管理员排查策略错误等故障；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态*实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态*实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员处理安全事件；防火墙/VPN功能包过滤与状态检测*可以提供静态的包过滤和动态包过滤功能。支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP、L2TP等；传输层协议：TCP、UDP抗攻击特性*支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能。NAT功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、SIP等IPSec VPN功能支持AH、ESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES、国密办算法多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持使用LZO高速压缩算法应用访问控制策略应用识别*支持对600种以上应用、用户名进行识别,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持https(ssl）协议和sangfor vpn（即公共平台的VPN，不包括SSL VPN）数据的识别；支持自定义规则;应用访问策略*可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定威胁检测机制威胁检测引擎*支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测；*支持基于威胁关联分析的检测机制，针对未知威胁进行分析检测IPS漏洞防护防护攻击类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等防护对象分类*漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如“高”、“中”、“低”等。漏洞描述漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护策略制定可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的配置特征库数量*攻击特征库: 2200+ ，并且能够自动或者手动升级防躲避*支持TCP协议的乱序重传、TCP分包处理动作*支持自动拦截、记录日志、上传灰度威胁到“云端”服务器防护Web攻击防护*保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解Web服务隐藏*支持Web网站隐藏，包括HTTP响应报文头和HTTP出错页面的过滤，web响应报文头可自定义策略制定配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号其他应用防护支持FTP隐藏、ftp弱口令防护、telnet弱口令防护访问权限控制支持文件上传服务器过滤、支持指定URL的黑