《入侵防御系统技术需求及系统集成说明书》.docVIP

入侵防御系统技术需求及系统集成说明书 1 项目背景 为提高门户网站系统的防护能力，计划在互联网入口部署入侵防御系统，对异常访问行为进行实施阻断。 2 采购内容 入侵防御系统及其集成，数量：2台，互为热备。 3 技术指标要求 各类产品技术指标详见下表，所有加星号（*）指标项均为强制性指标，任何一条不满足将视为重大偏离，并导致报价被拒绝。未加星号（*）的指标项均为优选指标项。 所有设备具有的光接口均应配置光接口模块，集成中所必需的各类光纤、线缆等配件均应配置（双绞线应采用六类国际知名品牌成品双绞线，其他附材应符合国家的相关标准，并满足所使用部位的要求）。 所有指标项以公开产品宣传彩页、或国家具有相关职能的第三方中立检测机构的检测证明、或中央政府采购网站公告的内容为依据。 IPS性能指标： 序号 指标 参数 1 产品 体系 平台类型 基于ASIC、多核或更高性能的专用硬件平台技术架构 电源 配备双电源 2 LAN 接口 支持的LAN接口类型 千兆光口， TX10/100/1000M自适应 支持的最大LAN接口数 ≥6个千兆光口 ≥8个千兆电口 提供LAN接口数 ≥4个千兆光口（含SFP模块） ≥4个千兆电口（不含HA口） 配备2个10/100/1000M电口（HA口） 串行配置管理口和远程配置管理口 配备 3 性能 最大并发连接数目 ≥135万 每秒最大建立连接数 ≥1.8万 吞吐量 开启IPS功能 ≥3Gbps 转发延迟 ≤100us 攻击特征库 ≥2000种 4 技术支持与质保服务 提供三年全免费（免上门费、备件费、人工费及相关费用）技术支持与保修服务,三年规则库免费升级服务，提供每年2次设备巡检服务。 5 集中管理软件 配备日志收集和统计、日志审计、远程管理、下发策略及各种报表等功能的集中管理软件 IPS功能指标 技术指标 功能要求 备注 基本要求 支持路由模式、透明模式、直通模式、监听模式 入侵防御 数据包特征检测, 内置安全事件规则库，可自定义网络特征匹配事件； 支持系统漏洞攻击检测, 支持对Windows、Unix系统漏洞攻击的检测； 支持对多种常用协议的协议识别和异常检测，包括HTTP、SMTP、POP3、IMAP、MSRPC、ICMP、FTP、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等； 具备阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能； 支持流量异常检测； 支持IP碎片重组、TCP流汇聚、数据流状态跟踪等，能检测到黑客采用任意分片方式进行的攻击； 具有智能协议识别技术，能检测通过动态端口或智能隧道实施的恶意入侵； 支持入侵攻击特征特征库的分类显示，支持用户自定义规则，支持入侵攻击特征库自动升级，手动升级，离线升级，版本回退；响应方式支持阻断、丢包、日志记录等； 应保证每周一次的规则库升级，重大安全事件随时更新； 路由功能和协议支持 可执行产品升级，网站提供产品离线升级包下载，应保证每周一次的规则库升级，重大安全事件随时更新。 支持MPLS VPN穿越； 支持多种动态端口协议和特殊应用协议，如支持H.323视频穿越，支持OSPF、RIP、RIPII 等动态路由协议； 支持常见组播协议及应用（至少在透明模式下），如IGMP snooping等； 支持多种网络拓扑结构和VLAN Trunk环境的网络应用，如802.1Q穿越（封装和解封）； 支持生成树协议； 支持SNTP协议，能够与NTP服务器时钟同步； 支持IPX、NetBEUI等非IP 协议； 支持会话超时保护，如数据库长时间连接，telnet会话长连接，ftp长连接, 具备对长连接的解决方案； 支持数据包分片重组； 支持IPV6 路由协议或承诺根据用户需要未来可支持IPV6路由协议； 支持DHCP SERVER/CLIENT/RELAY功能； 模块化扩展设计 根据用户需要，可以扩展IPSEC VPN、SSL VPN功能，防病毒等功能。 链路备份聚合和端口联动 支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换； 支持链路聚合功能，可以将多条物理链路聚合成一条带宽更高的逻辑链路使用； 支持上下行端口联动,当其中一个端口失效时另一端口可以检测出故障并进行状态同步。 双机热备和负载均衡 支持双机热备功能，包括主备模式 A/S ，主主模式 A/A ； 支持VRRP协议； 支持负载均衡模式； 支持连接状态实时监控和系统故障切换，主设备在设备恢复正常情况时抢回主设备状态； 支持配置同步，支持会话同步； 支持硬件b