防火墙产品技术要求0926
信息安全技术 防火墙安全技术要求和测试评价方法
信息安全技术防火墙安全技术要求和测试评价方法
在当今数字化时代,信息安全问题变得越来越重要。
防火墙是保护网络安全的重要设备之一。
本文将介绍防火墙的安全技术要求和测试评价方法。
首先,防火墙应该具备以下安全技术要求:
1. 访问控制:防火墙应该能够对进出网络的流量进行访问控制,可以通过IP地址、端口号、协议等方式进行限制和过滤。
2. 支持加密:防火墙应该支持加密协议,如SSL/TLS等,以保护数据的机密性和完整性。
3. 检测和防范攻击:防火墙应该能够检测和防范各种网络攻击,如拒绝服务攻击、恶意软件攻击等。
4. 日志记录:防火墙应该能够记录网络活动日志,以便审计和安全事件调查。
5. 远程管理:防火墙应该支持安全的远程管理,以方便管理员进行管理和配置。
其次,防火墙的测试评价方法包括以下几个方面:
1. 性能测试:测试防火墙的吞吐量、延迟、带宽等性能指标。
2. 安全性能测试:测试防火墙的访问控制、加密、攻击检测和日志记录等安全性能指标。
3. 兼容性测试:测试防火墙与其他网络设备和应用程序的兼容性,以确保其可以无缝集成在现有网络环境中。
4. 可用性测试:测试防火墙的可用性、可靠性和稳定性,以确
保其能够稳定运行并保护网络安全。
总之,防火墙的安全技术要求和测试评价方法是网络安全领域中非常重要的部分。
通过加强防火墙的安全性能和测试评价,可以更有效地保护网络安全,提高网络安全的保障能力。
硬件防火墙技术参数及要求
采用基于流引擎的病毒扫描机制;支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤;支持防恶意网站功能,防止用户点击恶意链接并访问恶意网站;对携带病毒的邮件以及HTTP协议进行信息替换,提醒用户该数据流携带病毒已经被阻断。
带宽管理
支持基于用户、IP地址和应用的保证带宽、最大带宽、优先级控制的带宽管理。
采用同厂家的专用集中管理硬件平台进行统一管理。
统计
要求支持基于IP地址、基于应用的流量统计功能,包括短时间周期和长时间周期;要求支持基于IP地址的会话统计和基于应用协议的会话统计或者自定义统计审计,包括短时间周期和长时间周期(提供官方界面截图,招标时投标单位提供)
建议具备资质要求
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(必备)
策略管理
支持对防火墙策略命中次数的统计功能(提供官方界面截图,招பைடு நூலகம்时投标单位提供)
网络地址转换能力
具有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
身份认证方式
防火墙系统要支持多种身份认证技术,至少包括Radius/LDAP/本地认证等;支持与AD域控服务器认证后实现IP+MAC+用户的三重绑定
网络吞吐量
不少于2Gbps
并发连接数
不少于100万
每秒最大新建连接数
不少于3万
IPS吞吐量
不少于450Mbps
AV吞吐量
不少于250Mbps
IPSec VPN吞吐量
不少于1Gbps
灵活的接入方式
防火墙系统可以提供对复杂环境的接入支持,包括路由、透明、混合三种接入模式。
防火墙技术参数及相关要求的有关说明(精)
安全操作系统
采用自主研发的安全操作系统,要求TOS一主一备双系统,主操作系统出现异常或由于升级失败而不能正常引导系统的情况下,可以手工选择使用备份操作系统。
安全集中管理
支持多种安全管理方式,同时支持WEB、GUI、SSH等多种安全管理,并且支持远程集中安全管理。
模块化设计
防火墙系统硬件、软件系统为模块化设计,可以提供VPN模块、防病毒模块等,能够按照用户的要求,选择适当的模块,灵活配置,以适应要求。
服务器负载均衡
支持服务器负载均衡,提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择
管理软件
防火墙管理
提供防火墙集中管理软件。
日志审计管理
提供专门的防火墙日志审计系统管理软件。
二、供货周期十五天,交货地点为陕西科技大学咸阳校区;
三、由厂家负责本项目所含设备的安装调试;并提供网络相关设备的系统集成和软件升级;
防火墙技术参数及相关要求的有关说明
一、产品技术参数:
指标
指标项
技术规格要求
千兆防火墙性能
网络吞吐量
2.5Gbps
最大并发连接数不少Βιβλιοθήκη 200万每秒最大建立连接数
不少于8万
MTBF
不少于60000小时
端口数量和扩展能力
4个10/100/1000BASE-T端口;6个千兆SFP插槽;2个10/100BASE-T端口;最多可支持12个端口
四、产品培训课程1名。
防火墙技术要求
防火墙技术要求一、设备清单二、参数要求三、项目实施要求3.1.项目实施周期要求中标方需在合同签订后2个月内,完成设备采购、安装调试,并且配合完成所有应用系统的联调测试。
3.2.项目实施工作要求3.2.1.供货中标人须在不迟于合同签订后的10个工作日内完成所有招标设备到指定地点的供货。
投标人应确保其技术建议以及所提供的软硬件设备的完整性、实用性,保证全部系统及时投入正常运行。
若出现因投标人提供的软硬件设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。
3.2.2.安装调试中标单位必须提供安装、配线以及软硬件的测试和调整,实施过程由专业的系统集成人员进行安装、检测和排除故障。
3.2.3.验收设备到货后,用户单位与中标单位共同配合有关部门对所有设备进行开箱检查,出现损坏、数量不全或产品不对等问题时,由中标单位负责解决。
根据标书要求对本次所有采购设备的型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)进行验收。
设备安装完成,由中标单位制定测试方案并经用户确认后,对产品的性能和配置进行测试检查,并形成测试报告。
测试过程中出现设备产品性能指标或功能上不符合标书要求时,用户有拒收的权利。
3.2.4.特别工具中标单位必须提供用于系统安装与配置的介质(光盘、磁盘或其他)。
如果必须提供特殊工具来维护硬件和软件,投标人必须列出特殊工具的清单、价格、名称和数量,但不包括在总价格中。
3.2.5.文档要求验收完成后,中标单位必须如数提供完整的系统软硬件安装、操作、使用、测试、控制和维护手册。
手册必须包括下列内容:系统和操作手册必须包括(但不局限于):系统安装与配置手册系统维护,包括:诊断手册、故障排除指南。
用户手册包括(但不局限):系统竣工文档用户使用手册等3.3.培训要求中标方应提供包括相应主机存储、网络安全等设备的培训,包括技术培训和操作培训。
信息安全技术 防火墙技术要求和测试评价方法
信息安全技术防火墙技术要求和测试评价方法随着信息安全威胁的不断增加,防火墙技术作为一种重要的网络安全设备,扮演着越来越重要的角色。
防火墙技术的质量和性能对于保障网络安全至关重要,因此需要具备一定的技术要求和测试评价方法。
防火墙技术要求包括:
1. 安全性要求:防火墙需要具备保护网络免受外部攻击和内部非法访问的能力。
2. 可靠性要求:防火墙需要具备稳定的运行性能和高可用性,以确保网络的连续性。
3. 灵活性要求:防火墙需要具备可扩展性和可定制化的能力,以满足不同用户的需求。
4. 性能要求:防火墙需要具备高性能的处理能力,以满足高流量和高并发的网络环境。
防火墙技术测试评价方法包括:
1. 安全测试:对防火墙的防御能力进行测试,包括漏洞测试、攻击测试和安全策略测试等。
2. 性能测试:对防火墙的吞吐量、响应时间、并发能力等性能指标进行测试。
3. 可靠性测试:对防火墙的稳定性和可靠性进行测试,包括重启测试、负载测试和异常情况测试等。
4. 适配性测试:对防火墙的适配性进行测试,包括对不同网络
环境和网络设备的适配性测试。
总之,防火墙技术是信息安全领域中的重要组成部分,其技术要求和测试评价方法需要不断提升和完善,以保障网络安全。
应用防火墙技术要求
应用防火墙技术要求一、设备清单二、参数要求所有打“★”为必须满足技术条件,如无法满足则视为非实质性响应。
三、项目实施要求3.1.项目实施周期要求中标方需在合同签订后2个月内,完成设备采购、安装调试,并且配合完成所有应用系统的联调测试。
3.2.项目实施工作要求3.2.1.供货中标人须在不迟于合同签订后的30个工作日内完成所有招标设备到指定地点的供货。
投标人应确保其技术建议以及所提供的软硬件设备的完整性、实用性,保证全部系统及时投入正常运行。
若出现因投标人提供的软硬件设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。
3.2.2.安装调试中标单位必须提供安装、配线以及软硬件的测试和调整,实施过程由专业的系统集成人员进行安装、检测和排除故障。
3.2.3.验收设备到货后,用户单位与中标单位共同配合有关部门对所有设备进行开箱检查,出现损坏、数量不全或产品不对等问题时,由中标单位负责解决。
根据标书要求对本次所有采购设备的型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)进行验收。
设备安装完成,由中标单位制定测试方案并经用户确认后,对产品的性能和配置进行测试检查,并形成测试报告。
测试过程中出现设备产品性能指标或功能上不符合标书要求时,用户有拒收的权利。
3.2.4.特别工具中标单位必须提供用于系统安装与配置的介质(光盘、磁盘或其他)。
如果必须提供特殊工具来维护硬件和软件,投标人必须列出特殊工具的清单、价格、名称和数量,但不包括在总价格中。
3.2.5.文档要求验收完成后,中标单位必须如数提供完整的系统软硬件安装、操作、使用、测试、控制和维护手册。
手册必须包括下列内容:系统和操作手册必须包括(但不局限于):系统安装与配置手册系统维护,包括:诊断手册、故障排除指南。
用户手册包括(但不局限):系统竣工文档用户使用手册等3.3.培训要求中标方应提供包括相应主机存储、网络安全等设备的培训,包括技术培训和操作培训。
1、防火墙参数需求
★中标人在中标后7个工作日内需提供样机测试,并进行所承诺的所有功能测试,提供测试报告,如经测试发现与标书要求或投标单位有意拖延测试,则视为欺诈行为,招标人将不授予合同,投标单位将承担一切后果与责任
2、核心交换机参数需求:
支持并配置IEEE 802.3ad(链路聚合)和跨板链路聚合功能
IPv4协议
支持并配置RIP、OSPF V2、IS-IS和BGP协议功能,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP,支持并配置等价路由功能
支持策略路由、支持路由策略
QoS
支持802.1p和DSCP优先级分类;支持SP、WRR队列调度机制;每端支持优先级队列≥8个;
设备管理维护
支持命令行接口(CLI),Telnet,Console口进行配置;支持SNMPv1/v2/v3,WEB网管;支持中文图形界面网管
认证和资质
提供信息产业部入网证,且能在信产部网站查询。入网证上申请单位与生产企业必须为同一厂商,以保证该产品非OEM产品;
具有初装向导,支持策略复制、搜索、分组、命中查询等便捷功能;
(要求提供界面截图)
支持界面上保存不少于五个配置文件、指定启动使用的配置文件、配置文件的备份与恢复(要求提供界面截图)
支持通过设备面板的HA指示灯查看HA状态
必须具备静态环比报表功能,可以基于日、月进行流量/攻击防护/URL访问/应用阻断等的环比统计分析,对一个周期的管理策略提供依据。(投标时必须提供环比报表截图)
至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽;支持Ingress/Egress CAR,粒度可达8Kbps提供广播风暴抑制功能;支持VLAN聚合CAR,MAC聚合CAR功能
防火墙参数要求
★2.产品应采用业界领先的入侵检测技术,拥有入侵检测方法的相关专会话维持1.支持基于协议、端口、策略的会话维持功能网络适应性6. 支持冗余心跳线机制7•支持VRRP 和STP 协议8.支持链路状态检测的双机热备★1.支持基于路由转发的接入方式★2.支持基于透明网桥的接入方式3. 支持路由转发和透明网桥转发两种模式同时具备的混合接入方式4.支持VLANTRUNK日志扌报表★安全审计3.求支持记录任何试图穿越或到达防火墙的违反安全策略的访问请1.支持网络负载均衡到多台服务器负载均衡2.支持集群工作模式的负载均衡1.支持IPSEC协议支持标准IPSec、SSL、GRE、PPTP、L2TP等VPN2.支持建立"防火墙至防火墙”和"防火墙至客户端”两种形式的VPN3.支持基于预共享密钥和X.509数字证书等方式的VPN用户访问认证4.加密算法和验证算法符合国家密码管理的有关规定1、支持IPv6静态路由2、支持IPv6包过滤3、支持IPv6环境下的网络应用IPv64、支持双栈功能5、支持IPv4和IPv6地址的转换功能6、支持IPv6隧道技术1.支持记录来自外部网络的被安全策略允许的访问请求2.支持记录来自内部网络和DMZ的被安全策略允许的访问请求4.支持记录防火墙的管理行为管理要求管理要求5.审计记录内容完整6•支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控7.支持日志的管理8.提供日志管理工具9.支持记录对防火墙系统的自身操作。
10.支持记录在防火墙管理端口的认证请求11.支持对日志事件和防火墙所采取的相应技术措施的描述12.支持日志记录存储和备份的安全13.支持日志管理工具管理日志14.支持日志的统计分析和报表生成15.支持日志集中管理16.支持日志存储耗尽处理机制★1.支持对授权管理员的口令鉴别方式★2.支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽★3.支持本地和远程管理★4.支持通过USB导出关键信息时可选择信息列表,日志可按照模块存储在USB设备中,并可设定定时自动导出5.支持设置和修改安全管理相关的数据参数★6.支持按功能模块的配置导入导出功能★7.可提供专用的集中管理系统,实现对安全网关接入用户认证的集中 管理,至少可同时管理1000台防火墙抗渗透 恶意代码防御 1.支持恶意代码防御功能 产口口安1.支撑系统不提供多余的网络服务 支撑系统安全性 非正常关机 1.防火墙应对非正常关机做出正确处理 资质要求 8.支持管理审计日志 ★9.支持管理员权限划分 1.抵抗各种典型的拒绝服务攻击,如SYNFLOOD ,UDPFLOOD , ICMPFLOOD ,IP 碎片包攻击,源IP 地址欺骗攻击2.支撑系统不含任何高、中风险安全漏洞 ★设备原厂商应具备安全服务二级资质和应急响应一级资质,同时需为微软MAPP 成员;★产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,且认证等级为三级★产品具有中国国家信息安全认证中心颁发的《中国国家信息安全产品认证证书》,且认证等级为 三级★产品具有中国国家信息安全测评认证中心颁发的《信息技术产品安全测评证书EAL3+级别》★产品具有全球IPv6测试中心颁发的《IPv6Ready 》金牌认证证书(IPv6Phase2认证)★产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》★产品具有国家版权局颁发的《计算机软件著作权登记证书》★中国信息安全测评中心颁发的信息安全产品自主原创证明。
网络防火墙配置要求指南
网络防火墙配置要求指南在如今日益依赖互联网的时代,保障网络安全已经成为企业和个人的重要任务。
网络防火墙作为一种常见的网络安全设备,可以有效地保护网络免受恶意攻击和未授权访问。
本文将为您提供一份网络防火墙配置要求指南,帮助您确保网络的安全性。
1. 网络拓扑图和访问控制策略在配置网络防火墙之前,首先需要绘制网络拓扑图,清晰地展示网络中各设备的布局和连接方式。
此外,根据网络的实际需求,制定访问控制策略,明确规定允许和禁止的网络流量。
2. 防火墙性能需求根据网络的规模和需求,确保所选防火墙设备具备足够的吞吐量和处理能力。
考虑到网络的未来发展,建议选择具备可升级性的设备。
3. 配置访问规则通过配置访问规则,限制外部流量进入内部网络,并防止内部网络中的敏感数据泄露。
根据实际情况,对不同类型的流量(如HTTP、FTP、SSH等)进行细粒度的控制,确保只有经过授权的流量能够通过防火墙。
4. 加密和隧道配置为了保护数据的机密性,应使用加密协议(如IPSec)配置VPN隧道,确保在公共网络中传输的数据得到保护。
此外,应定期更换加密密钥,增加破解的难度。
5. 安全审计和日志记录配置防火墙设备以进行安全审计和日志记录是非常重要的。
通过分析和监视防火墙日志,可以及时发现异常活动并采取相应措施。
同时,可以在必要时提供详细的网络访问日志以进行调查和取证。
6. 更新和维护定期更新防火墙设备的固件和软件以及相关的安全补丁。
同时,定期审查和优化已配置的访问规则和安全策略,确保网络安全的持续性。
7. 应急响应计划制定网络安全的应急响应计划,并将防火墙设备纳入其中。
在发生安全事件时,能够及时采取措施以最小化损失并进行恢复。
8. 培训和意识提升定期为网络管理员和其他相关人员提供网络安全培训,提高他们的安全意识和技能,确保他们能够正确地配置和管理防火墙设备。
总结:网络防火墙配置是保障网络安全的重要一环。
本指南介绍了网络防火墙配置的关键要求,包括网络拓扑图和访问控制策略、防火墙性能需求、访问规则配置、加密和隧道配置、安全审计和日志记录、更新和维护、应急响应计划以及培训和意识提升。
2防火墙术参数要求
2防火墙术参数要求防火墙是一种网络安全设备,用于管理和过滤网络流量,保护网络免受恶意攻击和非法访问。
不同的网络环境和需求可能对防火墙有不同的要求,以下是一些常见的防火墙术参数要求。
1.安全性能:防火墙应能够处理和过滤大量网络流量,同时保持良好的性能。
在选择防火墙时,应考虑其吞吐量、并发连接数和处理延迟等参数。
2.协议支持:防火墙需要支持多种网络协议,包括但不限于TCP、UDP、ICMP、HTTP、FTP等。
它应能够检测和过滤各类协议中的安全威胁,并确保网络流量的合规性。
3.安全策略管理:防火墙应提供灵活的安全策略管理功能,以满足不同网络环境的需求。
这包括对入站和出站流量的控制、对特定应用程序和服务的访问控制、对特定用户或用户组的身份验证和访问控制等。
4.威胁检测与入侵防御:防火墙应能够检测和阻止各种安全威胁和入侵行为,如病毒、木马、网络蠕虫、DoS攻击等。
它应具备实时的威胁情报和漏洞库,以及适应性的入侵检测和防御机制。
5.身份认证与访问控制:防火墙应支持多种身份认证机制,如基于密码、数字证书、双因素认证等。
它应能够实现细粒度的访问控制,对用户、用户组、IP地址、端口等进行灵活的权限控制。
6. VPN支持:虚拟私有网络(VPN)是一种通过公共网络建立安全连接的技术。
防火墙应能够支持主流的VPN协议,如IPSec、SSL VPN等,并提供可靠的数据加密和身份验证机制。
7.可管理性和可扩展性:防火墙应具备良好的可管理性和可扩展性,以方便管理员对其进行配置、监控和维护。
它应支持远程管理和集中管理,具备日志记录和审计功能,并能够与其它安全设备和系统集成。
8.高可用性和容错性:防火墙应具备高可用性和容错性,以保证网络的连续性和可靠性。
它应支持冗余配置和故障切换机制,能够自动检测和应对硬件故障、网络故障和攻击事件。
10.可更新性和升级性:防火墙的软件和规则库应能够及时更新和升级,以应对新的安全威胁和漏洞。
它应能够自动获取安全更新和补丁,并具备灵活的策略更新和版本升级机制。
防火墙技术要求
防火墙技术要求
一、技术要求和应答表
编号
项目
技术要求
备注
投标人应答
1
接口类型及数量
固定千兆电口≥4个,千兆SFP插槽≥4个
★
接口扩展插槽≥2个
2
性能参数
大包(1518字节)吞吐量≥1000Mbps
★
小包(64字节)吞吐量≥1000Mbps
3
并发连接
数
≥10万条每秒
★
4
攻击防范
支持防扫描探测,包括:地址扫描、端口扫描等;
9
VPN功能
支持IPSec、L2TP、GRE等VPN协议;
配置至少100个IPSec VPN隧道license
★
10
QoS
支持FIFO、CAR等队列排队算法,支持对特定源IP地址的连接速率/连接数限制,以及到特定目的IP地址的连接速率/连接数限制
11
P2P限流
支持BitTorrent、PPLive、PPStream、eDonkey、迅雷、GnuTella、Qqlive、KUGOO、BaiBao、Soulseek、CCIPTV、PPGou、PPFilm、PP365、Kazaa、UUSee、TVAnts、BBSEE、Vagaa、Mysee、Filetopia等30种以上的P2P应用流量控制;支持分协议控制;支持P2P总量控制;支持对指定用户的P2P流量限制
★
12
虚拟防火墙
支持虚拟防火墙
13
系统日志
支持Syslog日志和二进制日志,并提供配套的日志服务器软件;支持NAT日志记录;支持流日志,能够对网络流量、DdoS攻击流量、P2P流量等进行统计分析排序,并自动输出图形报表
14
防火墙技术指标
IPS 支持对设备本身电源的监控
支持分布式和一站式管理。
提供全面的系统日志、审计日志功能,日志可导出。
支持实时的攻击日志归并功能,可以根据用户需要,对告警日志执行任意粒度的归并, 有效避免告警风暴。
能够按照用户需求生成各种风格的统计报表,并可导出报表。
支持 Syslog 日志发送接口。 支持二层回退功能,当检测引擎在极端情况下失效时,设备可回退到二层模式,保证 网络连通。 支持掉电保护功能,可提供掉电保护装置,保证设备掉电时网络可连通。 提供中国国家信息安全产品认证证书;欧盟 RoHS 认证。 数量:1 台,含三年特征库升级服务。
服务器技术指标
戴尔 PowerEdge R710(Xeon E5620/4GB/3*500GB)详细参数
•
三级缓存:12MB
•
总线规格:QPI 5.86GT/s
•
CPU 核心:四核
•
CPU 线程数:八线程
•
主板芯片组:Intel 5520
•
扩展槽:2×PCI-E x8
2 PCI-E x4 或 1×PCI-E x16
2×PCI-E x4
•
内存类型:DDR3
•
内存容量:4GB
•
内存描述:2×2GB DDR3
管理方式
日志功能 ★可靠性 ★资质证明 ★配置要求
可以同时工作。 在线部署时,支持透明部署,即插即用。 支持基于 Web 的图形化管理方式,支持 HTTP、HTTPS 登录 Web 图形管理系统进 行管理。 支持中文管理界面 不需要部署额外的管理系统,通过基于 Web 的图形化管理方式,即可实现完备的单 机的设备管理、安全策略管理、攻击事件统计分析功能。 支持基于串口、Telnet 的命令行管理。
防火墙等保技术要求和测试评价方法
信息安全技术防火墙等保技术要求和测试评价方法Information security technology-Technique requirements and testing and evaluation approaches forfirewall products目次前言 (I)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4符号和缩略语 (2)5技术要求 (3)5.1总体说明 (3)5.1.1技术要求分类 (3)5.1.2安全等级 (3)5.2功能要求 (3)5.2.1一级产品功能要求 (3)5.2.2二级产品功能要求 (5)5.2.3三级产品功能要求 (7)5.3性能要求 (9)5.3.1吞吐量 (9)5.3.2延迟 (9)5.3.3最大并发连接数 (10)5.3.4最大连接速率 (10)5.4安全要求 (10)5.4.1一级产品安全要求 (10)5.4.2二级产品安全要求 (11)5.4.3三级产品安全要求 (11)5.5保证要求 (12)5.5.1 说明 (12)5.5.2一级产品保证要求 (12)5.5.3二级产品保证要求 (13)5.5.4三级产品保证要求 (15)6测评方法 (17)6.1总体说明 (17)6.2功能测试 (18)6.2.1测试环境与工具 (18)6.2.2包过滤 (18)6.2.3状态检测 (19)6.2.4深度包检测 (19)6.2.5应用代理 (19)6.2.6NAT (19)6.2.7IP/MAC 地址绑定 (20)6.2.8动态开放端口 (20)6.2.9策略路由 (20)6.2.10流量统计 (20)6.2.11带宽管理 (21)6.2.12双机热备 (21)6.2.13负载均衡 (21)6.2.14VPN (21)6.2.15协同联动 (21)6.2.16安全审计 (22)6.2.17 管理 (22)6.3性能测试 (23)6.3.1测试环境与工具 (23)6.3.2吞吐量 (23)6.3.3 延迟 (23)6.3.4最大并发连接数 (24)6.3.5最大连接速率 (24)6.4安全性测试 (24)6.4.1测试环境与工具 (24)6.4.2抗渗透 (24)6.4.3恶意代码防御 (24)6.4.4支撑系统 (25)6.4.5非正常关机 (25)6.5保证要求测试 (25)6.5.1配置管理 (25)6.5.2交付与运行 (25)6.5.3安全功能开发过程 (25)6.5.4指导性文档 (25)6.5.5生命周期支持 (26)6.5.6 测试 (26)6.5.7 脆弱性评定 (26)附录A(资料性附录)防火墙介绍 (27)A.1概述 (27)A.2工作模式 (27)A.2.1路由模式 (27)A.2.2透明模式 (27)A.3工作环境 (27)信息安全技术防火墙技术要求和测试评价方法1范围本标准规定了采用“传输控制协议/网际协议(TCP/IP)”的防火墙类信息安全产品的技术要求和测试评价方法。
防火墙要求
c) 防火墙的技术要求
防火墙可采用普通国产设备,I、II区配置经公安部认定的的硬件防火墙1台。
具体要求如下:
⏹10/100M自适应端口>5
⏹并发连接数>=300000
⏹获得应用代理和包过滤最新防火墙国家标准认证
⏹采用专用服务器硬件和安全的核心操作系统
⏹支持路由及交换两种工作模式;支持IEEE 802.1q 的Trunk封装协议
⏹具有实时网络数据监控功能,实时监控网络数据包的状态,网络流量的动态变
化
⏹具有物理断开功能。
可以设置防火墙网卡的睡眠时间和活动时间,让防火墙在
指定的时刻自动进行睡眠和活动的转换
⏹具有物理上分离的以太网网络管理接口,可本地管理及远程集中管理;全中文
GUI管理界面,通过GUI管理界面能够完成全部配置、管理工作;支持SNMP
协议,方便管理员使用第三方的网管平台进行管理
⏹提供灵活、全面的访问控制功能,可以基于网络地址、通讯协议、网络通讯端
口、用户帐号、信息传输方向、操作方式、网络通讯时间、网络服务等;(If Right)
⏹具有一次性口令用户身份认证功能,并支持标准的RADIUS协议第三方认证
⏹支持动态的网络地址转换(NAT);支持IP和MAC地址绑定;
⏹需满足地方电业局调度安全防护要求。
防火墙技术要求
VPN吞吐量
3DES,≥2Gbps
VPN隧道数
≥3,000
最大VLAN(802.1Q)数
≥2000
路由数量
路由数量:≥2,048
接入模式
支持路由、透明等模式;在各种工作模式下都可实现应用层安全防护。
地址转换功能
支持一对一和多对一的静态地址映射;支持正向、反向地址转换。
入侵防御功能
支持独立硬件模块实现的入侵检测和防护功能
访问控制
提供灵活的访问控制功能,可以基于:网络地址、通讯协议、网络通讯端口、信息传输方向、操作方式、网络通讯时间、网络服务等。
链路负载均衡
支持链路负载均衡,能够在多条链路上分发负载
虚拟路由器
支持虚拟路由器功能
DHCP
支持DHCP服务器功能。
带宽管理
支持基于策略的流量管理,支持优先级划分,支持动态带宽均衡。
并发连接数与总连接数限制
要同时支持连接率的限制、连接数的限制。
VPN
支持VPN模块,支持标准IPSEC VPN协议、L2TP。
自身防御功能
支持抵御PingofDeath、TCP SYNfloods、Tear Drop、UDP Flood、ICMP Flood、Land、Smurf、ARP风暴等各种攻击。
认证
支持RADIUS、口令、数字证书等多种认证等方式。
Web管理
支持Web管理界面。
集中管理
支持GUI管理,能集中管理软件。
远程管理
支持命令行管理,支持SSH管理,支持SNMP。
SNMP支持
支持SNMP协议,可与第三方网管软件进行设备的轮询。
日志审计
提供访问日志、事件日志,可针对源/目的IP、协议、端口、用户、时间段、事件类型等对日志进行审计,数据可以导出。日志Leabharlann 储支持网络数据库外部存放方式。
应用防火墙技术要求
应用防火墙技术要求应用防火墙技术是防火墙技术的一种高级形式,它不仅能够过滤网络流量,还能够检测和控制应用层数据,具有更强的安全性和灵活性。
在当前网络环境日益复杂和威胁不断增加的情况下,应用防火墙技术的要求也随之提升。
本文将从以下几个方面对应用防火墙技术的要求进行探讨。
首先,应用防火墙技术需要具备高性能和高吞吐量的特点。
随着网络流量的急剧增长,应用防火墙需要能够处理大规模的并发连接和高密度的数据流量。
同时,为了不影响网络性能,它还需要具备低延迟和高可扩展性的特性,以便应对不断增长的网络负载。
其次,应用防火墙技术需要具备全面的应用层协议支持能力。
现代网络应用的协议越来越复杂,涉及的协议种类也越来越多样化,如HTTP、FTP、SMTP、POP3等,应用防火墙需要能够深入识别各种应用层协议,以便对其进行精确的检测和控制。
再次,应用防火墙技术需要具备先进的威胁检测和防护能力。
网络威胁形式多样,攻击手法不断演进,例如DDoS攻击、SQL注入、跨站脚本(XSS)攻击等。
应用防火墙需要能够及时发现并阻断这些威胁,保护网络的安全。
此外,针对新型的威胁,应用防火墙还需要能够实时更新安全策略和规则库,以及及时获取威胁情报,提高对未知威胁的检测和响应能力。
此外,应用防火墙技术需要具备多种部署模式的支持能力。
不同的网络环境和应用场景对应用防火墙的部署方式有不同的要求,可以是传统的边界防火墙、网关防火墙,也可以是内部防火墙、分布式防火墙等。
应用防火墙需要能够支持灵活的部署方案,并且能够与其他网络安全设备和系统进行协同工作,形成多层次、多维度的综合防御体系。
最后,应用防火墙技术需要具备简化管理和易用性的特点。
随着网络规模的扩大和复杂性的增加,应用防火墙需要提供集中化的管理平台,以简化配置和管理过程,降低管理员的工作负担。
同时,应用防火墙还需要提供友好的用户界面和易于理解的报告功能,以便管理员更好地了解网络安全状况,及时采取应对措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动防火墙产品技术要求(讨论稿)中国移动通信集团公司研发中心2002 年 9 月目录1、防火墙产品综述 (3)1.2、产品体系结构分析 (4)1.2.1、总体类别分析 (4)1.2.2、基于工作机制的体系结构分析 (4)1.2.3、基于硬件实现的体系结构分析 (7)1.2.4、比较分析与相关结论 (8)2、防火墙产品功能需求 (9)2.1、设备物理特性 (9)2.2、基本网络级功能 (9)2.2.1、链路层(Layer2)功能 (9)2.2.2、网络层(Layer3)功能 (10)2.3、基本管理工具与界面 (10)2.4、网络地址转换(NETWORK ADDRESS TRANSLATION) (11)2.5、日志和报告功能 (11)2.6、内容安全功能 (12)2.7、认证功能 (12)2.8、服务类型支持能力 (12)2.9、对DOS/DDOS攻击的防御功能 (15)2.10、系统高可靠性(HA)实现 (15)2.11、与其它安全系统集成与联动功能 (15)2.12、带宽管理功能 (16)3、防火墙产品性能需求 (16)3.1、吞吐量(Throughput) (16)3.2、丢包率(Frame Lose Rate) (16)3.3、时延(Latency) (16)3.4、连接/会话指标 (16)3.4.1、并发连接数(Concurrent Session Number) (16)3.4.2、连接建立速度(New Session Rate) (17)3.5、缓存能力(Back to Back) (17)3.6、有效通过率(GoodPUT) (17)1、防火墙产品综述防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。
在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。
防火墙是一个系统,主要用来执行两个网络之间的访问控制策略。
它可为各类企业网络提供必要的访问控制,但又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业的关键资源。
在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。
通常一个公司在购买网络安全设备时,总是把防火墙放在首位。
目前,防火墙已经成为世界上用得最多的网络安全产品之一。
防火墙是一种综合性的技术,涉及到计算机网络技术。
密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。
防火墙并不是真正的墙,它是一类防范措施的总称,是一种有效的网络安全模型,是机构总体安全策略的一部分。
它阻挡的是对内、对外的非法访问和不安全数据的传递。
在因特网上,通过它隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网)的连接,能够增强内部网络的安全性。
防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器、一个限制器、也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙保护着内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等等。
新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。
通常应用防火墙的目的有以下几方面:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
1.2、产品体系结构分析1.2.1、总体类别分析防火墙产品体系结构的类别划分可以从两个不同的角度来进行:•从工作机制角度从防火墙产品的工作机制角度,其体系结构主要可以分为三类:包过滤型防火墙、应用代理型防火墙和状态检测型防火墙。
•从产品硬件实现角度从防火墙产品的硬件实现角度,其体系结构主要可以分为三类:基于通用服务器平台、基于ASIC技术的专用硬件平台、分布式基于交换加速技术的硬件平台下面,分别对两种不同类别划分标准及相关类别的技术框架进行分析。
1.2.2、基于工作机制的体系结构分析一、包过滤型防火墙包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
包过滤型防火墙的工作原理如下图所示:图1、包过滤型防火墙工作原理分组过滤或包过滤,是一种通用、廉价、有效的安全手段。
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
二、应用代理型防火墙代理防火墙也叫应用层网关(Application Gateway)防火墙。
这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。
从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。
它的核心技术就是代理服务器技术。
所谓代理服务器,是指代表客户处理在服务器连接请求的程序。
当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。
代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。
应用代理型防火墙的工作原理如下图所示:图2、应用代理型防火墙工作原理应用代理型防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。
所幸的是,目前用户接入Internet的速度一般都远低于这个数字。
在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM或千兆位以太网等)之间的防火墙。
三、状态检测型防火墙状态检测(Stateful Inspection)技术是防火墙近几年才应用的新技术。
传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。
这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
状态检测型防火墙的工作原理如下图所示:动态图3、状态检测型防火墙工作原理先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括:•通信信息:即所有7层协议的当前信息。
防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。
防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。
它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。
•通信状态:即以前的通信信息。
举例来讲,对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。
状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息,例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口,然后,防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
这里,对于UDP或者RPC等无连接的协议,检测模块可创建虚会话信息用来进行跟踪。
•应用状态:即其他相关应用的信息。
状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用,它比代理服务器支持的协议和应用要多得多;并且,它能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。
例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。
•操作信息:即在数据包中能执行逻辑或数学运算的信息。
状态监测技术,采用强大的面向对象的方法,基于通信信息、通信状态、应用状态等多方面因素,利用灵活的表达式形式,结合安全规则、应用识别知识、状态关联信息以及通信数据,构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。
1.2.3、基于硬件实现的体系结构分析防火墙产品从硬件实现角度也可以大体分为三类不同的体系结构,依次经历了以下不同阶段的技术演进:在第一代防火墙中,需要在工作站或服务器上运行的专用操作系统中部署防火墙软件。
这种完全基于通用服务器的防火墙解决方案存在一定的问题,如操作系统的安全性漏洞及低劣的性能都要求进行演进。
第2代防火墙基于ASIC芯片技术,在性能上较之第1代防火墙有明显提升,克服了基于服务器的防火墙解决方案的一些缺点。
后来,越来越多的以Web交换机为负载平衡器实现扩展防火墙工具成了主要的防火墙解决方案。
然而,即使使用防火墙负载平衡功能,这种第2代体系结构在扩展到一定性能级别以上时也会变得无法管理;同时,第2代防火墙在安全功能的支持程度上往往较第1代防火墙差。
现在,第3代交换防火墙体系结构继承了第2代防火墙的简便性,同时增加了可扩展性、可管理性和交换性能--从而可以满足高性能IT数据中心的主要要求。
第3代防火墙突破性的基于硬件交换原理的加速结构将带来一种防火墙工作模式的变化,这种变化正如第3层交换功能刚推出时一样。
第3层交换为LAN路由带来了高性能,同样,交换防火墙也将同样提高外围安全性性能。
同时,为最大限度地提高系统性能,第3代防火墙往往采用分布式处理的体系结构;另外,第3代防火墙系统集成了负载分担的特性,充分保证了系统的未来扩展性;最后,为克服第2代防火墙在功能性上的不足,第3代防火墙往往与强大的防火墙软件系统进行全面的整合。
1.2.4、比较分析与相关结论根据上面对各个防火墙类别的分析与归纳总结,可以得出以下相关的类别特性对照表。