深信服应用防火墙参数.pdf

《深信服应用防火墙参数.pdf》由会员分享，可在线阅读，更多相关《深信服应用防火墙参数.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、一、性能及配置要求性能及配置要求AFAF-13201320-L L 对应对应NS-SecPath U200-ANS-SecPath U200-A项目项目接口指标指标电口Bypass安装空间储存温度相对湿度吞吐量VPN 连接数性能参数并发连接数新建连接数延时平 均 无 故 障 时 间（MTBF）具体功能要求具体功能要求具备至少 6 个 10/100/1000 Base-T 千兆电口*支持故障时 Bypass 功能（1 路）标准 1U 机架尺寸2070595%（无凝结状态）吞吐量1G不小于 400不小于 40 万*1500010 us100,000 小时技术规范AFAF-18201820-D

2、D 对应对应天清汉马天清汉马 USG-2000CUSG-2000C项目项目指标指标接口Bypass安装空间技术规范储存温度相对湿度电源吞吐量VPN 连接数性能参数并发连接数新建连接数延时平 均 无 故 障 时 间（MTBF）具体功能要求具体功能要求10 个千兆电口4 个千兆光口*支持故障时 Bypass 功能（3 路）标准 2U 机架尺寸2070595%（无凝结状态）冗余电源吞吐量5G不小于 1500不小于 80 万*6000010 us100,000 小时接口二、详细功能要求二、详细功能要求项目项目指标指标设备资源信息实时监控联动封锁源 IP流量状态防火墙/VPN 功能包过滤与状态检测具体功

3、能要求具体功能要求提供设备实时 CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息*提供实时智能模块间联动封锁的源 IP 以便实现动态智能安全管理（需提供截图证明）实时提供 IP 流量、应用流量排名、流量管理状态、DHCP 状态、在线用户管理提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP 等；传输层协议：TCP、UDP支持防御 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IPSpoofing、

4、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP 欺抗攻击特性骗攻击防范、ARP 主动反向查询、TCP 报文标志位不合法攻击防范、支持 IP SYN速度限制、超大 ICMP 报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC 和 IP 绑定功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络NAT 功能主机访问内部服务器、支持 DNS 映射功能可配置支持地址转换的有效时

5、间支持多种 NAT ALG，包括 DNS、SIP 等支持 AES、DES、3DES、MD5、SHA1、DH、RC4 等算法，并且支持扩展国密办 SCB2等其他加密算法支持 MD5 及 SHA-1 验证算法支持各种 NAT 网络环境下的 VPN 组网支持第三方标准 IPSec VPN 进行对接IPSec VPN 功能*总部与分支有多条线路，可在线路间一一进行 IPSecVPN 隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN 连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略（提供自

6、主知识产权证明）特征库数量特征库信息IPS 入侵防护漏洞特征库:2500+，并且能够自动或者手动升级*必须是微软“MAPP”计划会员，特征库必须获得 CVE“兼容性认证证书”（需提供截图证明）包括蠕虫/木马/后门/DoS/DDoS 攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/IPS 逃逸攻击等*漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）*支持自动拦截、记录日志、上传灰度威胁到“云端”（需提供截图证明）防护类型防护对象处理动作“云联动“Web 应用防护识别库Web 服务隐藏FTP 服务隐藏*支持 web 攻击特征数量 1000+（需提供截图证明）

7、*支持 Web 网站隐藏，包括 HTTP 响应报文头出错页面的过滤，web 响应报文头可自定义（需提供截图证明）*支持 FTP 服务应用信息隐藏包括：服务器信息、软件版本信息等*支持 OWASP 定义 10 大 web 安全威胁，保护服务器免受基于 Web 应用的攻击，服务器防护*Web 攻击防护如 SQL 注入防护、XSS 攻击防护、CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解（需提供截图证明）网站扫描防护策略制定支持 web 站点扫描、web 站点结构扫描、漏洞扫描等扫描防护配置选项:可设置源、目的区域、目的 IP 和端口号，端口号支持设置 Web 应用、telnet、ssh

8、服务的端口号*严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性*ftp 弱口令防护、telnet 弱口令防护内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5 密码等文件上传过滤其他应用防护敏感信息防泄可定义的敏感信息漏*http 敏感信息检测漏洞风险评估弱口令扫描支持正常访问 http 连接中非法敏感信息的外泄操作*支持服务器、客户端的漏洞风险评估功能*支持、oracle、mssql、ssh、RDP、网上邻居 NetBIOS、VNC 等多种应用的弱口令评估与扫描*风险评估可以实现与

9、 FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明）*支持网关型网页防篡改，无需在服务器中安装任何插件支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式，保证网站安全*全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应智能策略联动网关型网页防篡改篡改实时检查网页篡改防护*动态网页/静态网页支持用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用 Web方式对后台数据库的篡改业务管理与安全管理分离篡改防护效果病毒引擎病毒防护防护类型病毒库数量应用特征识别库应用流控流控网

10、站流控文件流控URL 过滤*支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容*支持通过替换、重定向等技术手段，防护篡改页面基于流引擎查毒技术，可以针对 HTTP、POP3 等协议进行查杀*能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒支持 10 万条以上的病毒库，并且可以自动或者手动升级*支持对 1000 种以上应用 2000 种以上的应用动作（需提供截图证明）*支持基于应用类型划分与带宽分配*支持基于网站类型的划分与带宽分配支持基于文件类型划分与分配带宽*对用户 web 行为进行过滤，保护用户免受攻

11、击；支持只过滤HTTP GET、HTTPPOST、HTTPS 等应用行为；并进行阻断和记录日志*支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志*支持基于签名证书的 ActiveX 过滤；支持添加白名单和合法网站列表；支持基于应用类型的 ActiveX 过滤，如视频、在线杀毒、娱乐等；*支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等支持 SSL 加密 WEB 方式管理设备支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等*提供图形化排障工具，便于管理员排查策

12、略错误等故障*设备必须支持内/外置数据中心WEB 安全防护文件类型过滤ActiveX 过滤脚本过滤管理界面理网关管告警管理排障工具理日志数据中心管风险评估报表安全日志安全趋势报表安全统计报表*提供端口、服务、漏洞、弱密码等安全风险评估报表（需提供截图证明）必须支持将应用的受攻击对象进行统计排行和报表输出，支持按照行为次数和应用的排行统计各攻击类型名称；支持各种攻击类型的报表输出和统计；*提供可定义时间内安全趋势分析报表*支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容，并形成报表*必须支持将内网可能中毒的用户进行统计排行和报表输

13、出，支持按照行为次病毒信息统计数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信息统计新增恶意 URL 排行报表订阅报表导出*支持将统计/趋势/查询等报表自动发送到指定邮箱*支持导出统计/趋势/查询等报表，包括 Excel、PDF 等格式三、其他要求三、其他要求服务服务服务机构要求*必须在用户所在地或用户所在的省会城市有厂家直属的售后服务机构*设备生产厂商注册资本大于 5000 万厂商资质厂商资质厂商资质要求*售后服务体系通过 ISO9001 认证*国家级高新技术企业证书*具有 CVE 兼容性认证证书计算机软件著作权登记证书产品资质产品资质产品资质要求计算机信息系统安全专用产品销售许可证ISCCC 中国国家信息安全产品认证证书