网络安全设备主要性能要求和技术指标要求部分汇总 下载本文

(4)报表具备导出功能,可以导出不同格式的报表,如Excel、Word等。

1.5.5 扫描策略配置

(1)产品要求提供多种缺省扫描策略,并可按照特定的需求,灵活制定目标对象或目标群组,可以同时应用不同扫描策略,并允许自定义扫描策略和扫描参数。

(2)支持单机扫描、分组扫描和全部扫描的设置。

(3)支持自动定时扫描和多种计划扫描任务管理功能,可按照指定的时间、对象自动扫描,并自动生成报告。

1.5.6 升级、管理

(1)系统应支持自动和人工远程升级。升级内容应包括最新的漏洞库和系统自身的补丁程序。

(2)支持分级、分权管理,能够对不同管理员账号或角色灵活分配扫描任务。

(3)支持策略集中分发。 (4)支持用户的操作审计。

1.6 防DDoS攻击系统

部署在业务外网的XX干线公司节点,共1套。

1.6.1 设备功能要求

投标人应对能够清洗的所有DDoS攻击提供详细列表,并详细说明对应用的控制手段及实现方式。包含但不限于:支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护。对不能清洗的DDoS攻击提供详细说明,并说明能够提供哪些监视和控制手段。

投标人须给出针对每种攻击的防护要求,例如防护方式是流量限制还是过滤,不对相应的正常用户流量造成影响等。

支持特定应用层攻击产品,提供支持的攻击类型列表,并详述其防护原理。 支持对BGP attacks的攻击防护。

系统支持对MPLS VPN , GRE Tunnel 等复杂环境提供DDOS保护。 支持按需保护,能为多个用户服务,能同时保护多个用户,而且DDOS防护设备的放置地点灵活,通过动态的方式牵引清洗DDOS流量。设备支持对用户进行分组防护,不同防护群组可以定义不同的防护策略。

支持冗余设计,投标人应详细说明防止设备故障中断的工作方式和原理。冗余设计是为了最大限度地减少因为设备故障而导致的DDoS保护中断。

产品须具备多台设备旁路集群部署的能力,支持在大攻击流量发生时手动或自动启动集群,保证整个系统可用性;产品支持基于负载均衡的旁路集群模式,并详述其原理。

整体DDOS防护设计必须支持Netflow/CFlow/Netstream、SPAN等监控技术与动态防护策略的全自动解决方案。投标人需详细说明DDOS防护动态设计原理。

系统设计支持BGP+三层策略路由、MPLS VPN核心网络应用与GRE Tunnel 注入,支持MPLS转移/VRF注入。在MPLS核心中,可以使用一个独立的VRF将注入流量从清洁中心传回目标。投标人需详细说明原理。

投标人需列出系统针对每种攻击的异常流量清洗与DDOS过滤的方式与原理,包括过滤,反欺骗,异常识别,协议分析,速率限制等尽可能多的方式方法。

投标人需明确说明攻击检测和保护的响应时间。

系统应支持远程在线更新,系统能够进行策略库远程升级。

使用独立的10/100/1000Mb/s端口作为其管理端口,此管理端口上联到本地IP网设备,实现流量清洗设备与管理服务器之间的IP连接;

投标人应给出流量清洗设备所需要的10/100/1000Mb/s端口的类型(电口或光口)、数量等。

支持交流供电方式。

1.6.2 设备性能要求

投标人须列出单台流量清洗设备或板卡的处理能力,在GRE隧道封装,802.1q,UDP fragment flooding等情况下的性能指标的影响程度。

投标人须列出在SYN 泛洪,ICMP ping泛洪,UDP泛洪,DNS 请求泛洪,TCP 分段泛洪,UDP 分段泛洪等不同攻击类型的攻击处理速度(基于64字节数据包,处理速度定义:各种数据包完成判别后转发性能,每秒能处理数据包的数量)。

投标人须说明单台设备对不同类型攻击的处理能力;

投标人须说明单台设备支持的GRE接口数量、源IP和端口检测能力、支持的TCP代理连接数、时延与抖动等。

1.6.3 设备管理要求

设备的安全特性与配置管理方式支持命令行方式以及Web图形化管理软件两种方式,无需安装专门的客户端管理系统;

系统的远程接入支持通过https和SSH 等加密方式实现, 保证登陆密码以加密方式在网络中传递;

系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发;

系统应支持攻击日志和网络攻击统计功能,须具备各类DDoS攻击详细记录的能力。

1.7 流量控制系统

要求为独立的物理硬件设备,部署在业务外网XX干线公司,共计1台。 (1)流量洞察

)流量监控

能实时展示设备及链路的每10分钟、每小时、每天、每周及每月的流量走势图;

能实时展示本日或预定时间内各应用/用户流量及用户并发连接数的Top N排名;

能实时展示本日设备、指定链路和通道的流量走势、各级通道/应用/用户的Top N流量排名;

能实时展示当前在线用户的IP五元组详细信息、上传/下载流量及并发连接数

2)流量查询

支持可查询指定日期、时间、通道、应用及用户的每分钟上传及下载流量 (2) 流量限制

)应用封堵

支持对用户的指定应用进行封堵;

支持对用户去往某(些)服务器的指定应用进行封堵

)流量限速

支持在基于特定时间、VLAN、用户、应用,把上传/下载速率限定在指定范围内;

)流量限额

支持通过一条策略即可实现在预定时间周期为每个用户的应用设定相同的流量限额值;

支持在预定时间周期对从源用户(组)去往目的用户(组)的应用总体流量设定限额值。

)连接控制

支持通过一条策略即可实现对每个用户设置相同的并发连接数和新建连接速度;

支持对从源用户(组)去往目的用户(组)的应用进行总体并发连接数和新