《utm安全网关的管理需求.doc》由会员分享,可在线阅读,更多相关《utm安全网关的管理需求.doc(36页珍藏版)》请在金锄头文库上搜索。
1、(标一) 安全设备及管理需求以下性能指标要求必须满足,不允许负偏离1. 内网UTM安全网关 数量1台序号技术参数详细描述1基本要求标准机架式的设备,采用ASIC硬件平台;标配4个10/100M自适应电口, 4个1000M多模光纤接口,具备LCD液晶显示屏;可以通过LCD显示屏直接进行配置。来自. 中国最大资料库下载2性能并发会话数目160万,每秒新建会话数目1.5万,防火墙吞吐量2Gbps,防病毒吞吐量200Mbps,IPS吞吐量500Mbps ;IPSEC VPN168位3DES吞吐量400Mbps, IPSEC VPN通道数1万3联动可实现与内网安全管理系统之间的联动4入侵防护功能要求1)
2、具备3000种以上攻击特征库规则列表,可自定义特征库,特征库可以在线升级,本次投标要求投标商免费提供三年特征库升级;2)可以针对不同的特征制定不同的入侵防护系统动作(丢弃、通过、重置、重置客户端、重置服务器、丢弃会话、清除会话、通过会话)3)支持对P2P和IM软件的阻断和带宽限制;P2P软件:BT、Edonkey、Emule、Gnutella、KaZaa、WinNY等;IM软件包括:QQ、MSN、YAHOO、AOL、ICQ、Skype等4)支持抗DDOS/DOS攻击,可积极防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、pin
3、g of death、smurf、winnuke、圣诞树、碎片等DdoS攻击来自. 中国最大资料库下载5防病毒功能要求1)支持HTTP、FTP、POP3、SMTP、IMAP协议的病毒防护2)支持即时通讯协议的病毒过滤:AOL, Yahoo, MSN, 和iCQ3)支持对Blaster,Nachi,Nimda,Redcode,Sasser,Slapper,Sqlexp,Zotob等主流蠕虫病毒的过滤和拦截4)实现对灰色软件、间谍软件及其变种进行阻断5)内置病毒库、病毒库可进行在线升级6VPN1)支持标准IPSec协议,能够与CISCO等知名厂商VPN设备互联互通2)支持多出口VPN并且支持NAT
4、穿越,支持PPTP 、L2TP等VPN连接3对VPN加密隧道提供病毒扫描和入侵防护7访问控制功能要求1)支持Radius等第三方认证、本地认证和无客户端软件的Web认证;来自. 中国最大资料库下载2) 实现基于动态域名、IP地址、服务端口、IP协议、用户、时间等安全策略的状态包过滤;3)实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤4)实现IP/MAC地址绑定且支持IP/MAC地址对的自动探测和唯一性检查5)实现基于IP、协议、服务、接口、时间、应用等安全策略的带宽控制8高可靠性要求1)支持MRP多重冗余协议 2)多WAN口备份和负载均衡,且支持多出口VP
5、N3)多端口聚合, 4)双机热备,且切换时间小于1秒钟5)支持232台UTM的多机集群9高可用性要求1)支持透明、路由、混合三种工作模式2)支持虚拟网关功能,最多支持256个虚拟网关3)支持静态路由、策略路由、动态路由(RIP、OSPF、BGP)、单臂路由、组播路由等4)支持802.1Q,以及Vlan Trunk,支持IPv6协议5)支持DHCP Client、DHCP Relay、DHCP Server6)在各种工作模式下均支持H.323(H.323 GK) 、MMS、RTSP、UPnP、SIP 、FTP、XDMCP、TNS等多种多媒体协议。10生产厂商资质要求原厂商必须拥有五年以上研发和生
6、产安全产品的经验,投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件,并加盖原厂商公章。11认证证书安全网关产品必须具备国内权威机构的相关认证:必须拥有公安部安全网关销售许可证,投标时提供原厂商加盖公章的证书复印件;并提交以下公安部的检测报告:符合“GB/T 18019-1999信息技术包过滤防火墙安全技术要求”的安全网关检测报告,投标时提供原厂商加盖公章的检测报告复印件;来自. 中国最大资料库下载符合“信息技术VPN产品安全检验规范”的安全网关检测报告,投标时提供原厂商加盖公章的检测报告复印件;符合“信息技术入侵防御安全检验规范”的安全网关检测报告,投标时提供原厂商加盖公章的检测报
7、告复印件;符合“GA243-2000计算机病毒防治产品评级准则”的安全网关检测报告,投标时提供原厂商加盖公章的检测报告复印件;必须拥有国家信息安全产品测评中心的安全网关型号证书,投标时提供原厂商加盖公章的证书复印件;必须拥有国家知识产权局颁发的网络防病毒技术专利证书;以上证书和测试报告必须提供加盖原厂商公章的复印件;12病毒库升级三年免费病毒库升级13质保服务原厂商三年免费硬件质保,724小时现场服务,0.5小时响应,3小时现场技术支持,故障在修时提供备机直至维修完好后正常使用;14服务1) 该产品生产厂家及投标人必须在杭州地区有注册的分公司或者办事处,具有本地服务条件与技术能力(提供具体措施
8、),投标时需提供经过年检的分公司或者办事处营业执照复印件,加盖原厂商公章; 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明(要求项目组所有成员均已经在该公司服务一年以上),并加盖原厂商公章;来自. 中国最大资料库下载3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试,中标商工程师现场陪同;4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略,提供上门软硬件安全服务(技术服务水平提供案例文档演示);5) 生产厂家承诺三年免费质保软件免费升级,724小时现场服务,半小时响应,3小时现场;15服务保证1)投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费
9、质保承诺函原件;2)投标人有政府或财税行业项目经验,信誉好。2、 日志审计软件 数量内外网各1套,共2套,能够监控30台安全设备日志要求赠送序号技术参数详细描述2日志监视支持以图形化方式实时监控日志流量的变化趋势,支持实时监控最近日志列表,支持实时监控系统风险状况,支持实时监控系统风险的变化趋势3日志管理支持对安全设备、网络设备、主机系统进行日志数据采集,支持日志数据的格式解析和分类,支持日志数据可视化的存储、备份、恢复、删除、导入和导出操作,日志保存至少三个月4统计分析支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志统计分析;提供了几十种以上可以定制的审计报表模板,
10、可以针对访问行为、入侵攻击、流量信息、安全设备管理信息等各类日志生成分析报表,报表支持表格和多种图形表现形式;支持基于部门、源地址、用户对网络访问控制日志进行统计分析对于入侵攻击日志,支持按照入侵攻击事件、源地址、被攻击主机进行统计分析,发现攻击源和被攻击主机;对于入侵攻击日志,可以生成入侵攻击事件趋势分析图、TOP10入侵攻击事件趋势分析图、入侵攻击源地址趋势分析图、TOP10入侵攻击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图;支持定时生成日志统计报表;支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析5在线分析可以定义各种在线分析规则,在线进行日志分析
11、;通过在线分析,可以发现频繁违规访问、频繁攻击探测(例如SQL注入攻击探测)、暴力登录失败(例如防火墙管理登录、FTP登录,SSH登录等)、端口扫描、分布式拒绝攻击、冲击波135端口攻击、CC连接耗尽攻击、蠕虫病毒等各种攻击行为;针对在线分析发现的攻击行为,可以产生告警信息,告警信息可以通过邮件、SYSLOG等多种方式自动发出6系统功能要求支持级联管理;支持系统自身帐户的管理;支持系统升级,支持用户web管理;支持报表输出;权限管理:基于角色的管理模式,用户权限控制可以细化到具体一个资源,使用户可以根据不同需要设置角色权限,满足各种权限控制需要,实现多用户多角色分级管理7生产厂商资质要求原厂商
12、必须拥有五年以上研发和生产安全产品的经验,投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件,并加盖原厂商公章;产品应为国内自主研发,并提供软件著作权登记证书加盖公司章;8认证应具备国内权威机构的相关认证:公安部销售许可证、信息安全测评中心认证、保密测评中心测试认证、以上证书需提供加盖原厂商公章的相关证书复印件来自. 中国最大资料库下载9服务1) 该产品生产厂家必须在杭州地区有注册的分公司或者办事处,具有本地服务条件与技术能力(提供具体措施),投标时需提供经过年检的分公司或者办事处营业执照复印件,加盖原厂商公章;2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明(
13、要求项目组所有成员均已经在该公司服务一年以上),并加盖原厂商公章;投标人有政府或财税行业项目经验,信誉好。3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试,中标商工程师现场陪同;4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略,提供上门软硬件安全服务(技术服务水平提供案例文档演示);5) 生产厂家承诺三年免费质保软件免费升级,724小时现场服务,半小时响应,3小时现场;10服务保证1) 投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件;2) 投标人有政府或财税行业项目经验,信誉好。3.内网边界防火墙 数量1台序号规格及技术参数要求1网络处理能力600
14、M,并发连接数140万,IPSec隧道数100024个10/100BASE-TX端口,并同时满足4个10/100/1000BASE-TX端口;VPN隧道数3000;3具有自主研发产权的安全操作系统4支持NAT,端口映射和IP映射功能。支持静态NAT并提供NAT地址池5支持远程WEB GUI管理方式,支持由集中管理中心统一下发策略或规则6设备本身具有IPSec VPN模块,同时也具有SSL VPN功能模块。7支持分级带宽管理,可以利用防火墙对带宽进行精细的控制;支持对某一网络对象的保证带宽设定;产品支持对某一网络对象的最高带宽限定8设备本身具有端口冗余,保证端口的高可用;同时要求设备本身支持多端
15、口聚合,实现零成本扩展带宽。9安全规则可以按时间定义生效,支持一次性与周期两类时间控制10支持SSH和串口命令行配置11防火墙自身可以实现232台防火墙的多机集群,支持防火墙多WAN口备份和负载均衡,且支持多出口VPN12日志可查,可审计,可以可视化可编辑方式导入导出,自动保存至少三个月13支持多种工作模式(如:透明模式、纯路由模式、混合模式),满足复杂网络环境的要求14具备完全内容过滤功能,对邮件、文件等进行过滤,并支持URL黑/白名单过滤策略。能够对blaster,nachi,nimda,redcode,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的过滤和拦截。15可通过安全管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN的策略分发等功能16该产品应具备国内权威机构的相关认证:公安部千兆防火墙销售许可
