入侵防御系统技术要求.docx

入侵防御系统技术要求 一、设备清单 序号 设备或软件 数量 1 入侵防御系统 1 台 二、参数要求 类别 技术规格要求 数量 单位 系统管理 提供管理友好的中文 Web 图形界面配置，支持 Telnet、SSH、串口登陆命令行模式配置。 支持配置管理 IP 控制列表、SNMP 网管协议以及 邮件报警。 1 台 系统管理 支持通过 web 方式调用设备命令行窗口功能，无 需登录串口就可对设备进行命令行操作。提供产 品界面截图 1 台 品牌要求 ★为便于网管人员管理和维护，入侵防御系统需 与防火墙同一品牌。 1 台 接口规格要求 6 个 10/100/1000Base-T 端口；1 个空扩展槽 （可选择 4SFP 或 8SFP 接口板卡,防护路数会随 增加扩展卡而增加） 1 台 机箱电源要求 2U 机箱 1 台 IPS 吞吐 1.5Gbps 1 台 最大并发 200 万 1 台 网络适应性 支持透明、路由、混合多种工作模式。 1 台 网络适应性 支持静态、策略路由、OSPF、BGP4 等动态路由。 1 台 网络适应性 支持端口聚合。 1 台 网络适应性 支持 ALG 应用协议的 NAT 应用和端口重定向，包 括 SIP、H.323、XDMCP 等，并支持自定义协议。 1 台 安全防护 内置 4000 种以上的攻击特征，能够检测包括溢 出攻击类、RPC 攻击类、WEBCGI 攻击类、拒绝服 务类、木马类、蠕虫类、扫描类、网络访问类、 HTTP 攻击类、系统漏洞类等攻击。 安全防护 支持 AV 病毒检测引擎，内置病毒特征不少于 10 万条。 安全防护 支持 4 种安全防护模式，基于网络、用户、应用 以及云租户。提供功能界面截图 安全防护 支持租户独立的配置和租户间视图的切换。 安全防护 支持以多种方式定义租户，如： VLAN、NVGRE、VXLAN。提供功能界面截图 安全防护 支持基于租户的 NAT、IP 地址配置、IP_MAC 绑 定、病毒过滤和防挂马、入侵防护、攻击防护、 应用识别、文件控制、ARP 防护、内容安全特性 （邮件、网页的内容过滤）、策略/静态/多出口 路由。 智能流量控制 支持基于优化的高速流匹配技术，以多种依据 （源 IP/目的 IP/IP 范围/源端口/目的端口/端 口范围/接口/用户组/安全策略区域对象/应用协 议等）对流量进行控制。 用户认证 支持本地认证、Radius 认证、Tacacs+认证、CA 认证、LDAP/AD 认证。 应用管控 内置 URL 分类库，具有不少于 1 万条 URL 地址 库。 可对 URL 地址以及域名进行过滤，且支持黑名单 和白名单。 应用管控 内置 1700 多种应用特征库，可准确识别各种 IM、P2P、网络游戏、流媒体、股票等应用，并 可自定义。 应用管控 支持基于安卓开发的多种聊天软件和社交软件， 如，QQ、微信、新浪微博、YY 语音、网易新闻 等。 应用管控 内容过滤规则可精确到单个用户和每个 IP。 应用管控 Web 关键字过滤功能，支持 HTTP1.0 和 HTTP1.1 协议，支持多种编码协议如 UTF8、GB2312 和 BIG5。 可对通过 gzip 或 deflate 的算法压缩的 web 页 面进行动态自动解压缩 。 。 。 应用安全防护 内嵌深度包检测引擎，针对数据包进行深度过滤 检测。 应用安全防护 可以阻断内部用户访问非法的网址或访问含有非 法内容的网页 支持自定义 URL 过滤策略、关键字过滤策略、蠕 虫过滤策略 支持攻击邮件告警。 应用安全防护 可以针对 FTP 传输的文件类型（如 mp3、avi…）进行过滤 支持通过预定义过滤文件名实现对 FTP 数据流的区分控制 高可靠性 支持主备模式(A/S)、主主模式(A/A)等多种热备 方式。 高可靠性 支持不少于 4 个节点，使用虚拟 IP 地址技术， 通过 VRRP 协议实现集群负载均衡。 高可靠性 能够进行线路/IP 状态检测，并根据检测结果自 动切换。 高可靠性 支持多个心跳口的冗余备份。 高可靠性 支持将任意物理接口设置为 HA 接口。 高可靠性 支持电口硬件 Bypass,保证设备在断电或宕机的 情况下，不会引起网络中断； 高可靠性 支持配置同步、session 同步。 安全审计 支持将日志存储在本地，标配不少于 500G 日志 存储硬盘。 安全审计 支持全部日志按天和统一格式存储，可以通过 web 页面查看历史日志列表，且可以针对列表日 志进行删除、导出等操作。 安全审计 支持历史日志，保证设备掉电后仍然可以保留上 次运行的日志记录。 安全可视 产品可以图形化显示设备接口面板信息，直观查看接 口是否联线。提供功能界面截图 安全可视 产品界面可以显示设备当前的系统状况，包括 cpu 使 用率