NIPS修改版2012-10-16.doc

网络入侵防护系统主要技术参数 指标项 功能及技术指标要求 产品 指标 系统平台 采用专用硬件架构与专用安全操作系统；专用安全操作系统具有完全自主知识产权。 硬件规格和性能指标★ 标准2U机架式独立IPS硬件设备， IPS吞吐量≥790Mbps，最大并发TCP会话万120 μs 入侵 检测 和防 护能 力 入侵检测引擎 系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗IDS/IPS逃逸等多种技术，准确识别各种黑客入侵，为用户提供2~7层深度入侵防御。 攻击特征库★ 系统应提供覆盖广泛的攻击特征库，能够针对2800种以上的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。 协议支持 系统应支持IP碎片重组、TCP流重组、流量状态追踪技术，基于智能、深入的协议分析，全面检测超过100种以上的应用层协议，能够有效检测运行在非标准端口的协议、数以千记的木马，以及基于Smart Tunnel（智能隧道）的应用协议。 攻击防护类型★ 系统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解等恶意流量的检测和阻断。 系统应具备基于“漏洞保护”的虚拟补丁功能，融合协议异常检测能力，有效抵御缓冲区溢出攻击，以及各类未知攻击。(提供产品界面截图证明) 系统应具备零日攻击防护能力，保护用户避免遭受新的安全威胁 系统应能够有效抵御SQL注入、僵尸网络等多种常见的应用层安全威胁 系统应提供先进的DoS/DDoS攻击防护能力，支持双向阻断TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。支持基于主机连接数和半连接数的限制。 能对当前主流的HTTP类攻击做检测和阻断，例如：HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等。 系统应提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测和阻断规则。 防火 墙功 能 访问控制 系统应具备状态防火墙功能，支持基于网络接口、源/目的IP地址、协议、时间等元素，自定义访问控制策略。 NAT路由支持★ 系统应提供地址转换功能，支持静态NAT（Static NAT）、动态NAT（Pooled NAT）和端口NAT（PAT），支持多对一、多对多和一对一等多种地址转换方式 系统应支持OSPF、RIP、BGP等动态路由协议 系统应支持策略路由功能，可以基于源/目的地址、应用类型，以及接口等元素进行路由设置 VLAN特性 系统应支持工业标准的802.1Q VLAN Trunk封装协议，实现两个交换机同一VLAN间的数据交互 系统应支持不同VLAN虚拟接口间的路由功能 负载均衡 系统应具备负载均衡能力，能够基于随机或轮询的方式，为设备后端的服务器群动态分配外部访问请求，从而增强服务器的数据处理能力，进一步提高网络的灵活性和可用性。 DHCP支持 系统应具备DHCP中继和DHCP代理能力 虚拟 系统 虚拟系统（VIPS） 系统应支持基于物理接口、逻辑对象的双重虚拟系统（VIPS），针对不同的网络环境和安全需求，制定不同的入侵防御规则和响应方式，实现面向不同对象的智能化入侵防护 流量 管理 流量分析 系统应支持全面的流量分析功能，可察看网络实时流量，包括：流量协议分布、流量IP分布、自定义察看某种流量TOP10、常见流量TOP10等；同时应支持生成日、周和月的流量报表，以便了解一段时间的流量情况。 基于应用协议的流量控制功能 系统应提供灵活的流量管理功能，可以根据协议、端口、目的IP地址、时间及带宽等因素，实现基于应用协议、面向对象的流量保护策略。通过流量许可和优先级控制，阻断一切非授权用户流量，并结合最小带宽保证最大带宽会话限制，有效保证关键应用全天候畅通无阻。 攻击响应 系统应提供丰富的响应方式，包括：丢弃数据包、阻断会话、邮件报警、短信报警、控制台显示、声音报警、日志数据库记录、写入XML文件，运行用户自定义命令等，满足用户各种响应需求。 应用重组★ 系统应具备应用重组能力，可以记录网络的通信报文，并解码回放，目前支持HTTP、SMTP、FTP、Telnet、POP3等多种协议。 第三方管理平台融合 系统应提供标准snmp trap（V1、V2、V3）和syslog接口，可接受第三方管理平台的集中事件管理。 系统应支持CEF通用事件格式，实现与ArcSight系统的无缝融合。 攻击取证★ 系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。 系统应具备原始数据留存功能，在需要