網(wǎng)絡安全設備主要性能要求和技術(shù)指標要求部分網(wǎng)絡安全設備主要性能要求和技術(shù)指標要求部分網(wǎng)絡安全設備主要性能要求和技術(shù)指標要求部分xxx公司網(wǎng)絡安全設備主要性能要求和技術(shù)指標要求部分文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設計，管理制度網(wǎng)絡安全設備主要性能要求和技術(shù)指標要求防火墻用于控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)和業(yè)務外網(wǎng)，控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)部署在XX干線公司、穿黃現(xiàn)地管理處（備調(diào)中心），每個節(jié)點各2臺；業(yè)務外網(wǎng)部署在XX干線公司1臺，共計9臺。要求如下：特性參考指標要求體系架構(gòu)必須采用專用的安全操作系統(tǒng)平臺，非通用操作系統(tǒng)平臺；工作模式路由、NAT、透明（VLAN透傳）、混合；網(wǎng)絡接口需求千兆電口≥4個，千兆光口≥4個。必須實現(xiàn)安全帶外管理功能，設備必須提供獨立的帶外管理接口；電源配置雙電源，電源可熱插拔；性能與容量64字節(jié)吞吐量≥4Gbps；1518字節(jié)吞吐量≥8Gbps；；防火墻的IPSecVPN處理性能必須≥600Mbps；支持的虛擬系統(tǒng)≥64個；實配≥32個虛擬防火墻；防火墻的每秒新建會話能力必須高于9萬/秒；防火墻支持的并發(fā)會話數(shù)必須高于100萬條；基本要求防火墻必須提供IPSecVPN功能，提供不少于4000條的并發(fā)VPN隧道能力；防火墻必須支持抗DoS/DDoS攻擊功能，支持對synflood、updflood、teardrop、landattack、icmpflood、pingofdeath等拒絕服務攻擊的防護，可根據(jù)不同的接口區(qū)域選擇是否需要實施抗DoS攻擊保護并選擇實施哪幾種攻擊防護。必須支持多媒體業(yè)務與組播功能，支持、SIP、MGCP，SCCP等多媒體協(xié)議，并支持以上多媒體應用協(xié)議的NAT穿越；嚴格遵循RFC國際標準，其支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512等，可于主流VPN廠商互通。必須支持OSPF、IP、RIP2動態(tài)路由協(xié)議；支持BT限流功能；支持Active-PassiveHA和Active-Active雙主高可用結(jié)構(gòu)，在以上兩種結(jié)構(gòu)下，必須保證防火墻Session同步和VPN狀態(tài)同步；必須支持AV防病毒功能，并能提供AV外置可插拔性能擴展卡。入侵檢測系統(tǒng)（IDS）根據(jù)系統(tǒng)組建需要，控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)、業(yè)務外網(wǎng)均部署入侵檢測系統(tǒng)（IDS），共需6套。（1）控制專網(wǎng)：部署在XX干線公司及穿黃現(xiàn)地管理處（備調(diào)中心），每個節(jié)點各1套，共2套；（2）業(yè)務內(nèi)網(wǎng)：部署在XX干線公司及穿黃現(xiàn)地管理處（備調(diào)中心），每個節(jié)點各2套，共4套；產(chǎn)品規(guī)格及性能指標要求（1）支持10/100/1000BASE-SX/1000BASE-T以太網(wǎng)接口，千兆接口不小于2個(提供的配置中至少包含兩個GE多模850nm波長光模塊)；（2）能監(jiān)控的最大TCP并發(fā)連接數(shù)不小于120萬；（3）能監(jiān)控的最大HTTP并發(fā)連接數(shù)不小于80萬；（4）連續(xù)工作時間（平均無故障時間）大于8萬小時；（5）吞吐量不小于2Gbps。（6）控制臺服務器性能不低于“5服務器主要性能要求和技術(shù)指標要求”中的要求。部署和管理功能要求(1)傳感器應采用預定制的軟硬件一體化平臺；(2)入侵檢測系統(tǒng)管理軟件采用多層體系結(jié)構(gòu)；(3)組件支持高可用性配置結(jié)構(gòu)，支持事件收集器一級的雙機熱備；(4)各組件支持集中式部署和大型分布式部署；(5)大規(guī)模分布式部署支持策略的派發(fā)，即上級可將策略強制派發(fā)到下級，以確保整個系統(tǒng)的檢測簽名的一致性；(6)可以在控制臺上顯示并管理所有組件，并且所有組件之間的通訊均采用加密的方式；(7)支持以拓撲圖形式顯示組件之間的連接方式；(8)支持多個控制臺同時管理，控制臺對各組件的管理能力有明確的權(quán)限區(qū)別；(9)支持組件的自動發(fā)現(xiàn)；(10)支持NAT方式下的組件部署；(11)支持IPv6下一代通信網(wǎng)絡協(xié)議的部署和檢測。檢測能力要求(1)支持基于狀態(tài)的協(xié)議分析技術(shù)并能按照RFC的規(guī)范進行深入細致的協(xié)議檢測，準確的識別協(xié)議的誤用和濫用；(2)支持協(xié)議異常檢測，協(xié)議分析和特征匹配等多種檢測方式，能夠檢測到未命名的攻擊；同時支持UNICODE解析、應用層協(xié)議狀態(tài)跟蹤、連接狀態(tài)跟蹤，輔以模式匹配、異常檢測等手段來有效降低誤報和漏報率，提高檢測精度；(3)產(chǎn)品應具備對Split、Injection等IDS逃避技術(shù)的檢測和識別能力；(4)能對每一個攻擊進行詳盡的過程狀態(tài)量定義，使得IDS可以擁有最低的誤報率和最小的漏報率。(5)提供靈活的參數(shù)定制，比如全局的用戶黑名單、違法IP、違法命令等；(6)產(chǎn)品應具備IP碎片重組與TCP流重組功能；(7)產(chǎn)品應具備抗編碼變形逃避的能力；(8)產(chǎn)品應具備抵抗事件風暴和欺騙識別的能力；(9)支持自定義網(wǎng)絡中TCP連接的超時等待時間，防止IDS被拒絕服務攻擊；(10)支持網(wǎng)絡活動審計功能；(11)支持主動識別目標主機的操作系統(tǒng)；(12)支持設定網(wǎng)絡訪問規(guī)則，根據(jù)訪問行為的源、目的地址，訪問類型等特征確定該訪問行為是否合法，對不符合安全規(guī)則的TCP的會話連接實現(xiàn)阻斷；(13)傳感器具備多端口智能關(guān)聯(lián)和分析技術(shù)；以及對非對稱路由網(wǎng)絡結(jié)構(gòu)的檢測能力，使得IDS系統(tǒng)能夠適應復雜的高可用性網(wǎng)絡。系統(tǒng)升級能力要求(1)支持在線升級簽名庫，在線升級的通訊過程采用加密方式；(2)支持非在線升級簽名庫；(3)如遇突發(fā)情況，廠商應提供應急式升級服務；(4)升級過程中，傳感器可以繼續(xù)工作。檢測策略管理要求(1)提供檢測策略模板，并可針對不同的網(wǎng)絡環(huán)境派生新的策略，方便用戶根據(jù)實際情況定制適合企業(yè)自身環(huán)境的安全策略；(2)支持對簽名庫按照多種方式進行分類管理；(3)每個簽名有詳盡的中文標注說明；(4)容易啟用/關(guān)閉一個或一類的簽名；(5)支持對簽名的參數(shù)進行調(diào)節(jié)，以適用不同用戶的網(wǎng)絡環(huán)境；(6)提供開放的檢測簽名編寫語言平臺，能夠根據(jù)客戶需求提供檢測簽名定制服務；或提供培訓，使得客戶能夠自行對特殊協(xié)議定制檢測簽名；(7)支持檢測策略的導入導出。攻擊響應方式要求(1)支持顯示到控制臺；(2)支持記錄到數(shù)據(jù)庫；(3)支持郵件通知；(4)支持SNMPtrap；(5)支持syslog響應方式；(6)支持用戶自定義的響應方式；(7)支持與多種主流防火墻（例如：cisco、netscreen、checkpoint、Nokia等）進行聯(lián)動；(8)支持記錄事件的詳細內(nèi)容，包括日期、時間、源地址、目的地址、描述以及事件相關(guān)的原始數(shù)據(jù)；(9)告警事件支持網(wǎng)絡管理系統(tǒng)的聯(lián)動分析管理。事件的關(guān)聯(lián)和顯示要求(1)產(chǎn)品具備事件合并的功能，并且用戶可以靈活的開啟或關(guān)閉；(2)支持符合設定條件的一條事件重新命名；(3)支持將相互關(guān)聯(lián)的一組事件重新命名；(4)將符合條件的多條事件歸并為一條在控制臺顯示；(5)支持告警郵件中的事件歸并；(6)事件合并的參數(shù)可以靈活調(diào)整，打開事件合并功能不會遺漏事件；(7)支持實時的事件統(tǒng)計功能；(8)支持設定的條件過濾實時顯示的事件；(9)支持按照源地址、目的地址、事件名稱和傳感器名稱分類顯示實時事件。事件的存儲和管理能力要求(1)支持的數(shù)據(jù)庫類型包括SQLserver等大型關(guān)系型數(shù)據(jù)庫；(2)數(shù)據(jù)庫容量無限制（不考慮硬件限制）；(3)支持按條件查詢提取事件；(4)支持數(shù)據(jù)備份；(5)可顯示數(shù)據(jù)庫使用情況；(6)網(wǎng)絡中斷的情況下事件可以存儲在傳感器本地，網(wǎng)絡正常后可以回復事件的傳送。報表生成功能要求(1)支持數(shù)據(jù)的統(tǒng)計分析、查詢和報告生成。(2)支持深度數(shù)據(jù)分析，統(tǒng)計或查詢的結(jié)果均可以作為數(shù)據(jù)源進行進一步的數(shù)據(jù)分析，數(shù)據(jù)查詢和數(shù)據(jù)統(tǒng)計的結(jié)果可以作為綜合報告的一部分；(3)提供多種統(tǒng)計模板；(4)提供多種數(shù)據(jù)分析模板；(5)支持生成組件的運行狀態(tài)統(tǒng)計曲線圖；(6)支持生成以某一時間段為限定條件的事件統(tǒng)計查詢報表；(7)支持生成以某一攻擊事件為限定條件的事件統(tǒng)計查詢報表；(8)支持生成以攻擊源地址為限定條件的事件統(tǒng)計查詢報表；(9)支持生成以攻擊目標地址為限定條件的事件統(tǒng)計查詢報表；(10)支持生成以探測到攻擊的傳感器為限定條件的事件統(tǒng)計查詢報表；(11)支持生成以風險級別分類為限定條件的事件統(tǒng)計查詢報表；(12)支持生成以服務分類為限定條件的事件統(tǒng)計查詢報表。用戶權(quán)限管理(1)審計員、用戶管理員和系統(tǒng)管理員三種用戶類型；(2)支持多管理員同時管理；(3)支持分級的用戶權(quán)限設置；(4)支持管理員權(quán)限實時更改系統(tǒng)的日志和審計功能(1)有完整的審計日志；(2)審計日志可以導出；(3)有詳細的組件運行和狀態(tài)日志；(4)支持系統(tǒng)日志和審計日志的統(tǒng)計查詢；(5)支持以郵件、snmptrap方式發(fā)送系統(tǒng)日志。入侵檢測自身安全指標(1)應支持使用透明方式進行部署，監(jiān)聽端口支持隱秘模式，無需IP地址和進行網(wǎng)絡配置；(2)各個系統(tǒng)組件之間的通訊應采用加密方式，并采用PKI認證；(3)IDS系統(tǒng)采用無shell的安全操作系統(tǒng)，除必要通訊端口外無其他端口開放；(4)支持證書認證機制。第三方產(chǎn)品集成要求（1）提供開放數(shù)據(jù)庫的表結(jié)構(gòu)和架構(gòu)，方便用戶使用第三方報表系統(tǒng)生成所需要的報表，或者作進一步的數(shù)據(jù)分析。（2）支持Syslog，EMAIL等方式進行報警。安全網(wǎng)閘根據(jù)系統(tǒng)組建要求，在控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)、業(yè)務外網(wǎng)等三網(wǎng)之間通過安全網(wǎng)閘進行連接，實現(xiàn)數(shù)據(jù)互通。安全網(wǎng)閘部署在XX干線公司與穿黃現(xiàn)地站管理處（備調(diào)中心），共計7臺。基本要求(1)要求為硬件物理隔離，具備硬件物理隔離部件，系統(tǒng)采用“2+1”(2)采用專用隔離芯片設計，不支持通用通訊協(xié)議，不可編程，隔離區(qū)包含基于ASIC設計的電子開關(guān)隔離芯片，不采用SCSI、網(wǎng)卡以及任何加/解密等方式。隔離區(qū)信息交換采用DMA方式實現(xiàn)。(3)設備斷開內(nèi)外網(wǎng)網(wǎng)絡TCP/IP連接。(4)系統(tǒng)帶寬：>600Mbps，內(nèi)部交換帶寬>5Gbps。(5)接口要求：4個10/100/1000M以太網(wǎng)接口；一個RS232串行控制接口。(6)系統(tǒng)性能：并發(fā)連接會話數(shù)>20000。(7)系統(tǒng)延時：<1ms。(8)電源冗余“1+1”能力要求(1)應用支持：全面支持TCP/IP以上應用層協(xié)議，包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各類數(shù)據(jù)庫、MQ、MMS、NFS等，無需二次開發(fā)。(2)文件數(shù)據(jù)交換方式，交換硬件對外不開放任何服務端口。(3)以主動查詢方式訪問內(nèi)外網(wǎng)的FTP服務器進行文件交換。(4)訪問控制：支持多種方式的訪問控制，包括源IP地址、目的IP、子網(wǎng)、時間、時間端口、內(nèi)容過濾。(5)WEB保護功能，內(nèi)置WebApplicationTM網(wǎng)站保護功能，能夠?qū)崿F(xiàn)以下保護功能：①對網(wǎng)站目錄、文件、動態(tài)腳本、WEBservice實現(xiàn)訪問控制；②對Cookie實現(xiàn)簽名保護；③對用戶輸入?yún)?shù)進行過濾；④對URL串的字符類型、長度、字段等實現(xiàn)過濾；⑤基于特征庫的漏洞掃描；⑥具有智能的規(guī)則學習功能。(6)上網(wǎng)用戶身份認證功能，嚴格控制上網(wǎng)用戶，采用專用VIIE認證客戶端瀏覽網(wǎng)頁，用戶列表存儲在網(wǎng)閘設備上，未經(jīng)授權(quán)的用戶和使用普通IE瀏覽器的用戶無法上網(wǎng)。(7)郵件收發(fā)身份認證，嚴格控制郵件收發(fā)，采用專用VIMAIL郵件客戶端，對收發(fā)郵件的用戶實現(xiàn)身份認證，用戶列表存儲在網(wǎng)閘設備上，未授權(quán)的用戶和使用普通OUTLOOK、FoxMail等郵件客戶端的用戶無法上網(wǎng)正常收發(fā)郵件。(8)IP/MAC地址綁定，支持4096個以上的IP+MAC綁定的客戶端訪問控制。(9)支持單/雙向通訊控制，支持單、雙向可選的訪問控制。(10)日志與審計支持：系統(tǒng)可存儲和審計包含：①系統(tǒng)日志；②管理日志；③網(wǎng)絡活動日志；④入侵報警及處理日志；⑤訪問控制日志。安全可靠及管理要求(1)高可用性：雙機熱備功能，無需第三方軟件支持內(nèi)置雙機熱備功能。(2)基于應用層協(xié)議的連接數(shù)控制系統(tǒng)可為特定應用層協(xié)議預留連接數(shù)資源。(3)設備故障檢測與報警，要求系統(tǒng)管理平臺和硬件液晶顯示面板均可對硬件故障提示報警，包括通訊故障、硬件故障、軟件故障。(4)系統(tǒng)管理：要求集中設備管理系統(tǒng)，支持PKI安全認證、加密方式的遠程管理，支持基于角色管理員分級管理。(5)圖形化網(wǎng)絡行為監(jiān)控：管理平臺采用圖形化的網(wǎng)絡行為監(jiān)控，可實時監(jiān)控網(wǎng)絡流量、并發(fā)連接數(shù)、違反規(guī)則嘗試次數(shù)等統(tǒng)計信息。(6)操作系統(tǒng)：采用經(jīng)過安全加固的Linux操作系統(tǒng)。WEB應用防火墻基本架構(gòu)產(chǎn)品要求為一體化硬件產(chǎn)品，支持串接或旁路方式部署；接口要求：網(wǎng)絡接口10/100/1000M以太網(wǎng)電口不少于2個；管理接口1個。RS232串口1個。HTTP請求的過濾功能(1)可以根據(jù)HTTP的請求類型（OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT）允許或者禁止。(2)支持對HTTP協(xié)議頭的各部分長度進行設置，防止緩沖區(qū)溢出攻擊。(3)支持對所請求的URL中所包含的關(guān)鍵字進行過濾。包括編碼類型和特殊字符串，比如SQL關(guān)鍵字和用于測試漏洞的構(gòu)建的表達式等。(4)支持對所請求的WEB服務器文件后綴名進行過濾。包括.RAR/.ASP/.JPG等類型，根據(jù)需要可定制過濾。(5)對返回的敏感信息（安裝路徑、數(shù)據(jù)庫類型及版本等）、錯誤信息能進行定義和識別，并過濾，避免暴露給惡意攻擊者獲取到。(6)能夠支持動態(tài)和靜態(tài)網(wǎng)頁。(7)支持HTTP各種版本，包括HTTP(8)支持Cookie安全設置，支持v0和v1類型的Cookie類型，支持對Cookie加密，支持設置Cookie為HTTPonly模式。(9)支持多種編碼格式，包括16進制、十進制、二進制等，對不同編碼的報文能進行識別和轉(zhuǎn)換。(10)識別和限制HTTP返回碼，包括多種HTTP返回碼的識別和限制。(11)可限制使用HTTP方法，包括客戶端使用的HTTP數(shù)據(jù)傳輸方法（OPTIONS、GET、POST、PUT、HEAD、DELETE、TRACE、CONNECT）。安全防護功能(1)網(wǎng)絡層防護功能，管理員能根據(jù)需求制定網(wǎng)絡層的ACL控制，能對TCPFlood、HTTPFlood等DOS攻擊進行防護，應檢測不僅僅是針對交換機的ARP欺騙、ARPFlood攻擊，并能進行防護。(2)Web服務器防護功能，可以實現(xiàn)對主流的Web服務器漏洞進行防護，例如IIS/Apache/Resin/Weblogic；并實現(xiàn)對主流的腳本語言軟件進行防護，例如Java/PHP。(3)Web應用的防護功能，應具備URL訪問控制功能，可對指定的網(wǎng)頁進行訪問控制，應具備SQL注入攻擊防護功能，應具備跨站腳本攻擊防護功能。(4)應具備盜鏈防護功能。自動識別盜鏈行為，并根據(jù)配置的動作（包括接受、阻斷、轉(zhuǎn)發(fā)等）進行響應。(5)應具備掃描防護功能，應識別掃描行為阻斷掃描工具的探測。(6)應具備爬蟲防護功能，識別爬蟲行為并根據(jù)需求進行相應的動作（接受、阻止等）。(7)應具備CSRF防護功能，應能支持對自選的URL配置防護CSRF攻擊。(8)具備對敏感信息或非法內(nèi)容設置自定義關(guān)鍵字過濾。(9)應具備對網(wǎng)頁木馬檢測和過濾功能。產(chǎn)品管理及審計功能(1)規(guī)則庫管理用戶能添加、刪除、修改自定義規(guī)則。具有內(nèi)置的預設模板。(2)審計日志a)審應包括所有被過濾的事件。b)每個事件發(fā)生的日期、時間，對方IP地址，所請求的URL，所匹配的規(guī)則。c)記錄對網(wǎng)頁訪問次數(shù)。(3)日志管理功能應提供對審計事件的清空、備份、查詢功能。(4)可理解的格式所有審計事件應包括時間、客戶端類型、所請求的資源和參數(shù)、訪問的方法等。(5)防止審計數(shù)據(jù)丟失審計數(shù)據(jù)應定期備份，并嚴格控制訪問權(quán)限。(6)用戶角色管理功能系統(tǒng)應具有三種角色，分別為：管理員、審計員和普通用戶，分別具有不同用戶管理權(quán)限。漏洞掃描產(chǎn)品部署在業(yè)務內(nèi)網(wǎng)的XX干線及穿黃現(xiàn)地站管理處（備調(diào)中心），共計2套。投標人需提供所安裝的硬件服務器，其性能不低于本章第六節(jié)“服務器主要性能要求和技術(shù)指標要求”中的要求?；疽螅?）投標人需明確產(chǎn)品架構(gòu)，并能支持多級架構(gòu)的靈活部署。（2）發(fā)現(xiàn)網(wǎng)絡設備和主機系統(tǒng)的安全漏洞，并提供安全解決建議；對全網(wǎng)網(wǎng)元進行安全配置基準檢查。（3）產(chǎn)品應可靈活調(diào)整物理和網(wǎng)絡位置，對網(wǎng)絡設備進行掃描。掃描結(jié)束后生成詳細的安全評估報告。（4）可以并行地檢查多個被評估的系統(tǒng)，能夠提供掃描策略定制，可以保證掃描的安全性，不影響應用系統(tǒng)和網(wǎng)絡業(yè)務的正常運行。（5）產(chǎn)品應界面友好，所有的圖形界面、報警信息、報表與文檔、技術(shù)資料要求均為簡體中文。（6）產(chǎn)品具有無限IP漏洞掃描能力，并提供相應許可。產(chǎn)品部署要求（1）支持多個或多級產(chǎn)品的統(tǒng)一管控。（2）支持控制中心的多級部署。（3）支持策略的統(tǒng)一制定和分發(fā)，應提供可編輯的策略模板。（4）支持對全網(wǎng)掃描結(jié)果的集中查詢、分析。漏洞掃描能力要求（1）產(chǎn)品掃描信息應包括主機信息、用戶信息、服務信息、漏洞信息等內(nèi)容。投標人需給出各類掃描信息的詳細列表。（2）產(chǎn)品應支持對掃描對象安全脆弱性的全面檢查，如安全補丁、口令、服務配置等。請詳細描述針對主機和網(wǎng)絡的掃描類別及項目。（3）產(chǎn)品漏洞庫應涵蓋目前的安全漏洞和攻擊特征，漏洞庫具備CNCVE、CVE和BUGTRAQ編號。（4）應可對Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目標主機的系統(tǒng)進行掃描。（5）支持SNMP等協(xié)議的漏洞檢測。投標人需提供支持掃描的網(wǎng)絡設備廠商IOS列表。（6）支持主流數(shù)據(jù)庫的檢測，應包括但不限于：Oralce、Sybase、SQLServer、DB2等。（7）支持Windows域環(huán)境掃描，可針對目標主機的系統(tǒng)配置缺陷及漏洞進行掃描。（8）支持多主機、多線程掃描和斷點續(xù)掃功能。（9）支持動態(tài)的顯示掃描結(jié)果和實時的查看掃描結(jié)果（10）產(chǎn)品應能提供掃描IP范圍的管理功能。（11）投標人需說明產(chǎn)品授權(quán)方式，產(chǎn)品是否需要與網(wǎng)卡等硬件綁定或需要原廠提供KEY的管理。報表能力（1）報告應具有易懂的漏洞描述和詳盡的安全修補方案建議，并提供相關(guān)的技術(shù)站點以供管理員參考。（2）應可根據(jù)角色需求產(chǎn)生靈活的報告格式，支持用戶自定義報表和預定義報表；產(chǎn)品應可靈活定制產(chǎn)生各類報表數(shù)據(jù)的餅圖、柱圖等圖表信息。（3）掃描報告應可對安全的威脅程度分級，并能夠形成風險趨勢分析報表和主機間風險對比分析報告。（4）報表具備導出功能，可以導出不同格式的報表，如Excel、Word等。掃描策略配置（1）產(chǎn)品要求提供多種缺省掃描策略，并可按照特定的需求，靈活制定目標對象或目標群組，可以同時應用不同掃描策略，并允許自定義掃描策略和掃描參數(shù)。（2）支持單機掃描、分組掃描和全部掃描的設置。（3）支持自動定時掃描和多種計劃掃描任務管理功能，可按照指定的時間、對象自動掃描，并自動生成報告。升級、管理（1）系統(tǒng)應支持自動和人工遠程升級。升級內(nèi)容應包括最新的漏洞庫和系統(tǒng)自身的補丁程序。（2）支持分級、分權(quán)管理，能夠?qū)Σ煌芾韱T賬號或角色靈活分配掃描任務。（3）支持策略集中分發(fā)。（4）支持用戶的操作審計。防DDoS攻擊系統(tǒng)部署在業(yè)務外網(wǎng)的XX干線公司節(jié)點，共1套。設備功能要求投標人應對能夠清洗的所有DDoS攻擊提供詳細列表，并詳細說明對應用的控制手段及實現(xiàn)方式。包含但不限于：支持對欺騙與非欺騙的TCP(SYN，SYN-ACK，ACK，F(xiàn)IN，fragments)、UDP(randomportfloods，fragments)、ICMP(unreachable，echo，fragments)、(M)StreamFlood及混合類型攻擊的防護。對不能清洗的DDoS攻擊提供詳細說明，并說明能夠提供哪些監(jiān)視和控制手段。投標人須給出針對每種攻擊的防護要求，例如防護方式是流量限制還是過濾，不對相應的正常用戶流量造成影響等。支持特定應用層攻擊產(chǎn)品，提供支持的攻擊類型列表，并詳述其防護原理。支持對BGPattacks的攻擊防護。系統(tǒng)支持對MPLSVPN，GRETunnel等復雜環(huán)境提供DDOS保護。支持按需保護，能為多個用戶服務，能同時保護多個用戶，而且DDOS防護設備的放置地點靈活，通過動態(tài)的方式牽引清洗DDOS流量。設備支持對用戶進行分組防護，不同防護群組可以定義不同的防護策略。支持冗余設計，投標人應詳細說明防止設備故障中斷的工作方式和原理。冗余設計是為了最大限度地減少因為設備故障而導致的DDoS保護中斷。產(chǎn)品須具備多臺設備旁路集群部署的能力，支持在大攻擊流量發(fā)生時手動或自動啟動集群，保證整個系統(tǒng)可用性；產(chǎn)品支持基于負載均衡的旁路集群模式，并詳述其原理。整體DDOS防護設計必須支持Netflow/CFlow/Netstream、SPAN等監(jiān)控技術(shù)與動態(tài)防護策略的全自動解決方案。投標人需詳細說明DDOS防護動態(tài)設計原理。系統(tǒng)設計支持BGP＋三層策略路由、MPLSVPN核心網(wǎng)絡應用與GRETunnel注入，支持MPLS轉(zhuǎn)移/VRF注入。在MPLS核心中，可以使用一個獨立的VRF將注入流量從清潔中心傳回目標。投標人需詳細說明原理。投標人需列出系統(tǒng)針對每種攻擊的異常流量清洗與DDOS過濾的方式與原理，包括過濾，反欺騙，異常識別，協(xié)議分析，速率限制等盡可能多的方式方法。投標人需明確說明攻擊檢測和保護的響應時間。系統(tǒng)應支持遠程在線更新，系統(tǒng)能夠進行策略庫遠程升級。使用獨立的10/100/1000Mb/s端口作為其管理端口，此管理端口上聯(lián)到本地IP網(wǎng)設備，實現(xiàn)流量清洗設備與管理服務器之間的IP連接；投標人應給出流量清洗設備所需要的10/100/1000Mb/s端口的類型（電口或光口）、數(shù)量等。支持交流供電方式。設備性能要求投標人須列出單臺流量清洗設備或板卡的處理能力，在GRE隧道封裝，，UDPfragmentflooding等情況下的性能指標的影響程度。投標人須列出在SYN泛洪，ICMPping泛洪，UDP泛洪，DNS請求泛洪，TCP分段泛洪，UDP分段泛洪等不同攻擊類型的攻擊處理速度(基于64字節(jié)數(shù)據(jù)包，處理速度定義：各種數(shù)據(jù)包完成判別后轉(zhuǎn)發(fā)性能，每秒能處理數(shù)據(jù)包的數(shù)量)。投標人須說明單臺設備對不同類型攻擊的處理能力；投標人須說明單臺設備支持的GRE接口數(shù)量、源IP和端口檢測能力、支持的TCP代理連接數(shù)、時延與抖動等。設備管理要求設備的安全特性與配置管理方式支持命令行方式以及Web圖形化管理軟件兩種方式，無需安裝專門的客戶端管理系統(tǒng)；系統(tǒng)的遠程接入支持通過https和SSH等加密方式實現(xiàn)，保證登陸密碼以加密方式在網(wǎng)絡中傳遞；系統(tǒng)具備統(tǒng)一管理平臺，在集群部署時支持對多臺設備的集中管理，日志收集，運行狀態(tài)監(jiān)控，策略下發(fā)；系統(tǒng)應支持攻擊日志和網(wǎng)絡攻擊統(tǒng)計功能，須具備各類DDoS攻擊詳細記錄的能力。流量控制系統(tǒng)要求為獨立的物理硬件設備，部署在業(yè)務外網(wǎng)XX干線公司，共計1臺。（1）流量洞察1）流量監(jiān)控能實時展示設備及鏈路的每10分鐘、每小時、每天、每周及每月的流量走勢圖；能實時展示本日或預定時間內(nèi)各應用/用戶流量及用戶并發(fā)連接數(shù)的TopN排名；能實時展示本日設備、指定鏈路和通道的流量走勢、各級通道/應用/用戶的TopN流量排名；能實時展示當前在線用戶的IP五元組詳細信息、上傳/下載流量及并發(fā)連接數(shù)2）流量查詢支持可查詢指定日期、時間、通道、應用及用戶的每分鐘上傳及下載流量（2）流量限制1）應用封堵支持對用戶的指定應用進行封堵；支持對用戶去往某（些）服務器的指定應用進行封堵2）流量限速支持在基于特定時間、VLAN、用戶、應用，把上傳/下載速率限定在指定范圍內(nèi)；3）流量限額支持通過一條策略即可實現(xiàn)在預定時間周期為每個用戶的應用設定相同的流量限額值；支持在預定時間周期對從源用戶（組）去往目的用戶（組）的應用總體流量設定限額值。4）連接控制支持通過一條策略即可實現(xiàn)對每個用戶設置相同的并發(fā)連接數(shù)和新建連接速度；支持對從源用戶（組）去往目的用戶（組）的應用進行總體并發(fā)連接數(shù)和新建連接速度控制（3）流量保障支持通過設定帶寬保證值，可以保證關(guān)鍵應用在任何時刻最少所能獲得的帶寬資源；支持帶寬預留，使關(guān)鍵應用在任何時刻都獨享該專線的全部帶寬資源支持根據(jù)用戶數(shù)量的動態(tài)變化，實現(xiàn)基于內(nèi)網(wǎng)/外網(wǎng)用戶的帶寬平均分配，保證用戶間動態(tài)、公平地共享全部帶寬資源（4）流量分析1）流量統(tǒng)計支持對指定日期、時間的各應用、用戶或通道的上傳/下載/總流量及用戶數(shù)量進行統(tǒng)計；支持遞進式查收和多維關(guān)聯(lián)分析2）流量報告支持輸出指定日期、時間、通道、應用、用戶的流量走勢圖及應用流量疊加走勢圖。防毒網(wǎng)關(guān)硬件指標要求（1）設備應支持機架式安裝，支持具有雙冗余電源。保證自身性能穩(wěn)定性。（2）支持復雜網(wǎng)絡環(huán)境，TRUNK環(huán)境支持，保證能夠在TRUNK環(huán)境下掃描病毒并進行Web管理；雙機熱備環(huán)境支持，保證能夠部署在雙機熱備設備的前后。（3）支持串行部署模式，對網(wǎng)絡中的客戶和服務透明，無需重新配置DNS或重新路由網(wǎng)絡數(shù)據(jù)流。默認提供初始IP管理地址，無需初始化設置。支持添加靜態(tài)路由，保證能夠跨網(wǎng)段對進行管理；（4）支持10/100/1000M自適應,全雙工,半雙工模式，和手動模式。支持軟硬件故障情況下的BYPASS功能，不能影響正常業(yè)務流量。（5）支持系統(tǒng)的快速自動修復系統(tǒng)，當系統(tǒng)出現(xiàn)故障能夠快速還原；自動恢復系統(tǒng)一旦發(fā)現(xiàn)硬件損害，將從一個正常的備份分區(qū)啟動，同時會恢復被損壞的分區(qū)。性能指標要求SMTP掃描性能:要求>=700封/秒。HTTP吞吐性能:要求>=700Mbps。用戶數(shù)支持數(shù)量:要求>=2500用戶。管理功能指標（1）支持加密HTTPS方式進行管理。須具有中文、英文操作管理界面。（2）支持集中管理（設備集中監(jiān)控管理與策略統(tǒng)一配置）；支持多臺設備集中監(jiān)控（監(jiān)控設備運行狀態(tài)、防護狀態(tài)、連接狀態(tài)和系統(tǒng)事件的圖形化顯示）。在Web管理界面提供高級診斷工具：Ping/Traceroute/DNS解析/顯示系統(tǒng)網(wǎng)絡狀態(tài)/數(shù)據(jù)包抓包等輔助排查工具。支持SOC廠商的數(shù)據(jù)接口；可以提供相關(guān)多項報表。（3）支持：-手動導入/導出配置。必須支持分權(quán)限管理，可配置多賬號并授予不同權(quán)限。根據(jù)用戶概況制定不同的配置策略，允許用戶基于一個或者多個預定義策略進行個性化的界定和配置：支持LDAP用戶組、支持樹結(jié)構(gòu)/個人LDAP用戶/IP地址/組/源和目的地IP地址等要素識別。（4）具備隔離區(qū)功能，支持隔離區(qū)空間管理：可以實時顯示隔離區(qū)的剩余空間；隔離區(qū)內(nèi)容處理：可以觀察隔離區(qū)的內(nèi)容，以及可供選擇的處理方式：刪除和恢復、重定向郵件、掃描惡意軟件項目，發(fā)送可疑或者未知項目至熊貓、下載這些內(nèi)容和將他們從移出隔離區(qū)。（5）實時顯示網(wǎng)卡流量，活動連接，已建連接，連接成功率，CPU占用率等系統(tǒng)負載情況。以曲線、餅圖等多種方示顯示病毒、垃圾郵件和內(nèi)容過濾的查殺攔截情況，同時可以根據(jù)協(xié)議、任意時間段、惡意程序類型等進行分類查詢。根據(jù)不同的檢索條件，實時顯示前十名用戶以及前十名病毒列表。（6）支持惡意軟件定義文件，防惡意軟件引擎，垃圾郵件定義文件，反垃圾郵件引擎和Web過濾的版本在線增量式升級，并且提供每日自動更新。支持離線病毒庫更新。支持內(nèi)核版本在線升級，手動本地升級，始終保持最新軟件系統(tǒng)。（7）用戶可以自行編輯警告，支持中文和英文?？梢栽O置警告發(fā)送的頻率。支持Syslog和SNMP日志發(fā)送，同時支持(MIB-II版本)。（8）能夠自動生成多種病毒報告，賣方應詳細說明提供設備所支持的病毒報告的種類。（9）可以隨時保存或恢復設備的網(wǎng)絡設置和保護設置?？梢詫?、導出下列列表：1）反垃圾郵件白名單；2）反垃圾郵件黑名單；3）網(wǎng)絡過濾URL白名單；4）網(wǎng)頁過濾URL黑名單；5）網(wǎng)頁過濾排除的用戶列表。病毒處理能力指標（1）能夠檢測病毒，蠕蟲，木馬，間諜軟件等威肋和惡意軟件，賣方應當詳細說明設備支持的檢測種類。（2）須至少支持（但不僅限于）以下常用Internet協(xié)議的監(jiān)測:包括HTTP、FTP、SMTP、POP3等。（3）須支持非標準端口掃描；（4）提供防網(wǎng)絡釣魚保護，賣方應當詳細說明設備對防釣魚軟件監(jiān)測防護的實現(xiàn)過程以及技術(shù)細節(jié)。（5）具有發(fā)式掃描技術(shù)，可以檢測到隱藏在可執(zhí)行文件中的未知病毒，保證潛在的危險內(nèi)容被過濾掉。（6）支持對常見協(xié)議（SMTP、POP3、IMAP、NNTP、HTTP和FTP等）內(nèi)容過濾，能夠阻止危險文件進入網(wǎng)絡，減低帶寬資源的占用。賣方應當詳細說明內(nèi)容過濾的檢查項目。其他威脅處理能力指標（1）保證能夠如下提供針對郵件內(nèi)容的過濾規(guī)則：支持對郵件主題、郵件正文和郵件附件名稱的內(nèi)容進行過濾，例如：能否檢測出郵件主體內(nèi)容包含“法輪功”的郵件，并且能夠進行刪除、報告或重定向處理；（2）反垃圾郵件功能能夠分析SMTP/POP3/IMAP協(xié)議收發(fā)的郵件，判定郵件是垃圾郵件，疑似垃圾郵件或正常郵件，可以在屏蔽垃圾郵件。（3）網(wǎng)頁內(nèi)容過濾，監(jiān)控和阻斷Web頁面的訪問，將訪問的Web網(wǎng)站自動劃分為不同類型，例如：色情、購物、犯罪、武器和交通等?？勺远x黑白名單。支持用戶排除。顯示中文警告頁面，同時支持對警告頁面進行編輯。（4）即時通訊軟件管理，至少支持（但不僅限于）監(jiān)控并阻斷如下即時通訊軟件的連接：MSNMessenger、ICQ/AQL、Skype、IRC等，賣方應當詳細說明支持監(jiān)控管理的軟件種類。（5）P2P下載軟件管理：至少支持（但不僅限于）監(jiān)控并阻斷如下P2P下載軟件的使用：eDonkey、BitTorrent等。賣方應當詳細說明支持監(jiān)控管理的軟件種類。高可用性與穩(wěn)定性指標 （1）具有內(nèi)置負載均衡功能，在對大量數(shù)據(jù)進行掃描時必須具備足夠的擴展能力同時提升高可用性，內(nèi)置負載均衡功能可配置為手動和自動模式，可適用于各種網(wǎng)絡環(huán)境。（2）支持快速自動修復系統(tǒng)；自動恢復系統(tǒng)一旦發(fā)現(xiàn)硬件損害，比如說硬盤或者是主引導記錄出現(xiàn)損壞，它將從一個正常的備份分區(qū)啟動，同時會恢復被損壞的分區(qū)。防病毒系統(tǒng)基本要求（1）病毒防護系統(tǒng)與南水北調(diào)東線XX干線工程調(diào)度化管理系統(tǒng)內(nèi)的系統(tǒng)軟件、應用軟件、網(wǎng)絡軟硬件，具有完全兼容性。（2）提供的軟件應為最新版本，為模塊化結(jié)構(gòu)，具有易于升級和維護的能力。（3）用戶界面友好，安裝、配置、使用、管理方便，具有的良好的在線幫助和操作提示功能。（4）具有基于WEB方式和SNMP協(xié)議的管理。（5）在架構(gòu)整體防毒體系時能根據(jù)網(wǎng)絡架構(gòu)關(guān)系部署多級管理防毒體系，即XX干線公司能管理下級單位（包括干線公司本身）所有的防毒節(jié)點。（6）當防范病毒的節(jié)點比較多，在升級時的并發(fā)升級流量肯定比較大，提供的軟件能夠支持架設多臺升級服務器并可以以級聯(lián)的方式進行部署以均衡升級負載。（7）業(yè)務內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，應充分考慮業(yè)務內(nèi)網(wǎng)病毒防護系統(tǒng)升級的多途徑，并提出解決方案及升級響應措施。（8）應包括應用軟件及服務器硬件，其服務器性能不低于本章“第6節(jié)服務器主要性能要求和技術(shù)指標”。（9）每套liscence數(shù)量約1500個。病毒軟件技術(shù)要求（1）支持集中式部署；（2）管理控制工具支持通過遠程登陸來管理；（3）管理員新建