网络安全设备主要性能要求和技术指标要求部分汇总

1、网络安全设备主要性能要求和技术指标要求部分汇总 1 络安全设备主要性能要求和技术指标要求 1.1 防火墙 用于控制专、业务内和业务外，控制专、业务内部署在xx干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外部署在xx干线公司1台，共计9台。要求如下： 特性 体系架构 工作模式 络接口需求 电源 参考指标要求 必须采用专用的安全操作系统平台，非通用操作系统平台； 路由、nat、透明（vlan透传）、混合； 千兆电口4个，千兆光口4个。 必须实现安全带外管理功能，设备必须提供独立的带外管理接口； 配置双电源，电源可热插拔； 64字节吞吐量4gbps；1518字节吞吐量8gbps； 性能

2、与容量 防火墙的ipsec vpn处理性能必须600mbps； 支持的虚拟系统64个；实配32个虚拟防火墙； 防火墙的每秒新建会话能力必须高于9万/秒； 防火墙支持的并发会话数必须高于100万条； 防火墙必须提供ipsec vpn功能，提供不少于4000条的并发vpn隧道能力； 防火墙必须支持抗dos/ddos攻击功能， 支持对synflood、updflood、tear drop、land attack、icmp flood、ping of death等拒绝服务攻击的防护，可根据不同的接口区域选择是否需要实施抗dos攻击保护并选择实施哪几种攻击防护。 必须支持多媒体业务与组播功能，支持h.3

3、23、sip、mgcp，sccp等多媒体协议，并支持以上多媒体应用协议的nat穿越； 基本要求 严格遵循rfc国际标准，其支持的算法有des、3des、aes128、aes192、aes256，sha-256、sha-512等，可于主流vpn厂商互通。 必须支持ospf、ip、rip2动态路由协议； 支持bt限流功能； 支持active-passive ha 和 active-active 双主高可用结构，在以上两种结构下，必须保证防火墙session同步和vpn状态同步； 必须支持av防病毒功能，并能提供av外置可插拔性能扩展卡。 1.2 入侵检测系统（ids） 根据系统组建需要，控制专、业

4、务内、业务外均部署入侵检测系统（ids），共需6套。 （1）控制专：部署在xx干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套； （2）业务内：部署在xx干线公司及穿黄现地管理处（备调中心），每个 节点各2套，共4套； 1.2.1 产品规格及性能指标要求 （1）支持10/100/1000base-sx/1000base-t以太接口，千兆接口不小于2个(提供的配置中至少包含两个ge多模850nm波长光模块)； （2）能监控的最大tcp并发连接数不小于120万； （3）能监控的最大http并发连接数不小于80万； （4）连续工作时间（平均无故障时间）大于8万小时； （5）吞吐量不小于2

5、gbps。 （6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 1.2.2 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台； (2)入侵检测系统管理软件采用多层体系结构； (3)组件支持高可用性配置结构，支持事件收集器一级的双机热备； (4)各组件支持集中式部署和大型分布式部署； (5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性； (6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式； (7)支持以拓扑图形式显示组件之间的连接方式； (8)支持多个控制台同时管理，控制台对各组

6、件的管理能力有明确的权限区别； (9)支持组件的自动发现； (10)支持nat方式下的组件部署； (11)支持ipv6下一代通信络协议的部署和检测。 1.2.3 检测能力要求 (1)支持基于状态的协议分析技术并能按照rfc的规范进行深入细致的协议检测，准确的识别协议的误用和滥用； (2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持unicode解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度； (3)产品应具备对split、injection等ids逃避技术的检测和识别能力； (4)能对每一个攻击进

7、行详尽的过程状态量定义，使得ids可以拥有最低的误报率和最小的漏报率。 (5)提供灵活的参数定制，比如全局的用户黑名单、违法ip、违法命令等； (6)产品应具备ip碎片重组与tcp流重组功能； (7)产品应具备抗编码变形逃避的能力； (8)产品应具备抵抗事件风暴和欺骗识别的能力； (9)支持自定义络中tcp连接的超时等待时间，防止ids被拒绝服务攻击； (10)支持络活动审计功能； (11)支持主动识别目标主机的操作系统； (12)支持设定络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的tcp的会话连接实现阻断； (13)传感器具备多端口智能关联

8、和分析技术；以及对非对称路由络结构的检测能力，使得ids系统能够适应复杂的高可用性络。 1.2.4 系统升级能力要求 (1)支持在线升级签名库，在线升级的通讯过程采用加密方式； (2)支持非在线升级签名库； (3)如遇突发情况，厂商应提供应急式升级服务； (4)升级过程中，传感器可以继续工作。 1.2.5 检测策略管理要求 (1)提供检测策略模板，并可针对不同的络环境派生新的策略，方便用户 根据实际情况定制适合企业自身环境的安全策略； (2)支持对签名库按照多种方式进行分类管理； (3)每个签名有详尽的中文标注说明； (4)容易启用/关闭一个或一类的签名； (5)支持对签名的参数进行调节，以适

9、用不同用户的络环境； (6)提供开放的检测签名编写语言平台，能够根据客户需求提供检测签名定制服务；或提供培训，使得客户能够自行对特殊协议定制检测签名； (7)支持检测策略的导入导出。 1.2.6 攻击响应方式要求 (1)支持显示到控制台； (2)支持记录到数据库； (3)支持邮件通知； (4)支持snmp trap； (5)支持syslog响应方式； (6)支持用户自定义的响应方式； (7)支持与多种主流防火墙（例如： cisco、netscreen、checkpoint、nokia等）进行联动； (8)支持记录事件的详细内容，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据； (

10、9)告警事件支持络管理系统的联动分析管理。 1.2.7 事件的关联和显示要求 (1)产品具备事件合并的功能，并且用户可以灵活的开启或关闭； (2)支持符合设定条件的一条事件重新命名； (3)支持将相互关联的一组事件重新命名； (4)将符合条件的多条事件归并为一条在控制台显示； (5)支持告警邮件中的事件归并； (6)事件合并的参数可以灵活调整，打开事件合并功能不会遗漏事件； (7)支持实时的事件统计功能； (8)支持设定的条件过滤实时显示的事件； (9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。 1.2.8 事件的存储和管理能力要求 (1)支持的数据库类型包括sql se

11、rver等大型关系型数据库； (2)数据库容量无限制（不考虑硬件限制）； (3)支持按条件查询提取事件； (4)支持数据备份； (5)可显示数据库使用情况； (6)络中断的情况下事件可以存储在传感器本地，络正常后可以回复事件的传送。 1.2.9 报表生成功能要求 (1)支持数据的统计分析、查询和报告生成。 (2)支持深度数据分析，统计或查询的结果均可以作为数据源进行进一步的数据分析，数据查询和数据统计的结果可以作为综合报告的一部分； (3)提供多种统计模板； (4)提供多种数据分析模板； (5)支持生成组件的运行状态统计曲线图； (6)支持生成以某一时间段为限定条件的事件统计查询报表； (7)支持生成以某