网络安全网关参数及分析趋势.docVIP

网络安全网关 HillStone SG-6000-M6115 一、设备的基本要求 1.专有硬件平台：硬件平台采用先进的多核网络专用架构。硬件平台采用多核处理器，使用64位MIPS多核处理器，核数≥3，要求提供管理界面截图。 2. 安全系统：必须为具有自主知识产权的64位安全操作系统，要求提供国家版权局颁发的相应著作权证书证明。 3. USB接口：配备至少4个千兆电口和8个SFP接口 4. 接口数量：具有至少一个存储扩展插槽 5. 电源：电源功率不高于100W 6.扩展槽位：具有至少一个存储扩展插槽 二、性能要求： 1. 吞吐量：≥4Gbps 2. IPS吞吐：≥800Mbps 3. AV吞吐量：≥350Mbps 4. IPsec VPN吞吐率 （AES256+SHA-1）：≥1.5Gbps 5. 最大并发会话数：≥100万,且必须支持扩展至200万，每秒新建会话数：≥45000， 6. SSL VPN用户数：要求支持8个，最大可扩展支持2000个 7. 支持端口镜像：必须支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析 三、网络适应性 1. 接入模式：必须支持透明、路由、混合、旁路四种工作模式 2. 多链路负载均衡(ECMP、WCMP)：必须支持基于源、基于源和目的、基于会话等多种负载均衡模式 3. 必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态 4. 必须支持GRE和GRE over IPSec，IPSec VPN、SSL VPN、L2TP VPN 5. 为了防御ARP攻击和ARP病毒，要求支持免费 ARP广播及ARP客户端认证 6. OSPF、BGP和RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP路由并内置多运营商路由表 7. 路由协议：必须支持基于会话的原路回包功能，可设置优先于路由策略而通过会话表中的入接口进行回包。 8. 高可用性（HA）：支持A-S模式，A-A模式 9. 802.3ad 链路聚合：透明、路由模式下支持将多条链路带宽进行捆绑 四、访问控制 1. 必须支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke2. ALG应用：要求支持H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等应用 3. 必须支持会话控制功能，要求能够基于源、目的、应用协议三种条件做会话数限制 4. 必须支持会话控制功能，要求能够限制会话新建速率 后方进行过滤 5. 策略管理：必须支持对防火墙策略命中次数进行统计 6. 用户认证：支持本地用户通过Web认证后，通过认证登录成功页面修改自己的用户密码 7．IPS入侵防御：☆必须支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等常用协议及应用的攻击检测和防御。 五、上网行为管理 1. 应用流量可视化：可按照应用分类进行流量监控并提供实时的图形化监控报表 2. 应用识别及控制： A. 支持主流电子邮箱系统，必须包括以下罗列所有：126邮箱、163邮箱、QQ邮箱、TOM邮箱、139邮箱等应用识别和控制，及17173邮箱、Yahoo邮箱、搜狐邮箱、和讯邮箱、新浪邮箱的登录、上传、下载等应用行为进行识别及控制；、控制 B. 支持主流文件共享应用，必须包括以下罗列所有：百度文库、豆丁文档、金山快写、99盘、115同步盘、139邮箱网盘、400网盘、163网盘、网易网盘、盛大网盘、华为网盘、Hotfile网盘、金山快盘、网易网盘、Rayfile、迅雷快传、讯6网盘、爱问共享、速度盘等的应用识别和控制。C. 支持主流软件下载站点，必须包括以下罗列所有：新浪下载、非凡软件下载、电脑之家下载、中关村软件下载、多特软件下载、华军软件下载、太平洋下载等的流量进行识别和控制。 D. 支持主流即时通讯程序，必须包括以下罗列所有：MSN、QQ、雅虎MSG、新浪UC、网易泡泡、Skype、淘宝旺旺、谷歌TALK、YY语音、飞信、ICQ、iSpeak、慧聪发发、人人桌面、百度HI、盛大ET语音、米聊、微信等应用进行识别和控制，并可对QQ的在线文件传输、离线文件传输、远程协助等应用进行识别和控制。 E．支持主流网络工具，必须包括以下罗列所有：Google地图、有道地图、爱问地图、我要地图，QQ电脑管家、必应词典、金山词霸、搜狗在线翻译、雅虎在线翻译、有道云笔记、Adobe更新、Apple软件更新