技术要求-网络脆弱性扫描.doc-上海市材料工程学校.docVIP

上海市材料工程学校网络应用能力提升项目 ---网络脆弱性扫描 一、项目需求 项目完成时间 : 合同签订后 20 个工作日内验收合格并交付使用 。 交付状态 :系统完成，投入使用。 二、技术要求 1、性能及配置要求 项目 技术要求 整机吞吐量 10Gbps 应用层吞吐量 2Gbps 并发连接数 2,200,000 每秒新建连接数 130,000 设备接口 10个千兆电口 4个千兆光口 硬盘 500G BYPASS 支持 电源 冗余电源 尺寸 标准2U架构 2、功能要求 技术指标 指标要求 部署方式 支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。 网络特性 支持链路聚合功能 支持端口联动 支持802.1Q VLAN Trunk、access接口，子接口。 路由支持 支持静态路由，ECMP等价路由 支持RIPv1/v2，OSPFv2/v3动态路由协议 支持多链路出站负载，支持基于应用类型的策略路由选路。 基础功能 访问控制策略支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式； 能够识别应用类型超过1100种，应用识别规则总数超过3000条； 支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制； 支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制； 移动终端支持通过IPSec/SSL VPN方式接入，分支支持通过IPSec VPN方式接入； 内容安全 支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤； DDoS攻击防护 支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测； 支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为； Web应用安全防护 支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测； ★支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；（要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图并加盖厂商公章） 支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤； ★支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；（需提供截图证明并加盖厂商公章） ★支持对被防护网站是否被挂黑链进行检测； 支持CC攻击防护； 僵尸主机检测 ★支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；（需提供截图证明并加盖厂商公章） 具备独立的僵尸主机识别特征库，恶意软件识别特征总数在50万条以上； 网页篡改防护 支持在服务器上安装防篡改插件； 支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法； 客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志； 客户端插件需要保障自身安全性，包括后台进程不允许被强制中止，访问客户端插件管理页面需要进行密码验证，访问客户端插件管理页面需具备自动超时机制； 支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证； 支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证； 支持设置网站后台登录管理白名单，白名单中的用户登录网站管理后台无需经过二次认证； 安全可视化 ★支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；（提供威胁报告并加盖厂商公章） 支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表； 支