安全.docx
《安全.docx》由会员分享,可在线阅读,更多相关《安全.docx(39页珍藏版)》请在冰点文库上搜索。
安全
防火墙
基本要求
准千兆高端硬件设备
台
1
产品架构
防火墙必须采用多核处理器硬件架构,1U高度,非X86架构
硬件特性要求
配置≥6个可用千兆电口,≥2个可用千兆光口,
配置冗余电源
性能及配置要求
最大并发连接数≥250万
每秒新建连接数≥40K
64Byte吞吐量≥1.5Gbps
1518Byte吞吐量≥8Gbps
IPSecVPN加密性能≥1Gbps
虚拟防火墙≥100
基本功能
包过滤、应用状态检测防火墙
支持IPsecVPN、SSLVPN、GREVPN
VPN配置:
IPSECVPN隧道数≥8000条;SSLVPN并发用户授权≥500
支持多条链路的路由负载均衡
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持基于源IP、目的IP、MAC、用户、域名、服务、应用、时间段安全策略设置。
支持专业的协议库,可对各种P2P协议进行基于用户的细粒度管理和控制,如迅雷、BT、eMule、PPLive、QQLive等
支持专业的协议库,对各种网络应用的审计,可按时间、用户行为、源IP、目的IP进行审计
支持专业的URL库,基于内容分类的URL访问控制,内置URL过滤特征库100万条以上,支持Web访问的黑、白名单设置
支持对IP/MAC地址自动探测和唯一性检查
支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志,支持流量监控日志,支持二进制格式日志、支持用户行为流日志
防火墙必须支持一对一、地址池等NAT方式
必须支持多种应用协议,如FTP、H323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT的NATALG功能
支持策略NATALG功能
支持策略NAT功能
支持应用层过滤,必须支持JavaBlocking、ActiveX过滤,支持FTP协议深度检测,支持FTP命令字过滤,支持URL过滤
支持静态路由、RIPv1/2、OSPF、BGP、策略路由等
IPV6特性
全面兼容支持IPV6协议,保护用户投资需求
支持IPV6动态路由协议,应至少支持Ripng、Ospfv3等(需提供产品功能的配置界面截图)
部署模式
支持二层模式(透明模式)、三层模式(路由和NAT模式)和混合模式
资质要求
《计算机信息系统安全专用产品销售许可证》
《涉密信息系统产品检测证书》
《军用信息安全产品认证证书》
《中国国家信息安全产品认证证书》
《信息安全服务资质证书》
《ROHS环保标准认证证书》
《CE认证证书》
其他要求
为便于管理,要求与安全审计网关、入侵防御系统同一品牌
配套管理
友好的Web图形界面配置,支持SSH、、TELNET、CONSOLE命令行模式配置
必须支持网管软件统一网管,支持SNMPv1、SNMPv2C、SNMPv3
入侵防御系统
基本要求
准千兆高端硬件设备
台
1
配置要求
固定业务接口数:
千兆电口≥8个,提供≥4路IPS在线防护
扩展槽:
扩展槽数量≥1个,支持4千兆电口模块、4千兆光口模块、8千兆电口模块
性能要求
吞吐性能≥300Mbps
并发连接数≥1000000
新建连接数≥20000
业务功能指标
攻击特征库数量≥5000
集成第三方专业防病毒厂商的专业病毒库,在官方网站有相关声明。
病毒特征库数量≥50000
支持的协议识别数量≥1000
支持深入七层的分析检测技术,能检测防范的攻击类型包括:
蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等。
可以识别迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议;可以识别MSN、QQ、ICQ、YahooMessenger等IM应用;可以识别PPLive、PPStream等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流。
支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式。
采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。
IPS检测到攻击报文或攻击流量后,支持阻断、隔离、Web重定向、限流的响应方式。
支持DDoS攻击防御,包括TCPFlood、UDPFlood、ICMPFlood、SYNFlood、DNSReply\RequestFlood、HTTPGet等攻击种类。
支持基于时间、方向、用户IP对网络滥用流量进行限流
虚拟IPS
支持对不同的网段运用不同的检测策略
支持细粒度特征规则设置,可以为单条不同的特征规则设置不同响应方式,包括告警、阻断、隔离、限流、重定向等。
网络特性
可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文。
支持IPV6路由协议,并至少支持静态、Ripng等路由协议(需提供产品功能配置界面截图)
部署模式
支持在线部署模式(IPS模式)、并同时支持旁路部署模式(IDS模式),两种模式可以同时工作。
在线部署时,支持透明部署,即插即用。
支持手动、自动升级特征库
日志功能
提供全面的系统日志、审计日志功能,日志可导出。
支持本地存储介质、syslog服务器、远端服务器等多种日志告警保存方式
支持实时的攻击日志归并功能,可以根据用户需要,对告警日志执行任意粒度的归并,有效避免告警风暴。
能够按照用户需求生成各种风格的统计报表,并可导出报表。
支持Syslog日志发送接口。
可靠性
支持二层回退功能,当检测引擎在极端情况下失效时,设备可回退到二层模式,保证网络连通。
支持掉电保护功能,可提供掉电保护装置,保证设备掉电时网络可连通。
资质要求
《计算机信息系统安全专用产品销售许可证》
《涉密信息系统产品检测证书》
《军用信息安全产品认证证书》
《中国国家信息安全产品认证证书》
《RoHS环保标准认证》
《CE认证》标准认证
安全审计网关
基本要求
准千兆高端硬件设备
台
1
产品架构
配置要求
产品必须采用多核处理器硬件架构1U高度,非X86架构
配置交流冗余电源
≥6个10/100/1000M自适应电口,≥2个千兆以太网光口
产品性能
最大并发连接数≥100万
每秒新建连接数≥1万
并发用户数≥2000
吞吐量≥1Gbps
可靠性
支持VRRP、基于状态的双机热备,支持路由模式和透明模式的HA
应用协议识别和流量控制
支持业务操作人员或业务应用系统对后台相关数据库的操作行为,支持包括,Oracle、DB2、Sybase、Informix、SQLServer、Teradata、MySQL
支持对Ftp、Telnet等网络业务行为的审计,能够实现发现各种违规的网络操作,如对通过上述方式对核心服务器、网络路由交换设备的操作进行记录。
支持对用户URL访问历史记录的查询审计,包括提供访问的用户名/IP、URL信息、网页标题、访问时间等
可识别e-mail:
支持Webmail和本地邮箱,支持SMTP、POP3、IMAP4协议识别。
支持SMTP/POP3邮件信息审计,包括记录发件人、收件人、抄送人、暗送人、主题、附件名、时间等
可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文。
支持IPV6路由协议,并至少支持静态、Ripng等路由协议(需提供产品功能配置界面截图)
可识别BBS论坛,支持按照Discuzbbs和phpwindbbs分类的BBS论坛
可识别企业级桌面应用协议:
支持Notes、IMAP、POP、SMTP、FTP、Telnet及Syslog等
支持对FTP审计,包括记录登陆用户名、用户IP、服务器IP、操作类型、传输文件名、传输文件附件、访问时间等
审计信息可通过Excel倒出、通过邮件直接发送,可按时间、地域、用户名、源/目的IP、动作、类型等进行查询
支持对各种业务应用的综合分析、如We服务应用分析、WEB应用行为分析、业务应用行为分析,包括TopN的柱状图、排行列表等
协议分析技术
采用特征库技术,特征库升级过程无需重启、不能中断业务正常运行,且完成整个升级过程所需时间小于1分钟
特征库支持手动升级与自动升级,每月更新不少于2次(需提供产品官方网站特征库更新的网站截图予以证明)
可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文
支持IPV6协议的识别与控制,并至少支持IPV6组网下Ripng、Ospfv3路由协议(需提供产品配置功能界面截图)
病毒防护
集成专业防病毒引擎和特征库,支持特征库升级
MAC/IP绑定
支持二层和三层环境的MAC/IP绑定
Web认证
支持本地认证、Radius认证、LDAP认证
支持实名制认证
应用控制策略
支持阻断、限流、告警、输出报表等功能
支持基于链路、区域、源/目的IP、IP组、时间、应用等综合任意组合进行控制
部署方式
支持透明在线模式、网关模式、旁挂模式部署,支持分布式与集中式部署,对于分布式部署,可分权分域与集中管理
管理方式
支持SNMP管理协议
全中文管理界面,支持HTTP、HTTPS登陆WEB界面管理
支持基于串口、Telnet、SSH的命令行管理
资质要求
《计算机信息系统安全专用产品销售许可证》
《涉密信息系统产品检测证书》
《军用信息安全产品认证证书》
《中国国家信息安全产品认证证书》
升级服务
产品配置三年的特征库免费升级服务
WEB防篡改系统
端口要求
采用B/S结构的全中文图形界面的管理中心软件。
标配410/100/1000电口;支持2路防护,最大可扩展至4路防护;支持Bypass功能。
系统网络吞吐量不小于2000M。
台
1
产品形态
系统采用硬、软件平台,一个管理中心可以同时管理多个网关,并且控制台程序可以脱离网关单独安装;
系统采用基于PROXY(透明代理)的工作方式,可对应用层数据进程深层次的分析,以检测出各种非法的访问行为。
系统可对管理用户进行权限划分,可针对不同用户进行不同的管理权设置。
控制台可以实时监控网关的工作状态,包括CPU、内存、流量等;
系统须同时具备Web应用防火墙功能和网络防火墙功能。
Web应用攻击防御策略
可以多种针对Web服务器的攻击行为进行检测,包括:
SQL注入攻击,Command注入攻击,跨站脚本攻击等。
内置Web隐身功能模块,可保证Web应用服务信息(如:
操作系统信息、Web服务信息、数据库信息等)不被黑客窃取。
内置Cookie防护规则模块,可对Web服务器的Cookie信息进行加密或签名等处理方式防止网站的Cookie信息被黑客利用。
产品设计遵循OWASP标准规范,产品内置3000多种Web应用攻击特征,可以对OWASPTOP10的各种Web应用攻击行为进行有效的防御。
可对SSL加密会话进行检测、分析,通过控制台导入服务器端证书就可以解密SSL会话并对其进行分析,检测其中的攻击。
支持用户对网络安全事件自定义和定制功能,对各种非法网络应用进行定义检测。
具备主动防御功能,可对Web请求数据包的各个部分进行检测分析,针对用户请求的数据包,Web防火墙的检测、分析可深入到如下几个方面:
IP地址、请求URL、HTTP协议类型、查询参数、HEADER参数、Payload参数等。
可以多种用户请求数据参数进行控制,请求限制参数包括:
请求URL、查询参数、请求页面扩展参数、请求方法、上传文件参数、浏览器类型,HTTP协议类型等,并允许用户自定义请求限制参数内容。
内置安全模型“自学习”引擎,可对用户请求数据以及服务器响应数据进行双向学习,可以基于安全模型设置安全防御规则,以防御各种已知和未知的Web应用攻击。
可对多种常见的Web攻击方法进行检测、防御,其所能检测规则事件数>3000个。
可以对各种所检测的Web应用攻击行为记录详细的检测日志,其所能检测的Web应用攻击包括:
SQL注入,Command注入,跨站脚本、恶意代码等。
提供对客户端、服务器地址范围进行设置的功能。
具备应用层的访问控制功能,可对用户的网站访问行为进行目录级的访问控制。
具有防点击滥用功能和QOS可对用户的应用访问次数进行限制,从而可以缓解和抵御应用层拒绝服务攻击。
网页防篡改功能
要求能够同时支持“内核级实时拒绝篡改+篡改时检测篡改恢复”双重机制;确保最终用户不可能访问到被篡改的网页
能够保护动态网页脚本,提供实时检测功能,具备防范连续篡改攻击的能力
要具备应用层的防WEB漏洞攻击、系统级的防文件篡改、网络层的防ARP欺骗三重功能
能够防SQL注入攻击,防XSS跨站攻击,防钓鱼攻击,防批量挂马,防表单绕过等功能
支持对SQL注入攻击、XSS(跨站脚本)攻击、钓鱼攻击、批量挂马攻击,表单绕过的检测与防护;
能够同时保护静态网页、脚本、动态网页、数据库、所有类型的文件。
Web应用加速功能
内置Web应用加速模块,可通过设置缓存和压缩两种Web加速策略实现应用层加速功能。
可对Web应用加速模块的工作状态进行实时监控,如:
缓存状态,压缩状态,磁盘使用状态等。
Web应用审计功能
可对用户的Web访问行为记录详细的审计日志,包括:
Web防火墙日志,网络防火墙日志和QOS日志等。
对于Web应用审计日志进行分类,并支持用户按不同的检测规则进行检索。
支持对Web应用审计日志按时间、IP地址、检测类型、风险级别、响应类型、URL等进行检索。
支持对可疑的用户访问行为进行实时的行为追踪,并可对规定时间内用户的所有Web访问行为生成审计日志。
Web入侵防御规则
入侵防御特征库与OWASP标准保持兼容。
监控功能
监控模块可实时监控网关的工作状态,如:
事件检测状态监控,网络流量状态监控,系统工作状态监控等。
可以实时监控网关的工作状态,包括CPU、内存、网络流量等;
日志管理功能
可将报警事件记录到日志数据库中。
产品升级
可为用户提供规则库升级包,用户可以通过远程方式进行规则库的升级,对于紧急的攻击事件提供实时的升级规则库。
产品自身安全性要求
提供自身安全审计功能,如:
用户登录、各种操作审计,系统进程工作状态审计等。
网关与控制台之间采用SSL加密传输。
安全认证系统
功能要求
保证通信双方身份的真实性,内容的安全性、数据的完整性、确认信息的不可抵赖性等安全问题,并具有高安全性、便于扩展、部署灵活、应用支持良好等特点。
建设CA和签发证书满足《电子签名法》的认可、提供有效的数字签名,保证签名的法律效率。
套
1
包含产品
WEB安全信息登录系统1套,服务器证书1个,个人证书和个人证书介质USBKEY20套
存储及备份系统
基本要求
基于新一代JasperForest四核处理器的全交换、无阻碍控制器架构
套
1
功能和配置要求
支持Active-Active的双控制器结构,提供自动Fail_over和Fail_over故障复原。
支持ALUA路径冗余技术提供数据传输的最佳路径选择
采用SAS2.0协议,满足企业级应用所需的可靠性和可用性;
标配锂电池BBU单元,支持UPS主动数据保护技术,避免意外断电对数据完整性的影响;
支持RAID级别0,1,1E,5,6,10,50,60,专用的RAID6校验芯片,支持1024个LUN
支持8GbFC,6GbSAS,1/10GbiSCSI主机接口,配置8个8GbFC主机接口, 4个8GbHBA卡和8个SFP模块
支持DDRIII内存,每控制器支持2-8GB内存。
3U高度,单机容纳16颗硬盘,最大可扩展到184硬盘,配置10块600G15KRPMSAS 硬盘
标配冗余电源、冗余风扇,支持MAID2.0硬盘休眠技术,支持风扇智能调速,产品符合RoHS,WEEE产业环保标准。
支持PerfectFlash无宕机系统升级技术,避免停机时间、停机风险
支持300GB/450GB/600GB15KRPM企业级SAS磁盘,支持500/1000/2000GB7.2KRPM近线SAS硬盘,支持750/1000/1500/2000GBSATAII磁盘,支持SSD硬盘
支持WindowsNT、Windows2000/2003、Linux、HP-UX、IBMAIX、SunSolaris和Netware等操作系统。
支持PerfectRAID技术,实现可预见数据迁移,介质巡检,自动重建功能;
支持全局、局部热备援磁盘,支持自动后台Raid重建,支持在线容量扩展,及RAID级别在线迁移
支持RS232、WebGUI、SANManager、CLI、SNMP、OPAS管理方式
支持USB自动日志和配置信息导出,USB自动软件升级和系统重设的OPAS功能
包含支持5台windows或linux服务器,2个数据库(orcle或sql数据库)LAN备份选件
资质要求
提供原厂商ISO9001认证,磁盘阵列产品通过GJB9000认证,产品通过军用信息安全产品认证。
路由器
基本要求
企业级高端模块化路由器
台
2
配置接口
千兆光电接口≥8个,允许光电复用,扩展插槽≥4个
性能指标
转发性能≥2Mpps。
安全特性
支持L2TP、IPsecVPN、SSLVPN、GRE、DVPN、NAT/NAPT,PKI,RSA,SSHv1.5/2.0,支持Local认证,Radius,Tacacs。
功能特性
支持静态路由、RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS等路由,支持IGMP,PIM-DM,PIM-SM,MBGP,MSDP等组播路由协议、支持路由策略。
支持IPv4和IPv6双协议栈
支持接口备份、冗余热备份协议VRRP,支持多链路基于带宽和用户的负载分担和备份。
支持BFD快速链路检测,并能够同RIP、OSPF、BGP、MPLS、VRRP实现联动,以实现路由和链路的快速切换。
支持L2MPLS、L3MPLS功能
支持语音、WLAN、3G功能扩展
支持以下方式管理:
SNMPV1/V2c/V3,MIB,SYSLOG,RMON,WEB网管,TR069。
支持冗余电源。
核心交换机
基本要求
企业级高端模块化路由器
台
4
配置接口
千兆光电接口≥8个,允许光电复用,扩展插槽≥4个
性能指标
转发性能≥2Mpps。
安全特性
支持L2TP、IPsecVPN、SSLVPN、GRE、DVPN、NAT/NAPT,PKI,RSA,SSHv1.5/2.0,支持Local认证,Radius,Tacacs。
功能特性
支持静态路由、RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS等路由,支持IGMP,PIM-DM,PIM-SM,MBGP,MSDP等组播路由协议、支持路由策略。
支持IPv4和IPv6双协议栈
支持接口备份、冗余热备份协议VRRP,支持多链路基于带宽和用户的负载分担和备份。
支持BFD快速链路检测,并能够同RIP、OSPF、BGP、MPLS、VRRP实现联动,以实现路由和链路的快速切换。
支持L2MPLS、L3MPLS功能
支持语音、WLAN、3G功能扩展
支持以下方式管理:
SNMPV1/V2c/V3,MIB,SYSLOG,RMON,WEB网管,TR069。
支持冗余电源。
基本要求
纯千兆高端光口交换机,支持大容量交换
网络接口
24个1000Base-X千兆SFP端口,至少可提供8个复用的10/100/1000Base-T以太网端口,扩展槽≥2个,支持万兆接口扩展。
性能指标
背板容量≥256Gbps,包转发率≥96Mpps。
安全特性
支持用户分级管理和保护、支持IEEE802.1X认证、支持集中MAC地址的认证、支持ARP入侵检测、支持IP原地址保护、支持SSH2.0、支持端口隔离
功能特性
交换模式:
存储转发模式(StoreandForward)
堆叠:
支持IRF堆叠,最多8台。
端口汇聚:
支持通过LACP进行动态端口汇聚,支持手工进行端口汇聚,支持堆叠范围内的跨设备链路汇聚,支持GE端口汇聚,支持10GE端口汇聚,最多32组端口汇聚组,GE汇聚组最多支持8个端口,10GE汇聚组最多4个端口,汇聚的端口必须具有相同的端口类型
VLAN:
支持4K个符合IEEE802.1Q标准的VLAN,支持基于端口的VLAN;支持识别进入端口的流的MAC地址,如果是IP电话流,就会将该端口加入相应的VoiceVLAN
DHCP:
支持DHCPClient、DHCPRelay、DHCPServer、DHCPsnooping
IP路由:
支持静态路由、RIPV1/V2、OSPF、BGP,支持ECMP、支持VRRP
镜像:
支持流镜像、支持N:
1端口镜像、支持远程端口镜像
升级会员 