名称

信创IPS设备（入侵防御设备）

数量

3台

指标项

主要技术参数及功能要求

硬件要求

设备应为独立IPS硬件设备，全内置封闭式结构，标准2U机架式硬件，配备交流冗余电源，固态硬盘≥256G，机械硬盘≥2T，5*扩展槽位，配备千兆电口≥4个（支持Bypass）、千兆光口≥4个（配备4个千兆多模模块）、万兆光口≥4个（支持光Bypass卡-4路Bypass，配备4个万兆多模模块），2*USB接口，1*RJ45串口，2*千兆电口(管理*1,热备*1）。产品须支持国产化操作系统和CPU。

性能要求

网络层吞吐≥80G；应用层吞吐≥20G；最大并发TCP数量≥1500万；每秒新增TCP数量≥50万。须提供具有CMA 或CNAS标志国家认可的检测机构出具的测试报告。

功能参数

1.系统攻击特征库数量不少于15000+条；提供具有CMA 或CNAS标志国家认可的检测机构出具的测试报告。

2.产品应提供入侵规则分类，帮助更便捷的制定防护策略。包括代码执行、溢出攻击、目录遍历、上传漏洞、文件包含、文件删除、文件下载、SQL注入、跨站脚本注入、XML注入、webshell、跨站请求伪造、内存破坏、重定向漏洞、拒绝服务、木马、僵尸网络、蠕虫病毒、后门、勒索软件、攻击工具、权限提升、未授权访问、释放后重用、绕过漏洞、逻辑漏洞、暴力猜测、规避攻击、弱加密、弱密码、flood攻击、中间人攻击、欺骗攻击、劫持攻击、双重释放、DNS污染、钓鱼、系统服务扫描、端口扫描、配置不当、事件监控、挖矿病毒、读写越界、空指针引用、类型混淆、反序列化、信息泄露等分类内容。

3.规则应支持按CVE、CNNVD、CWE、Bugtraq关联进行查询和筛选；须提供相关证明演示和截图证明。

4.产品应提供入侵行为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则。支持以下自定义：名称、级别、匹配范围、协议类型、协议号、包长度、正则表达式关键字。至少支持IPTCPUDPHTTPPOP3SMTPFTP协议的规则自定义。

5.产品应能够有效抵御SQL注入、XSS注入、webshell等多种常见的应用层安全威胁，并可配置白名单。

6.产品应支持Telnet、SSH、SMB、FTP、RDP、POP3、SMTP、IMAP、HTTP、数据库、XSS扫描、SQL注入、DHCP 限制、VNC等协议的暴力猜测防护，支持检测阈值自定义。

7.产品应提供丰富的响应方式，包括：告警、阻断、封禁、调试抓包等。

8.产品应支持多种抗逃避或欺骗检测技术，能检测出的躲避行为包括但不限于：IP数据包乱序分片、TCP报文乱序分段、RPC分片分段、SMB分片分段、FTP无效命令混淆、HTTP响应消息异常、HTML文件内容多种字符编码混淆、数据流分隔、 协议端口重定位、URL混淆、shell 代码变形等。

9.可通过各种统计分析自行选择呈现当前整体威胁状态：如威胁事件级别分布、入侵事件-攻击类别分布、攻击类别趋势、TOP入侵事件目的IP、入侵事件发生趋势等等，支持TOP5、10展示。

10.状态分布支持对威胁事件分布、入侵事件-攻击类别分布、入侵事件-攻击类别趋势、TOP入侵事件、TOP入侵事件目的IP、TOP入侵事件源IP、TOP源IP地理分布等威胁事件的下钻分析，点击对应的威胁事件可下钻到对应日志分类查看威胁事件的详细信息，须提供相关证明演示和截图证明。

11.产品应支持对挖矿行为进行防护，并可将产生的挖矿行为生成日志，可通过源地址和目的地地址和信誉等级进行查询，可展示挖矿日志的威胁类型、挖矿值及协议等。须提供相关证明演示和截图证明。

12.支持对源安全区、目的安全区、IP地址、用户、时间段、动作维度等进行安全检测策略的配置。

13. 支持一体化策略导入导出、启用禁用。须提供相关证明演示和截图证明。

14.通过X-Forwarded-For、X-Real-IP、Cdn-Src-IP来识别通过HTTP代理或负载均衡方式连接到Web服务的客户端最原始的IP地址，并可自定义X-Forwarded-For、X-Real-IP、Cdn-Src-IP三个字段的识别优先级顺序。须提供相关证明演示和截图证明。

15.产品应具备实时的日志归并功能，可以根据用户需要，按照告警事件的源/目的IP、事件类型等信息，对告警日志执行归并，有效抵御告警风暴。须提供相关证明演示和截图证明。

16. 设备能够向至少5个SYSLOG服务器成功发送日志，支持选择外发的日志类型，并支持修改日志字段、发送格式(连接符和间隔符)等，编码需支持采UTF-8。须提供相关证明演示和具有CMA 或CNAS标志国家认可的检测机构出具的测试报告。

17.支持手动添加非法域名到黑名单的功能、须提供厂商专业积累的 DNS 黑名单库，不少于5万条，提供厂商专业积累的预置白名单库，可在流量较大时启用白名单;支持DGA域名检测，支持DGA本地、远程升级方式，通过启动DGA域名测,可将DGA检测到的 DNS安全事件进行告警。支持 DNS SinkHole。须提供具有CMA 或CNAS标志国家认可的检测机构出具的测试报告。

18．支持 HTTP 协议自适应解码、URL解码、UTF7解码、base64解码、XML 解码、Unicode 解码十六进制转换、CHR 解码、UTF-7解码，支持解析7层以上混合编解码能力，可实现对多层编码攻击的检测，支持格式文本解析 JSON 解析、html 解析、multipart 解析。须提供具有CMA 或CNAS标志国家认可的检测机构出具的测试报告。

类型

信创WAF设备（Web应用防火墙）

数量

3台

硬件要求

设备应为独立WAF硬件设备，全内置封闭式结构，标准2U机架式设备，电源配置双电冗余800W；内存≥128G，固态硬盘≥256G，机械硬盘≥2T；接口：2个USB接口，1个RJ45串口，1个MGT口+1个HA口，≥4个业务电口（带BP卡），≥4个万兆光口多模（带BP卡+光模块），≥1个网卡扩展槽位（支持千兆、万兆网卡）；网络层吞吐量≥40Gbps，应用层吞吐量≥18Gbps，QPS≥6W，并发连接数≥250W。产品须支持国产化操作系统和CPU。

指标项

主要技术参数及功能要求

功能要求

1.支持透明桥、透明代理、反向代理、路由代理、流量镜像等多种硬件模式，适配更多业务场景；

2.支持为同一个业务配置多个监听的IP、端口和域名，满足业务多样化的访问需求，支持基于路径的转发与防护策略配置，可将同域名下不同路径请求转发到后端不同服务器，并可配置不同的防护策略，便于安全管理员精细化管理；

3.支持对后端业务自负载，支持5种及以上负载算法，可通过IP或主机名将Web流量转发到多个业务服务器，同时支持将Web流量重定向到其它服务器或响应特定内容。负载算法至少支持加权轮询法、最小连接数法、源地址哈肴法、会话保持、一致性哈希法，其中会话保持算法需要支持配置cookie的保持时间（提供相关截图证明并加盖厂商公章）；

4.拥有多种源IP获取方式，可从Socket、X-Forwarded-For的任意层中或自定义配置HTTP头任意值获取源IP，包括IPV6。支持自定义信任白名单，并从 Socket 和 X-Forwarded-For 中获取最后一层不在白名单中的IP作为攻击者IP；

5.具备HTTP/1.X、HTTP/2和HTTPS报文解码能力，可对攻击者编码绕过行为进行有效识别。解码能力包括但不限于：Base64解码、斜杠反转义、UTF-7解码、XML解析、16进制转换、URL解码、PHP序列化对象解析、Base64(RFC 2045)解码、二进制解码、换行分割等不少于10种。能对10层的嵌套编码绕过行为进行有效检测与防护（提供相关截图证明并加盖厂商公章）；

6.无需规则配置，可通过语义分析技术识别OWASP TOP 10所公布的WEB应用程序安全风险，如SQL注入、XSS、PHP反序列化、Java反序列化、PHP代码注入、Java代码注入、命令注入、CSRF、SSRF、ASP代码注入、模版注入、文件包含、文件上传等13种常见攻击类型，可根据攻击语法特征，智能生成攻击威胁等级（提供语义分析技术相关专利和相关配置截图证明并加盖厂商公章）；

7.检测引擎支持自动区分注入型/非注入型攻击，可自动放行非注入型SQL、XSS等，避免业务请求包含完整SQL语言从而导致WAF大量误报（提供相关截图证明并加盖厂商公章）；

8.支持对性质可疑的复杂攻击进行多维度关联攻击验证，支持同一时刻平行检查，可对攻击按照规则进行穷举遍历匹配，并在攻击检测日志中完整记录请求命中的所有攻击检测信息，有效阻止多阶段、隐匿性Web攻击；

9.可结合业务需求，设定各种业务层面的安全防护策略，为业务系统提供更加细粒度防护，支持基于Session、请求体中任意key长度等不少于30个匹配特征进行规则配置，并可对特征进行任意“与”、“或”关系的自由、嵌套组合，如“（A或B）与（C或D与E）与 F”；满足复杂业务场景下的攻击防护需求；

10.支持自定义规则检测前对请求进行解码，解码类型包括：Base64解码、十六进制解码等不少于5种，可根据业务系统编码类型进行配置，快速实现新爆发漏洞的防护；支持对自定义规则匹配优先级进行调整并可按永久、定时和周期定义规则生效时间；

11.支持基于自定义条件进行频率控制，限制条件包括但不限于命中防护规则、告警日志等级、告警日志类型等，限制条件可以自由组合。限制对象包括但不限于IP、Session和用户指纹，限制方式包括但不限于有限时间黑名单、无限时间黑名单、有限时间内访问次数限制。支持针对不同的CC规则配置不同拦截状态码和拦截页面，当状态码为3xx时支持设置重定向地址（提供相关截图证明并加盖厂商公章）；

12.支持检测模块加白功能，能够自定义用户IP、Session、UA、响应内容等不少于30项特征，对任意域名进行任意检测模块Bypass；

13.支持WAF能力原子化可编排，支持可视化显示WAF检测流程，可在不同的检测点直接插入业务规则，可按照业务场景自动调整检测流程，满足业务差异化防护需求（提供相关截图证明并加盖厂商公章）；

14.支持告警日志中自动提取攻击payload，并可自动解码明文展示，帮助安全人员快速定位攻击；

15.攻击检测日志拥有丰富的筛选条件，并支持筛选规则保存为筛选历史，下次查询可直接选择已保存的筛选规则或在筛选历史中点击历史筛选条件进行日志查询，便于安全人员快速筛选关注日志信息（提供相关截图证明并加盖厂商公章）；

16.支持自动汇聚相关攻击事件，将同一来源、相同类型、命中规则的攻击自动汇聚成一条告警数据，并显示攻击次数，聚合条件不少于4种。便于安全人员快速锁定大范围攻击发生的时间节点及攻击源；

17.支持误报消除功能，可在日志告警界面一键添加例外白名单，自动在后续检测中消除同类型误报，避免人为输入错误；支持一键拉黑功能，可在日志告警界面对访问源如：IP、Session等拉入黑名单，系统将后续自动阻断或限制访问源访问；

18.为保证业务连续性，要求转发引擎基于业内成熟的nginx技术栈进行开发实现；支持对记录并存储全量访问日志，并可通过Syslog外发，便于安全管理员分析异常事件（提供相关截图证明并加盖厂商公章）；

19.支持防护状态总览，能够快速统计全局请求次数、攻击次数、拦截次数、攻击者地理位置分布、攻击类型分布、攻击源IP排名、被攻击站点排名、攻击量变化趋势。支持自定义时间范围，支持快速定位最近1小时、2小时、6小时、12小时、24小时、48小时、一周内、一月内的统计信息；

20.支持全功能接口Open API，可实现全功能的远程调用，可快速融入企业整体安全架构；

21.支持实时防护状态监控，实时上报设备的每秒检测数、平均检测耗时，转发节点每秒新建连接数、平均处理延迟和并发连接数，并可图形化展示；

22.系统支持通过邮件、Syslog、kafka、钉钉/企微/飞书等方式同步告警信息，告警内容包括但不限于：系统状态、安全事件和操作信息等，并可自定义编辑具体告警日志信息（提供相关截图证明并加盖厂商公章）；

23.在透明桥模式下，无需配置防护域名，上架即可自动接入流量进行安全防护；旁路流量镜像模式下，支持流量镜像阻断功能，按照实际防护监测选择是否开启流量阻断；

24.支持一键生成并可导出WAF管理平台安全基线检查报告，动态检查WAF管理平台的安全合规性，检查内容至少应包含：密码强度、会话超时、账号锁定、口令存储方式等，保证WAF管理平台自身满足合规要求；

25.无需定制，产品支持SSH协议通过二次认证的方式，登录产品底层系统，方便巡检、问题排查，提供产品截图及配置过程并加盖原厂公章；

26.透明代理模式下支持WAF到后端业务应用的链接复用，不改变原始请求包的源IP、源MAC、目的IP、目的MAC等信息；

27.支持自定义拦截状态码和阻断页面，可以根据不同的状态码响应不同的阻断页面，响应码如：502、503、504、408、413、400等，当状态码为3xx时支持设置重定向地址，便于安全人员基于业务场景精细化配置拦截页面；

28.支持告警日志展示详细记录，包含事件时间、被攻击的服务、URL、Host端口、源IP、源端口、目的IP、目的端口、响应码、检测时长、响应时间、详细HTTP请求头、请求参数、响应头、响应参数等信息；支持日志使用Syslog、Email等方式进行输出。