技术要求-统一威胁管理.doc-上海市材料工程学校.doc

上海市材料工程学校网络应用能力提升项目 ---统一威胁管理 一、项目需求 项目完成时间 : 合同签订后 20 个工作日内验收合格并交付使用 。 交付状态 :系统完成，投入使用。 二、技术要求 1、性能及配置要求 项目 技术要求 整机吞吐量 10Gbps 应用层吞吐量 2Gbps 并发连接数 2,200,000 每秒新建连接数 130,000 设备接口 10个千兆电口 4个千兆光口 硬盘 500G BYPASS 支持 电源 冗余电源 尺寸 标准2U架构 2、功能要求 技术指标 指标要求 部署方式 支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。 网络特性 支持链路聚合功能 支持端口联动 支持802.1Q VLAN Trunk、access接口，子接口。 路由支持 支持静态路由，ECMP等价路由 支持RIPv1/v2，OSPFv2/v3动态路由协议 支持多链路出站负载，支持基于应用类型的策略路由选路。 基础功能 访问控制策略支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式； 能够识别应用类型超过1100种，应用识别规则总数超过3000条； 支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制； 支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制； 移动终端支持通过IPSec/SSL VPN方式接入，分支支持通过IPSec VPN方式接入； 内容安全 支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤； DDoS攻击防护 支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测； 支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为； 入侵防护功能 入侵防护漏洞规则特征库数量在4000条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；（需提供截图证明并加盖厂商公章） ★支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；（需提供截图证明并加盖厂商公章） ★具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能； 支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间； Web应用安全防护 支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测； ★支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；（要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图并加盖厂商公章） ★产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上；（需提供截图证明并加盖厂商公章） 支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤； 支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；（需提供截图证明并加盖厂商公章） 支持CC攻击防护； 病毒防护 支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测； 病毒样本数量超过1000万； 支持对常见压缩文件格式的检测，如zip，rar，7z等； 支持杀毒文件类型自定义； 支持杀毒白名单功能，可以根据URL或者IP进行排除不检测病毒； 检测到病毒后的操作支持阻断，记录杀毒日志； 网页篡改防护 支持在服务器上安装防篡改插件； 支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法； 客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志； 客户端插件需要保障自身安全