WAF防火墻設(shè)備指標(biāo)及參數(shù)說明

1、WAF防火墻設(shè)備指標(biāo)及參數(shù)說明:指標(biāo)功能參數(shù)數(shù)量單位備注設(shè)備本 基要 求專用的硬件和軟件保障基于操作系統(tǒng)內(nèi)核采用專用硬件架構(gòu)與專用安全操作系統(tǒng)，的完全檢測 技術(shù)；硬件設(shè)備可以機(jī)架安裝。產(chǎn)品必須為專業(yè)類設(shè)UTM性WEB應(yīng)用 防火墻硬件設(shè)備，而非下一代防火墻需提供廠家3年，備集成的WEB防 護(hù)功能；硬軟件質(zhì)保期A質(zhì)保證明文件1臺硬件模塊化設(shè)計硬件采用模塊化設(shè)計，可以通過擴(kuò)展卡來增減業(yè)務(wù)接口，而非軟件WAF和端口數(shù)量擴(kuò)展能力個可插撥默認(rèn)包括2個接口； 2U機(jī)架式結(jié)構(gòu)；最大配置為26 （其10/100/1000BASE-TSFP插槽接口和4個的擴(kuò)展槽和4個接口（作為2，10/100/1000BASE-

2、T 2SFP） 口和管理口）； HAMTBF小時不少于450000能性要求應(yīng)用層吞吐率3G最大吞吐能力20G會話TCP并發(fā)數(shù)300萬絡(luò)網(wǎng)部署部署方式純透明模式串聯(lián)部署、旁路監(jiān)測模式部署、負(fù)載均衡模無IP式部署、反 向代理模式部署。串聯(lián)部署時防護(hù)口不占用IP地址。的串聯(lián)部署時服務(wù)器可以看到真實客戶端源IPWAF而不是IP業(yè)務(wù) 地 址。網(wǎng)絡(luò)適應(yīng)性trunkVLAN支持劃分，支持多VLAN環(huán)境下的部署。支持虛擬線無論任何網(wǎng)絡(luò)環(huán)境可強制數(shù)據(jù)從一個接口轉(zhuǎn)發(fā)到另一個接口。物理接口支持子接口鏈部署，提高鏈路帶寬；支持Trunk支持鏈路聚合（Channel）路防護(hù)。MTU支持自定義配置網(wǎng)絡(luò)接口、雙工模式、雙工

3、模式等屬性。支持靜態(tài)路由及策略路由配置。ARP支持綁定MAC支持靜態(tài)地址表配置支持服務(wù)器健康檢查，可以實時監(jiān)測服務(wù)器的活躍狀態(tài)；健 康記錄 可定期備份協(xié)議。支持IPV6協(xié)議下鄰居指定支持IPV6、目的IP、源區(qū)域、目的支持網(wǎng)絡(luò)層防火墻功能，支持源IP區(qū)域等條件 的訪問控制。攻擊防護(hù)支持HTTPS支持HTTP/HTTP站點防護(hù)協(xié)議合規(guī)檢查支持請求限制配置通過定義最大請求頭長度、最大長度、最大請求行長度、最大、最大content-lengthbody最行長度、header頭個數(shù)、header最多cookies最多個數(shù)、大header長度等來對請用戶數(shù)據(jù)做 合規(guī) 性檢查。WEB安全防護(hù)800+條以上

4、的應(yīng)用層規(guī)則。支持注入攻擊，命令注入注入攻擊，Cookie應(yīng)能識別和阻斷SQL攻擊。(XSS)攻擊。應(yīng)能識別和阻斷跨站腳本支持對中國菜刀等工具對后webshell等后門上傳防護(hù)、支持門連接的阻 斷。awvs等掃描器的掃描防護(hù)支持對appscan '支持遠(yuǎn)程文件包含、本地文件包含、目錄遍歷、信息泄露等攻擊防護(hù)命令執(zhí)行等常見Struts2參數(shù)污染攻擊、00截斷、支持HTTP攻擊防護(hù)支持爬蟲防護(hù)且用戶可以根據(jù)需要可以自定義爬蟲支持暴力登錄防護(hù)，用戶可以根據(jù)需要配置需要防護(hù)暴力登錄的界面支持盜鏈防護(hù)，且支持攻擊源盜鏈例外配置，及目的服務(wù)器例外配置。URI攻擊應(yīng)能識別和阻斷跨站請求偽造(CSRF

5、)黑白名單控制。黑白名單、URL支持IP支持對身份證、信用卡、手機(jī)電話號碼、座機(jī)電話號碼、郵箱地址等敏感 信息做檢查，當(dāng)檢查到此類數(shù)據(jù)后可通過配置特殊字符予以替換隱藏，防止信息泄露。的編碼方式進(jìn)行編碼、多次編碼等方式繞過WA支持對URL識別，防止 繞過?？蓪ξ募蟼髯隹刂疲ㄗ疃嗌蟼魑募?shù)、最大文件上傳類型及允許請 求大小、可以通過對上傳文件的擴(kuò)展名、MIME體編碼類型等做上傳控制。可對文件做下載控制，包括最大下載文件大小、禁止下載文類型等件的擴(kuò)展名、MIME檢測到攻擊后支持阻斷、只檢測等動作且動作為阻斷時用戶可自定義阻斷頁面。地址URIURL中的特殊支持URI策略例外，可針對服務(wù)器上做單獨

6、的 策 略控制，參數(shù)的長度、支持自學(xué)習(xí)建模功能，可以通過學(xué)習(xí)正常URL參數(shù)類型、 請求方法等數(shù)據(jù)特點創(chuàng)建白名單模型，如果參數(shù)違反白名單模型則認(rèn)為 是非法流量直接阻斷。開啟自學(xué)習(xí)建模功能后可生成自學(xué)習(xí)網(wǎng)站參數(shù)的 日學(xué)習(xí)結(jié)果報告，等第三方掃描w3af支持虛擬補丁功能，支持導(dǎo)入appscan、WAF的規(guī) 則，對此類網(wǎng)站漏洞直接防護(hù)。器的掃描結(jié)果生成可停用或啟用任意一條規(guī)則，當(dāng)觸發(fā)規(guī)則后可以制定針對該條規(guī)則的動 作，包括阻斷記錄日志、阻斷不記錄日志、繼續(xù)、警告、臨時或永久跳轉(zhuǎn)到某一重定向頁面等動作。不用冉上內(nèi)使用，wafhttps證書支持直接將證書內(nèi)容填充到傳或者轉(zhuǎn)換證囹吏用配置易用性而不需要配置需要

7、防護(hù)的地址進(jìn)行防護(hù)，可以針對服務(wù)器IP網(wǎng)站域名。地址IP支持域名自學(xué)習(xí)，可以自動學(xué)習(xí)網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的及此地 址下 的域名。DDoS攻擊防護(hù)正常流量閾值模型，http支持基線學(xué)習(xí)，可以自動學(xué)習(xí)用戶并給出推薦 閾值配置項。檢測清洗根流量支持檢測清洗和強制防御兩種模式，對ddos據(jù)是否到達(dá) 閾值對流量進(jìn)行清洗，強制清洗對所有流量直接進(jìn)行流量清洗判斷。支持針對每秒包數(shù)、每秒新建連接數(shù)、每秒并發(fā)連接數(shù)對HTTP/HTTPS Flood攻擊做控制配置。的次數(shù)做控制配置，支持對客戶端在單位時間內(nèi)的訪問URI攻擊訪問消 耗服惡意ddos防止特定URI路徑被HTTPFIood務(wù)器資源導(dǎo)致服務(wù) 器拒 絕服務(wù)。d

8、dos攻擊的防護(hù)。SLOW POS的等慢速支持對SLOW HEADER源新建連接數(shù)、攻擊源的發(fā)包速度、支持對HTTP/HTTPS Flood源并發(fā) 連接數(shù)做源限速控制配置，且可以阻斷攻擊或者將攻加入黑名單。擊IP攻擊目的服務(wù)器的發(fā)包速度、源新Flood支持對HTTP/HTTPS建連接數(shù)、源并發(fā)連接數(shù)做目的限速控制配置，且可以阻斷 加入黑名單。攻擊或者將攻擊IP攻擊做重定向或驗證碼驗證，將異Flood支持對HTTP/HTTPS常流量加入黑名單。網(wǎng)貝防篡改網(wǎng)失型網(wǎng)頁防篡改，無需在服務(wù)器中安裝任何插件，可以對動態(tài)網(wǎng)。站 及靜態(tài)網(wǎng)站文件內(nèi)容進(jìn)行防篡改，當(dāng)檢測到篡改后可以實時恢復(fù)篡改內(nèi) 容。漏洞掃描WE

9、B注入、跨站應(yīng)用漏洞的安全掃描檢測，如SQL支持多種WEB腳本、目 錄遍歷等。webWE漏洞掃描任務(wù)，支持對需要認(rèn)證登錄的支持自定義系統(tǒng)進(jìn)行漏洞掃描，支持自定義每日、每周、每月等掃描周期設(shè)置。等格式pdf,html,txt,xmlweb漏洞掃描報告，報告支可導(dǎo)出導(dǎo)出。負(fù)載均衡支持多服務(wù)器的負(fù)載均衡，支持輪叫、加權(quán)輪叫、原地址散列、最小連接等多種負(fù)載均衡算法。能配合現(xiàn)有的負(fù)載均衡設(shè)備協(xié)同工作，支持任意部署，而不 影響客 戶現(xiàn)有拓?fù)?。?shù)據(jù)分析網(wǎng)絡(luò)數(shù)據(jù)分析口、管理口、擴(kuò)展卡、接口、USBWe界面可以直觀查看WAF 口及業(yè) 務(wù)的運行狀態(tài)。HA可以查看使用業(yè)務(wù)接口的上下行實時流量。地IP客戶端和服務(wù)器及

10、的所有可以查看通過WAFIPV4IPV6址及端口連接數(shù)及狀態(tài)?？梢詫崟r查看設(shè)備新建連接數(shù)、并發(fā)連接數(shù)、每秒事務(wù)數(shù)及應(yīng)用層吞吐率等數(shù)據(jù)并以可視化的方式展不。HTTP設(shè)備運行數(shù)據(jù)分析固態(tài)硬盤等自身使用率情SSDCP、內(nèi)存、可以實時查看設(shè)備況。日志報表數(shù)據(jù)分析兩種格式向遠(yuǎn)端日志服務(wù)器發(fā)送welfsyslog和日志支持以日志。日志傳輸可加密，且管理員可以配置加密密碼。支持系統(tǒng)日志、管理員登錄日志、調(diào)試日志的記錄、客戶端IP）支持記錄包括時間、客戶端流量日志（訪問日志地址、 服務(wù)器端口、協(xié)議類型、服務(wù)器IPIP端口、服務(wù)器地址、請求方法、服 務(wù)器響應(yīng)、接口及發(fā)送數(shù)據(jù)訪問的URL大小等相關(guān)信息。、客戶端攻

11、擊日志支持記錄包括時間、嚴(yán)重程度、客戶端 IP、服務(wù)器 端口、協(xié)議類型、時間類型、觸發(fā)端口、服務(wù)器 IP ID、解決建議、 處理動作、攻擊請求頭等相關(guān)信息。規(guī)則DDOS日志的記錄。支持防篡改日志及抗格式的日志導(dǎo)出，及XML日志支持多條件與查詢，支持CSV日志支持 清空配置。支持每種攻擊時間類型及次數(shù)的統(tǒng)計并以柱狀圖等形式直觀展現(xiàn)。攻擊IP支持最近一小時、一天、三十天等多種條件內(nèi)攻擊源的統(tǒng)計。次數(shù)及攻擊分布TOPN系統(tǒng)管理系統(tǒng)管理多管理。、ConsoleSSH 支持 SSL 的 WEBT 面、服務(wù)器同步時間。支持手工設(shè)置時間、本地同步時間、和 NTP等多種故障診斷方、DNSHTTPTRACERO

12、UTCP支持ping、式<>SNMP陷阱主機(jī)功能。、V3管理，支持的支持SNMPV1 V2域名解析。WAF本機(jī)DNS支持配置文件導(dǎo)入、導(dǎo)出及恢復(fù)出廠配置。支持WAF方式升級及命令行等方式的離線升級。支持操作系統(tǒng)WEB支持規(guī)則庫的在線升級和離線升級。支持攻擊日志短信告警 > 可以將特定的攻擊類型的攻擊日志發(fā)送給拈定卜機(jī)接收支持攻擊日志郵件告警，可以定時將特定攻擊類型的攻擊日志間隔定一定時間后定時發(fā)送至指定郵箱。支持攻擊報表郵件告警，可以定時將攻擊報表間隔定一定時間后定時發(fā)送至指定郵箱。sslstarttls認(rèn)證傳輸、支持告警郵件支持明文傳輸、支持的加 密傳 輸。賬號及認(rèn)證管理支

13、持帳號創(chuàng)建、帳號授權(quán)、帳號屬性修改、帳號刪除等賬號管理功能。支持用戶身份認(rèn)證，用戶切換角色時，必須進(jìn)行重新認(rèn)證。支持超時重新認(rèn)證機(jī)制并能夠定義用戶認(rèn)證嘗試的最大允許失敗次數(shù)。支持賬號策略自定義，支持定義允許最大登錄失敗次數(shù)、密碼錯誤賬號鎖 定時間、最大在線管理員數(shù)、對其他非法在線管理員強制下線、防管理員賬號暴力破解。司圖用性雙機(jī)熱備支持雙機(jī)熱備，主備模式、主主負(fù)載均衡模式、連接保護(hù)模主主模式下一邊斷了，會話表會同步到另一邊數(shù)據(jù)不去（式。句）配置同步。支持兩臺WAF另外一個down （一個接口支持同一臺WA上下接口狀態(tài)聯(lián)動。接口也同步down）WAF純透明交換模式接入。兩臺WAF路由模式接入、兩臺功硬件Bypass能bypass模塊。支持開機(jī)及斷電bypass模式，光口支持外置質(zhì)資要求廠商資質(zhì)中國信息安全測評中心頒發(fā)的中國國家信息安全漏洞庫）一級技 術(shù)支撐單位（CNNVD國-國家互聯(lián)網(wǎng)應(yīng)急