《安全产品技术资料HC(DOC).doc》由会员分享,可在线阅读,更多相关《安全产品技术资料HC(DOC).doc(57页珍藏版)》请在三一办公上搜索。
1、目录安全产品技术资料部分21入侵防御产品技术参数(内网、外网)22防火墙产品技术参数(内网、外网)111.1 3WEB应用安全防护系统(WEB防火墙外网)技术参数164安全管理中心(外网)技术参数205网络审计和数据库审计(业务审计系统内网、外网)技术参数296脆弱性扫描与管理系统(漏洞扫描系统内网、外网)技术参数347网络日志收集与分析系统(网络日志审计系统内网、外网)技术参数388网络审计堡垒主机(运维审计系统外网)技术参数419入侵检测系统(外网)技术参数4810过滤网关系统(防毒墙外网)技术参数5211VPN系统技术参数54安全产品技术资料部分1入侵防御产品技术参数(内网、外网)型号规
2、格天融信网络卫士入侵防御系统TopIDP3000 (TI-51418)产品资质具备销售许可证、信息技术产品安全测评EAL3级、计算机软件著作权登记、IPv6支持资质证书、军用产品认证证书、CVECompatibilityCertificate、软件产品登记证书、北京市自主创新产品证书、涉密信息系统产品检测证书、ISCCC认证证书(中英文)原厂部分资质IDC最近2年IPS市场占有率排名第三位;ISO27001认证、国家信息安全测评授权培训机构资质证书。平台采用多核硬件平台,内置8GB SSD固态硬盘存储日志。接口TopIDP 3000(TI-51418)最大配置为26个接口,默认包括2个扩展槽位
3、和6个10/100/1000BASE-T接口,2个作为HA口和管理口,4个10/100/1000BASE-TX(100m,RJ45), 其中4个电口支持Bypass;4个SFP插槽;2U标准机架式。性能TopIDP 3000(TI-51418)最大并发连接数:120万、每秒新建5万/秒、IPS策略全开吞吐率2.5Gbps;设备整机吞吐率8Gbps。1、要求满检速率性能:IPS加载全部入侵检测规则,http get 32k吞吐,且在最大吞吐下可以100%检测出所有攻击事件的性能。2、满检IPS+AV吞吐:IPS加载全部入侵检测和防病毒规则的http get 32k吞吐,且在最大吞吐下可以100%
4、检测出所有攻击事件和病毒事件)。3、新建连接:IPS加载所有入侵检测规则的http get 1k每秒新建。功能类别功能项功能描述网络适用性网络接入支持直连,路由,IDS监听及混合模式接入。支持多端口链路聚合,支持11种负载均衡算法。路由支持静态路由。支持基于源/目的地址、接口的策略路由。IPv6支持IPv6网络中检测攻击,但不支持ipv6路由。支持IPv6和IPv4混合网络中检测攻击。VLAN支持802.1Q,能进行封装和解封。MPLS支持MPLS网络,支持MPLS解封装,可检测攻击。PPPoE支持PPPoE网络,支持PPPoE解封装,可检测攻击。ARP支持ARP代理、ARP学习。可设置静态A
5、RP。攻击检测攻击检测规则库大于3500条规则。按攻击类型分为:溢出攻击类(BufferOverflow)、 RPC攻击类(RPC)、WEBCGI攻击类(WebAccess)、拒绝服务类(DDOS)、木马类(TrojanHorse)、其它类(Others)、 蠕虫类(VirusWorm)、扫描类(Scan)、网络访问类(AccessControl)、HTTP攻击类(HTTP)、系统漏洞类(system)11大类支持规则库手动、自动更新升级。支持自定义攻击检测规则。支持自定义规则库的导入、导出。攻击类型溢出攻击类:能对当前主流的溢出类攻击进行检测和阻断,如:Solaris.Rpc、Microso
6、ft IIS、SendMail、Samba、Apache、Radius、HP Openview、Oracle、Sybase、Norvell、CA等应用系统类溢出攻击。蠕虫病毒类:能对当前主流的蠕虫病毒进行检测和阻断,如:Win32/Bagle.worm、Win32/LovGate.worm、红色代码、震荡波、SQL Slammer(蓝宝石)、SMTP MyDoom等。HTTP攻击类:能对当前主流的HTTP类攻击进行检测和阻断,例如:HTTP Apache批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32管理员口令泄露漏洞等。木马类:具备丰富的木马特征库,能检测包括
7、灰鸽子、冰河、NoSecure、Gh0st、灰熊猫、亚麻、上兴、红蜻蜓、蓝色火焰、广外女生等多种热点木马及其变种,以及识别多种网页挂马攻击。拒绝服务类:能对当前主流的拒绝服务攻击进行检测和阻断,如:Land、Smurf、Winnuke、teardrop、targa3、UDP Flooding、SYN Flooding、Icmp Flooding等。系统漏洞类:能对当前主流的系统漏洞攻击进行检测和阻断,如:FTP、Microsoft IIS、Windows Netbios、IMAP、Samba、IBM Lotus Domino、MySQL、Oracle等应用安全漏洞的攻击。WebCGI类:能对当
8、前主流的WebCGI类攻击进行检测和阻断,如:Webchat defines.php脚本远程执行命令变种攻击、BEA Weblogic XSS攻击、Apache Directory Listing漏洞攻击、各种SQL注入及其变种攻击。RPC类:能对当前主流的RPC漏洞攻击做检测和阻断,如:Rpc 0x82-dcomRpc_usermgret、Rpc.ypupdated、Rpc RQUOTA 、Rpc.tooltalk、Rpc.yppasswd、RPC Immunity_svchostkill等。DDOS防御非法报文攻击:land、Smurf、Pingofdeath、winnuke、tcp_ss
9、can、ip_option、teardrop、targa3、ipspoof。统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep。DHCP攻击防御:DHCP异常包检测、DHCP flood检测。Dns异常包防御: 请求包无请求,请求包包含应答,一次请求域名过多,请求包无载荷。DnsFlood防御: lood基于域名,DnsReqFlood,DnsReplyFlood。CC攻击防御:支持主机并发连接数和半连接数的限制。支持syn cookies功能。支持flood阀值自学习功能,学习时间可设置。支持flood服务器阈值、服务器高压阈值、单机阈值
10、设置。 支持记录日志、阻断两种动作。检测模式支持在线检测、旁路监听或者混合部署方式。支持基于连接的入侵检测。支持ip分片、tcp流重组。支持模式匹配、协议分析、关联分析等多种检测方法。支持应用优先和安全优先两种优先模式。检测功能支持基于源、目的、攻击检测规则、时间的入侵检测策略。支持策略改变引擎自动重起。支持自定义规则,可以根据用户需求自行设置攻击检测规则,能对其它有害攻击行为做检测和阻断。支持丢弃报文、记录日志、禁止连接、TCP reset等多种响应动作。支持黑名单,将攻击源加入黑名单,一段时间内禁止访问。支持攻击报文取证功能,检测到攻击事件后将原始报文完整记录下来,作为电子证据。支持防火墙
11、联动,在IDS监听模式下可以与防火墙联动。攻击排名和统计支持攻击总数/检测总数仪表盘显示。支持按事件类别的分布饼图统计。支持攻击事件24小时、1周、1月发生频率趋势图显示。支持按攻击事件总数或者高风险事件总数进行排名。支持按事件发生数量进行的受攻击主机排名。病毒检测病毒检测规则库采用kaspersky safestream v2网络病毒库,100万条规则,可检测24万种病毒,包含新近流行的手机病毒。支持规则库手动、自动更新升级。支持病毒库每日更新升级。检测功能采用基于数据流的查杀模式,实时阻断含有网络病毒的数据报文和连接。支持http、smtp、pop3、ftp四大协议。支持带毒邮件警告提示(
12、警告动作),支持带毒邮件破坏染毒附件(阻断动作)。支持攻击报文取证功能,检测到病毒事件后将原始报文完整记录下来,作为电子证据。病毒排名和统计支持发现病毒报文总数和阻断病毒报文总数的统计。支持按病毒发生次数进行的病毒排名。支持按病毒发生数量进行的受感染主机排名。应用识别应用识别规则库大于150种应用。支持规则库手动、自动升级。应用类型支持识别常用协议,如:http、smtp、pop3、telnet、netbios、远程桌面、dns等。支持识别股票交易应用,如:同花顺、大智慧、钱龙、指南针、天下无双等。支持识别即时通讯应用,如:QQ、MSN、YahooMessager、新浪UC、ICQ、popo、
13、飞信等。支持识别流媒体应用,如:Web视频、QuickTime、RealPlayer等。支持识别网络游戏应用,如:QQ游戏、泡泡游戏、联众游戏、魔兽世界、征途、反恐精英、跑跑卡丁车等。支持识别网络电话应用,如:飞线漫游、RedVIP、Net2phone、Skype等。支持识别网络电视应用,如:PPStream、PPLive、QQLive、沸点等。支持识别p2p类应用,如:BT、迅雷、Flashget、超级旋风、eDonkey等。应用识别和控制支持智能应用协议识别。行为分析法识别疑似p2p流量。支持对应用协议的阻断、限流、记录日志等。支持MSN、QQ帐号过滤。支持自定义应用。应用排名和统计支持应
14、用累计流量和连接数分布饼图显示。支持应用流量24小时、1周、1月流量趋势图显示。支持应用连接数、上下行流量、最近10分钟流量实时统计。支持按连接数或流量进行的应用排名。支持按IP地址进行的应用主机排名。支持应用流量和连接数超出阀值报警显示。URL过滤URL过滤规则库大于600万条规则。支持规则库手动、自动升级。URL分类分为天融信恶意网站过滤,违反国家法规与政策,潜在不安全的,浪费带宽,大众兴趣,文化、时评、聊天与论坛,行业分类,计算机技术相关等8个大类,下含80多个子类,超过380万个url地址。URL过滤支持白名单,白名单中的URL地址不过滤。支持白名单,黑名单中的URL地址过滤。支持黑白
15、名单的精确匹配和模糊匹配,模糊匹配只要包含URL即匹配上。支持阻断、URL重定向、返回默认页面、返回自定义页面等多种动作。URL排名和统计支持识别URL访问报文总数和阻断URL访问报文总数的统计。支持URL访问分布饼图显示。支持按URL访问次数进行的URL排名。支持按访问次数进行的主机排名。WEB防护WEB扫描内置爬虫、支持关键字学习和HTML分析。扫描报告。支持历史扫描数据记录。网页防篡改不需要在WEB服务器安装任何软件,只需要WEB服务器的ftp帐号。支持在线监控和离线监控。支持日志、禁止、恢复动作。支持根路径、非根路径分别设置检测时间间隔。支持轻度、深度两种级别检测策略。流量管理带宽控制
16、采用分层的带宽管理机制,可以细粒度的设置带宽策略。支持优先级别设定支持基于源地址、目的地址、服务类型、存活时间的静态带宽控制规则支持为应用识别设置的动态带宽控制规则流量异常监测支持应用协议组流量阀值和连接数阀值,超出报警支持物理接口的流量阀值,超出报警支持流量协议比例(Tcp流量占总流量、Udp流量占总流量、其他流量占总流量)阀值,超出报警。支持系统最大连接数阀值,超出报警。接口流量监测支持物理接口流量实时显示支持指定物理接口的报文字节大小分布饼图显示支持指定物理接口的流量24小时、1周、1月趋势图显示防火墙访问控制基于状态检测的动态包过滤。基于源/目的IP地址、端口、协议、时间的访问控制。支
17、持报文合法性检查。支持IP/MAC绑定。NAT支持双向NAT。支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式的地址转换。支持协议包括FTP、TFTP、MMS、H225、H225RAS、SIP、RTSP、SQLNET、PPTP。高可用性双机热备支持双机热备(Active-Standby模式)。bypass支持专业的硬件bypass功能,保证网络通畅。支持光口bypass功能(需另行采购光口bypass交换机产品)。支持软件bypass功能,当网络流量超出设备处理能力时保障网络通畅。日志和报表日志格式支持Welf、Syslog日志格式的输出。支持通过第三方软件来查看日志。支持
18、日志分级。支持对接收到的日志进行缓冲存储。日志存储和查询支持4种日志存储方式:记录本地硬盘,发送到日志服务器,记录本地硬盘+发送到日志服务器,自动探测(自动探测日志服务器工作状态,在日志服务器不能接收日志时记录到本地硬盘,能接收时则发送到日志服务器。)。支持攻击事件、病毒事件、应用识别事件和URL过滤事件的日志本地存储。支持日志存储满时自动覆盖旧日志。支持按照时间范围、事件id、ip地址、端口、动作和接口等多种条件进行日志查询。本地报表支持设备本地生成报表(依据设备本地存储日志)。本地报表支持:日报、周报、月报、指定时间报表。支持报表以word、execl、html格式导出。支持报表定时自动邮
19、件发送功能。日志服务器报表支持Top10攻击者、Top10被攻击者、Top10事件统计报表。支持按时间统计的IPS流量报表(日志服务器功能)。支持选定时间、网络攻击分类的统计报表。支持日报、周报、月报、季报等统计报表。支持报表输出,输出格式可以为PDF、HTML格式。系统管理管理方式支持WEB图形配置、命令行配置。支持本地配置、远程配置。支持基于SSH、SSL的安全配置。易用性支持B/S结构的实时显示支持攻击事件的在线帮助,可以实时显示事件的名称、危险等级、解决方案等帮助信息。支持加电即工作:系统内置默认检测策略,只要设备开机加电即可进行入侵检测工作,无须任何配置。SNMP支持SNMP 的v1
20、 、v2 、v2c 、v3版本。与当前通用的网络管理平台兼容,如HP Openview 等。丰富的私有MIB系统信息。监控和报警支持CPU利用率、内存利用率、连接数、网口流量实时曲线图。支持CPU、内存、连接数、流量历史数据,1天、1周、1月。支持系统资源监视和报警,包括CPU利用率、内存利用率、连接总数、机箱温度、硬盘利用率。内置了“管理”、“系统”、“安全”、“策略”、“通信”、“容错”、“测试”等多种触发报警的事件类。支持邮件、SNMP、声音报警方式。支持手机短信报警(需另行采购独立的TopPolicy产品)配置系统升级,支持远程维护和系统升级系统升级,支持TFTP、FTP、HTTP方式
21、升级支持网络小工具:ping、traceroute、tcpdump配置恢复,可进行配置文件的备份、下载、删除、恢复和上载。时钟调整,支持网络时钟协议NTP,可自动根据NTP服务器时钟调整本机时间。2防火墙产品技术参数(内网、外网)规格要求型号天融信网络卫士防火墙NGFW4000-UF(TG-50131)硬件要求2U标准机箱;硬件采用模块化设计,10/100/1000M以太网电口6个,SFP千兆光口插槽4个,2U机箱,最大配置为26个接口(非combo光电互斥接口或共享交换接口),上述接口配置基础之上,预留2个可插拔的扩展槽;千兆电口含独立的千兆电口管理接口与双机HA接口;系统要求要求基于多核多
22、平台并行安全操作系统(提供资质证明),并且采用双安全操作系统设计(提供截图);软件采用模块化结构设计,可根据需要扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分类过滤等功能;性能网络吞吐:10Gbps;并发连接:220万;TCP新建连接:12万/秒;HTTP新建连接:10万/秒; 资质要求公安部-计算机信息系统安全专用产品销售许可证(千兆,三级);中国信息安全测评中心-国家信息安全测评信息技术产品安全测评证书(千兆,EAL3);国家保密局涉密信息系统安全保密测评中心-涉密信息系统产品检测证书;中国人民解放军信息安全测评认证中心-军用信息安全产品认证证书(军B级);中国信息安全
23、认证中心-中国国家信息安全产品认证证书(ISCCC,千兆,三级);国家密码管理局商用密码检测中心-防火墙产品密码检测证书;国家保密局-防火墙监制证书;IPv6 Ready产品测试认证;工业和信息化部-电信设备进网许可证;国家版权局-计算机软件著作权登记证书(产品著作权);国家版权局-计算机软件著作权登记证书(TOS操作系统著作权);国家版权局-多核多平台并行安全操作系统;中国信息安全测评中心-信息安全产品自主原创证明;北京市自主创新产品证书;IDC市场占有率连续13年排名第一名,具有连续7年的IDC市场占有率排名第一的证明文件。功能要求类别招标要求网络特性u 支持路由模式、交换模式、混合模式、
24、虚拟线模式,至少支持四对虚拟线配置;u 支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议,策略路由要求支持基于入接口策略路由配置与全局策略路由配置,静态路由与策略路由要求支持等价多路径(ECMP)与加权多路径(WCMP)的路由均衡方式,并且能够根据预设探测条件实现动态的链路切换;u 每个网络接口要求支持至少32个路由子接口配置,并且支持802.1Q封装;u 支持ISL与802.1Q的trunk接口封装和解封,要求提供VLAN-VPN功能,并且支持802.1D与PVST生成树协议;u 支持链路聚合功能,对每个聚合端口的物理接口数量无限制,提高聚合组的配置灵活性,
25、并且要求支持至少10种以上的聚合负载算法;u 要求至少支持4路ADSL拨号接入,多ADSL链路可以实现等价多路径(ECMP)与加权多路径(WCMP)的路由均衡方式,能够针对每条ADSL链路单独设置保证带宽,并能够设置按需拨号;u 支持端口镜像功能,要求能够基于IP、网络协议等条件对镜像流量进行过滤,并且支持入方向、出方向及双向流量镜像;u 支持源地址转换、目的地址转换及双向地址转换策略,并且能够针对特定对象配置不转换策略;网络安全u 能够基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行访问控制,并支持策略分组管理;需具备针对单条策略设置最大并发连接数、策略命中数统计与策略重复检
26、查功能;u 支持网络应用自学习并且能够根据自学习结果生成相关安全策略;u 要求具有防止共享上网u 支持免客户端方式实现跨越三层设备进行IP/MAC绑定功能;(非标准版功能)系统管理u 要求系统管理员能够通过“用户名口令图形认证码+USBKey”方式认证进行登录管理,支持管理员口令强度分级设置,要求分为高、中、低三级,并且口令长度限制可配置;u 要求支持管理员分权管理,不同管理员分别管理不同的功能模块,能够自定义管理员权限模板,所有功能模块组合可由管理员自由组合配置;支持管理员分级管理,最多可达16级管理设置,不同级别的用户组可继承上级属性,也可自行设置属性;u 支持国密局要求的管理员“三权分立
27、”功能;(非标准版功能)u 要求支持本地多配置文件存储及配置回滚功能,并且可以有选择性的下载“运行配置”、“保存配置”、“备份配置”、配置文件加密下载以及按对象、策略等分类的部分配置文件下载/上传功能;要求具有配置文件自动定时上传到指定外部服务器功能;高可用性u 要求支持双系统引导、切换及系统还原功能;u 支持主备、负载均衡及连接保护多种设备高可用机制并支集群部署(集群设备数量8),要求能够在高可用对等体之间进行配置手动/自动同步、心跳接口物理备份及二级心跳接口功能;u 支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式;身份认证u 认证客
28、户端支持一次性口令认证(OTP)、本地认证、证书认证和免客户端方式认证;认证服务器支持本地认证服务器和第三方认证,如RADIUS、LDAP、TACACS、SECURID等;u 支持多达4因素的组合捆绑认证(用户名口令、数字证书、短信、硬件特征码、指纹认证);支持统一用户管理,防火墙、IPSEC VPN和SSL VPN使用同一套用户认证、管理系统;u 支持用户口令复杂度设置、口令长度设置、密码过期时间设置、首次登陆口令修改、密码找回(短信、邮件等)等功能;支持单个账户多点登录地点数、账户有效期、登录地址范围控制等设置;u 支持根据角色、独立用户、访问时间、URL、访问路径、访问文件、访问动作、外
29、部组映射、证书用户、证书中字段属性等细粒度授权;u 支持可信接入,对接入主机进行安全检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等;支持接入前检查、接入后检查、定时检查等策略;支持可信接入的分级授权;攻击防护u 规则库包括溢出攻击类、 RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、其它类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类11大类攻击类型,规则数量大于3800条,并支持自定义攻击检测规则;(IDP模块)u 为适应不同网络及应用环境,引擎检测模式可选择智能检测或深度检测,数据处理模式可选择应用优先或安全优先,并能够在丢弃报文时发送tcp
30、reset命令;(IDP模块)u 支持非法报文攻击防护(如land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等等)与统计型报文攻击防护(如Synflood、Icmpflood、Udpflood、Portscan、ipsweep);u 能够支持ARP攻击防护、DHCP攻击防御、DNS异常包防御等特定应用的安全防护功能;病毒防护(AV模块)u 内嵌流(快速)扫描、文件(深度)扫描双引擎杀毒技术,并能够根据不同的被检测协议选择不同杀毒引擎;u 采用国际国内知名主流品牌病毒库,病毒库提供商应通过VB100
31、认证(需能够在病毒库提供商的网站首页可查),流(快速)扫描病毒库大于230万种,文件(深度)扫描病毒库大于260万种流量管理u 采用基于访问控制策略的一体化带宽管理模式,能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型;u 支持基于COS、DSCP方式的数据标识;上网行为管理u 支持IM、P2P、传统协议、股票交易、网络游戏、网络电视、网络电话、流媒体等多种类型主流应用识别和控制,能够对IM账号进行过滤,并且能够基于应用类型的流量和连接数设置阀值报警;u 支持基于行为的P2P识别技术和自定义协议识别技术;u 内置URL
32、分类库,分类库包括80大类500万以上的一级域名数量,支持对恶意网站和挂马网站进行过滤和行为设置;(WebFilter模块)u 支持针对HTTP、HTTPS协议的URL过滤、下载文件格式过滤、搜索引擎关键字过滤、论坛发帖关键字、WEBMAIL关键字过滤;u 支持针对访问目标进行URL重定向,URL重定向时间可设置;支持针对URL长度进行限制功能,防止URL异常攻击;支持伪装HTTP协议识别和控制,可以隐藏和替换HTTP服务器版本信息;u 支持FTP协议上传下载文件名过滤,可以对上传、下载、删除、重命名、目录创建等命令进行过滤;对FTP服务器版本信息可以隐藏和替换;u 支持SMTP、POP3、I
33、MAP邮件协议的收件人、发件人、标题、正文、邮件附件类型进行过滤,并且对不符合规则的邮件可以转发到指定邮箱进行审查,对邮件服务器版本信息可以隐藏和替换;支持基于邮件地址黑白名单、实时黑名单、反向DNS、灰名单方式的反垃圾邮件过滤;u 支持TELNET、RSH、DNS协议的关键字过滤;u 支持根据源IP、目的IP、目的端口和协议进行实时连接的查询和删除;支持针对各物理接口、VLAN接口、子接口等各类接口进行历史流量和实时流量的监控;支持基于应用类别、应用协议、IP地址的历史流量、实时流量和连接数的统计和排名,在线排名的协议不少于50个;PKIu 支持本地CA和第三方CA,可为其他设备或移动用户签
34、发证书,可生成、吊销、删除证书;支持本地CA和第三方CA根证书、根私钥的更新;支持证书链管理;本地CA支持SM2算法;u 支持证书废弃,支持生成标准CRL列表,可以同时导入多个第三方CRL列表,对不同CA证书用户进行身份认证,支持通过HTTP协议定时下载CRL列表;支持证书请求的生成,由第三方CA进行签名;支持通过OCSP/LDAP等协议在线认证证书;IPSEC VPN(Vone模块)u 支持DES/3DES/AES等标准加密算法,支持MD5/SHA1标准HASH算法,支持DH GROUP1/2/5,RSA 1024/2048非对称算法,支持国家商用密码算法SM1(SCB2)/SM2/SM3/
35、SM4(非标准版功能),支持高速硬件加速卡;网关所有功能符合国密局IPSEC VPN技术规范,支持与国密局标准IPSec协议互通;u 支持预共享密钥、数字证书认证、XAuth扩展认证、标准的X.509证书方式建立隧道;支持采用DDNS动态域名进行隧道协商;u 支持全动态IP地址间的VPN组网,支持隧道的NAT穿越、双向NAT隧道建立,支持隧道路由转发,支持GRE over IPsec、组播数据穿越IPSec隧道,支持多机多线路隧道的负载均衡和备份;u 支持第三方标准IPSec客户端接入,支持iOS终端自带的IPSec客户端接入(非标准版功能),支持IPSec客户端无驱技术,支持多线路自动检测与
36、智能选路;支持基于时间的移动用户访问控制策略、支持两网分离;SSL VPN(Vone模块)u 支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法,支持国家商用密码算法SM1(SCB2)/SM2/SM3/SM4(非标准版功能),产品所有功能符合国密局制定的SSL VPN技术规范;u 支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用;支持TCP、UDP协议的端口转发模式,支持智能递推;支持Windows/CIFS远程文件共享,FTP的WEB化访问;支持资源自动打开、资源连接隐藏、资源与特定应用程序关联;支持用户设定代理服务器信
37、息;u 支持Windows XP、2003、2008、Vista、Win7、Win8及Linux系统PC;支持Windows Mobile、Android智能终端的全网接入模式(非PPTP方式);支持iOS、Android系统终端的虚拟远程桌面;支持Android系统终端的虚拟应用发布;(非标准版功能)u 支持虚拟门户功能,每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等;可与企业门户无缝融合,即用户可以通过企业门户登录SSL VPN,并且SSL VPN能够自动跳转Portal页面到企业的某个网站;u 支持接入客户端痕迹清除
38、,能够清楚cookie、缓存、历史记录等各种访问痕迹;支持拔KEY隧道自动中断,支持用户超时自动退出,超时时间可设置;在用户登录SSL VPN后不需要驻留Portal页面,可以最小化至系统任务栏中;支持HTTP401方式、WEB方式、密码助手方式的单点登录,用户可以修改单点登陆的账户信息;u 支持集群功能,支持集群状态和Session同步,对外提供同一接入IP;1.1 3WEB应用安全防护系统(WEB防火墙外网)技术参数天融信Web应用安全防护系统,型号规格:TopWAF(TW-31214)指标指标项规格要求设备基本要求专用的硬件和软件保障采用专用硬件架构与专用安全操作系统,基于操作系统内核的
39、完全检测技术;硬件设备可以机架安装。端口数量和扩展能力2U机架式,100/1000以太网电口8个和SFP千兆光口插槽4。 其中电口含有HA口和管理口;工作环境电压:AC100240V 频率 4763HZ 电流 63A 功率 300W(MAX)工作温度:040摄氏度 非工作温度:-2075摄氏度 工作湿度:590%,非冷凝MTBF不少于52000小时性能要求设备吞吐量5.5G最大HTTP吞吐能力1100Mbps,策略全开并发TCP会话数70万网络部署工作模式支持透明代理,反向代理工作模式。部署方式支持串行及旁路部署方式。支持多路部署。安全特性安全模式基于代理模式的防护引擎协议解析支持HTTP协议
40、解码并对相关字段进行检查,包括URI、HTTP版本、请求方法、响应状态码、HTTP头部各字段和其他 HTTP 元素。HTTPS支持能够对SSL(HTTPS)加密会话进行分析。支持导入SSL证书(包括PEM和PFX格式)。WEB基础架构防护OS命令注入、远程文件包含、目录遍历等WEB通用攻击防护WEB攻击防护SQL注入、跨站脚本等常见WEB应用攻击爬虫防护,能够审计或阻止谷歌、雅虎、百度等20种以上搜索引擎对网站的爬取行为。盗链防护,保护网站中的视频类、音频类及图片类等资源不被盗链。支持Cookie防护及Referer防护两种防盗链算法。漏洞扫描器扫描防护,能够审计或阻止IBM AppScan及
41、Acunetix Web Vulnerability Scanner漏洞扫描工具对网站的扫描行为。恶意扫描防护,能够通过对WEB的请求行为判断是否为恶意扫描。可设置行为参数阀值,超过阀值后自动将攻击IP加为黑名单进行阻断。阻断时间可手动调节。HTTP请求限制,协议规范化。支持对HTTP请求长度、请求方法及请求文件类型等进行限制。支持Cookie安全机制。支持IP及URL的黑白名单访问控制支持报警、断开连接、给客户端发送警告页面三种攻击响应方式支持自定义警告页面支持自定义防护规则支持自定义策略和策略集,不同被保护服务可以应用不同的防护策略集支持对象自定义,可定义来源地址组、目的URL组、时间段D
42、DoS攻击防护支持防护syn flood、tcp flood、udp flood、icmp flood等网络层拒绝服务攻击支持配置参数自学习,可以针对不同的用户网络环境,启动自学习功能,统计挖掘特定网络环境的协议比例、流量比例,进行网络适应性学习、分析,根据自学习的网络流量模型,进行DDoS检测和防御的阈值调整支持防护cc攻击等应用层拒绝服务攻击网站伪装支持代理方式工作模式,客户端不直接和服务器建立连接支持服务器信息隐藏,客户端得不到服务器版本信息支持特定页面返回信息隐藏,可返回自定义警告页面支持网站管理后台隐藏,可定义允许访问网站后台的IP地址网页防篡改支持网站镜像功能,支持爬虫、ftp(支
43、持篡改后恢复)两种镜像方式支持定时篡改检测,记录篡改日志并报警支持篡改页面重定向功能,客户端访问不到被篡改的页面支持篡改页面自动恢复功能WEB应用扫描扫描网站的应用层漏洞信息,自动生成网站漏洞分析报告支持立即扫描、周期扫描、指定时间点扫描三种方式支持单个网站扫描和批量扫描两种方式全中文扫描结果报告敏感信息过滤支持检测网站中的敏感信息,防止泄漏支持敏感关键字自定义,支持敏感关键字组自定义支持定时检测,可自定义检测周期支持单个网站扫描和批量扫描两种方式服务器状态检测定时检测服务器访问情况,发生访问异常及时报警支持ping方式检查,支持访问特定URL方式检查支持访问URL自定义支持阀值设置,超过阀值
44、即告警异常事件告警支持WEB攻击、DDoS攻击、网页被篡改、网关设备异常、被保护服务器状态异常、漏洞扫描结果、敏感关键字过滤等情况下告警告警条数多可设置归并条件,可设置告警发送间隔支持邮件、短信发送告警信息WEB优化Cache加速支持缓存页面方式加快访问速度,减轻服务器访问压力支持加速率记录和统计功能负载均衡支持负载均衡功能,把访问分担到多台WEB服务器上支持轮询,加权轮询,源地址散列三种负载均衡算法网络适应性802.1Q协议支持支持VLAN解码,在Trunk线路上部署并提供防护路由配置支持静态路由的配置 业务智能分析流量分析日志支持客户端浏览器与非浏览器(包括搜索引擎、蠕虫病毒等)访问流量统
45、计可记录带宽、访问量、访问响应时间等内容可分被保护服务、时间段查询,查询结果可生成报表访问分析日志可记录并分析统计网站的详细信息可根据访问者的源地址统计分析网站页面访问量、文件请求数及访问流量等业务数据可根据搜索引擎的类型统计分析网站文件请求数及访问流量等业务数据可根据访问客户端操作系统或浏览器的类型统计分析网站被访问次数等业务数据可根据访问客户端的地域统计分析网站文件请求数等业务数据,地域划分类型支持国家地区、中国省区及中国城市支持对网站最常被访问的网页情况进行统计分析支持对访问者进入网站及离开网站时访问网页的情况进行统计分析支持对访问者浏览网页的类型进行统计分析支持对网站服务器中死链的情况
46、进行统计分析可根据网站域名统计分析网站被访问情况支持对搜索关键词访问网站的情况进行统计分析可分被保护服务、时间段查询,查询结果可生成报表攻击分析日志可记录各种WEB攻击、DDoS攻击等日志可记录网页防篡改日志可记录网页敏感关键字过滤日志可分被保护服务、时间段查询,查询可生成报表管理分析日志可记录被保护服务器通断等异常状态日志可记录管理员操作日志可分时间段查询,查询结果可生成报表日志管理可设置日志保存时间、磁盘占用空间限额支持日志清空操作支持ftp方式自动备份日志和手动备份日志定期自动备份支持备份周期设置日志可打印,可导出成pdf、html格式系统管理系统管理支持B/S管理提供标准SNMP trap和Syslog接口,可接受天融信管理平台的集中事件管理支持管理角色分级支持License控制系统升级支持界面导入升级包支持定期升级规则库;紧急事件第1时间升级系统监控安全事件监控、访问情况监控及设备负载监控显示接口状态、系统
