深信服应用防火墙参数.docx
《深信服应用防火墙参数.docx》由会员分享,可在线阅读,更多相关《深信服应用防火墙参数.docx(10页珍藏版)》请在冰点文库上搜索。
深信服应用防火墙参数
一、性能及配置要求
AF-1320-L对应NS-SecPathU200-A
工程
指标
具体功能要求
接口
电口
具备至少6个10/100/1000Base-T千兆电口
Bypass
*支持故障时Bypass功能〔1路〕
技术
标准
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%〔无凝结状态〕
性能
参数
吞吐量
吞吐量≥1G
VPN连接数
不小于400
并发连接数
不小于40万
新建连接数
*≥15000
延时
<10us
平均无故障时间〔MTBF〕
≥100,000小时
AF-1820-D对应天清汉马USG-2000C
工程
指标
具体功能要求
接口
接口
10个千兆电口
4个千兆光口
Bypass
*支持故障时Bypass功能〔3路〕
技术
标准
安装空间
标准2U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%〔无凝结状态〕
电源
冗余电源
性能
参数
吞吐量
吞吐量≥5G
VPN连接数
不小于1500
并发连接数
不小于80万
新建连接数
*≥60000
延时
<10us
平均无故障时间〔MTBF〕
≥100,000小时
二、详细功能要求
工程
指标
具体功能要求
实时监控
设备资源信息
提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息
联动封锁源IP
*提供实时智能模块间联动封锁的源IP以便实现动态智能平安管理〔需提供截图证明〕
流量状态
实时提供IP流量、应用流量排名、流量管理状态、DHCP状态、在线用户管理
防火墙/VPN功能
包过滤与状态检测
提供静态的包过滤与动态包过滤功能;支持的应用层报文过滤,包括:
应用层协议:
、SMTP、RTSP、H.323〔Q.931,H.245,RTP/RTCP〕、SQLNET、MMS、PPTP等;传输层协议:
TCP、UDP
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态与动态黑名单功能、MAC与IP绑定功能
NAT功能
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址与目的地址同时转换、外部网络主机访问内部效劳器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NATALG,包括DNS、、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
支持各种NAT网络环境下的VPN组网
支持第三方标准IPSecVPN进展对接
*总部与分支有多条线路,可在线路间一一进展IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进展带宽叠加、按包或会话进展流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略〔提供自主知识产权证明〕
IPS入侵防护
特征库数量
漏洞特征库:
2500+,并且能够自动或者手动升级
特征库信息
*必须是微软“MAPP〞方案会员,特征库必须获得CVE“兼容性认证证书〞〔需提供截图证明〕
防护类型
包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/IPS逃逸攻击等
防护对象
*漏洞分为保护效劳器与保护客户端两大类,便于策略部署〔需提供截图证明〕
处理动作“云联动“
*支持自动拦截、记录日志、上传灰度威胁到“云端〞〔需提供截图证明〕
效劳器防护*
Web应用防护识别库
*支持web攻击特征数量1000+〔需提供截图证明〕
Web效劳隐藏
*支持Web网站隐藏,包括响应报文头出错页面的过滤,web响应报文头可自定义〔需提供截图证明〕
FTP效劳隐藏
*支持FTP效劳应用信息隐藏包括:
效劳器信息、软件版本信息等
Web攻击防护
*支持OWASP定义10大web平安威胁,保护效劳器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解〔需提供截图证明〕
网站扫描防护
支持web站点扫描、web站点构造扫描、漏洞扫描等扫描防护
策略制定
配置选项:
可设置源、目的区域、目的IP与端口号,端口号支持设置Web应用、、telnet、ssh效劳的端口号
文件上传过滤
*严格控制上传文件类型,检查文件头的特征码防止有平安隐患的文件上传至效劳器,并支持结合病毒防护、插件过滤等功能检查文件平安性
其他应用防护
*ftp弱口令防护、telnet弱口令防护
敏感信息防泄漏*
可定义的敏感信息
内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等
敏感信息检测
支持正常访问连接中非法敏感信息的外泄操作
漏洞风险评估
*支持效劳器、客户端的漏洞风险评估功能
弱口令扫描
*支持、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描
智能策略联动
*风险评估可以实现与FW、IPS、效劳器防护模块的智能策略联动,自动生成策略〔需提供截图证明〕
网页篡改防护*
网关型网页防篡改
*支持网关型网页防篡改,无需在效劳器中安装任何插件
篡改实时检查
支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站平安
动态网页/静态网页支持
*全面保护网站的静态网页与动态网页,支持网页的自动发布、篡改检测、应用保护、警告与自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的平安,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改
业务管理与平安管理别离
*支持提供管理员业务操作界面与网管管理界面别离功能,方便业务人员更新网站内容
篡改防护效果
*支持通过替换、重定向等技术手段,防护篡改页面
病毒防护
病毒引擎
基于流引擎查毒技术,可以针对、、POP3等协议进展查杀
防护类型
*能实时查杀大量文件型、网络型与混合型等各类病毒;并采用新一代虚拟脱壳与行为判断技术,准确查杀各种变种病毒、未知病毒
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作〔需提供截图证明〕
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB平安防护
URL过滤
*对用户web行为进展过滤,保护用户免受攻击;支持只过滤GET、POST、S等应用行为;并进展阻断与记录日志
文件类型过滤
*支持针对上传、下载等操作进展文件过滤;支持自定义文件类型进展过滤;支持基于时间表的策略制定;支持的处理动作包括:
阻断与记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单与合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
*支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等
理网关管
管理界面
支持SSL加密WEB方式管理设备
告警管理
支持攻击、病毒、效劳器入侵、访问行为记录、内容过滤事件、系统日志告警等
排障工具
*提供图形化排障工具,便于管理员排查策略错误等故障
理日志管
数据中心
*设备必须支持内/外置数据中心
风险评估报表
*提供端口、效劳、漏洞、弱密码等平安风险评估报表〔需提供截图证明〕
平安日志
必须支持将应用的受攻击对象进展统计排行与报表输出,支持按照行为次数与应用的排行统计各攻击类型名称;支持各种攻击类型的报表输出与统计;
平安趋势报表
*提供可定义时间内平安趋势分析报表
平安统计报表
*支持自定义统计指定IP/用户组/用户/应用在指定时间段内的效劳器平安风险、终端平安风险、上网行为、网络流量等内容,并形成报表
病毒信息统计
*必须支持将内网可能中毒的用户进展统计排行与报表输出,支持按照行为次数与用户数的排行统计各新增病毒名称,支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行
报表订阅
*支持将统计/趋势/查询等报表自动发送到指定邮箱
报表导出
*支持导出统计/趋势/查询等报表,包括Excel、PDF等格式
三、其他要求
效劳
效劳机构
要求
*必须在用户所在地或用户所在的省会城市有厂家直属的售后效劳机构
厂商资质
厂商资质要求
*设备生产厂商注册资本大于5000万
*售后效劳体系通过ISO9001认证
*国家级高新技术企业证书
*具有CVE兼容性认证证书
产品资质
产品资质要求
计算机软件著作权登记证书
计算机信息系统平安专用产品销售许可证
ISCCC中国国家信息平安产品认证证书