《网络安全设备主要性能要求与技术指标要求部分》由会员分享,可在线阅读,更多相关《网络安全设备主要性能要求与技术指标要求部分(23页珍藏版)》请在金锄头文库上搜索。
1、1 网络安全设备主要性能要求与技术指标要求1.1 防火墙用于控制专网、业务内网与业务外网,控制专网、业务内网部署在 XX 干线公司、穿黄现地管理处(备调中心) ,每个节点各 2 台;业务外网部署在 XX 干线公司 1 台,共计 9 台。要求如下:特性 参考指标要求体系架构 必须采用专用的安全操作系统平台,非通用操作系统平台;工作模式 路由、NAT 、透明( VLAN 透传) 、混合;千兆电口4 个,千兆光口4 个。网络接口需求 必须实现安全带外管理功能,设备必须提供独立的带外管理接口;电源 配置双电源,电源可热插拔;64 字节吞吐量4Gbps;1518 字节吞吐量8Gbps ; 防火墙的 IP
2、Sec VPN 处理性能必须600Mbps;支持的虚拟系统64 个;实配32 个虚拟防火墙;防火墙的每秒新建会话能力必须高于 9 万/秒;性能与容量防火墙支持的并发会话数必须高于 100 万条;防火墙必须提供 IPSec VPN 功能,提供不少于 4000 条的并发 VPN 隧道能力;防火墙必须支持抗 DoS/DDoS 攻击功能, 支持对 synflood、updflood、tear drop、land attack、icmp flood、ping of death 等拒绝服务攻击的防护,可根据不同的接口区域选择是否需要实施抗 DoS 攻击保护并选择实施哪几种攻击防护。必须支持多媒体业务与组播
3、功能,支持 H.323、SIP 、MGCP,SCCP 等多媒体协议,并支持以上多媒体应用协议的 NAT 穿越;严格遵循 RFC 国际标准,其支持的算法有DES、3DES、AES128 、AES192、AES256,SHA-256 、SHA-512 等,可于主流 VPN 厂商互通。必须支持 OSPF、IP 、RIP2 动态路由协议;支持 BT 限流功能;支持 Active-Passive HA 与 Active-Active 双主高可用结构,在以上两种结构下,必须保证防火墙 Session 同步与 VPN 状态同步;基本要求必须支持 AV 防病毒功能,并能提供 AV 外置可插拔性能扩展卡。1.2
4、 入侵检测系统(IDS)根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS) ,共需 6 套。(1)控制专网:部署在 XX 干线公司及穿黄现地管理处(备调中心) ,每个节点各 1 套,共 2 套;(2)业务内网:部署在 XX 干线公司及穿黄现地管理处(备调中心) ,每个节点各 2 套,共 4 套;1.2.1 产品规格及性能指标要求(1)支持 10/100/1000BASE-SX/1000BASE-T 以太网接口,千兆接口不小于2 个(提供的配置中至少包含两个 GE 多模 850nm 波长光模块);(2)能监控的最大 TCP 并发连接数不小于 120 万;(3)能监控的最大
5、 HTTP 并发连接数不小于 80 万;(4)连续工作时间(平均无故障时间)大于 8 万小时;(5)吞吐量不小于 2Gbps。(6)控制台服务器性能不低于“5 服务器主要性能要求与技术指标要求”中的要求。1.2.2 部署与管理功能要求(1)传感器应采用预定制的软硬件一体化平台;(2)入侵检测系统管理软件采用多层体系结构;(3)组件支持高可用性配置结构,支持事件收集器一级的双机热备;(4)各组件支持集中式部署与大型分布式部署;(5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;(6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加
6、密的方式;(7)支持以拓扑图形式显示组件之间的连接方式;(8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;(9)支持组件的自动发现;(10)支持 NAT 方式下的组件部署;(11)支持 IPv6 下一代通信网络协议的部署与检测。1.2.3 检测能力要求(1)支持基于状态的协议分析技术并能按照 RFC 的规范进行深入细致的协议检测,准确的识别协议的误用与滥用; (2)支持协议异常检测,协议分析与特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持 UNICODE 解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报与漏报率,提高检测精度;(
7、3)产品应具备对 Split、Injection 等 IDS 逃避技术的检测与识别能力;(4)能对每一个攻击进行详尽的过程状态量定义,使得 IDS 可以拥有最低的误报率与最小的漏报率。(5)提供灵活的参数定制,比如全局的用户黑名单、违法 IP、违法命令等;(6)产品应具备 IP 碎片重组与 TCP 流重组功能;(7)产品应具备抗编码变形逃避的能力;(8)产品应具备抵抗事件风暴与欺骗识别的能力;(9)支持自定义网络中 TCP 连接的超时等待时间,防止 IDS 被拒绝服务攻击;(10)支持网络活动审计功能;(11)支持主动识别目标主机的操作系统;(12)支持设定网络访问规则,根据访问行为的源、目的
8、地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的 TCP 的会话连接实现阻断;(13)传感器具备多端口智能关联与分析技术;以及对非对称路由网络结构的检测能力,使得 IDS 系统能够适应复杂的高可用性网络。1.2.4 系统升级能力要求(1)支持在线升级签名库,在线升级的通讯过程采用加密方式;(2)支持非在线升级签名库;(3)如遇突发情况,厂商应提供应急式升级服务;(4)升级过程中,传感器可以继续工作。1.2.5 检测策略管理要求(1)提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户根据实际情况定制适合企业自身环境的安全策略;(2)支持对签名库按照多种方式进行分类管理;
9、(3)每个签名有详尽的中文标注说明;(4)容易启用/关闭一个或一类的签名;(5)支持对签名的参数进行调节,以适用不同用户的网络环境;(6)提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;或提供培训,使得客户能够自行对特殊协议定制检测签名;(7)支持检测策略的导入导出。1.2.6 攻击响应方式要求(1)支持显示到控制台;(2)支持记录到数据库;(3)支持邮件通知;(4)支持 SNMP trap;(5)支持 syslog 响应方式;(6)支持用户自定义的响应方式;(7)支持与多种主流防火墙(例如: cisco、netscreen、checkpoint、Nokia 等)进行联动
10、;(8)支持记录事件的详细内容,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据;(9)告警事件支持网络管理系统的联动分析管理。1.2.7 事件的关联与显示要求(1)产品具备事件合并的功能,并且用户可以灵活的开启或关闭;(2)支持符合设定条件的一条事件重新命名;(3)支持将相互关联的一组事件重新命名;(4)将符合条件的多条事件归并为一条在控制台显示;(5)支持告警邮件中的事件归并;(6)事件合并的参数可以灵活调整,打开事件合并功能不会遗漏事件;(7)支持实时的事件统计功能;(8)支持设定的条件过滤实时显示的事件;(9)支持按照源地址、目的地址、事件名称与传感器名称分类显示实时事件。
11、1.2.8 事件的存储与管理能力要求(1)支持的数据库类型包括 SQL server 等大型关系型数据库;(2)数据库容量无限制(不考虑硬件限制) ;(3)支持按条件查询提取事件;(4)支持数据备份;(5)可显示数据库使用情况;(6)网络中断的情况下事件可以存储在传感器本地,网络正常后可以回复事件的传送。1.2.9 报表生成功能要求(1)支持数据的统计分析、查询与报告生成。(2)支持深度数据分析,统计或查询的结果均可以作为数据源进行进一步的数据分析,数据查询与数据统计的结果可以作为综合报告的一部分;(3)提供多种统计模板;(4)提供多种数据分析模板;(5)支持生成组件的运行状态统计曲线图;(6
12、)支持生成以某一时间段为限定条件的事件统计查询报表;(7)支持生成以某一攻击事件为限定条件的事件统计查询报表;(8)支持生成以攻击源地址为限定条件的事件统计查询报表;(9)支持生成以攻击目标地址为限定条件的事件统计查询报表;(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表;(11)支持生成以风险级别分类为限定条件的事件统计查询报表;(12)支持生成以服务分类为限定条件的事件统计查询报表。1.2.10 用户权限管理(1)审计员、用户管理员与系统管理员三种用户类型;(2)支持多管理员同时管理;(3)支持分级的用户权限设置;(4)支持管理员权限实时更改1.2.11 系统的日志与审计功
13、能(1)有完整的审计日志;(2)审计日志可以导出;(3)有详细的组件运行与状态日志;(4)支持系统日志与审计日志的统计查询;(5)支持以邮件、snmp trap 方式发送系统日志。1.2.12 入侵检测自身安全指标(1)应支持使用透明方式进行部署,监听端口支持隐秘模式,无需 IP 地址与进行网络配置;(2)各个系统组件之间的通讯应采用加密方式,并采用 PKI 认证;(3)IDS 系统采用无 shell 的安全操作系统,除必要通讯端口外无其他端口开放;(4)支持证书认证机制。1.2.13 第三方产品集成要求(1)提供开放数据库的表结构与架构,方便用户使用第三方报表系统生成所需要的报表,或者作进一
14、步的数据分析。(2)支持 Syslog, EMAIL 等方式进行报警。1.3 安全网闸根据系统组建要求,在控制专网、业务内网、业务外网等三网之间通过安全网闸进行连接,实现数据互通。安全网闸部署在 XX 干线公司与穿黄现地站管理处(备调中心) ,共计 7 台。1.3.1 基本要求(1) 要求为硬件物理隔离,具备硬件物理隔离部件,系统采用“2+1”架构设计,包括内端机、外端机与独立的硬件隔离信息交换区。(2) 采用专用隔离芯片设计,不支持通用通讯协议,不可编程,隔离区包含基于 ASIC 设计的电子开关隔离芯片,不采用 SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用 DMA 方式实现。(3
15、) 设备断开内外网网络 TCP/IP 连接。(4) 系统带宽:600Mbps,内部交换带宽5Gbps。(5) 接口要求:4 个 10/100/1000M 以太网接口;一个 RS232 串行控制接口。(6) 系统性能:并发连接会话数 20000。(7) 系统延时:= 700 封/秒。HTTP 吞吐性能:要求 = 700 Mbps。用户数支持数量: 要求 = 2500 用户。1.8.3 管理功能指标(1)支持加密 HTTPS 方式进行管理。须具有中文、英文操作管理界面。(2)支持集中管理(设备集中监控管理与策略统一配置) ;支持多台设备集中监控(监控设备运行状态、防护状态、连接状态与系统事件的图形
16、化显示) 。在 Web 管理界面提供高级诊断工具:Ping/Traceroute/DNS 解析/显示系统网络状态/数据包抓包等辅助排查工具。支持 SOC 厂商的数据接口;可以提供相关多项报表。 (3)支持:-手动导入/导出配置。必须支持分权限管理,可配置多账号并授予不同权限。根据用户概况制定不同的配置策略,允许用户基于一个或者多个预定义策略进行个性化的界定与配置:支持 LDAP 用户组、支持树结构/个人 LDAP 用户/IP 地址/组/源与目的地 IP 地址等要素识别。(4)具备隔离区功能,支持隔离区空间管理:可以实时显示隔离区的剩余空间;隔离区内容处理:可以观察隔离区的内容,以及可供选择的处理方式:删除与恢复、重定向邮件、扫描恶意软件项目,发送可疑或者未知项目至熊猫、下载这些内容与将他们从移出隔离区。(5)实时显示网卡流量,活动连接,已建连接,连接成功率,CPU 占用率等系统负载情况。以曲线、饼图等多种方示显示病毒、垃圾邮件与内容过滤的查杀拦截情况,同时可以根据协议、任意时间段、
