《安全隔离与信息交换系统(双向网闸)需求说明.docx》由会员分享,可在线阅读,更多相关《安全隔离与信息交换系统(双向网闸)需求说明.docx(7页珍藏版)》请在课桌文档上搜索。
1、安全隔离与信息交换系统(双向网闸)需求说明指标指标项详细要求基本要求系统架构“2+1”系统结构,内外端机为TCP/IP网络协议的终点,阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接,不可编程。为保障产品运行的安全及稳定性,要求产品设计、开发、生产及售后服务符合T1.9000-H-S-V相关标准要求。硬件架构硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元;内端机和外端机之间非网线、USB线、SCSI线等线缆直连,基于光隔离技术专有硬件进行隔离和数据交换。管理架构管理控制层和业务数据层分离,管理系统部署于
2、内端机上,只能通过内端机上的管理口对网闸进行配置,不允许外端机存在任何形式的管理接口。可避免黑客从外部网络入侵,导致隔离网闸被黑客完全控制的现象。产品要求性能要求2U,内外端机双侧液晶屏;内端机6个101001000Base-T接口,4个SPF插槽,2个SPF+插槽1个扩展槽位;外端机6个10/100/1000BaSe-T接口,4个SPF插槽,2个SPF+插槽1个扩展槽位;冗余电源,网络吞吐量:7Gbps;并发连接数:40万;内外端机各ITB硬盘。可扩展WebFiIter过滤模块,防病毒模块。功能要求安全浏览功能提供HTTP页面访问和WEB代理上网功能;支持IP地址、端口、时间以及基于源用户身
3、份的访问控制策略;支持访问控制日志记录和告警功能;支持http消息头、消息体,上下行方向,命令及关键字的管控,支持允许、阻断、告警三种处理方式。支持基于单一域名的黑白名单访问控制。支持50种以上文件类型特征识别,非扩展名过滤,包括可执行文件、文本文件、压缩文件、图片文件、多媒体文件等,支持上下行方向过滤单独控制,支持允许、阻断、告警三种处理方式。支持JavaScript脚本、ActiveX插件、Applet插件过滤。内置HTTP安全模块,支持UR1.过滤引擎、内容过滤引擎、文件过滤引擎、病毒过滤引擎、网页过滤引擎安全防护及单独启停控制。文件传输功能提供基于FTP协议和TFTP协议的文件传输功能
4、;支持代理、透明、路由三种接入方式;支持IP地址、端口、时间以及基于源用户身份的访问控制策略;支持访问控制日志记录和告警功能;支持50种以上文件类型特征识别,非扩展名过滤,包括可执行文件、文本文件、压缩文件、图片文件、多媒体文件等,支持上下行方向过滤单独控制,支持允许、阻断、告警三种处理方式。内置FTP安全模块,支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。数据库访问功能提供对多种主流数据库,如:MYSQ1.SQ1.SERVER.ORAC1.E.DB2、SYBASE等系统的安全访问。支持代理、透明、路由三种接入方式;支持IP地址、端口、时间以及基于源用户身份的访问控制策略
5、;支持访问控制日志记录和告警功能;内置数据库安全模块,支持内容过滤引擎,能够对数据库用户名、命令、关键字等内容进行管控,支持允许、阻断、告警三种处理方式。安全邮件功提供安全的邮件访问功能,支持POP3、SMTP协议;能支持代理、透明、路由三种接入方式;支持IP地址、端口、时间以及基于源用户身份的访问控制策略;支持访问控制日志记录和告警功能;支持最大活动会话数的控制和统计;支持IPV6扩展头的安全设置。支持发件人、收件人、邮件标题、邮件正文、邮件附件等数据内容过滤,支持允许、阻断、告警三种处理方式。内置邮件安全模块,支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。安全VOIP
6、功能提供音视频通话访问功能,支持SIP和H323协议;支持代理、透明、路由三种接入方式;支持IP地址、端口、时间以及基于源用户身份的访问控制策略;支持访问控制日志记录和告警功能;内置VOlP安全模块,内置VOlP安全引擎,支持主被叫用户黑名单的控制。自定义访问功能支持自定义的TCP、UDP协议的数据访问功能,用户自定义应用无需对自定义协议软件进行二次修改开发;支持代理、透明、路由三种接入方式;支持IP地址、端口、时间以及基于源用户身份的访问控制策略;支持访问控制日志记录和告警功能;文件同步功能提供有客户端和无客户端两种文件同步方式。无客户端方式无需在用户服务器上安装任何插件,网闸不开放任何服务
7、端口;有客户端方式可提供专用文件同步客户端安装在用户服务器上,提供安全的文件同步服务。支持NFS、FTP等多种文件服务器类型,支持实时同步和周期性同步。支持文件同步重名策略处理,可选覆盖、不同步、重命名三种处理方式。支持首次同步策略处理,可选合并和完全一致两种处理方式。支持源文件处理策略,包括保留、删除、转存三种处理方式。支持同步删除、文件续传、子目录同步、日志记录开关控制;支持单一任务的线程数和缓冲时间设置,可手动设置同步任务的线程数;支持基于文件大小和文件修改时间的同步策略,可手动指定上下限阈值。支持文件名和文件类型的黑白名单过滤,文件类型过滤基于文件特征识别,非扩展名识别,且支持不小于5
8、0种文件类型识别。支持文件同步信息统计,包括每个任务的开始时间、同步数据量、同步成功数、同步失败数,并能够以图表的方式进行实时可视化展现。数据库同步功能提供有客户端和无客户端两种数据据库同步方式。无客户端方式无需在用户服务器上安装任何插件,网闸不开放任何服务端口;有客户端方式可提供专用文件同步客户端安装在用户服务器上,提供安全的数据库同步服务。提供多种主流数据库系统如:ORAC1.E、SQ1.SERVER.MYSQ1.、达梦数据库的同步。支持一对一、一对多、多对一方式的数据库同步;支持同构、异构数据库之间的同步,同步可具体设置到字段级别。支持网闸同侧数据库之间的数据同步,网闸可旁路部署实现数据
9、库同步。支持自动读取数据库表名和字段名,无需手动录入表名和字段名,降低配置复杂度。快速配置支持全库表同步,可直接映射两个独立数据库进行同步,支持每策略映射表数量控制,支持每策略映射同步方向控制。支持首次同步策略处理,可选合并、完全一致、以源为准、以目的为准四种处理方式。支持数据库同步冲突策略处理,包括覆盖、忽略、以源为准、以目的为准等处理方式。支持实时同步和周期性同步方式,可分别控制插入、删除、更新的同步操作。支持数据库同步信息统计,包括每个任务的开始时间、同步成功数、同步失败数,同步忽略数,并能够以图表的方式进行实时可视化展现。病毒防御功能支持企业版和专业版双病毒防御引擎,采用国内外知名厂商
10、病毒库,支持病毒库升级,并提供后续升级服务。UR1.过滤功能支持基于UR1.分类知识库的Web网站过滤功能,支持UR1.知识库的升级,并提供后续升级服务。入侵防御功能支持入侵防御引擎,可基于攻击规则库对主流网络攻击行为进行拦截,支持告警和阻断两种处理方式。支持HTTP攻击类,RPC攻击类,WEBCGl攻击类,拒绝服务类、木马类、蠕虫类等H大类不少于4000条的攻击规则知识库。DDOS防护功能支持DOS攻击防御,支持端口扫描防御、IP扫描防御、支持IPTCPUDP源限速和目的限速,可手动设置相关阈值。安全防护功能提供连接保护功能,支持基于源和目的IP地址的并发连接数和新建连接数控制,并可以手动设
11、置相关阈值,超过阈值后可选限制和警告两种处理方式。提供IPV4IPV6双栈IP+MAC绑定功能,支持基于物理接口和IP网段的IP+MAC主动探测,支持IP、MAC信息查询功能。用户认证功能提供本地认证功能和外部认证功能,外部认证支持Radius1.dap.TaCaCS等类型的认证服务器。支持认证页面的门户配置,支持认证用户的界面保活,可手动设置保活时间。网络管理功能网络接口支持IPV4IPV6双栈IP地址配置,支持MTU、双工模式、接口速度的手动设置。支持接口聚合,可手动设置聚合接口的负载均衡算法。支持IPV4/IPV6双栈基础路由配置和邻居学习。提供服务器负载均衡功能,支持轮询、加权轮询、最
12、少连接、加权最少连接等负载均衡算法。暴露面检测支持关键资产系统域名发现,自动发现客户所填入域名相关的所有子域名。支持检测网站服务器端口开放情况,比如数据库端口、FtP服务端口等。漏洞脆弱性检测支持对漏洞进行扫描,覆盖通用漏洞和常规漏洞。支持SQ1.注入、XSS、安全配置错误、已知漏洞组件包含、敏感信息泄露等常见漏洞的检测;业务可用性监测支持整站内容进行篡改监测,梳理并在首页展示站点结构图,显示网站各节点是否存在被篡改事件;风险管理可视支持每日生成安全运营日报,每月生成安全运营月报,并针对安全事件实时生成安全事件报告(提供各类报告证明);平台可自动生成以下报告:安全事件报告、云扫描报告、每日值守
13、报告、安全运营报告、重大活动值守报告;支持手动按时间范围导出值守报告o篡改事件应支持查看“举证图片”,管理人员可通过微信及Web登录界面,直观查看被篡改内容,便于第一时间掌握被篡改的情况(提供微信及Web界面截图证明)。设备监控功能提供状态信息监控,以图表形式实时展现内外端机的CPU、内存、硬盘利用率,流量和会话数。提供接口流量监控,以图表形式实时展现内外端机每个物理接口的当前状态和流量信息。提供应用流量监控,以图表形式实时展现内外端机TOPlO应用流量排名,包括上下行流量、总流量和流速信息。提供用户流量监控,以图表形式实时展现内外端机TOPlO用户流量排名,包括上下行流量、总流量和流速信息。
14、提供威胁统计监控,以图表形式实时展现内外端机TOP20的病毒防御威胁事件统计排名。提供在线用户监控,可实时展现内外端机在线用户名称、IP地址、认证服务器名称、客户端类型和在线时间信息,并可根据管理需要手动强制指定用户下线。系统管理功能管理端通过独立的管理口与网闸内端机相连,策略统一从内端机下发,不允许采用外端机上的任何网络接口进行管理。提供统一的https管理界面,支持ssh和telnet远程管理,支持配置文件的加密导入导出。提供固件维护和IiCenSe升级功能,支持本地、FTP、TFTP三种导入方式。提供Ping、traceroutetcphttpdns等诊断诊断测试工具,支持设备健康记录和调试信息的导出。提供告警功能,支持邮件、声音、控制台、SNMP等多种告警方式。日志审计功能支持日志审计功能,包括管理日志、系统日志、策略日志、同步日志和应用行为日志。支持日志记录查询、删除、导出,日志记录可导出文本文件和数据库文件两种格式。支持日志记录本地数据库存储,也可以将日志传输到独立的日志服务器上,传输日志格式支持SySlOg和Welf,支持日志加密传输。