机房入侵防御系统IPS技术参数及要求.docVIP

机房入侵防御系统（IPS）技术参数及要求 指标体系 指标项 硬件指标 引擎为标准机架式硬件设备；可扩展至支持双路IPS接入模式。 *采用专用多核CPU平台，非X86架构；并采用专用安全操作系统。支持并配置双电源。（提供相应证明文件） 千兆 可提供最多两路同时的IPS接入方式。（光纤电口可选）另外提供独立的管理电口。 检测能力 事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。协议覆盖面广，事件库完备，能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件、SQL注入等各种攻击行为进行检测。支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的控制。 具备碎片重组、TCP流重组、统计分析能力；具备分析采用躲避入侵检测技术的通信数据的能力；具有网络蠕虫病毒检测功能。 支持完善的会话管理功能，可实时查看当前会话，支持根据源地址、目的地址、端口号或协议类型查询会话，支持会话临时阻断功能，支持基于主机的会话限制功能；支持免客户端的用户本地认证功能，用户必须在经过设备认证后才能访问特定网络； 支持通过应用层检测来阻断或控制P2P下载，如BitTorrent、BitComet、eMule等；可单独设定P2P下载占用的带宽；支持通过应用层检测来阻断流媒体应用，如PP-live、QQ直播等；可单独设定流媒体占用的带宽；支持通过应用层检测来阻断即时通信软件登录，如QQ、MSN等；支持针对QQ和MSN用户名称的黑白名单功能；支持通过应用层检测来阻断股票软件登录，如大智慧、钱龙等；支持通过应用层检测来阻断网络游戏，如联众、QQ游戏等； 具备强大的规则自定义功能，应向用户提供自定义功能接口，能够定义包含：http\pop3\smtp\tns\tds\smb\bt等30种以上的应用协议而不仅限于tcp\udp\icmp\ip等常用协议，能够提供详细的协议分析变量。 采用基于行为分析的检测技术，对0day攻击能够很好防范。具备强大的协议自识别功能，用户无需手工指定协议和端口绑定关系，就能够正确分析和判断是否具有攻击，无漏报和误报。 管理功能 应具备集中控制、集中管理功能，可实现集中式安全监控管理和配置管理。要求支持带外管理（OOB）功能，可以通过专用管理口，进行引擎管理，解决远程应急管理的需求。 各组件间（管理平台与引擎等）使用加密信道通信；简便易用的GUI管理界面，要求能够对显示窗口进行自定义，做到只显示需要关注的内容。 具有设备的拓扑显示功能，可以在界面上以图形化的方式显示当前的部署拓扑。同时支持多个用户监测台的设置，支持至少8个以上的多用户监测台设置。 支持内置的BYPASS 功能，保证在意外掉电的状况下可以保证网络直通能力，无须外置其他硬件设备。 策略功能 应提供按照检测对象、攻击类型等分类的默认内置检测模版，且默认模版不可修改；提供向导化的策略编制方式，提供合、并、交等策略集操作。 提供用户默认阻断事件、可选阻断事件和不可选阻断事件三大类不同的事件分类。 提供对入侵防御事件的全中文解释 支持软件bypass功能，在下发策略等操作时，不会影响网络通讯。 提供动态策略调整功能，对一些频繁出现的低风险事件，自动调整其响应方式。 报警功能 应提供按照源地址、目标地址、网段进行的事件合并，避免事件风暴的产生。 应支持下列实时响应方式：屏幕报警，声音报警，邮件报警，通过SNMP协议远程报警，实时切断非法连接，调整网络配置，执行用户指定的操作。 日志功能 应支持多种数据库类型，包括： MSDE、SQL SERVER，支持独立的日志数据库部署。同时提供专门的数据库维护功能，要求能够按照事件上报的日期时间和风险等级、引擎来源等对日志数据库进行删除、转储等操作。 具备自定义报表功能，支持交叉统计和多元组合查询详细事件，支持导出为WORD\EXCEL\PDF\HTML等常用公文处理格式。 网页过滤功能 支持基于URL的网页过滤，支持基于页面关键字的网页过滤，支持基于黑白名单的网页过滤；支持对网页中的Java Applet、Cookie、Script及Object进行过滤；支持禁止特定文件下载功能。 路由功能 支持静态路由、动态路由和策略路由；静态路由可指定出接口及Metric值；动态路由支持RIPv1/v2及OSPF，支持带权重的OSPF路由重发布；策略路由支持基于源地址、目的地址、源接口、服务类型、时间等条件设置报文的下一跳。 网关防病毒功能 ? 可扩展病毒模块使用许可，加入模块后支持对HTTP、FTP、SMTP、POP3、IMAP、MSN协议的病毒检测和过滤功能；支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意/灰色软件等的过滤，病毒库数量不少于15万，