网络安全设备主要性能要求和技术指标要求部分Word文档格式.docx
《网络安全设备主要性能要求和技术指标要求部分Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全设备主要性能要求和技术指标要求部分Word文档格式.docx(26页珍藏版)》请在冰点文库上搜索。
支持Active-PassiveHA和Active-Active双主高可用结构,在以上两种结构下,必须保证防火墙Session同步和VPN状态同步;
必须支持AV防病毒功能,并能提供AV外置可插拔性能扩展卡。
1.2入侵检测系统(IDS)
根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS),共需6套。
(1)控制专网:
部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各1套,共2套;
(2)业务内网:
部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各2套,共4套;
1.2.1产品规格及性能指标要求
(1)支持10/100/1000BASE-SX/1000BASE-T以太网接口,千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块);
(2)能监控的最大TCP并发连接数不小于120万;
(3)能监控的最大HTTP并发连接数不小于80万;
(4)连续工作时间(平均无故障时间)大于8万小时;
(5)吞吐量不小于2Gbps。
(6)控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。
1.2.2部署和管理功能要求
(1)传感器应采用预定制的软硬件一体化平台;
(2)入侵检测系统管理软件采用多层体系结构;
(3)组件支持高可用性配置结构,支持事件收集器一级的双机热备;
(4)各组件支持集中式部署和大型分布式部署;
(5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;
(6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加密的方式;
(7)支持以拓扑图形式显示组件之间的连接方式;
(8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;
(9)支持组件的自动发现;
(10)支持NAT方式下的组件部署;
(11)支持IPv6下一代通信网络协议的部署和检测。
1.2.3检测能力要求
(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;
(2)支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;
同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;
(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力;
(4)能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率。
(5)提供灵活的参数定制,比如全局的用户黑名单、违法IP、违法命令等;
(6)产品应具备IP碎片重组与TCP流重组功能;
(7)产品应具备抗编码变形逃避的能力;
(8)产品应具备抵抗事件风暴和欺骗识别的能力;
(9)支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击;
(10)支持网络活动审计功能;
(11)支持主动识别目标主机的操作系统;
(12)支持设定网络访问规则,根据访问行为的源、目的地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的TCP的会话连接实现阻断;
(13)传感器具备多端口智能关联和分析技术;
以及对非对称路由网络结构的检测能力,使得IDS系统能够适应复杂的高可用性网络。
1.2.4系统升级能力要求
(1)支持在线升级签名库,在线升级的通讯过程采用加密方式;
(2)支持非在线升级签名库;
(3)如遇突发情况,厂商应提供应急式升级服务;
(4)升级过程中,传感器可以继续工作。
1.2.5检测策略管理要求
(1)提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户根据实际情况定制适合企业自身环境的安全策略;
(2)支持对签名库按照多种方式进行分类管理;
(3)每个签名有详尽的中文标注说明;
(4)容易启用/关闭一个或一类的签名;
(5)支持对签名的参数进行调节,以适用不同用户的网络环境;
(6)提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;
或提供培训,使得客户能够自行对特殊协议定制检测签名;
(7)支持检测策略的导入导出。
1.2.6攻击响应方式要求
(1)支持显示到控制台;
(2)支持记录到数据库;
(3)支持邮件通知;
(4)支持SNMPtrap;
(5)支持syslog响应方式;
(6)支持用户自定义的响应方式;
(7)支持与多种主流防火墙(例如:
cisco、netscreen、checkpoint、Nokia等)进行联动;
(8)支持记录事件的详细内容,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据;
(9)告警事件支持网络管理系统的联动分析管理。
1.2.7事件的关联和显示要求
(1)产品具备事件合并的功能,并且用户可以灵活的开启或关闭;
(2)支持符合设定条件的一条事件重新命名;
(3)支持将相互关联的一组事件重新命名;
(4)将符合条件的多条事件归并为一条在控制台显示;
(5)支持告警邮件中的事件归并;
(6)事件合并的参数可以灵活调整,打开事件合并功能不会遗漏事件;
(7)支持实时的事件统计功能;
(8)支持设定的条件过滤实时显示的事件;
(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。
1.2.8事件的存储和管理能力要求
(1)支持的数据库类型包括SQLserver等大型关系型数据库;
(2)数据库容量无限制(不考虑硬件限制);
(3)支持按条件查询提取事件;
(4)支持数据备份;
(5)可显示数据库使用情况;
(6)网络中断的情况下事件可以存储在传感器本地,网络正常后可以回复事件的传送。
1.2.9报表生成功能要求
(1)支持数据的统计分析、查询和报告生成。
(2)支持深度数据分析,统计或查询的结果均可以作为数据源进行进一步的数据分析,数据查询和数据统计的结果可以作为综合报告的一部分;
(3)提供多种统计模板;
(4)提供多种数据分析模板;
(5)支持生成组件的运行状态统计曲线图;
(6)支持生成以某一时间段为限定条件的事件统计查询报表;
(7)支持生成以某一攻击事件为限定条件的事件统计查询报表;
(8)支持生成以攻击源地址为限定条件的事件统计查询报表;
(9)支持生成以攻击目标地址为限定条件的事件统计查询报表;
(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表;
(11)支持生成以风险级别分类为限定条件的事件统计查询报表;
(12)支持生成以服务分类为限定条件的事件统计查询报表。
1.2.10用户权限管理
(1)审计员、用户管理员和系统管理员三种用户类型;
(2)支持多管理员同时管理;
(3)支持分级的用户权限设置;
(4)支持管理员权限实时更改
1.2.11系统的日志和审计功能
(1)有完整的审计日志;
(2)审计日志可以导出;
(3)有详细的组件运行和状态日志;
(4)支持系统日志和审计日志的统计查询;
(5)支持以邮件、snmptrap方式发送系统日志。
1.2.12入侵检测自身安全指标
(1)应支持使用透明方式进行部署,监听端口支持隐秘模式,无需IP地址和进行网络配置;
(2)各个系统组件之间的通讯应采用加密方式,并采用PKI认证;
(3)IDS系统采用无shell的安全操作系统,除必要通讯端口外无其他端口开放;
(4)支持证书认证机制。
1.2.13第三方产品集成要求
(1)提供开放数据库的表结构和架构,方便用户使用第三方报表系统生成所需要的报表,或者作进一步的数据分析。
(2)支持Syslog,EMAIL等方式进行报警。
1.3安全网闸
根据系统组建要求,在控制专网、业务内网、业务外网等三网之间通过安全网闸进行连接,实现数据互通。
安全网闸部署在XX干线公司与穿黄现地站管理处(备调中心),共计7台。
1.3.1基本要求
(1)要求为硬件物理隔离,具备硬件物理隔离部件,系统采用“2+1”架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。
(2)采用专用隔离芯片设计,不支持通用通讯协议,不可编程,隔离区包含基于ASIC设计的电子开关隔离芯片,不采用SCSI、网卡以及任何加/解密等方式。
隔离区信息交换采用DMA方式实现。
(3)设备断开内外网网络TCP/IP连接。
(4)系统带宽:
>
600Mbps,内部交换带宽>
5Gbps。
(5)接口要求:
4个10/100/1000M以太网接口;
一个RS232串行控制接口。
(6)系统性能:
并发连接会话数>
20000。
(7)系统延时:
<
1ms。
(8)电源冗余“1+1”。
1.3.2能力要求
(1)应用支持:
全面支持TCP/IP以上应用层协议,包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等,无需二次开发。
(2)文件数据交换方式,交换硬件对外不开放任何服务端口。
(3)以主动查询方式访问内外网的FTP服务器进行文件交换。
(4)访问控制:
支持多种方式的访问控制,包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。
(5)WEB保护功能,内置WebApplicationTM网站保护功能,能够实现以下保护功能:
①对网站目录、文件、动态脚本、WEBservice实现访问控制;
②对Cookie实现签名保护;
③对用户输入参数进行过滤;
④对URL串的字符类型、长度、字段等实现过滤;
⑤基于特征库的漏洞扫描;
⑥具有智能的规则学习功能。
(6)上网用户身份认证功能,严格控制上网用户,采用专用VIIE认证客户端浏览网页,用户列表存储在网闸设备上,XX的用户和使用普通IE浏览器的用户无法上网。
(7)邮件收发身份认证,严格控制邮件收发,采用专用VIMAIL邮件客户端,对收发邮件的用户实现身份认证,用户列表存储在网闸设备上,未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。
(8)IP/MAC地址绑定,支持4096个以上的IP+MAC绑定的客户端访问控制。
(9)支持单/双向通讯控制,支持单、双向可选的访问控制。
(10)日志与审计支持:
系统可存储和审计包含:
①系统日志;
②管理日志;
③网络活动日志;
④入侵报警及处理日志;
⑤访问控制日志。
1.3.3安全可靠及管理要求
(1)高可用性:
双机热备功能,无需第三方软件支持内置双机热备功能。
(2)基于应用层协议的连接数控制系统可为特定应用层协议预留连接数资源。
(3)设备故障检测与报警,要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警,包括通讯故障、硬件故障、软件故障。
(4)系统管理:
要求集中设备管理系统,支持PKI安全认证、加密方式的远程管理,支持基于角色管理员分级管理。
(5)图形化网络行为监控:
管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。
(6)操作系统:
采用经过安全加固的Linux操作系统。
1.4WEB应用防火墙
1.4.1基本架构
产品要求为一体化硬件产品,支持串接或旁路方式部署;
接口要求:
网络接口10/100/1000M以太网电口不少于2个;
管理接口1个。
RS232串口1个。
1.4.2HTTP请求的过滤功能
(1)可以根据HTTP的请求类型(OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT)允许或者禁止。
(2)支持对HTTP协议头的各部分长度进行设置,防止缓冲区溢出攻击。
(3)支持对所请求的URL中所包含的关键字进行过滤。
包括编码类型和特殊字符串,比如SQL关键字和用于测试漏洞的构建的表达式等。
(4)支持对所请求的WEB服务器文件后缀名进行过滤。
包括.RAR/.ASP/.JPG等类型,根据需要可定制过滤。
(5)对返回的敏感信息(安装路径、数据库类型及版本等)、错误信息能进行定义和识别,并过滤,避免暴露给恶意攻击者获取到。
(6)能够支持动态和静态网页。
(7)支持HTTP各种版本,包括HTTP0.9/1.0/1.1
(8)支持Cookie安全设置,支持v0和v1类型的Cookie类型,支持对Cookie加密,支持设置Cookie为HTTPonly模式。
(9)支持多种编码格式,包括16进制、十进制、二进制等,对不同编码的报文能进行识别和转换。
(10)识别和限制HTTP返回码,包括多种HTTP返回码的识别和限制。
(11)可限制使用HTTP方法,包括客户端使用的HTTP数据传输方法(OPTIONS、GET、POST、PUT、HEAD、DELETE、TRACE、CONNECT)。
1.4.3安全防护功能
(1)网络层防护功能,管理员能根据需求制定网络层的ACL控制,能对TCPFlood、HTTPFlood等DOS攻击进行防护,应检测不仅仅是针对交换机的ARP欺骗、ARPFlood攻击,并能进行防护。
(2)Web服务器防护功能,可以实现对主流的Web服务器漏洞进行防护,例如IIS/Apache/Resin/Weblogic;
并实现对主流的脚本语言软件进行防护,例如ASP.NET/Java/PHP。
(3)Web应用的防护功能,应具备URL访问控制功能,可对指定的网页进行访问控制,应具备SQL注入攻击防护功能,应具备跨站脚本攻击防护功能。
(4)应具备盗链防护功能。
自动识别盗链行为,并根据配置的动作(包括接受、阻断、转发等)进行响应。
(5)应具备扫描防护功能,应识别扫描行为阻断扫描工具的探测。
(6)应具备爬虫防护功能,识别爬虫行为并根据需求进行相应的动作(接受、阻止等)。
(7)应具备CSRF防护功能,应能支持对自选的URL配置防护CSRF攻击。
(8)具备对敏感信息或非法内容设置自定义关键字过滤。
(9)应具备对网页木马检测和过滤功能。
1.4.4产品管理及审计功能
(1)规则库管理
用户能添加、删除、修改自定义规则。
具有内置的预设模板。
(2)审计日志
a)审应包括所有被过滤的事件。
b)每个事件发生的日期、时间,对方IP地址,所请求的URL,所匹配的规则。
c)记录对网页访问次数。
(3)日志管理功能
应提供对审计事件的清空、备份、查询功能。
(4)可理解的格式
所有审计事件应包括时间、客户端类型、所请求的资源和参数、访问的方法等。
(5)防止审计数据丢失
审计数据应定期备份,并严格控制访问权限。
(6)用户角色管理功能
系统应具有三种角色,分别为:
管理员、审计员和普通用户,分别具有不同用户管理权限。
1.5漏洞扫描产品
部署在业务内网的XX干线及穿黄现地站管理处(备调中心),共计2套。
投标人需提供所安装的硬件服务器,其性能不低于本章第六节“服务器主要性能要求和技术指标要求”中的要求。
1.5.1基本要求
(1)投标人需明确产品架构,并能支持多级架构的灵活部署。
(2)发现网络设备和主机系统的安全漏洞,并提供安全解决建议;
对全网网元进行安全配置基准检查。
(3)产品应可灵活调整物理和网络位置,对网络设备进行扫描。
扫描结束后生成详细的安全评估报告。
(4)可以并行地检查多个被评估的系统,能够提供扫描策略定制,可以保证扫描的安全性,不影响应用系统和网络业务的正常运行。
(5)产品应界面友好,所有的图形界面、报警信息、报表与文档、技术资料要求均为简体中文。
(6)产品具有无限IP漏洞扫描能力,并提供相应许可。
1.5.2产品部署要求
(1)支持多个或多级产品的统一管控。
(2)支持控制中心的多级部署。
(3)支持策略的统一制定和分发,应提供可编辑的策略模板。
(4)支持对全网扫描结果的集中查询、分析。
1.5.3漏洞扫描能力要求
(1)产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。
投标人需给出各类扫描信息的详细列表。
(2)产品应支持对扫描对象安全脆弱性的全面检查,如安全补丁、口令、服务配置等。
请详细描述针对主机和网络的扫描类别及项目。
(3)产品漏洞库应涵盖目前的安全漏洞和攻击特征,漏洞库具备CNCVE、CVE和BUGTRAQ编号。
(4)应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目标主机的系统进行扫描。
(5)支持SNMP等协议的漏洞检测。
投标人需提供支持扫描的网络设备厂商IOS列表。
(6)支持主流数据库的检测,应包括但不限于:
Oralce、Sybase、SQLServer、DB2等。
(7)支持Windows域环境扫描,可针对目标主机的系统配置缺陷及漏洞进行扫描。
(8)支持多主机、多线程扫描和断点续扫功能。
(9)支持动态的显示扫描结果和实时的查看扫描结果
(10)产品应能提供扫描IP范围的管理功能。
(11)投标人需说明产品授权方式,产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。
1.5.4报表能力
(1)报告应具有易懂的漏洞描述和详尽的安全修补方案建议,并提供相关的技术站点以供管理员参考。
(2)应可根据角色需求产生灵活的报告格式,支持用户自定义报表和预定义报表;
产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息。
(3)扫描报告应可对安全的威胁程度分级,并能够形成风险趋势分析报表和主机间风险对比分析报告。
(4)报表具备导出功能,可以导出不同格式的报表,如Excel、Word等。
1.5.5扫描策略配置
(1)产品要求提供多种缺省扫描策略,并可按照特定的需求,灵活制定目标对象或目标群组,可以同时应用不同扫描策略,并允许自定义扫描策略和扫描参数。
(2)支持单机扫描、分组扫描和全部扫描的设置。
(3)支持自动定时扫描和多种计划扫描任务管理功能,可按照指定的时间、对象自动扫描,并自动生成报告。
1.5.6升级、管理
(1)系统应支持自动和人工远程升级。
升级内容应包括最新的漏洞库和系统自身的补丁程序。
(2)支持分级、分权管理,能够对不同管理员账号或角色灵活分配扫描任务。
(3)支持策略集中分发。
(4)支持用户的操作审计。
1.6防DDoS攻击系统
部署在业务外网的XX干线公司节点,共1套。
1.6.1设备功能要求
投标人应对能够清洗的所有DDoS攻击提供详细列表,并详细说明对应用的控制手段及实现方式。
包含但不限于:
支持对欺骗与非欺骗的TCP(SYN,SYN-ACK,ACK,FIN,fragments)、UDP(randomportfloods,fragments)、ICMP(unreachable,echo,fragments)、(M)StreamFlood及混合类型攻击的防护。
对不能清洗的DDoS攻击提供详细说明,并说明能够提供哪些监视和控制手段。
投标人须给出针对每种攻击的防护要求,例如防护方式是流量限制还是过滤,不对相应的正常用户流量造成影响等。
支持特定应用层攻击产品,提供支持的攻击类型列表,并详述其防护原理。
支持对BGPattacks的攻击防护。
系统支持对MPLSVPN,GRETunnel等复杂环境提供DDOS保护。
支持按需保护,能为多个用户服务,能同时保护多个用户,而且DDOS防护设备的放置地点灵活,通过动态的方式牵引清洗DDOS流量。
设备支持对用户进行分组防护,不同防护群组可以定义不同的防护策略。
支持冗余设计,投标人应详细说明防止设备故障中断的工作方式和原理。
冗余设计是为了最大限度地减少因为设备故障而导致的DDoS保护中断。
产品须具备多台设备旁路集群部署的能力,支持在大攻击流量发生时手动或自动启动集群,保证整个系统可用性;
产品支持基于负载均衡的旁路集群模式,并详述其原理。
整体DDOS防护设计必须支持Netflow/CFlow/Netstream、SPAN等监控技术与动态防护策略的全自动解决方案。
投标人需详细说明DDOS防护动态设计原理。
系统设计支持BGP+三层策略路由、MPLSVPN核心网络应用与GRETunnel注入,支持MPLS转移/VRF注入。
在MPLS核心中,可以使用一个独立的VRF将注入流量从清洁中心传回目标。
投标人需详细说明原理。
投标人需列出系统针对每种攻击的异常流量清洗与DDOS过滤的方式与原理,包括过滤,反欺骗,异常识别,协议分析,速率限制等尽可能多的方式方法。
投标人需明确说明攻击检测和保护的响应时间。
系统应支持远程在线更新,系统能够进行策略库远程升级。
使用独立的10/100/1000Mb/s端口作为其管理端口,此管理端口上联到本地IP网设备,实现流量清洗设备与管理服务器之间的IP连接;
投标人应给出流量清洗设备所需要的10/100/1000Mb/s端口的类型(电口或光口)、数量等。
支持交流供电方式。
1.6.2设备性能要求
投标人须列出单台流量清洗设备或板卡的处理能力,在GRE隧道封装,802.1q,UDPfragmentflooding等情况下的性能指标的影响程度。
投标人须列出在SYN泛洪,ICMPping泛洪,UDP泛洪,DNS请求泛洪,TCP分段泛洪,UDP分段泛洪等不同攻击类型的攻击处理速度(基于64字节数据包,处理速度定义:
各种数据包完成判别后转发性能,每秒能处理数据包的数量)。
投标人须说明单台设备对不同类型攻击的处理能力;
投标人须说明单台设备支持的GRE接口数量、源IP和端口检测能力、支持的TCP代理连接数、时延与抖动等。
1