网络安全设备主要性能要求和技术指标要求部分.docVIP

网络安全设备主要性能要求和技术指标要求 防火墙 用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下： 特性 体系架构 必须采用专用的安全操作系统平台，非通用操作系统平台； 工作模式 路由、NAT、透明（VLAN透传）、混合； 网络接口需求 千兆电口≥4个≥4个。 电源 配置双电源，电源可热插拔； 性能与容量 64字节吞吐量≥4Gbps；1518字节吞吐量≥8Gbps； 防火墙的IPSec VPN处理性能必须≥bps； 支持的虚拟系统≥64个 防火墙的每秒新建会话能力必须高于9万/秒 防火墙支持的并发会话数必须高于100万条 基本要求 防火墙必须提供IPSec VPN功能，提供不少于条的并发VPN隧道能力 防火墙必须支持抗DoS/DDoS攻击功能， 支持对synfloodupdflood、tear drop、land attack、icmp flood、ping of death等拒绝服务攻击的防护，可根据不同的接口区域选择是否需要实施抗DoS攻击保护并选择实施哪几种攻击防护。 H.323、SIP、MGCP，SCCP等多媒体协议，并支持以上多媒体应用协议的NAT穿越 严格遵循RFC国际标准，其支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512等，可于主流VPN厂商互通。 必须支持OSPF、IP、RIP2动态路由协议 支持BT限流功能； 支持Active-Passive HA 和 Active-Active 双主高可用结构，在以上两种结构下，必须保证防火墙Session同步和VPN状态同步 必须支持AV防病毒功能，并能提供AV外置可插拔性能扩展卡。 入侵检测系统（IDS） 根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。 （1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套； （2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各2套，共4套； 产品规格及性能指标要求 （1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)； （2）能监控的最大TCP并发连接数不小于120万； （3）能监控的最大HTTP并发连接数不小于80万； （4）连续工作时间（平均无故障时间）大于8万小时； （5）吞吐量不小于2Gbps。 （6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台； (2)入侵检测系统管理软件采用多层体系结构； (3)组件支持高可用性配置结构，支持事件收集器一级的双机热备； (4)各组件支持集中式部署和大型分布式部署； (5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性； (6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式； (7)支持以拓扑图形式显示组件之间的连接方式； (8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别； (9)支持组件的自动发现； (10)支持NAT方式下的组件部署； (11)支持IPv6下一代通信网络协议的部署和检测。 检测能力要求 (1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用； (2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度； (3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力； (4)能对每一个攻击进行详尽的过程状态量定义，使得IDS可以拥有最低的误报率和最小的漏报率。 (5)提供灵活的参数定制，比如全局的用户黑名单、违法IP、违法命令等； (6)产品应具备IP碎片重组与TCP流重组功能； (7)产品应具备抗编码变形逃避的能力； (8)产品应具备抵抗事件风暴和欺骗识别的能力； (9)支持自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击； (10)支持网络活动审计功能； (11)支持主动识别目标主机的操作系统； (12)支持设定网络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的TCP的会话连