上网行为管理产品招标参数
一、性能及配置要求 项目 吞吐速度 并发会话数 转发时延 网络接口 并发用户数 尺寸
二、功能要求 项目 指标 网关模式 网桥模式 旁路模式 部署方式 VLAN支持 多路桥接 WEB管理界面 远程管理 分权限管理 设备管理 具体功能要求 设备必须支持网关模式,以提供路由转发等功能 设备必须支持网桥模式,以透明方式串接在网络中 *设备必须支持旁路模式,在不影响原有网络情况下,实现对用户网络访问行为的审计和部分控制功能 支持Access、Trunk模式;支持Vlan的穿透和终结 *设备必须支持多路桥接功能,即支持网桥模式下至少二个Lan口,二个WAN口的部署方式 *以SSL加密的WEB图形化界面进行设备配置和管理,支持中文/英文界面 支持SSH、Telnet、Web方式远程管理 *支持对设备管理员进行访问权限分级,不同管理员可配置管理不同用户组的各种配置,包括增删用户、权限配置等分级管理。 自动告警 策略故障排查 用户认证方式 用户认证 树形组织结构 AD单点登录
技术要求 100Mbps 300,000 ≤0.1ms 具备至少4个10/100 Base-T 百兆电口 至少一个RS232串口 100-400 标准机架尺寸 *支持对攻击(DOS攻击、ARP欺骗)、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能 提供图形化诊断工具,便于管理员发现错误策略、策略故障等问题 *支持触发式WEB认证(在WEB认证时支持某些IP范围的用户可不通过WEB认证);支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式 用户分组支持树形组织结构,支持组内套组,与客户的实际行政架构蕾西,支持父组、子组等。 *支持无插件的AD单点登录功能 1
AD同步 支持将AD域控服务器上指定的组织结构读取到设备的树形组织结构中,并保持与AD的自动同步 *支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户。 *支持来自指定IP网段的用户自动创建到指定用户组,并同时绑定IP、MAC等。 支持向认证通过的用户显示指定的URL地址或网页,自动重定向到单位的公告通知网站等。 支持创建公用帐户以允许多人同时使用,并支持帐户有效时间 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; *支持跨三层设备的IP-MAC绑定功能 *支持LDAP、AD的单点登录,基于数据包侦听,无需在域控服务器上安装任何插件;支持POP3、PROXY的单点登录 支持给未认证通过用户授予基本网络访问权限(默认组权限、除HTTP外) 支持从LDAP、AD服务器导入帐户信息;支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息 支持通过WEB界面,查看认证后的用户列表和当前在线用户列表信息 支持给未通过/通过认证的用户定向显示指定的公告文件页面 *内置超过千万条预分类的URL库,允许输入新URL地址和创建新分类;支持基于时间段的URL过滤,时间段可自定义 *可过滤通过搜索引擎搜索指定关键字(关键字可定义);*可针对网页正文关键字进行网页过滤; *可过滤用户通过BBS、Webmail、Blog等方式发送带有指定关键字的言论 *支持对SSL加密的钓鱼网站的识别和过滤(提供自主知识产权证明) *支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤(提供自主知识产权证明) 识别和过滤通过HTTP、FTP下载、上传指定类型的文件; *支持对非标准端口FTP传输文件的识别和过滤 可指定后缀的邮件地址通过SMTP发送邮件; 可控制哪些用户可以使用哪些邮箱发送邮件; 可控制用户所发送邮件的附件类型 USB-Key认证 *支持用户采用USB-Key的双因素身份认证 新用户认证功能 认证重定向 公用帐户 IP-MAC绑定 单点登录 认证不通过用户 帐户导入导出 用户认证管理 公告文件显示 URL(网址)过滤 关键字过滤 网页控制功能 反钓鱼网站功能 SSL加密的炒股网站 文件类型过滤 邮件地址限邮件控制功能 制 邮件附件过滤 2
邮件关键字过滤 SSL加密邮箱控制 *可发送含有指定关键字的邮件 *对用户可能使用SSL加密邮箱(如Gmail)的行为进行识别和(提供自主知识产权证明) 可用户使用Webmail; Webmail控制 过滤用户Webmail邮件正文的指定关键字; *记录Webmail邮件正文及附件; 邮件监控 *可监控所有通过Outlook、Foxmail等发送,接收的邮件; *能对外发邮件进行延迟缓存,审计后才发出,且对发送者完全透明;(提供自主知识产权证明) 邮件延迟审计功能 支持根据收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存; 邮件延迟缓存后会自动通知审核人员,并支持在指定时间段未审核后,自动删除邮件或放行邮件 垃圾邮件过滤功能 应用识别规则 策略对象 权限继承 P2P智能识别 Skype识别 P2P识别 应用识别和管理 P2P流媒体识别 支持对接收的邮件进行垃圾邮件过滤 *至少包括17个大类、180种以上的应用识别规则; 不采用过时的IP和端口识别,通过深度内容检测,根据应用特征码进行应用识别; 支持面向策略的上网行为管理;即创建好的策略对象可被多个用户/用户组复用、重用。 父组的权限支持继承给子组,并支持强制继承,即子组无权删除强制继承的策略对象 *支持对加密P2P、版本泛滥的P2P、未来可能出现的P2P进行识别和控制(提供自主知识产权证明) 必须能够彻底识别和封堵Skype的应用 包括:BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、百度下吧、百宝、Gnutella、Foxy、Kugoo等 包括:沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等 包括:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等 包括:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等 包括:大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等 识别规则自定义 *允许管理者根据应用协议特征字段和特征码,手工添加新的应用识别规则,实现个性化封堵 IM识别 网络游戏识别 炒股识别 3
上网控制 IM控制 P2P控制 *可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email等) *可分组、分用户、分时段封堵所有聊天软件 *可分组、分用户、分时段封堵各种P2P工具; 并对加密P2P、版本泛滥的P2P、未来可能出现的P2P提供封堵策略; *识别并禁止使用HTTP、Socks代理; 对HTTP/HTTPS端口中封装的其他协议进行封堵; *可禁止内网用户使用代理软件代理他人上网 支持基于时间段的访问控制策略; 支持对用户的总上网时间的策略; 支持排除IP功能,即用户访问排除IP的行为将不进行控制和监控 *支持复用四条以上Internet线路,多线路间可互为备份、负载均衡、且能够实现流量的智能选路(提供自主知识产权证明) 支持登录控制台即可查看当前流量top 10应用 *针对不同的用户分组、根据应用协议类型进行带宽分配和流量管理 *针对不同用户分组、根据其访问的目标网站类型进行带宽分配和流量管理 *针对不同用户分组、根据其上传下载的文件类型进行带宽分配和流量管理 *支持基于目标IP的带宽通道划分与分配。 支持静态带宽预留策略和动态带宽保证策略 支持为组内每用户进行带宽分配,分配策略包括平均分配和自由竞争 支持根据不同用户分组、不同时间段分别流量管理和带宽分配 *支持WANLAN方向访问行为的流量管理功能 对用户实时会话数进行排名; 可查看指定用户当前具体会话信息; 对用户产生的实时流量,包括上行、下行流量,进行排名和查看; 监控用户的实时连接情况,并能断开指定用户的指定连接; *支持对异常用户进行临时冻结,阻止其网络访问,并能在冻结时间结束后,自动解冻 代理控制 时间 排除IP Internet多线路支持 带宽通道状态实时查看 应用协议流控 网站类型流控 流量控制功能 文件类型流控 基于目标IP的流控 静态/动态带宽分配策略 单用户带宽分配 基于时间段的流控 WAN->LAN的流控 实时会话监控 实时流量监控 实时连接监控 异常用户冻结 监控和审计 4
访问网站监控 网络言论监控 邮件监控 *分组、分用户监控用户访问的网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容 *分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论 分组、分用户监控用户发送、接收的所有邮件包含附件; 支持对Webmail正文及附件的监控和记录 *监控和记录QQ聊天内容,及市面上流行的所有聊天软件的聊天内容,包括:QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等 分组、分用户监控通过FTP上传的文件(和内容)及FTP上传下载行为 监控用户的Telnet行为 可监控用户的其它所有网络行为 支持对管理员的所有操作日志、系统日志的监控和记录 *支持指定用户使用“免审计key”,实现对该用户所有网络访问行为的免监控功能 对特定安全事件支持通过邮件自动告警 *支持审计WAN->LAN方向的应用行为,如FTP,HTTP,Mail等,能审计文件名,文件类型,URL和邮件等。 *统计指定用户在指定时间段内产生的总流量; *统计指定用户在指定时间段,使用指定应用协议产生的流量,如使用BT和大智慧产生的流量进行审计 *统计指定用户在指定时间段内产生的总上网时间; *统计指定用户在指定时间段,使用指定应用协议的上网时间,如使用QQ、网游、大智慧的上网时间 *一个数据中心,支持以WEB方式查看多台网关设备的日志监控数据 支持通过Dkey认证后才能接入数据中心 行为日志支持存储于设备本身; *考虑到设备内置存储空间有限和对性能的影响,必须支持将日志自动转存于第三方日志服务器,且必须以数据库形式存储 日志中心支持通过图形化工具,对日志进行分析、审计、统计、绘图等 日志报表、日志查询结果支持PDF、Excel等格式导出 支持对各种网络监控数据进行报表分析及图形化分析,包括柱状图、饼状图,趋势图等,支持丰富的报表和Excel导出 5
IM监控 FTP监控 Telnet监控 其它网络行为监控 管理员/系统日志记录 免监控功能 自动邮件告警 WAN->LAN的审计 流量审计 时间审计 日志集中管理 日志中心管理 日志中日志审计、报心 表、检索功能 图形化日志审计工具 报表导出 报表分析功能
内容检索 *支持类似百度的搜索工具,实现对海量日志的内容检索; *支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索 *支持将管理者感兴趣的内容检索结果周期性的自动形成报表结果,发送到指定邮箱 *访问互联网时对存在安全隐患的终端设备进行预检测(检测范围包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等),只有满足预设安全要求的终端才允许访问互联网(提供自主知识产权证明) *基于状态检测的防火墙; 主题订阅 终端安全检查功能 终端安全检查 防火墙功能 防火墙规则可基于时间段生效或失效(时间段可由用户定制) 支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能 支持代理内网用户访问Internet 支持SNAT、DNAT、PNAT 支持DHCP功能,为接入用户动态分配IP地址 *支持智能QOS,可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递,保证重要业务 *集成业界知名杀毒引擎; 支持对HTTP、POP3、SMTP、FTP等协议的网络防毒功能; 对RAR,Gzip等压缩包内文件同样提供病毒查杀支持 *不仅防范来自的DOS攻击,对于来自内网的DOS攻击同样能够防御; 侦测出内部发起DOS攻击的客户端,并封堵其访问行为及流量 *支持对用户终端和网关的双向防ARP欺骗功能,抵御ARP欺骗攻击 *支持IPS入侵防御系统,抵御超3000种网络攻击行为 路由功能 防火墙基本功能 代理上网功能 NAT功能 DHCP功能 防火墙QOS功能 网关杀毒功能 网关防毒功能 防DOS攻击功能 防DOS攻击 防ARP欺骗 IPS功能
三、资质要求
防ARP欺骗 IPS功能 *国家涉密信息系统产品检测证书 *国家信息安全认证产品型号证书 产品资质要求 资质要求 厂商资质要求
*销售许可证 *信息安全产品检测中心检验报告 *具有自主知识产权证明 *具有国密办商用密码产品销售许可证 *具有国密办商用密码产品生产定点单位证书 *具有商用密码产品型号证书 6
