1、設備指標及參數說明:指標功能參數數量單位備注設備 基本 要求專用的硬件和軟件保障采用專用硬件架構與專用安全操作系統(tǒng)，基于操作系統(tǒng)內核的完全檢測技術；硬件設備可以機架安裝。產品必須為 專業(yè)性WEB應用防火墻硬件設備，而非下一代防火墻UTM類設備集成的 WEB防護功能；硬軟件質保期3年， 需提供廠家質保證明文件1臺硬件模塊化設計硬件采用模塊化設計，可以通過擴展卡來增減業(yè)務接口， 而非軟件WAF端口數量和擴 展能力2U機架式結構；最大配置為26個接口；默認包括2個可插撥的擴展槽和 4個10/100/1000BASE-T 接口和4個SFP插 槽（其中2個SFP+J兆插槽）,2個10/100/1000B

2、ASE-T 接 口（作為HA口和管理口）；MTBF不少于450000小時性能 要求應用層吞吐率3G最大吞吐能力20G并發(fā)TCP話數300萬網絡 部署部署方式無IP純透明模式串聯(lián)部署、旁路監(jiān)測模式部署、負載均衡 模式部署、反向代理模式部署。串聯(lián)部署時防護口不占用 IP地址。串聯(lián)部署時服務器可以看到真實客戶端源IP,而不是WAF的業(yè)務IP地址。網絡適應性支持VLAN劃分，支持多 VLA廊境下trunk的部署。支持虛擬線無論任何網絡環(huán)境可強制數據從一個接口轉發(fā) 到另一個接口。物理接口支持子接口支持鏈路聚合（Channel）部署，提高鏈路帶寬；支持 Trunk 鏈路防護。支持自定義配置網絡接口 MTU

3、雙工模式、雙工模式等屬性。支持靜態(tài)路由及策略路由配置。支持ARP綁定支持靜態(tài)MACfe址表配置支持服務器健康檢查，可以實時監(jiān)測服務器的活躍狀態(tài)； 健康記錄可定期備份支持IPV6協(xié)議。支持IPV6協(xié)議下鄰居指定支持網絡層防火墻功能，支持源IP、源區(qū)域、目的IP、目的區(qū)域等條件的訪問控制。攻擊 防護HTTP豉持支持HTTP/HTTPS占點防護協(xié)議合規(guī)檢查支持請求限制配置通過定義最大請求頭長度、最大content-length 、最大body長度、最大請求行長度、最大 header行長度、最多 cookies 個數、最多 header頭個數、 最大header長度等來對請用戶數據做合規(guī)性檢查。wEB

4、e全防護支持800+條以上的應用層規(guī)則。應能識別和阻斷SQL注入攻擊,Cookie注入攻擊，命令注 入攻擊。應能識別和阻斷跨站腳本（XSS）攻擊。支持webshell等后門上傳防護、支持對中國菜刀等工具對 后門連接的阻斷。支持對appscan、awvs等掃描器的掃描防護支持遠程文件包含、本地文件包含、目錄遍歷、信息泄露 等攻擊防護支持HTTP參數污染攻擊、00截斷、Struts2命令執(zhí)行等常見攻擊防護支持爬蟲防護且用戶可以根據需要可以自定義爬蟲支持暴力登錄防護，用戶可以根據需要配置需要防護暴力 登錄的界面支持盜鏈防護，且支持攻擊源盜鏈例外配置，及目的服務 器URI例外配置。應能識別和阻斷跨站請

5、求偽造 （CSRF）攻擊支持IP黑白名單、URL黑白名單控制。支持對身份證、信用卡、手機電話號碼、座機電話號碼、 郵箱地址等敏感信息做檢查，當檢查到此類數據后可通過 配置特殊字符予以替換隱藏，防止信息泄露。支持對URL編碼、多次編碼等方式繞過 WAF勺編碼方式進 行識別，防止繞過?？蓪ξ募蟼髯隹刂?，包括最多上傳文件數、最大文件上傳大小、可以通過對上傳文件的擴展名、MIME類型及允許請求體編碼類型等做上傳控制?？蓪ξ募鱿螺d控制，包括最大下載文件大小、禁止下載 文件的擴展名、MIME類型等檢測到攻擊后支持阻斷、只檢測等動作且動作為阻斷時用 戶可自定義阻斷頁面。支持URI策略例外，可針對服務器上

6、 URL中的特殊URI地 址做單獨的策略控制。支持自學習建模功能，可以通過學習正常URL參數的長度、參數類型、請求方法等數據特點創(chuàng)建白名單模型，如果參 數違反白名單模型則認為是非法流量直接阻斷。開啟自學 習建模功能后可生成自學習網站參數的自學習結果報告。支持虛擬補丁功能，支持導入appscan、w3af等第三方掃描器的掃描結果生成 WAF勺規(guī)則，對此類網站漏洞直接防 護。可停用或啟用任意一條規(guī)則，當觸發(fā)規(guī)則后可以制定針對 該條規(guī)則的動作，包括阻斷記錄日志、阻斷不記錄日志、 繼續(xù)、警告、臨時或永久跳轉到某一重定向頁面等動作。https證書支持直接將證書內容填充到waf內使用，不用再上傳或者轉換證

7、書使用。支持鏡像監(jiān)聽模式下 HTTPSa量的解析配置易用性可以針對服務器IP地址進行防護，而不需要配置需要防護 的網站域名。支持域名自學習，可以自動學習網絡中網站服務器的IP地址及此地址下的域名。DDoSt擊防護支持基線學習，可以自動學習用戶http正常流量閾值模型， 并給出推薦閾值配置項。對ddos流量支持檢測清洗和強制防御兩種模式，檢測清洗 根據是否到達閾值對流量進行清洗，強制清洗對所有流量 直接進行流量清洗判斷。支持針對每秒包數、每秒新建連接數、每秒并發(fā)連接數對HTTP/HTTPS Flood攻擊做控制配置。支持對客戶端在單位時間內的訪問 URI的次數做控制配置， 防止特定URI路徑被H

8、TTP Flood惡意ddos攻擊訪問消耗 服務器資源導致服務器拒絕服務。支持對SLOW HEADER SLOW POST等慢速ddos攻擊的防 護。支持對HTTP/HTTPS Flood攻擊源的發(fā)包速度、源新建連接 數、源并發(fā)連接數做源限速控制配置，且可以阻斷攻擊或 者將攻擊IP加入黑名單。支持對HTTP/HTTPS Flood攻擊目的服務器的發(fā)包速度、源 新建連接數、源并發(fā)連接數做目的限速控制配置，且可以 阻斷攻擊或者將攻擊IP加入黑名單。支持對HTTP/HTTPS Flood攻擊做重定向或驗證碼驗證，將 異常流量加入黑名單。網頁防篡改網關型網頁防篡改，無需在服務器中安裝任何插件，可以 對

9、動態(tài)網。站及靜態(tài)網站文件內容進行防篡改，當檢測到篡改后可以 實時恢復篡改內容。WEBS洞掃描支持多種 WEB應用漏洞的安全才3描檢測，如 SQL注入、跨 站腳本、目錄遍歷等。支持自定義 WEBS洞掃描任務，支持對需要認證登錄的 web 系統(tǒng)進行漏洞掃描，支持自定義每日、每周、每月等掃描 周期設置。可導出web漏洞掃描報告,報告支 pdf,html,txt,xml等格式導出。負載均衡支持多服務器的負載均衡，支持輪叫、加權輪叫、原地址 散列、最小連接等多種負載均衡算法。能配合現有的負載均衡設備協(xié)同工作，支持任意部署，而 不影響客戶現有拓撲。數據分析網絡數據分析Web界面可以直觀查看 WAFT展卡、

10、接口、USB口、管理口、 HA 口及業(yè)務口的運行狀態(tài)。可以查看使用業(yè)務接口的上下行實時流量。可以查看通過 WAF勺所有IPV4及IPV6客戶端和服務器IP 地址及端口連接數及狀態(tài)?？梢詫崟r查看設備新建連接數、并發(fā)連接數、每秒事務數 及HTTP應用層吞吐率等數據并以可視化的方式展示。設備運行數據分 析可以實時查看設備CPU內存、SSD固態(tài)硬盤等自身使用率 情況。日志報表數據分 析日志支持以syslog和welf兩種格式向遠端日志服務器發(fā) 送日志。日志傳輸可加密，且管理員可以配置加密密碼。支持系統(tǒng)日志、管理員登錄日志、調試日志的記錄流量日志（訪問日志）支持記錄包括時間、客戶端 IP、客戶 端端口、

11、服務器IP、服務器端口、協(xié)議類型、服務器 IP地 址、訪問的URL地址、請求方法、服務器響應、接口及發(fā) 送數據大小等相關信息。攻擊日志支持記錄包括時間、嚴重程度、客戶端IP、客戶端端口、服務器IP、服務器端口、協(xié)議類型、時間類型、 觸發(fā)規(guī)則ID、解決建議、處理動作、攻擊請求頭等相關信 息。支持防篡改日志及抗 DDOS3志的記錄。日志支持多條件與查詢，支持 CSV及XML格式的日志導出， 日志支持清空配置。支持每種攻擊時間類型及次數的統(tǒng)計并以柱狀圖等形式直 觀展現。支持最近一小時、一天、三十天等多種條件內攻擊源IP攻擊次數及攻擊分布TOPN勺統(tǒng)計。系統(tǒng)管理支持SSL的WE酬面、SSH Conso

12、le多種方式管理。支持手工設置時間、本地同步時間、和NTP服務器同步時間。支持ping、 TRACEROUTETCP HTTP DNS等多種故障診斷 方式。支持SNMP勺V1、V2 V3管理，支持SNMP阱主機功能。支持WA壞機DNSM名解析。支持WAFE置文件導入、導出及恢復出廠配置。支持操作系統(tǒng)WE昉式升級及命令行等方式的離線升級。支持規(guī)則庫的在線升級和離線升級。支持攻擊日志短信告警，可以將特定的攻擊類型的攻擊日 志發(fā)送給指定手機接收。支持攻擊日志郵件告警，可以定時將特定攻擊類型的攻擊 日志間隔定一定時間后定時發(fā)送至指定郵箱。支持攻擊報表郵件告警，可以定時將攻擊報表間隔定一定 時間后定時發(fā)

13、送至指定郵箱。告警郵件支持明文傳輸、支持 starttls認證傳輸、支持 ssl的加密傳輸。系統(tǒng)管理賬號及認證管理支持帳號創(chuàng)建、帳號授權、帳號屬性修改、帳號刪除等賬 號管理功能。支持用戶身份認證，用戶切換角色時，必須進行重新認證。支持超時重新認證機制并能夠定義用戶認證嘗試的最大允 許失敗次數。支持賬號策略自定義，支持定義允許最大登錄失敗次數、 密碼錯誤賬號鎖定時間、最大在線管理員數、對其他非法 在線管理員強制下線、防管理員賬號暴力破解。高可 用性雙機熱備支持雙機熱備，主備模式、主主負載均衡模式、連接保護 模式（主主模式下一邊斷了，會話表會同步到另一邊數據不 丟包）。支持兩臺WAFS已置同步。支持同一臺 WAF上下接口X態(tài)聯(lián)動（一個接口 down另外一 個接口也同步down）。兩臺WAFF各由模式接入、兩臺 WAF純透明交換模式接入。硬件Bypass功能支持開機及斷電bypass模式，光口支持外置bypass模塊。資質 要求廠商資質中國信息安全測評中心頒發(fā)的中國國家信息安全漏洞 庫（CNNVD）一級技術支撐單位國家互聯(lián)網應急中心頒發(fā)的網絡安全應急服務支撐單 位-