网络安全设备主要性能要求和技术指标要求部分汇总.doc

网络安全设施主要性能要乞降技术指标要求部分汇总 网络安全设施主要性能要乞降技术指标要求部分汇总 PAGE / NUMPAGES 网络安全设施主要性能要乞降技术指标要求部分汇总 网络安全设施主要性能要乞降技术指标要求 1.1 防火墙 用于控制专网、业务内网和业务外网，控制专网、业务内网部署在 XX干线 公司、穿黄现地管理处（备调中心） ，每个节点各 2 台；业务外网部署在 XX干线 公司 1 台，合计 9 台。要求以下： 特征 参照指标要求 系统架构 一定采纳专用的安全操作系统平台，非通用操作系统平台； 工作模式 路由、 NAT 、透明（ VLAN 透传）、混淆； 网络接口 千兆电口 ≥4 个，千兆光口 ≥4 个。 需求 一定实现安全带外管理功能，设施一定供给独立的带外管理接口； 电源 配置双电源，电源可热插拔； 64 字节吞吐量 ≥ 4Gbps； 1518 字节吞吐量 ≥ 8Gbps；； 性能与容 防火墙的 IPSec VPN 办理性能一定 ≥600Mbps； 支持的虚构系统 ≥64 个；实配≥ 32 个虚构防火墙； 量 防火墙的每秒新建会话能力一定高于 9 万/秒； 防火墙支持的并发会话数一定高于 100 万条； 防火墙一定供给 IPSec VPN 功能，供给许多于 4000 条的并发 VPN 地道能力； 防火墙一定支持抗 DoS/DDoS 攻击功能， 支持对 synflood 、updflood 、tear drop、 land attack 、 icmp flood 、 ping of death 等拒绝服务攻击的防备，可依据不一样的 接口地区选择能否需要实行抗 DoS 攻击保护并选择实行哪几种攻击防备。 一定支持多媒体业务与组播功能，支持 H.323 、SIP、 MGCP ，SCCP 等多媒体 协议，并支持以上多媒体应用协议的 NAT 穿越； 基本要求 严格依据 RFC 国际标准，其支持的算法有 DES、 3DES、 AES128、 AES192 、 AES256 ， SHA-256 、 SHA-512 等，可于主流 VPN 厂商互通。 一定支持 OSPF、 IP、 RIP2 动向路由协议； 支持 BT 限流功能； 支持 Active-Passive HA 和 Active-Active 双主高可用构造，在以上两种构造下，一定保证防火墙 Session 同步和 VPN 状态同步； 一定支持 AV 防病毒功能，并能供给 AV 外置可插拔性能扩展卡。 1.2 入侵检测系统（ IDS ） 依据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统 （ IDS），共需 6 套。 （1）控制专网：部署在 XX干线公司及穿黄现地管理处（备调中心） ，每个 节点各 1 套，共 2 套； （2）业务内网：部署在 XX干线公司及穿黄现地管理处（备调中心） ，每个 节点各 2 套，共 4 套； 1.2.1 产品规格及性能指标要求 （1）支持 10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于 2 个 ( 供给的配置中起码包含两个 GE多模 850nm波长光模块 ) ； （2）能监控的最大 TCP并发连结数不小于 120 万； （3）能监控的最大 HTTP并发连结数不小于 80 万； （4）连续工作时间（均匀无故障时间）大于 8 万小时； （5）吞吐量不小于 2Gbps。 （6）控制台服务器性能不低于“ 5 服务器主要性能要乞降技术指标要求” 中的要求。 1.2.2 部署和管理功能要求 传感器应采纳预约制的软硬件一体化平台； 入侵检测系统管理软件采纳多层系统构造； 组件支持高可用性配置构造，支持事件采集器一级的双机热备； 各组件支持集中式部署和大型散布式部署； 大规模散布式部署支持策略的派发，即上司可将策略强迫派发到下级， 以保证整个系统的检测署名的一致性； 能够在控制台上显示并管理所有组件，并且所有组件之间的通信均采纳加密的方式； 支持以拓扑图形式显示组件之间的连结方式； 支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区 别； 支持组件的自动发现； 支持 NAT方式下的组件部署； 支持 IPv6 下一代通信网络协议的部署和检测。 1.2.3 检测能力要求 (1) 支持鉴于状态的协议剖析技术并能依据 RFC的规范进行深入仔细的协议 检测，正确的辨别协议的误用和滥用； 支持协议异样检测，协议剖析和特点般配等多种检测方式，能够检测到未命名的攻击；同时支持 UNICODE分析、应用层协议状态追踪、连结状态追踪，辅以模式般配、异样检测等手段来有效降低误报和漏报率，提高检测精度； 产品应具备对 Split 、 Injection 等 IDS 躲避技术的检测和