防DDOS攻击设备技术要求.docVIP

防DDOS攻击设备技术要求 设备清单 序号 设备或软件 数量 1 防DDOS攻击设备 1 参数要求 所有打“★”为必须满足技术条件，如无法满足则视为非实质性响应。 功能指标项 功能描述 硬件规格 2U设备，配置4个千兆自适应电口，4个千兆SFP插槽 性能要求 抗攻击吞吐量2000Mbps，最大新建连接数90000，http并发连接数300万，不限防护IP数。 部署方式 支持串联部署方式，在串联部署中，设备支持网络隐身，业务流量处理和设备管理功能分离，抗DDoS设备工作端口可不设置IP，提高自身安全性 支持路由牵引的旁路部署方式 支持集群部署方式，可通过集群功能对清洗容量进行扩容 攻击防范功能 针对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等流量型攻击的流量均可有效识别和过滤 针对HTTP Proxy Flood、HTTP Get Flood、CC Proxy Flood、Connection Exhausted等连接型攻击的流量均可有效识别和过滤 针对Smurf、Land-based、Teardrop、Fragment Flood、Red Code等漏洞型攻击及其他常见的DDoS攻击行为均可有效识别和过滤 提供分组过滤功能，支持白名单、黑名单、ACL、高级模式匹配、URL访问控制规则等多种分组过滤方式 支持服务器组管理，可针对不同应用类型防护主机进行分组管理，选择不同防护策略，提供相应截图 防护特性 针对不同攻击流量自动启用相应的防护策略，对攻击流量进行相应限制 可自动识别其保护的各个主机及其IP地址，并且某台主机受到攻击不会影响其它主机的正常服务? 可根据攻击的流量和连接数阀值来设置自动触发防护选项，并且连接数阀值可根据不同情况灵活控制? 应用层协议防护 支持对常见应用层协议的防护功能，如FTP/SMTP/POP3/HTTP等，并支持设置自定义协议类型，防护特定应用层协议，如对网游、语音、即时通讯相关协议等的防护? 系统应具有常用应用层协议（如HTTP、FTP、GAME、DNS等）防护插件 CC攻击防护 设备具备对连接耗尽型攻击的防御能力，利用连接跟踪、TCP重传机制和SYN分级保护等机制实现对连接型FLOOD的防护；支持协议自定义防护功能，支持插件定制功能 特定服务防护 支持通过内置专用插件、协议自定义、黑名单管理及灵活的规则设置，达到对CC类的各种代理IP型攻击、僵尸网络攻击等完美的防御效果? 针对Http协议，内置专用Web防护模块，能在统一界面中配置对Web页面和使用端口的防护，要求提供设备相应截图? 内置针对游戏、DNS服务器、web服务器专用防护插件，支持通过分析被保护主机服务的特点，来配置不同参数进行防护，并提供针对游戏、DNS服务器、web服务器专用防护插件的截图? 特殊的WEB防护模块，可设置有攻击时自动启用，无攻击时自动取消，并提供相应设备截图和技术原理说明 专业的连接跟踪功能 要求能够显示内部主机的带宽（in、out）、频率（SYN、ACK、UDP、ICMP、FRAG、NonIP、NewTCP、NewUDP）、连接（IN、OUT、UDP）； 流量分析监测 通过曲线、图表条，可以实时的看到当前网络的流量、数据包、拦截的数据包、累计流量等信息；除了对设备本身的入口流量进行实施监控外，还需要能够实时显示网络中被保护主机的进出流量，以便准确了解当前每个主机的网络流量情况，便于更准确的进行配置调整，实现更好的防护效果。 自定义功能 支持通用规则匹配功能，可设置的域包括地址、端口、标志位、关键字等，以提高产品通用性及防护力度? 可对单个IP与服务器的连接数进行限制，以对连接进行严格的时间控制，同时支持可以清除服务器上的残余连接? 支持协议自定义，可针对不同的服务类型编写协议定义，自行定制防护策略? 支持域名黑白名单功能 支持设置拒绝国外IP访问受保护主机，要求提供界面截图 包过滤 支持数据包规则过滤，可对端口和TCP SYN、FIN、PSH、ACK等标志位过滤 支持数据包内容细致过滤，如数据包内关键字过滤，支持http、ftp、smtp等明文和十六进制格式，要求提供设备相应截图? 支持针对数据包头、数据包协议类型及各个字段值和特征自定义频率限制和连接限制功能，要求提供设备相应截图 连接跟踪机制 具备连接跟踪能力，对设备所有进出的连接，根据其源地址进行分类显示，同时支持连接超时，重置连接等功能? 支持建立在连接跟踪模块上的端口防护体制，针对不同的端口应用，可提供不同的防护手段，使得运行在同一服务