1、安全防火墙基本要求准千兆高端硬件设备台1产品架构防火墙必须采用多核处理器硬件架构,1U高度,非X86架构硬件特性要求配置6个可用千兆电口,2个可用千兆光口,配置冗余电源性能及配置要求最大并发连接数250万每秒新建连接数40K64Byte吞吐量1.5Gbps1518Byte吞吐量8GbpsIPSec VPN加密性能1Gbps虚拟防火墙100基本功能包过滤、应用状态检测防火墙支持IPsec VPN、SSL VPN、GRE VPNVPN配置: IPSEC VPN隧道数8000条;SSL VPN并发用户授权500支持多条链路的路由负载均衡支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报
2、文过滤,支持基于源IP、目的IP、MAC、用户、域名、服务、应用、时间段安全策略设置。支持专业的协议库,可对各种P2P协议进行基于用户的细粒度管理和控制,如迅雷、BT、eMule、PPLive、QQLive等支持专业的协议库,对各种网络应用的审计,可按时间、用户行为、源IP、目的IP进行审计支持专业的URL库,基于内容分类的URL访问控制,内置URL过滤特征库100万条以上,支持Web访问的黑、白名单设置支持对IPMAC地址自动探测和唯一性检查支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志,支持流量监控日志,支持二进制格式日志、支持用户行为流日志防火墙必须支持一对一、地址池等N
3、AT方式必须支持多种应用协议,如FTP、H323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能支持策略NAT ALG功能支持策略NAT功能支持应用层过滤,必须支持Java Blocking、ActiveX 过滤,支持FTP协议深度检测,支持FTP命令字过滤,支持URL过滤支持静态路由、RIP v1/2、OSPF、BGP、策略路由等IPV6特性全面兼容支持IPV6协议,保护用户投资需求支持IPV6动态路由协议,应至少支持Ripng、Ospfv3等(需提供产品功能的配置界面截图)部署模式支持二层模式(透明模式)、三层模式(路由和NAT模式)和混合模式资质要求计算
4、机信息系统安全专用产品销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书中国国家信息安全产品认证证书信息安全服务资质证书ROHS环保标准认证证书CE认证证书其他要求为便于管理,要求与安全审计网关、入侵防御系统同一品牌配套管理友好的Web图形界面配置,支持SSH、TELNET、CONSOLE命令行模式配置必须支持网管软件统一网管,支持SNMPv1、SNMPv2C、SNMPv3入侵防御系统基本要求准千兆高端硬件设备台1配置要求固定业务接口数:千兆电口8个,提供4路IPS在线防护扩展槽:扩展槽数量1个,支持4千兆电口模块、4千兆光口模块、8千兆电口模块性能要求吞吐性能300Mbps并发连接数
5、1000000新建连接数20000业务功能指标攻击特征库数量5000集成第三方专业防病毒厂商的专业病毒库,在官方网站有相关声明。病毒特征库数量50000支持的协议识别数量1000支持深入七层的分析检测技术,能检测防范的攻击类型包括:蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等。可以识别迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议;可以识别MSN、QQ、ICQ、Yahoo Messenger等IM应用;可以识别PPLive、PPStream等网络视频应
6、用;可在识别的基础上对这些应用流量进行阻断或限流。支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式。采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。IPS检测到攻击报文或攻击流量后,支持阻断、隔离、Web重定向、限流的响应方式。支持DDoS攻击防御,包括TCP Flood、UDP Flood、ICMP Flood、SYN Flood、DNS ReplyRequest Flood、HTTP Get等攻击种类。支持基于时间、方向、用户IP对网络滥用流量进行限流虚拟IPS支
7、持对不同的网段运用不同的检测策略支持细粒度特征规则设置,可以为单条不同的特征规则设置不同响应方式,包括告警、阻断、隔离、限流、重定向等。网络特性可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文。支持IPV6路由协议,并至少支持静态、Ripng等路由协议(需提供产品功能配置界面截图)部署模式支持在线部署模式(IPS模式)、并同时支持旁路部署模式(IDS模式),两种模式可以同时工作。在线部署时,支持透明部署,即插即用。支持手动、自动升级特征库日志功能提供全面的系统日志、审计日志功能,日志可导出。支持本地存储介质、syslog服务器、远端服务器等多种日志告警保存方式支持实时
8、的攻击日志归并功能,可以根据用户需要,对告警日志执行任意粒度的归并,有效避免告警风暴。能够按照用户需求生成各种风格的统计报表,并可导出报表。支持Syslog日志发送接口。可靠性支持二层回退功能,当检测引擎在极端情况下失效时,设备可回退到二层模式,保证网络连通。支持掉电保护功能,可提供掉电保护装置,保证设备掉电时网络可连通。资质要求计算机信息系统安全专用产品销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书中国国家信息安全产品认证证书RoHS环保标准认证CE认证标准认证安全审计网关基本要求准千兆高端硬件设备台1产品架构配置要求产品必须采用多核处理器硬件架构1U高度,非X86架构配置交流冗
9、余电源6个10/100/1000M自适应电口,2个千兆以太网光口产品性能最大并发连接数100万每秒新建连接数1万并发用户数2000吞吐量1Gbps可靠性支持VRRP、基于状态的双机热备,支持路由模式和透明模式的HA应用协议识别和流量控制支持业务操作人员或业务应用系统对后台相关数据库的操作行为,支持包括,Oracle、DB2、Sybase、Informix、SQL Server、Teradata、MySQL支持对Ftp、Telnet等网络业务行为的审计,能够实现发现各种违规的网络操作,如对通过上述方式对核心服务器、网络路由交换设备的操作进行记录。支持对用户URL访问历史记录的查询审计,包括提供访
10、问的用户名/IP、URL信息、网页标题、访问时间等可识别e-mail:支持Web mail和本地邮箱,支持SMTP、POP3、IMAP4协议识别。支持SMTP/POP3邮件信息审计,包括记录发件人、收件人、抄送人、暗送人、主题、附件名、时间等可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文。支持IPV6路由协议,并至少支持静态、Ripng等路由协议(需提供产品功能配置界面截图)可识别BBS论坛,支持按照Discuz bbs和phpwind bbs分类的BBS论坛可识别企业级桌面应用协议:支持Notes、IMAP、POP、SMTP、FTP、Telnet及Syslog等支
11、持对FTP审计,包括记录登陆用户名、用户IP、服务器IP、操作类型、传输文件名、传输文件附件、访问时间等审计信息可通过Excel倒出、通过邮件直接发送,可按时间、地域、用户名、源/目的IP、动作、类型等进行查询支持对各种业务应用的综合分析、如We服务应用分析、WEB应用行为分析、业务应用行为分析,包括Top N的柱状图、排行列表等协议分析技术采用特征库技术,特征库升级过程无需重启、不能中断业务正常运行,且完成整个升级过程所需时间小于1分钟特征库支持手动升级与自动升级,每月更新不少于2次(需提供产品官方网站特征库更新的网站截图予以证明)可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊
12、封装的网络报文支持IPV6协议的识别与控制,并至少支持IPV6组网下Ripng、Ospfv3路由协议(需提供产品配置功能界面截图)病毒防护集成专业防病毒引擎和特征库,支持特征库升级MAC/IP绑定支持二层和三层环境的MAC/IP绑定Web认证支持本地认证、Radius认证、LDAP认证支持实名制认证应用控制策略支持阻断、限流、告警、输出报表等功能支持基于链路、区域、源/目的IP、IP组、时间、应用等综合任意组合进行控制部署方式支持透明在线模式、网关模式、旁挂模式部署,支持分布式与集中式部署,对于分布式部署,可分权分域与集中管理管理方式支持SNMP管理协议全中文管理界面,支持HTTP、HTTPS
13、登陆WEB界面管理 支持基于串口、Telnet、SSH的命令行管理资质要求计算机信息系统安全专用产品销售许可证涉密信息系统产品检测证书军用信息安全产品认证证书中国国家信息安全产品认证证书升级服务产品配置三年的特征库免费升级服务WEB防篡改系统端口要求采用B/S结构的全中文图形界面的管理中心软件。标配410/100/1000电口;支持2 路防护,最大可扩展至4路防护;支持Bypass功能。系统网络吞吐量不小于2000M。台1产品形态系统采用硬、软件平台,一个管理中心可以同时管理多个网关,并且控制台程序可以脱离网关单独安装;系统采用基于PROXY(透明代理)的工作方式,可对应用层数据进程深层次的分
14、析,以检测出各种非法的访问行为。系统可对管理用户进行权限划分,可针对不同用户进行不同的管理权设置。控制台可以实时监控网关的工作状态,包括CPU、内存、流量等; 系统须同时具备Web应用防火墙功能和网络防火墙功能。Web应用攻击防御策略可以多种针对Web服务器的攻击行为进行检测,包括:SQL注入攻击,Command注入攻击,跨站脚本攻击等。内置Web隐身功能模块,可保证Web应用服务信息(如:操作系统信息、Web服务信息、数据库信息等)不被黑客窃取。内置Cookie防护规则模块,可对Web服务器的Cookie信息进行加密或签名等处理方式防止网站的Cookie信息被黑客利用。产品设计遵循OWASP
15、标准规范,产品内置3000多种Web应用攻击特征,可以对OWASP TOP10的各种Web应用攻击行为进行有效的防御。可对SSL加密会话进行检测、分析,通过控制台导入服务器端证书就可以解密SSL会话并对其进行分析,检测其中的攻击。支持用户对网络安全事件自定义和定制功能,对各种非法网络应用进行定义检测。具备主动防御功能,可对Web请求数据包的各个部分进行检测分析,针对用户请求的数据包,Web防火墙的检测、分析可深入到如下几个方面:IP地址、请求URL、HTTP协议类型、查询参数、HEADER参数、Payload参数等。可以多种用户请求数据参数进行控制,请求限制参数包括:请求URL、查询参数、请求
16、页面扩展参数、请求方法、上传文件参数、浏览器类型,HTTP协议类型等,并允许用户自定义请求限制参数内容。内置安全模型“自学习”引擎,可对用户请求数据以及服务器响应数据进行双向学习,可以基于安全模型设置安全防御规则,以防御各种已知和未知的Web应用攻击。可对多种常见的Web攻击方法进行检测、防御,其所能检测规则事件数3000个。可以对各种所检测的Web应用攻击行为记录详细的检测日志,其所能检测的Web应用攻击包括:SQL注入,Command注入,跨站脚本、恶意代码等。提供对客户端、服务器地址范围进行设置的功能。具备应用层的访问控制功能,可对用户的网站访问行为进行目录级的访问控制。具有防点击滥用功
17、能和QOS可对用户的应用访问次数进行限制,从而可以缓解和抵御应用层拒绝服务攻击。网页防篡改功能要求能够同时支持“内核级实时拒绝篡改 + 篡改时检测篡改恢复”双重机制;确保最终用户不可能访问到被篡改的网页能够保护动态网页脚本,提供实时检测功能,具备防范连续篡改攻击的能力要具备应用层的防WEB漏洞攻击、系统级的防文件篡改、网络层的防ARP欺骗三重功能能够防SQL注入攻击,防XSS跨站攻击,防钓鱼攻击,防批量挂马,防表单绕过等功能支持对SQL注入攻击、XSS(跨站脚本)攻击、钓鱼攻击、批量挂马攻击, 表单绕过的检测与防护;能够同时保护静态网页、脚本、动态网页、数据库、所有类型的文件。Web应用加速功
18、能内置Web应用加速模块,可通过设置缓存和压缩两种Web加速策略实现应用层加速功能。可对Web应用加速模块的工作状态进行实时监控,如:缓存状态,压缩状态,磁盘使用状态等。Web应用审计功能可对用户的Web访问行为记录详细的审计日志,包括:Web防火墙日志,网络防火墙日志和QOS日志等。对于Web应用审计日志进行分类,并支持用户按不同的检测规则进行检索。支持对Web应用审计日志按时间、IP地址、检测类型、风险级别、响应类型、URL等进行检索。支持对可疑的用户访问行为进行实时的行为追踪,并可对规定时间内用户的所有Web访问行为生成审计日志。Web入侵防御规则入侵防御特征库与OWASP标准保持兼容。
19、监控功能监控模块可实时监控网关的工作状态,如:事件检测状态监控,网络流量状态监控,系统工作状态监控等。可以实时监控网关的工作状态,包括CPU、内存、网络流量等;日志管理功能可将报警事件记录到日志数据库中。产品升级可为用户提供规则库升级包,用户可以通过远程方式进行规则库的升级,对于紧急的攻击事件提供实时的升级规则库。产品自身安全性要求提供自身安全审计功能,如:用户登录、各种操作审计,系统进程工作状态审计等。网关与控制台之间采用SSL加密传输。安全认证系统功能要求保证通信双方身份的真实性,内容的安全性、数据的完整性、确认信息的不可抵赖性等安全问题,并具有高安全性、便于扩展、部署灵活、应用支持良好等
20、特点。建设CA和签发证书满足电子签名法的认可、提供有效的数字签名,保证签名的法律效率。套1包含产品WEB安全信息登录系统1套,服务器证书1个,个人证书和个人证书介质USBKEY 20套存储及备份系统基本要求基于新一代Jasper Forest四核处理器的全交换、无阻碍控制器架构 套1功能和配置要求 支持Active-Active的双控制器结构,提供自动Fail_over和Fail_over故障复原。支持ALUA路径冗余技术提供数据传输的最佳路径选择采用SAS2.0协议,满足企业级应用所需的可靠性和可用性;标配锂电池BBU单元,支持UPS主动数据保护技术,避免意外断电对数据完整性的影响;支持RA
21、ID级别0, 1, 1E, 5, 6, 10, 50, 60,专用的RAID6校验芯片,支持1024个LUN支持8Gb FC, 6Gb SAS, 1/10Gb iSCSI主机接口,配置8个8Gb FC主机接口,4个8Gb HBA卡和8个SFP模块支持DDRIII内存,每控制器支持2-8GB内存。3U高度,单机容纳16颗硬盘,最大可扩展到184硬盘,配置10块600G 15KRPM SAS硬盘标配冗余电源、冗余风扇,支持MAID2.0硬盘休眠技术,支持风扇智能调速,产品符合RoHS, WEEE产业环保标准。支持PerfectFlash无宕机系统升级技术,避免停机时间、停机风险支持300GB/45
22、0GB/600GB 15K RPM企业级 SAS磁盘,支持500/1000/2000GB 7.2K RPM 近线SAS硬盘,支持750/1000/1500/2000GB SATAII磁盘,支持SSD硬盘支持Windows NT、Windows 2000/2003、Linux、HP-UX、IBM AIX、Sun Solaris和Netware等操作系统。支持PerfectRAID技术,实现可预见数据迁移,介质巡检,自动重建功能;支持全局、局部热备援磁盘,支持自动后台Raid重建,支持在线容量扩展,及RAID级别在线迁移支持RS232、WebGUI、SANManager 、CLI、SNMP、OPA
23、S管理方式支持USB自动日志和配置信息导出,USB自动软件升级和系统重设的OPAS功能包含支持5台windows或linux服务器,2个数据库(orcle或sql数据库)LAN备份选件资质要求提供原厂商ISO9001认证,磁盘阵列产品通过GJB9000认证,产品通过军用信息安全产品认证。路由器基本要求企业级高端模块化路由器台2配置接口千兆光电接口8个,允许光电复用,扩展插槽4个性能指标转发性能2Mpps。安全特性支持L2TP、IPsec VPN、SSL VPN、GRE、DVPN、NAT/NAPT,PKI,RSA,SSH v1.5/2.0,支持Local认证,Radius,Tacacs。功能特性
24、支持静态路由、 RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS等路由,支持 IGMP,PIM-DM,PIM-SM,MBGP,MSDP等组播路由协议、支持路由策略。支持IPv4和IPv6双协议栈 支持接口备份、冗余热备份协议VRRP,支持多链路基于带宽和用户的负载分担和备份。支持BFD快速链路检测,并能够同RIP、OSPF、BGP、MPLS、VRRP实现联动,以实现路由和链路的快速切换。支持L2 MPLS、L3 MPLS功能支持语音、WLAN、3G功能扩展支持以下方式管理:SNMP V1/V2c/V3,MIB,SYSLOG,RMON,WEB网管,TR069。支持冗余电源。核心交换
25、机基本要求企业级高端模块化路由器台4配置接口千兆光电接口8个,允许光电复用,扩展插槽4个性能指标转发性能2Mpps。安全特性支持L2TP、IPsec VPN、SSL VPN、GRE、DVPN、NAT/NAPT,PKI,RSA,SSH v1.5/2.0,支持Local认证,Radius,Tacacs。功能特性支持静态路由、 RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS等路由,支持 IGMP,PIM-DM,PIM-SM,MBGP,MSDP等组播路由协议、支持路由策略。支持IPv4和IPv6双协议栈 支持接口备份、冗余热备份协议VRRP,支持多链路基于带宽和用户的负载分担和备份。支
26、持BFD快速链路检测,并能够同RIP、OSPF、BGP、MPLS、VRRP实现联动,以实现路由和链路的快速切换。支持L2 MPLS、L3 MPLS功能支持语音、WLAN、3G功能扩展支持以下方式管理:SNMP V1/V2c/V3,MIB,SYSLOG,RMON,WEB网管,TR069。支持冗余电源。基本要求纯千兆高端光口交换机,支持大容量交换网络接口24 个1000Base-X 千兆SFP端口,至少可提供8 个复用的10/100/1000Base-T以太网端口,扩展槽2个,支持万兆接口扩展。性能指标背板容量256Gbps,包转发率96Mpps。安全特性支持用户分级管理和保护、支持IEEE802
27、.1X认证、支持集中MAC地址的认证、支持ARP入侵检测、支持IP原地址保护、支持SSH2.0、支持端口隔离功能特性交换模式:存储转发模式(Store and Forward)堆叠:支持IRF堆叠,最多8台。 端口汇聚:支持通过LACP进行动态端口汇聚,支持手工进行端口汇聚,支持堆叠范围内的跨设备链路汇聚,支持GE端口汇聚,支持10GE端口汇聚,最多32组端口汇聚组,GE汇聚组最多支持8个端口,10GE汇聚组最多4个端口,汇聚的端口必须具有相同的端口类型VLAN: 支持4K个符合IEEE 802.1Q标准的VLAN,支持基于端口的VLAN;支持识别进入端口的流的MAC地址,如果是IP电话流,就会将该端口加入相应的Voice VLANDHCP:支持DHCP Client、DHCP Relay、DHCP Server、DHCP snoopingIP路由:支持静态路由、RIPV1/V2、OSPF、BGP,支持ECMP、支持VRRP 镜像:支持流镜像、支持N:1端口镜像、支持远程端口镜像
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 