网络安全安全设备主要性能要求和技术指标要求部分

1、PAGE26网络安全设备主要性能要求和技术指标要求防火墙用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下：特性参考指标要求体系架构必须采用专用的安全操作系统平台，非通用操作系统平台；工作模式路由、NAT、透明（VLAN透传）、混合；网络接口需求 千兆电口4个，千兆光口4个。必须实现安全带外管理功能，设备必须提供独立的带外管理接口；电源 配置双电源，电源可热插拔；性能与容量64字节吞吐量4Gbps；1518字节吞吐量8Gbps； 防火墙的IPSec VPN处理性能必须600Mbp

2、s； 支持的虚拟系统64个；实配32个虚拟防火墙； 防火墙的每秒新建会话能力必须高于9万/秒； 防火墙支持的并发会话数必须高于100万条；基本要求防火墙必须提供IPSec VPN功能，提供不少于4000条的并发VPN隧道能力； 防火墙必须支持抗DoS/DDoS攻击功能， 支持对synflood、updflood、tear drop、land attack、icmp flood、ping of death等拒绝服务攻击的防护，可根据不同的接口区域选择是否需要实施抗DoS攻击保护并选择实施哪几种攻击防护。必须支持多媒体业务与组播功能，支持、SIP、MGCP，SCCP等多媒体协议，并支持以上多媒体应

3、用协议的NAT穿越；严格遵循RFC国际标准，其支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512等，可于主流VPN厂商互通。必须支持OSPF、IP、RIP2动态路由协议；支持BT限流功能；支持Active-Passive HA 和 Active-Active 双主高可用结构，在以上两种结构下，必须保证防火墙Session同步和VPN状态同步；必须支持AV防病毒功能，并能提供AV外置可插拔性能扩展卡。入侵检测系统（IDS）根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。（1）控制专网：部署在XX干线公司及穿

4、黄现地管理处（备调中心），每个节点各1套，共2套；（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各2套，共4套；产品规格及性能指标要求（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；（2）能监控的最大TCP并发连接数不小于120万；（3）能监控的最大HTTP并发连接数不小于80万；（4）连续工作时间（平均无故障时间）大于8万小时；（5）吞吐量不小于2Gbps。（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。部署和管理功能要求(1)传感

5、器应采用预定制的软硬件一体化平台；(2)入侵检测系统管理软件采用多层体系结构；(3)组件支持高可用性配置结构，支持事件收集器一级的双机热备；(4)各组件支持集中式部署和大型分布式部署；(5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性；(6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式；(7)支持以拓扑图形式显示组件之间的连接方式；(8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别；(9)支持组件的自动发现；(10)支持NAT方式下的组件部署；(11)支持IPv6下一代通信网络协议的部署和检测。检

6、测能力要求(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用； (2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度；(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力；(4)能对每一个攻击进行详尽的过程状态量定义，使得IDS可以拥有最低的误报率和最小的漏报率。(5)提供灵活的参数定制，比如全局的用户黑名单、违法IP、违法命令等；(6)产品应具备IP碎片重组与

7、TCP流重组功能；(7)产品应具备抗编码变形逃避的能力；(8)产品应具备抵抗事件风暴和欺骗识别的能力；(9)支持自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击；(10)支持网络活动审计功能；(11)支持主动识别目标主机的操作系统；(12)支持设定网络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的TCP的会话连接实现阻断；(13)传感器具备多端口智能关联和分析技术；以及对非对称路由网络结构的检测能力，使得IDS系统能够适应复杂的高可用性网络。系统升级能力要求(1)支持在线升级签名库，在线升级的通讯过程采用加密方式；(2)支持非在线升

8、级签名库；(3)如遇突发情况，厂商应提供应急式升级服务；(4)升级过程中，传感器可以继续工作。检测策略管理要求(1)提供检测策略模板，并可针对不同的网络环境派生新的策略，方便用户根据实际情况定制适合企业自身环境的安全策略；(2)支持对签名库按照多种方式进行分类管理；(3)每个签名有详尽的中文标注说明；(4)容易启用/关闭一个或一类的签名；(5)支持对签名的参数进行调节，以适用不同用户的网络环境；(6)提供开放的检测签名编写语言平台，能够根据客户需求提供检测签名定制服务；或提供培训，使得客户能够自行对特殊协议定制检测签名；(7)支持检测策略的导入导出。攻击响应方式要求(1)支持显示到控制台；(2

9、)支持记录到数据库；(3)支持邮件通知；(4)支持SNMP trap；(5)支持syslog响应方式；(6)支持用户自定义的响应方式；(7)支持与多种主流防火墙（例如： cisco、netscreen、checkpoint、Nokia等）进行联动；(8)支持记录事件的详细内容，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据；(9)告警事件支持网络管理系统的联动分析管理。事件的关联和显示要求(1)产品具备事件合并的功能，并且用户可以灵活的开启或关闭；(2)支持符合设定条件的一条事件重新命名；(3)支持将相互关联的一组事件重新命名；(4)将符合条件的多条事件归并为一条在控制台显示；(

10、5)支持告警邮件中的事件归并；(6)事件合并的参数可以灵活调整，打开事件合并功能不会遗漏事件；(7)支持实时的事件统计功能；(8)支持设定的条件过滤实时显示的事件；(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。事件的存储和管理能力要求(1)支持的数据库类型包括SQL server等大型关系型数据库；(2)数据库容量无限制（不考虑硬件限制）；(3)支持按条件查询提取事件；(4)支持数据备份；(5)可显示数据库使用情况；(6)网络中断的情况下事件可以存储在传感器本地，网络正常后可以回复事件的传送。 报表生成功能要求(1)支持数据的统计分析、查询和报告生成。(2)支持深度数据

11、分析，统计或查询的结果均可以作为数据源进行进一步的数据分析，数据查询和数据统计的结果可以作为综合报告的一部分；(3)提供多种统计模板；(4)提供多种数据分析模板；(5)支持生成组件的运行状态统计曲线图；(6)支持生成以某一时间段为限定条件的事件统计查询报表；(7)支持生成以某一攻击事件为限定条件的事件统计查询报表；(8)支持生成以攻击源地址为限定条件的事件统计查询报表；(9)支持生成以攻击目标地址为限定条件的事件统计查询报表；(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表；(11)支持生成以风险级别分类为限定条件的事件统计查询报表；(12)支持生成以服务分类为限定条件的事件统

12、计查询报表。用户权限管理(1)审计员、用户管理员和系统管理员三种用户类型；(2)支持多管理员同时管理；(3)支持分级的用户权限设置；(4)支持管理员权限实时更改系统的日志和审计功能(1)有完整的审计日志；(2)审计日志可以导出；(3)有详细的组件运行和状态日志；(4)支持系统日志和审计日志的统计查询；(5)支持以邮件、snmp trap方式发送系统日志。入侵检测自身安全指标(1)应支持使用透明方式进行部署，监听端口支持隐秘模式，无需IP地址和进行网络配置；(2)各个系统组件之间的通讯应采用加密方式，并采用PKI认证；(3)IDS系统采用无shell的安全操作系统，除必要通讯端口外无其他端口开放

13、；(4)支持证书认证机制。 第三方产品集成要求（1）提供开放数据库的表结构和架构，方便用户使用第三方报表系统生成所需要的报表，或者作进一步的数据分析。（2）支持Syslog， EMAIL等方式进行报警。安全网闸根据系统组建要求，在控制专网、业务内网、业务外网等三网之间通过安全网闸进行连接，实现数据互通。安全网闸部署在XX干线公司与穿黄现地站管理处（备调中心），共计7台。基本要求(1) 要求为硬件物理隔离，具备硬件物理隔离部件，系统采用“2+1”架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。(2) 采用专用隔离芯片设计，不支持通用通讯协议，不可编程，隔离区包含基于ASIC设计的电子开关

14、隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。(3) 设备断开内外网网络TCP/IP连接。(4) 系统带宽：600Mbps，内部交换带宽5Gbps。(5) 接口要求：4个10/100/1000M以太网接口；一个RS232串行控制接口。(6) 系统性能：并发连接会话数 20000。(7) 系统延时：= 700封/秒。HTTP吞吐性能:要求 = 700 Mbps。用户数支持数量: 要求 = 2500用户。管理功能指标（1）支持加密HTTPS方式进行管理。须具有中文、英文操作管理界面。（2）支持集中管理（设备集中监控管理与策略统一配置）；支持多台设备集中监控

15、（监控设备运行状态、防护状态、连接状态和系统事件的图形化显示）。在Web管理界面提供高级诊断工具：Ping/Traceroute/DNS解析/显示系统网络状态/数据包抓包等辅助排查工具。支持SOC厂商的数据接口；可以提供相关多项报表。 （3）支持：-手动导入/导出配置。必须支持分权限管理，可配置多账号并授予不同权限。根据用户概况制定不同的配置策略，允许用户基于一个或者多个预定义策略进行个性化的界定和配置：支持LDAP用户组、支持树结构/个人LDAP用户/IP地址/组/源和目的地IP地址等要素识别。（4）具备隔离区功能，支持隔离区空间管理：可以实时显示隔离区的剩余空间；隔离区内容处理：可以观察隔

16、离区的内容，以及可供选择的处理方式：删除和恢复、重定向邮件、扫描恶意软件项目，发送可疑或者未知项目至熊猫、下载这些内容和将他们从移出隔离区。（5）实时显示网卡流量，活动连接，已建连接，连接成功率，CPU占用率等系统负载情况。以曲线、饼图等多种方示显示病毒、垃圾邮件和内容过滤的查杀拦截情况，同时可以根据协议、任意时间段、恶意程序类型等进行分类查询。根据不同的检索条件，实时显示前十名用户以及前十名病毒列表。（6）支持恶意软件定义文件，防恶意软件引擎，垃圾邮件定义文件，反垃圾邮件引擎和Web 过滤的版本在线增量式升级，并且提供每日自动更新。支持离线病毒库更新。支持内核版本在线升级，手动本地升级，始终

17、保持最新软件系统。（7）用户可以自行编辑警告，支持中文和英文。可以设置警告发送的频率。支持Syslog和SNMP日志发送，同时支持(MIB-II版本)。（8）能够自动生成多种病毒报告，卖方应详细说明提供设备所支持的病毒报告的种类。（9）可以随时保存或恢复设备的网络设置和保护设置。可以导入、导出下列列表：1）反垃圾邮件白名单；2）反垃圾邮件黑名单；3）网络过滤URL白名单；4）网页过滤URL黑名单；5）网页过滤排除的用户列表。病毒处理能力指标（1）能够检测病毒，蠕虫，木马，间谍软件等威肋和恶意软件，卖方应当详细说明设备支持的检测种类。（2）须至少支持（但不仅限于）以下常用Internet协议的监

18、测:包括HTTP、FTP、SMTP、POP3等。（3）须支持非标准端口扫描；（4）提供防网络钓鱼保护，卖方应当详细说明设备对防钓鱼软件监测防护的实现过程以及技术细节。（5）具有发式扫描技术，可以检测到隐藏在可执行文件中的未知病毒，保证潜在的危险内容被过滤掉。（6）支持对常见协议（SMTP、POP3、IMAP、NNTP、HTTP和FTP等）内容过滤，能够阻止危险文件进入网络，减低带宽资源的占用。卖方应当详细说明内容过滤的检查项目。其他威胁处理能力指标（1）保证能够如下提供针对邮件内容的过滤规则：支持对邮件主题、邮件正文和邮件附件名称的内容进行过滤，例如：能否检测出邮件主体内容包含“法轮功”的邮件

19、，并且能够进行删除、报告或重定向处理；（2）反垃圾邮件功能能够分析SMTP/POP3/IMAP协议收发的邮件，判定邮件是垃圾邮件，疑似垃圾邮件或正常邮件，可以在屏蔽垃圾邮件。（3）网页内容过滤，监控和阻断Web 页面的访问，将访问的Web网站自动划分为不同类型，例如：色情、购物、犯罪、武器和交通等。可自定义黑白名单。支持用户排除。显示中文警告页面，同时支持对警告页面进行编辑。（4）即时通讯软件管理，至少支持（但不仅限于）监控并阻断如下即时通讯软件的连接：MSN Messenger、ICQ/AQL、Skype、IRC等，卖方应当详细说明支持监控管理的软件种类。（5）P2P下载软件管理：至少支持（

20、但不仅限于）监控并阻断如下P2P下载软件的使用：eDonkey、Bit Torrent等。卖方应当详细说明支持监控管理的软件种类。高可用性与稳定性指标（1）具有内置负载均衡功能，在对大量数据进行扫描时必须具备足够的扩展能力同时提升高可用性，内置负载均衡功能可配置为手动和自动模式，可适用于各种网络环境。（2）支持快速自动修复系统；自动恢复系统一旦发现硬件损害，比如说硬盘或者是主引导记录出现损坏，它将从一个正常的备份分区启动，同时会恢复被损坏的分区。防病毒系统基本要求（1）病毒防护系统与南水北调东线XX干线工程调度化管理系统内的系统软件、应用软件、网络软硬件，具有完全兼容性。（2）提供的软件应为最

21、新版本，为模块化结构，具有易于升级和维护的能力。（3）用户界面友好，安装、配置、使用、管理方便，具有的良好的在线帮助和操作提示功能。（4）具有基于WEB方式和 SNMP 协议的管理。（5）在架构整体防毒体系时能根据网络架构关系部署多级管理防毒体系，即XX干线公司能管理下级单位（包括干线公司本身） 所有的防毒节点。（6）当防范病毒的节点比较多，在升级时的并发升级流量肯定比较大，提供的软件能够支持架设多台升级服务器并可以以级联的方式进行部署以均衡升级负载。（7）业务内网与互联网隔离，应充分考虑业务内网病毒防护系统升级的多途径，并提出解决方案及升级响应措施。（8）应包括应用软件及服务器硬件，其服务器

22、性能不低于本章“第6节 服务器主要性能要求和技术指标”。（9）每套liscence数量约1500个。病毒软件技术要求（1）支持集中式部署；（2）管理控制工具支持通过远程登陆来管理；（3）管理员新建或更改策略或任务后，如果策略或任务指定的用户处于离线状态，当用户在线时策略或任务能够自动同步生效或立即执行；（4）支持在统一的管理平台上远程安装、卸载、更新病毒特征库和升级防病毒模块的功能；（5）根据需要可以远程启动或停止实时监控，手动扫描任务，病毒特征库更新；（6）管理服务器与被管理计算机之间通信应采取安全措施，说明所使用的端口号与应用层协议类型；（7）如果系统的各个模块需要授权许可才能正常运行和升

23、级，系统应当支持在统一的管理平台上远程分发授权许可；（8）整个防病毒系统必须支持跨网段的管理功能，具备良好的可扩展性，当网络规模扩大或新增节点时可以很容易地实现集中管理；（9）支持在统一的管理平台上远程查看客户端杀毒软件状态，是否安装并运行了防病毒客户端及安装的防护产品类型；（10）支持用户根据实际需要来定制针对特定目标计算机的扫描任务；（11）具有远程集中的设置，管理功能，能做到客户端的零操作；（12）支持允许和禁止客户端更改任务或策略的功能；（13）可以统计指定对象，指定的时间内发现病毒的报告；（14）可以统计全局感染病毒最严重的计算机的报告；（15）可以统计全局反病毒数据库更新的报告，包括更新日期，数目等； （16）可以通过过滤事件功能快速查找处理事件，如要找到某感染病毒的客户端计算机。客户端防病毒要求（1）防病毒产品支持Windows平台所有操作系统，并支持Linux平台的实时监控和手动扫描防护； （2）提供针对