网络安全设备主要性能要求和技术指标要求部分汇总
信息安全管理制度-网络安全设备配置规范
信息安全管理制度-网络安全设备配置规范信息安全管理制度-网络安全设备配置规范1. 引言本文档旨在规范网络安全设备的配置要求,以保障信息系统和网络的安全性、可靠性和稳定性。
网络安全设备是信息安全管理中的关键组成部分,对于保护网络资源、防范各类网络威胁具有重要作用。
2. 背景随着信息技术的快速发展和广泛应用,各类网络威胁和攻击手段也日益增多和复杂化。
为了有效地应对这些威胁,必须建立健全的网络安全设备配置规范,确保网络安全设备能够发挥最大的防护效果。
3. 目标本文档的目标在于建立网络安全设备配置规范,确保网络安全设备的配置符合最佳实践,以提供最高水平的安全保护。
4. 网络安全设备配置规范要求4.1 管理策略和准则- 确定网络安全设备的管理策略,包括设备的访问控制、认证和授权等。
- 制定网络安全设备的管理准则,包括设备的日志管理、备份和恢复等。
4.2 防火墙配置规范- 配置防火墙的访问控制策略,禁止未授权访问。
- 配置防火墙的应用代理,对网络流量进行深度检查,防范应用层攻击。
- 定期更新和维护防火墙的软件和签名库,及时修补安全漏洞。
4.3 入侵检测与防御系统配置规范- 配置入侵检测与防御系统的基线策略,及时发现和阻止潜在的入侵行为。
- 对入侵检测与防御系统进行漏洞扫描和补丁更新,确保系统的安全性和稳定性。
- 配置入侵检测与防御系统的告警机制,及时通知安全管理员进行处理。
4.4 安全路由器和交换机配置规范- 配置安全路由器和交换机的访问控制列表(ACL),限制网络流量的传输。
- 启用端口安全功能,限制未授权的设备接入网络。
- 采用安全协议,如SSH和HTTPS等,保证设备的远程管理安全。
4.5 无线网络设备配置规范- 配置无线网络设备的SSID隐藏,减少网络被发现的风险。
- 采用WPA2-PSK认证方式,确保无线网络的安全性。
- 配置无线网络设备的访问控制,限制未授权设备接入网络。
5. 配置规范的执行与评估5.1 执行- 在购买和部署网络安全设备时,按照本规范要求进行配置。
网络安全设备主要性能要求和技术指标要求部分
网络安全设备主要性能要求和技术指标要求部分1.性能指标性能指标是衡量网络安全设备性能的重要指标,主要包括数据传输速率、并发连接数、处理能力等。
-数据传输速率:网络安全设备的数据传输速率是衡量其性能的关键指标之一、提供设备的传输速率应该能够满足网络流量的需求。
-并发连接数:网络安全设备应该能同时支持大量的并发连接,以满足多用户同时访问的需求。
-处理能力:网络安全设备的处理能力应该足够强大,能够对网络流量进行有效的分析和处理,提供高质量的安全保护。
2.可靠性指标可靠性指标是衡量网络安全设备可靠性的关键指标,主要包括可用性、故障恢复时间等。
-可用性:网络安全设备应该具有高可用性,能够提供稳定的服务,同时应具备冗余设计,确保在其中一部分设备发生故障时仍能提供服务。
-故障恢复时间:网络安全设备在发生故障后,需要能够在较短的时间内恢复正常工作状态,以最小化对网络的影响。
3.安全指标安全指标是衡量网络安全设备安全性能的重要指标,主要包括防护能力、威胁应对能力等。
-防护能力:网络安全设备应该具备强大的防护能力,能够有效地识别和阻止各种网络攻击,包括入侵检测、DDoS防护等。
-威胁应对能力:网络安全设备应及时更新防护规则和威胁数据库,能够及时应对新的威胁,提供实时的威胁情报和威胁情况分析。
4.可扩展性指标可扩展性指标是衡量网络安全设备可扩展性的关键指标,主要包括接口扩展、规模扩展等。
-接口扩展:网络安全设备应提供多种接口,以便与其他设备和系统进行集成,提供更全面的安全保护。
-规模扩展:网络安全设备应支持灵活的规模扩展,能够根据网络规模的增大进行系统的扩展和升级。
5.管理和维护指标管理和维护指标是衡量网络安全设备管理和维护性能的关键指标,主要包括日志管理、远程管理等。
-日志管理:网络安全设备需要能够记录和管理相关的安全事件和日志,以便进行安全审计和故障排查。
-远程管理:网络安全设备应提供远程管理功能,便于网络管理员对设备进行配置和管理,提高设备的可维护性。
主要技术要求
主要技术要求
一、产品技术指标要求如下:
热拔插电流/电压/功率/电能信号模块技术参数
本项目所有投标人对所投产品的指标项和技术要求必须严格按照所投产品的真实参数指标填写,严禁夸大或者虚假描述,采购人保留任何时候用任何方式向相关产品厂家查证技术参数真实性或者对怀疑产品进行测试的权利,投标人需无条件配合,如果存在虚假描述会导致响应无效。
由此引起导致招标人在实施者使用过程中的任何(包括数据,经济,声誉)损失。
采购人有权利终止合同,扣除合同款项,甚至通过法律途径保障采购人的正当合法权益等行为。
二、集成要求
本项目集成内容主要包括VMware虚拟化集群。
中标方需提供至少但不限于以下几项服务:(1)机柜安装及服务器上架
(2)服务器raid划分
(3)服务器(14台)同楼层搬迁及工作(不限于本项目采购的服务器设备)
(4)服务器连接SAN存储光纤接线(不限于本项目采购的服务器设备,共计21台)(5)Linux操作系统的安装配置调试
(6)VMware EXSI、vCenter、FT、VSAN安装配置调试,2套四节点的VMware集群集
成(不限于本项目采购的服务器设备)(7)万兆网络交换机集成配置
(8)配合用户测试进行设备优化调试
(9)提供相应的集成文档
(10)提供相应技术培训
(11)现场支持人天要求。
网络安全设备技术要求
7、流量优化:具备P2P智能流控功能,支持通过抑制P2P的下行流量,来减缓P2P的上行流量,需提供产品配置实例从而解决网络出口在做流控后仍然压力较大的问题;具备流控黑名单功能,需提供支持基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道的配置实例,支持灵活配置流控单位是IP还是用户名;支持流控通道实时可视化,能够提供实时看到各级流控通道的状态:包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级,状态等的配置实例;具备动态流控功能,在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略,以提升带宽的使用率,需提供功能满足性操作实例并支持空闲值可自定义;
5、支持对被防护网站进行黑链检测,需提供在首页可以展示最近七天的黑链风险,在系统状态中提供详细的黑链类型分布、黑链主机、危害以及影响、参考解决方案等信息的Байду номын сангаас置实例;
6、支持叠加云端安全服务实现对设备的托管,由云端安全专家对设备进行日志分析和策略配置调整,提供服务内容包括:安全事件告警服务、网站安全评估服务、应急响应服务、在线人工服务,云端安全服务通过微信的形式交付到客户,实现风险前置的配置实例,帮助客户实现安全风险的持续监测和安全事件的快速响应;
6、支持僵尸网络检测,具备独立的僵尸网络识别特征库≥39万,提供能够实现木马远控、恶意链接、移动安全、异常流量等外发的恶意流量进行检测识别的配置实例,检测到攻击后支持拒绝发送功能并生成日志记录,检测到内网中病毒的机器,可提供反僵尸网络软件;
网络安全设备一批技术规格书
网络安全设备一批技术规格书一、设备使用条件户内式布置安装,工作环境温度:-10°C~+55°C;相对湿度:最湿月的月平均最大相对湿度为90%(25o C),产品内部无凝结;海拔:<2000米;无爆炸危险,无腐蚀性气体,无导电尘埃,无剧烈振动冲击源。
二、名称数量:项目名称:网络安全设备数量:1批三、技术要求为进一步加强中煤新集公司网络安全工作,提升网络安全防御能力和技术对抗能力,现需单独部署公司服务器隔离区,并增加独立的安全设备。
3.1隔离区服务器技术要求3.1.1.硬件配置2U,CPU:2颗GoId6226R2.9GHz(16C),内存:512GBDDR42933,系统盘:2*24OGBSATASSD,缓存盘:2*固态硬盘-1.92T-SSD,数据盘:6*机械硬盘8T,标配盘位数:12,T4显卡1块(含显卡授权软件),电源:白金,冗余电源,接口:6千兆电口+4万兆光口(含光模块)。
3.1.2服务器虚拟化模块:(每台开启2C授权)1)虚拟化软件非OEM或贴牌产品,禁止借用第三方软件的整合,以保证功能的可靠性和安全性。
2)支持对平台虚拟机的精细化权限管理,可根据单个虚拟机开关机、打开控制台、删除等操作设定不同的权限,管理员也可以根据用户需求合理分配权限。
3)每个虚拟机都可以安装独立的操作系统,操作系统支持需要包括WindOWs、1.inux,并且支持国产操作系统包括:红旗IinUX、中标麒麟、中标普华等,便于方便部署减少运维工作量。
4)为避免主机假死导致系列问题发生,支持识别假死主机并标签化为亚健康主机,通过邮件或短信告警提醒用户进行处理,并限制重要业务在亚健康主机上运行,规避风险。
5)在超融合管理平台管理界面上提供虚拟机启动、挂起与恢复、重启、关闭、关闭电源、克隆、迁移、备份、模板导出、快照等功能。
6)提供虚拟机回收站功能,防止因虚拟机误删除导致数据丢失,超期的文件将被自动删除。
网络安全设备技术规范书(专用部分)2022.7.8
技术文档管理信息大区网络安全设备技术规范书(专用部分)文档属性前言 (1)一、工程概述 (1)1.1工程概况 (1)1.2使用条件 (1)二、设备详细技术要求 (1)2.1供货需求及供货范围 (I)2.2标准技术特性参数表 (2)2.3投标人资料提交时间及培训要求 (5)2.4主要元器件来源 (5)2.5备品备件、专用工具和仪器仪表供货 (5)三、投标方技术偏差 (6)3.1投标方技术偏差 (6)3.2投标方需说明的其他问题 (6)四、设计图纸提交要求 (6)4.1图纸资料提交单位 (6)4.2一次、二次及土建接口要求 (7)4.3图纸提交要求 (7)五、其他 (7)刖百为保障南方电网调峰调频发电有限公司所属抽水蓄能电站的安全、优质、经济、环保运行,推进抽水蓄能电站管理信息大区网络安全设备的规范化管理,提供管理信息大区网络安全设备选型技术规范,制定本规范。
本规范根据国家标准、行业标准,并结合网络安全设备技术发展及抽水蓄能电站实际情况,规定了网络安全设备在规划设计、设备选型及验收等方面需遵循的技术指标。
本标准主编单位:……本标准主要起草人:XX、XX、XX、XX、XXX,其中第1-3章节由XXX主要编写,第4章节由XXX 主要编写,第5章节由XXX主要编写,第6章节由XXX主要编写,编写说明由XXX主要编写。
本文件首次发布。
一、工程概述1.1工程概况本技术规范书采购的设备适用的工程概况如下,项目单位根据工程实际情况填写以下各项内容。
项目名称:项目单位:工程规模:工程地址:运输方式:1.2使用条件本技术规范书采购的设备适用的使用条件如下:程实际使用条件进行修改。
二、设备详细技术要求2.1供货需求及供货范围投标方提供的设备具体规格、数量见表2.1和表2.2。
投标方应如实填写。
2.2标准技术特性参数表投标人应认真逐项填写技术参数表中投标人响应值,不能空格,也不能以“响应”两字代替,不允许改动项目单位要求值。
技术指标要求核心安全网关(数量1套)
内置应用特征库,要求可升级,并提供3年的应用特征库升级服务
10、上网行为管理功能
Web分类管理
支持两千万以上分类web页面库
内容审计
能对论坛发帖、网页邮件、聊天记录进行监控、行为控制和记录
分层带宽管理
支持IP、应用、角色方式的套嵌分层管理
应用识别、控制及其管理
QQ/MSN/Yahoo通用进行识别、控制及带宽管理
提供详细的日志审计
★数据库访问功能
提供对多种主流数据库(SQL、ORACLE、DB2、SYBASE等)数据库系统的安全访问
无需修改数据库工作模式或服务器注册表
支持用户查询、修改、添加、删除等操作
支持全表复制、增量更新、全表更新等
支持操作时间限制,设定特定时间访问数据库操作
★数据库同步功能
基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACLE、DB2、SYBASE等)的单、双向数据交换
3、设备特性要求
端口镜像
支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析。
接入模式
支持透明、路由、混合三种工作模式
多链路负载均衡(ECMP、WCMP)
支持基于源、基于源和目的、基于会话等多种负载均衡模式
支持对服务器的负载均衡
支持链路ping、应用端口等方式探测服务器状态
VPN支持
支持支持GRE和GRE over IPSec、IPSEC VPN、SSL VPN、L2TP VPN
访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等
内容过滤:关键字过滤
脚本过滤:javascript、Applet、ActiveX等
提供用户名/密码认证方式
技术规范书-2-1技术要求(SDH2.5G)
二、SDH传输设备技术要求(2.5G部分)目录1. 概述2. 比特率和帧结构3. 复用结构4. 传输设备类型及性能要求5. 系统接口6. 公务联络7. 可靠性要求1 概述1.1 本文件为光缆通信工程SDH传输设备和系统的技术规范。
1.2 本文件内所引用的ITU-T建议均是指ITU-T最新通过的建议。
对于那些在本文件中尚未作出明确规定的,而ITU-T已有建议的技术规范,应满足ITU-T最新建议。
对于到目前为止,ITU-T仍未形成最终建议的规范,投标方应在ITU-T形成最终建议以后,有义务将所供设备升级为符合ITU-T的建议。
1.3 投标方对本招标文件的每一条款必须逐条作出明确的答复,并写出具体技术数据和指标,否则视该条回答无效。
1.4 投标方应在投标文件中提供至少包括以下内容的中文和英文技术文件。
(1)设备的详细技术性能、功能和指标、工作原理、方框图、功耗、机架结构(容量、尺寸和重量),机框构成和组架方案图等。
(2)设备所用激光器、光检测器和时钟等主要元器件的类型、生产厂家及其技术指标。
(3)设备的可靠性,包括MTBF或故障率(Fit)数据及其计算依据。
(4)所供各设备工厂验证测试报告。
1.5 投标方提供的SDH光纤数字传输设备类型必须是经过现场验证过的,并至少有以下数量的设称、地址、传真及电话号码,所供设备的详细类型、验收数据及应用地点等也应同时给出。
招标方保留证实所供设备性能的权力,如有必要,可到现场调查。
1.6 投标方所供设备和系统应与招标方已有的SDH传输网通道层中各通道(VC-4,VC-4-4C)互通,否则投标方应免费修改其设备和系统,保证与招标方SDH传输网通道层中各通道的互通。
1.7 本文件的解释权属于招标方。
2 比特率和帧结构2.1 比特率基本模块STM-1信号的比特率是155520kbit/s,STM-4信号的比特率是622080kbit/s,STM-16信号的比特率是2488320kbit/s。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1网络安全设备主要性能要求和技术指标要求1.1防火墙用于控制专网、业务内网和业务外网,控制专网、业务内网部署在XX干线公司、穿黄现地管理处(备调中心),每个节点各2台;业务外网部署在XX干线公司1台,共计9台。
要求如下:1.2入侵检测系统(IDS)根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS),共需6套。
(1)控制专网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各1套,共2套;(2)业务内网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各2套,共4套;1.2.1 产品规格及性能指标要求(1)支持10/100/1000BASE-SX/1000BASE-T以太网接口,千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块);(2)能监控的最大TCP并发连接数不小于120万;(3)能监控的最大HTTP并发连接数不小于80万;(4)连续工作时间(平均无故障时间)大于8万小时;(5)吞吐量不小于2Gbps。
(6)控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。
1.2.2 部署和管理功能要求(1)传感器应采用预定制的软硬件一体化平台;(2)入侵检测系统管理软件采用多层体系结构;(3)组件支持高可用性配置结构,支持事件收集器一级的双机热备;(4)各组件支持集中式部署和大型分布式部署;(5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;(6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加密的方式;(7)支持以拓扑图形式显示组件之间的连接方式;(8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;(9)支持组件的自动发现;(10)支持NAT方式下的组件部署;(11)支持IPv6下一代通信网络协议的部署和检测。
1.2.3 检测能力要求(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;(2)支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力;(4)能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率。
(5)提供灵活的参数定制,比如全局的用户黑名单、违法IP、违法命令等;(6)产品应具备IP碎片重组与TCP流重组功能;(7)产品应具备抗编码变形逃避的能力;(8)产品应具备抵抗事件风暴和欺骗识别的能力;(9)支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击;(10)支持网络活动审计功能;(11)支持主动识别目标主机的操作系统;(12)支持设定网络访问规则,根据访问行为的源、目的地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的TCP的会话连接实现阻断;(13)传感器具备多端口智能关联和分析技术;以及对非对称路由网络结构的检测能力,使得IDS系统能够适应复杂的高可用性网络。
1.2.4 系统升级能力要求(1)支持在线升级签名库,在线升级的通讯过程采用加密方式;(2)支持非在线升级签名库;(3)如遇突发情况,厂商应提供应急式升级服务;(4)升级过程中,传感器可以继续工作。
1.2.5 检测策略管理要求(1)提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户根据实际情况定制适合企业自身环境的安全策略;(2)支持对签名库按照多种方式进行分类管理;(3)每个签名有详尽的中文标注说明;(4)容易启用/关闭一个或一类的签名;(5)支持对签名的参数进行调节,以适用不同用户的网络环境;(6)提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;或提供培训,使得客户能够自行对特殊协议定制检测签名;(7)支持检测策略的导入导出。
1.2.6 攻击响应方式要求(1)支持显示到控制台;(2)支持记录到数据库;(3)支持邮件通知;(4)支持SNMP trap;(5)支持syslog响应方式;(6)支持用户自定义的响应方式;(7)支持与多种主流防火墙(例如: cisco、netscreen、checkpoint、Nokia 等)进行联动;(8)支持记录事件的详细内容,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据;(9)告警事件支持网络管理系统的联动分析管理。
1.2.7 事件的关联和显示要求(1)产品具备事件合并的功能,并且用户可以灵活的开启或关闭;(2)支持符合设定条件的一条事件重新命名;(3)支持将相互关联的一组事件重新命名;(4)将符合条件的多条事件归并为一条在控制台显示;(5)支持告警邮件中的事件归并;(6)事件合并的参数可以灵活调整,打开事件合并功能不会遗漏事件;(7)支持实时的事件统计功能;(8)支持设定的条件过滤实时显示的事件;(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。
1.2.8 事件的存储和管理能力要求(1)支持的数据库类型包括SQL server等大型关系型数据库;(2)数据库容量无限制(不考虑硬件限制);(3)支持按条件查询提取事件;(4)支持数据备份;(5)可显示数据库使用情况;(6)网络中断的情况下事件可以存储在传感器本地,网络正常后可以回复事件的传送。
1.2.9 报表生成功能要求(1)支持数据的统计分析、查询和报告生成。
(2)支持深度数据分析,统计或查询的结果均可以作为数据源进行进一步的数据分析,数据查询和数据统计的结果可以作为综合报告的一部分;(3)提供多种统计模板;(4)提供多种数据分析模板;(5)支持生成组件的运行状态统计曲线图;(6)支持生成以某一时间段为限定条件的事件统计查询报表;(7)支持生成以某一攻击事件为限定条件的事件统计查询报表;(8)支持生成以攻击源地址为限定条件的事件统计查询报表;(9)支持生成以攻击目标地址为限定条件的事件统计查询报表;(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表;(11)支持生成以风险级别分类为限定条件的事件统计查询报表;(12)支持生成以服务分类为限定条件的事件统计查询报表。
1.2.10 用户权限管理(1)审计员、用户管理员和系统管理员三种用户类型;(2)支持多管理员同时管理;(3)支持分级的用户权限设置;(4)支持管理员权限实时更改1.2.11 系统的日志和审计功能(1)有完整的审计日志;(2)审计日志可以导出;(3)有详细的组件运行和状态日志;(4)支持系统日志和审计日志的统计查询;(5)支持以邮件、snmp trap方式发送系统日志。
1.2.12 入侵检测自身安全指标(1)应支持使用透明方式进行部署,监听端口支持隐秘模式,无需IP地址和进行网络配置;(2)各个系统组件之间的通讯应采用加密方式,并采用PKI认证;(3)IDS系统采用无shell的安全操作系统,除必要通讯端口外无其他端口开放;(4)支持证书认证机制。
1.2.13 第三方产品集成要求(1)提供开放数据库的表结构和架构,方便用户使用第三方报表系统生成所需要的报表,或者作进一步的数据分析。
(2)支持Syslog, EMAIL等方式进行报警。
1.3安全网闸根据系统组建要求,在控制专网、业务内网、业务外网等三网之间通过安全网闸进行连接,实现数据互通。
安全网闸部署在XX干线公司与穿黄现地站管理处(备调中心),共计7台。
1.3.1 基本要求(1) 要求为硬件物理隔离,具备硬件物理隔离部件,系统采用“2+1”架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。
(2) 采用专用隔离芯片设计,不支持通用通讯协议,不可编程,隔离区包含基于ASIC设计的电子开关隔离芯片,不采用SCSI、网卡以及任何加/解密等方式。
隔离区信息交换采用DMA方式实现。
(3) 设备断开内外网网络TCP/IP连接。
(4) 系统带宽:>600Mbps,内部交换带宽>5Gbps。
(5) 接口要求:4个10/100/1000M以太网接口;一个RS232串行控制接口。
(6) 系统性能:并发连接会话数 >20000。
(7) 系统延时:<1ms。
(8) 电源冗余“1+1”。
1.3.2 能力要求(1)应用支持:全面支持TCP/IP以上应用层协议,包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等,无需二次开发。
(2)文件数据交换方式,交换硬件对外不开放任何服务端口。
(3)以主动查询方式访问内外网的FTP服务器进行文件交换。
(4)访问控制:支持多种方式的访问控制,包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。
(5)WEB保护功能,内置Web ApplicationTM网站保护功能,能够实现以下保护功能:①对网站目录、文件、动态脚本、WEB service实现访问控制;②对Cookie实现签名保护;③对用户输入参数进行过滤;④对URL串的字符类型、长度、字段等实现过滤;⑤基于特征库的漏洞扫描;⑥具有智能的规则学习功能。
(6)上网用户身份认证功能,严格控制上网用户,采用专用VIIE认证客户端浏览网页,用户列表存储在网闸设备上,未经授权的用户和使用普通IE浏览器的用户无法上网。
(7)邮件收发身份认证,严格控制邮件收发,采用专用VIMAIL邮件客户端,对收发邮件的用户实现身份认证,用户列表存储在网闸设备上,未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。
(8)IP/MAC地址绑定,支持4096个以上的IP+MAC绑定的客户端访问控制。
(9)支持单/双向通讯控制,支持单、双向可选的访问控制。
(10)日志与审计支持:系统可存储和审计包含:①系统日志;②管理日志;③网络活动日志;④入侵报警及处理日志;⑤访问控制日志。
1.3.3 安全可靠及管理要求(1)高可用性:双机热备功能,无需第三方软件支持内置双机热备功能。
(2)基于应用层协议的连接数控制系统可为特定应用层协议预留连接数资源。
(3) 设备故障检测与报警,要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警,包括通讯故障、硬件故障、软件故障。
(4)系统管理:要求集中设备管理系统,支持PKI安全认证、加密方式的远程管理,支持基于角色管理员分级管理。
(5)图形化网络行为监控:管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。