1网络安全设备主要性能要求和技术指标要求1.1防火墙用于控制专网、业务内网和业务外网,控制专网、业务内网部署在XX干线公司、穿黄现地管理处(备调中心),每个节点各2台;业务外网部署在XX干线公司1台,共计9台。要求如下:特性参考指标要求体系架构必须采用专用的安全操作系统平台,非通用操作系统平台;工作模式路由、NAT、透明(VLAN透传)、混合;网络接口需求千兆电口≥4个,千兆光口≥4个。必须实现安全带外管理功能,设备必须提供独立的带外管理接口;电源配置双电源,电源可热插拔;性能与容量64字节吞吐量≥4Gbps;1518字节吞吐量≥8Gbps;;防火墙的IPSecVPN处理性能必须≥600Mbps;支持的虚拟系统≥64个;实配≥32个虚拟防火墙;防火墙的每秒新建会话能力必须高于9万/秒;防火墙支持的并发会话数必须高于100万条;基本要求防火墙必须提供IPSecVPN功能,提供不少于4000条的并发VPN隧道能力;防火墙必须支持抗DoS/DDoS攻击功能,支持对synflood、updflood、teardrop、landattack、icmpflood、pingofdeath等拒绝服务攻击的防护,可根据不同的接口区域选择是否需要实施抗DoS攻击保护并选择实施哪几种攻击防护。必须支持多媒体业务与组播功能,支持H.323、SIP、MGCP,SCCP等多媒体协议,并支持以上多媒体应用协议的NAT穿越;严格遵循RFC国际标准,其支持的算法有DES、3DES、AES128、AES192、AES256,SHA-256、SHA-512等,可于主流VPN厂商互通。必须支持OSPF、IP、RIP2动态路由协议;支持BT限流功能;支持Active-PassiveHA和Active-Active双主高可用结构,在以上两种结构下,必须保证防火墙Session同步和VPN状态同步;必须支持AV防病毒功能,并能提供AV外置可插拔性能扩展卡。1.2入侵检测系统(IDS)根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS),共需6套。(1)控制专网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各1套,共2套;(2)业务内网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各2套,共4套;1.2.1产品规格及性能指标要求(1)支持10/100/1000BASE-SX/1000BASE-T以太网接口,千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块);(2)能监控的最大TCP并发连接数不小于120万;(3)能监控的最大HTTP并发连接数不小于80万;(4)连续工作时间(平均无故障时间)大于8万小时;(5)吞吐量不小于2Gbps。(6)控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。1.2.2部署和管理功能要求(1)传感器应采用预定制的软硬件一体化平台;(2)入侵检测系统管理软件采用多层体系结构;(3)组件支持高可用性配置结构,支持事件收集器一级的双机热备;(4)各组件支持集中式部署和大型分布式部署;(5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;(6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加密的方式;(7)支持以拓扑图形式显示组件之间的连接方式;(8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;(9)支持组件的自动发现;(10)支持NAT方式下的组件部署;(11)支持IPv6下一代通信网络协议的部署和检测。1.2.3检测能力要求(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;(2)支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力;(4)能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率。(5)提供灵活的参数定制,比如全局的用户黑名单、违法IP、违法命令等;(6)产品应具备IP碎片重组与TCP流重组功能;(7)产品应具备抗编码变形逃避的能力;(8)产品应具备抵抗事件风暴和欺骗识别的能力;(9)支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击;(10)支...
