网络安全设备主要性能要求和技术指标要求部分资料
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1网络安全设备主要性能要求和技术指标要求
1.1防火墙
用于控制专网、业务内网和业务外网,控制专网、业务内网部署在XX干线公司、穿黄现地管理处(备调中心),每个节点各2台;业务外网部署在XX干线公司1台,共计9台。要求如下:
1.2入侵检测系统(IDS)
根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS),共需6套。
(1)控制专网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各1套,共2套;
(2)业务内网:部署在XX干线公司及穿黄现地管理处(备调中心),每个
节点各2套,共4套;
1.2.1 产品规格及性能指标要求
(1)支持10/100/1000BASE-SX/1000BASE-T以太网接口,千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块);
(2)能监控的最大TCP并发连接数不小于120万;
(3)能监控的最大HTTP并发连接数不小于80万;
(4)连续工作时间(平均无故障时间)大于8万小时;
(5)吞吐量不小于2Gbps。
(6)控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。
1.2.2 部署和管理功能要求
(1)传感器应采用预定制的软硬件一体化平台;
(2)入侵检测系统管理软件采用多层体系结构;
(3)组件支持高可用性配置结构,支持事件收集器一级的双机热备;
(4)各组件支持集中式部署和大型分布式部署;
(5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;
(6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加密的方式;
(7)支持以拓扑图形式显示组件之间的连接方式;
(8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;
(9)支持组件的自动发现;
(10)支持NAT方式下的组件部署;
(11)支持IPv6下一代通信网络协议的部署和检测。
1.2.3 检测能力要求
(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;
(2)支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;
(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力;
(4)能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率。
(5)提供灵活的参数定制,比如全局的用户黑名单、违法IP、违法命令等;
(6)产品应具备IP碎片重组与TCP流重组功能;
(7)产品应具备抗编码变形逃避的能力;
(8)产品应具备抵抗事件风暴和欺骗识别的能力;
(9)支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击;
(10)支持网络活动审计功能;
(11)支持主动识别目标主机的操作系统;
(12)支持设定网络访问规则,根据访问行为的源、目的地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的TCP的会话连接实现阻断;
(13)传感器具备多端口智能关联和分析技术;以及对非对称路由网络结构的检测能力,使得IDS系统能够适应复杂的高可用性网络。
1.2.4 系统升级能力要求
(1)支持在线升级签名库,在线升级的通讯过程采用加密方式;
(2)支持非在线升级签名库;
(3)如遇突发情况,厂商应提供应急式升级服务;
(4)升级过程中,传感器可以继续工作。
1.2.5 检测策略管理要求
(1)提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户
根据实际情况定制适合企业自身环境的安全策略;
(2)支持对签名库按照多种方式进行分类管理;
(3)每个签名有详尽的中文标注说明;
(4)容易启用/关闭一个或一类的签名;
(5)支持对签名的参数进行调节,以适用不同用户的网络环境;
(6)提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;或提供培训,使得客户能够自行对特殊协议定制检测签名;
(7)支持检测策略的导入导出。
1.2.6 攻击响应方式要求
(1)支持显示到控制台;
(2)支持记录到数据库;
(3)支持邮件通知;
(4)支持SNMP trap;
(5)支持syslog响应方式;
(6)支持用户自定义的响应方式;
(7)支持与多种主流防火墙(例如: cisco、netscreen、checkpoint、Nokia 等)进行联动;
(8)支持记录事件的详细内容,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据;
(9)告警事件支持网络管理系统的联动分析管理。
1.2.7 事件的关联和显示要求
(1)产品具备事件合并的功能,并且用户可以灵活的开启或关闭;
(2)支持符合设定条件的一条事件重新命名;
(3)支持将相互关联的一组事件重新命名;
(4)将符合条件的多条事件归并为一条在控制台显示;
(5)支持告警邮件中的事件归并;
(6)事件合并的参数可以灵活调整,打开事件合并功能不会遗漏事件;
(7)支持实时的事件统计功能;
(8)支持设定的条件过滤实时显示的事件;
(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。
1.2.8 事件的存储和管理能力要求
(1)支持的数据库类型包括SQL server等大型关系型数据库;
(2)数据库容量无限制(不考虑硬件限制);
(3)支持按条件查询提取事件;
(4)支持数据备份;
(5)可显示数据库使用情况;
(6)网络中断的情况下事件可以存储在传感器本地,网络正常后可以回复事件的传送。
1.2.9 报表生成功能要求
(1)支持数据的统计分析、查询和报告生成。
(2)支持深度数据分析,统计或查询的结果均可以作为数据源进行进一步的数据分析,数据查询和数据统计的结果可以作为综合报告的一部分;
(3)提供多种统计模板;
(4)提供多种数据分析模板;
(5)支持生成组件的运行状态统计曲线图;
(6)支持生成以某一时间段为限定条件的事件统计查询报表;
(7)支持生成以某一攻击事件为限定条件的事件统计查询报表;
(8)支持生成以攻击源地址为限定条件的事件统计查询报表;
(9)支持生成以攻击目标地址为限定条件的事件统计查询报表;
(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表;
(11)支持生成以风险级别分类为限定条件的事件统计查询报表;
(12)支持生成以服务分类为限定条件的事件统计查询报表。