設(shè)備參數(shù)-WAFV3-20180500蘇州高博軟件技術(shù)職業(yè)學(xué)院

1、設(shè)備指標(biāo)及參數(shù)說明:指標(biāo)功能參數(shù)數(shù)量單位備注設(shè)備 基本 要求專用的硬件和軟件保障采用專用硬件架構(gòu)與專用安全操作系統(tǒng)，基于操作系統(tǒng)內(nèi)核的完全檢測技術(shù)；硬件設(shè)備可以機(jī)架安裝。產(chǎn)品必須為 專業(yè)性WEB應(yīng)用防火墻硬件設(shè)備，而非下一代防火墻UTM類設(shè)備集成的 WEB防護(hù)功能；硬軟件質(zhì)保期3年， 需提供廠家質(zhì)保證明文件1臺硬件模塊化設(shè)計(jì)硬件采用模塊化設(shè)計(jì)，可以通過擴(kuò)展卡來增減業(yè)務(wù)接口， 而非軟件WAF端口數(shù)量和擴(kuò) 展能力2U機(jī)架式結(jié)構(gòu)；最大配置為26個(gè)接口；默認(rèn)包括2個(gè)可插撥的擴(kuò)展槽和 4個(gè)10/100/1000BASE-T 接口和4個(gè)SFP插 槽（其中2個(gè)SFP+J兆插槽）,2個(gè)10/100/1000B

2、ASE-T 接 口（作為HA口和管理口）；MTBF不少于450000小時(shí)性能 要求應(yīng)用層吞吐率3G最大吞吐能力20G并發(fā)TCP話數(shù)300萬網(wǎng)絡(luò) 部署部署方式無IP純透明模式串聯(lián)部署、旁路監(jiān)測模式部署、負(fù)載均衡 模式部署、反向代理模式部署。串聯(lián)部署時(shí)防護(hù)口不占用 IP地址。串聯(lián)部署時(shí)服務(wù)器可以看到真實(shí)客戶端源IP,而不是WAF的業(yè)務(wù)IP地址。網(wǎng)絡(luò)適應(yīng)性支持VLAN劃分，支持多 VLA廊境下trunk的部署。支持虛擬線無論任何網(wǎng)絡(luò)環(huán)境可強(qiáng)制數(shù)據(jù)從一個(gè)接口轉(zhuǎn)發(fā) 到另一個(gè)接口。物理接口支持子接口支持鏈路聚合（Channel）部署，提高鏈路帶寬；支持 Trunk 鏈路防護(hù)。支持自定義配置網(wǎng)絡(luò)接口 MTU

3、雙工模式、雙工模式等屬性。支持靜態(tài)路由及策略路由配置。支持ARP綁定支持靜態(tài)MACfe址表配置支持服務(wù)器健康檢查，可以實(shí)時(shí)監(jiān)測服務(wù)器的活躍狀態(tài)； 健康記錄可定期備份支持IPV6協(xié)議。支持IPV6協(xié)議下鄰居指定支持網(wǎng)絡(luò)層防火墻功能，支持源IP、源區(qū)域、目的IP、目的區(qū)域等條件的訪問控制。攻擊 防護(hù)HTTP豉持支持HTTP/HTTPS占點(diǎn)防護(hù)協(xié)議合規(guī)檢查支持請求限制配置通過定義最大請求頭長度、最大content-length 、最大body長度、最大請求行長度、最大 header行長度、最多 cookies 個(gè)數(shù)、最多 header頭個(gè)數(shù)、 最大header長度等來對請用戶數(shù)據(jù)做合規(guī)性檢查。wEB

4、e全防護(hù)支持800+條以上的應(yīng)用層規(guī)則。應(yīng)能識別和阻斷SQL注入攻擊,Cookie注入攻擊，命令注 入攻擊。應(yīng)能識別和阻斷跨站腳本（XSS）攻擊。支持webshell等后門上傳防護(hù)、支持對中國菜刀等工具對 后門連接的阻斷。支持對appscan、awvs等掃描器的掃描防護(hù)支持遠(yuǎn)程文件包含、本地文件包含、目錄遍歷、信息泄露 等攻擊防護(hù)支持HTTP參數(shù)污染攻擊、00截?cái)?、Struts2命令執(zhí)行等常見攻擊防護(hù)支持爬蟲防護(hù)且用戶可以根據(jù)需要可以自定義爬蟲支持暴力登錄防護(hù)，用戶可以根據(jù)需要配置需要防護(hù)暴力 登錄的界面支持盜鏈防護(hù)，且支持攻擊源盜鏈例外配置，及目的服務(wù) 器URI例外配置。應(yīng)能識別和阻斷跨站請

5、求偽造 （CSRF）攻擊支持IP黑白名單、URL黑白名單控制。支持對身份證、信用卡、手機(jī)電話號碼、座機(jī)電話號碼、 郵箱地址等敏感信息做檢查，當(dāng)檢查到此類數(shù)據(jù)后可通過 配置特殊字符予以替換隱藏，防止信息泄露。支持對URL編碼、多次編碼等方式繞過 WAF勺編碼方式進(jìn) 行識別，防止繞過?？蓪ξ募蟼髯隹刂?，包括最多上傳文件數(shù)、最大文件上傳大小、可以通過對上傳文件的擴(kuò)展名、MIME類型及允許請求體編碼類型等做上傳控制?？蓪ξ募鱿螺d控制，包括最大下載文件大小、禁止下載 文件的擴(kuò)展名、MIME類型等檢測到攻擊后支持阻斷、只檢測等動作且動作為阻斷時(shí)用 戶可自定義阻斷頁面。支持URI策略例外，可針對服務(wù)器上

6、 URL中的特殊URI地 址做單獨(dú)的策略控制。支持自學(xué)習(xí)建模功能，可以通過學(xué)習(xí)正常URL參數(shù)的長度、參數(shù)類型、請求方法等數(shù)據(jù)特點(diǎn)創(chuàng)建白名單模型，如果參 數(shù)違反白名單模型則認(rèn)為是非法流量直接阻斷。開啟自學(xué) 習(xí)建模功能后可生成自學(xué)習(xí)網(wǎng)站參數(shù)的自學(xué)習(xí)結(jié)果報(bào)告。支持虛擬補(bǔ)丁功能，支持導(dǎo)入appscan、w3af等第三方掃描器的掃描結(jié)果生成 WAF勺規(guī)則，對此類網(wǎng)站漏洞直接防 護(hù)?？赏Ｓ没騿⒂萌我庖粭l規(guī)則，當(dāng)觸發(fā)規(guī)則后可以制定針對 該條規(guī)則的動作，包括阻斷記錄日志、阻斷不記錄日志、 繼續(xù)、警告、臨時(shí)或永久跳轉(zhuǎn)到某一重定向頁面等動作。https證書支持直接將證書內(nèi)容填充到waf內(nèi)使用，不用再上傳或者轉(zhuǎn)換證

7、書使用。支持鏡像監(jiān)聽模式下 HTTPSa量的解析配置易用性可以針對服務(wù)器IP地址進(jìn)行防護(hù)，而不需要配置需要防護(hù) 的網(wǎng)站域名。支持域名自學(xué)習(xí)，可以自動學(xué)習(xí)網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的IP地址及此地址下的域名。DDoSt擊防護(hù)支持基線學(xué)習(xí)，可以自動學(xué)習(xí)用戶http正常流量閾值模型， 并給出推薦閾值配置項(xiàng)。對ddos流量支持檢測清洗和強(qiáng)制防御兩種模式，檢測清洗 根據(jù)是否到達(dá)閾值對流量進(jìn)行清洗，強(qiáng)制清洗對所有流量 直接進(jìn)行流量清洗判斷。支持針對每秒包數(shù)、每秒新建連接數(shù)、每秒并發(fā)連接數(shù)對HTTP/HTTPS Flood攻擊做控制配置。支持對客戶端在單位時(shí)間內(nèi)的訪問 URI的次數(shù)做控制配置， 防止特定URI路徑被H

8、TTP Flood惡意ddos攻擊訪問消耗 服務(wù)器資源導(dǎo)致服務(wù)器拒絕服務(wù)。支持對SLOW HEADER SLOW POST等慢速ddos攻擊的防 護(hù)。支持對HTTP/HTTPS Flood攻擊源的發(fā)包速度、源新建連接 數(shù)、源并發(fā)連接數(shù)做源限速控制配置，且可以阻斷攻擊或 者將攻擊IP加入黑名單。支持對HTTP/HTTPS Flood攻擊目的服務(wù)器的發(fā)包速度、源 新建連接數(shù)、源并發(fā)連接數(shù)做目的限速控制配置，且可以 阻斷攻擊或者將攻擊IP加入黑名單。支持對HTTP/HTTPS Flood攻擊做重定向或驗(yàn)證碼驗(yàn)證，將 異常流量加入黑名單。網(wǎng)頁防篡改網(wǎng)關(guān)型網(wǎng)頁防篡改，無需在服務(wù)器中安裝任何插件，可以 對

9、動態(tài)網(wǎng)。站及靜態(tài)網(wǎng)站文件內(nèi)容進(jìn)行防篡改，當(dāng)檢測到篡改后可以 實(shí)時(shí)恢復(fù)篡改內(nèi)容。WEBS洞掃描支持多種 WEB應(yīng)用漏洞的安全才3描檢測，如 SQL注入、跨 站腳本、目錄遍歷等。支持自定義 WEBS洞掃描任務(wù)，支持對需要認(rèn)證登錄的 web 系統(tǒng)進(jìn)行漏洞掃描，支持自定義每日、每周、每月等掃描 周期設(shè)置。可導(dǎo)出web漏洞掃描報(bào)告,報(bào)告支 pdf,html,txt,xml等格式導(dǎo)出。負(fù)載均衡支持多服務(wù)器的負(fù)載均衡，支持輪叫、加權(quán)輪叫、原地址 散列、最小連接等多種負(fù)載均衡算法。能配合現(xiàn)有的負(fù)載均衡設(shè)備協(xié)同工作，支持任意部署，而 不影響客戶現(xiàn)有拓?fù)?。?shù)據(jù)分析網(wǎng)絡(luò)數(shù)據(jù)分析Web界面可以直觀查看 WAFT展卡、

10、接口、USB口、管理口、 HA 口及業(yè)務(wù)口的運(yùn)行狀態(tài)?？梢圆榭词褂脴I(yè)務(wù)接口的上下行實(shí)時(shí)流量?？梢圆榭赐ㄟ^ WAF勺所有IPV4及IPV6客戶端和服務(wù)器IP 地址及端口連接數(shù)及狀態(tài)?？梢詫?shí)時(shí)查看設(shè)備新建連接數(shù)、并發(fā)連接數(shù)、每秒事務(wù)數(shù) 及HTTP應(yīng)用層吞吐率等數(shù)據(jù)并以可視化的方式展示。設(shè)備運(yùn)行數(shù)據(jù)分 析可以實(shí)時(shí)查看設(shè)備CPU內(nèi)存、SSD固態(tài)硬盤等自身使用率 情況。日志報(bào)表數(shù)據(jù)分 析日志支持以syslog和welf兩種格式向遠(yuǎn)端日志服務(wù)器發(fā) 送日志。日志傳輸可加密，且管理員可以配置加密密碼。支持系統(tǒng)日志、管理員登錄日志、調(diào)試日志的記錄流量日志（訪問日志）支持記錄包括時(shí)間、客戶端 IP、客戶 端端口、

11、服務(wù)器IP、服務(wù)器端口、協(xié)議類型、服務(wù)器 IP地 址、訪問的URL地址、請求方法、服務(wù)器響應(yīng)、接口及發(fā) 送數(shù)據(jù)大小等相關(guān)信息。攻擊日志支持記錄包括時(shí)間、嚴(yán)重程度、客戶端IP、客戶端端口、服務(wù)器IP、服務(wù)器端口、協(xié)議類型、時(shí)間類型、 觸發(fā)規(guī)則ID、解決建議、處理動作、攻擊請求頭等相關(guān)信 息。支持防篡改日志及抗 DDOS3志的記錄。日志支持多條件與查詢，支持 CSV及XML格式的日志導(dǎo)出， 日志支持清空配置。支持每種攻擊時(shí)間類型及次數(shù)的統(tǒng)計(jì)并以柱狀圖等形式直 觀展現(xiàn)。支持最近一小時(shí)、一天、三十天等多種條件內(nèi)攻擊源IP攻擊次數(shù)及攻擊分布TOPN勺統(tǒng)計(jì)。系統(tǒng)管理支持SSL的WE酬面、SSH Conso

12、le多種方式管理。支持手工設(shè)置時(shí)間、本地同步時(shí)間、和NTP服務(wù)器同步時(shí)間。支持ping、 TRACEROUTETCP HTTP DNS等多種故障診斷 方式。支持SNMP勺V1、V2 V3管理，支持SNMP阱主機(jī)功能。支持WA壞機(jī)DNSM名解析。支持WAFE置文件導(dǎo)入、導(dǎo)出及恢復(fù)出廠配置。支持操作系統(tǒng)WE昉式升級及命令行等方式的離線升級。支持規(guī)則庫的在線升級和離線升級。支持攻擊日志短信告警，可以將特定的攻擊類型的攻擊日 志發(fā)送給指定手機(jī)接收。支持攻擊日志郵件告警，可以定時(shí)將特定攻擊類型的攻擊 日志間隔定一定時(shí)間后定時(shí)發(fā)送至指定郵箱。支持攻擊報(bào)表郵件告警，可以定時(shí)將攻擊報(bào)表間隔定一定 時(shí)間后定時(shí)發(fā)

13、送至指定郵箱。告警郵件支持明文傳輸、支持 starttls認(rèn)證傳輸、支持 ssl的加密傳輸。系統(tǒng)管理賬號及認(rèn)證管理支持帳號創(chuàng)建、帳號授權(quán)、帳號屬性修改、帳號刪除等賬 號管理功能。支持用戶身份認(rèn)證，用戶切換角色時(shí)，必須進(jìn)行重新認(rèn)證。支持超時(shí)重新認(rèn)證機(jī)制并能夠定義用戶認(rèn)證嘗試的最大允 許失敗次數(shù)。支持賬號策略自定義，支持定義允許最大登錄失敗次數(shù)、 密碼錯(cuò)誤賬號鎖定時(shí)間、最大在線管理員數(shù)、對其他非法 在線管理員強(qiáng)制下線、防管理員賬號暴力破解。高可 用性雙機(jī)熱備支持雙機(jī)熱備，主備模式、主主負(fù)載均衡模式、連接保護(hù) 模式（主主模式下一邊斷了，會話表會同步到另一邊數(shù)據(jù)不 丟包）。支持兩臺WAFS已置同步。支持同一臺 WAF上下接口X態(tài)聯(lián)動（一個(gè)接口 down另外一 個(gè)接口也同步down）。兩臺WAFF各由模式接入、兩臺 WAF純透明交換模式接入。硬件Bypass功能支持開機(jī)及斷電bypass模式，光口支持外置bypass模塊。資質(zhì) 要求廠商資質(zhì)中國信息安全測評中心頒發(fā)的中國國家信息安全漏洞 庫（CNNVD）一級技術(shù)支撐單位國家互聯(lián)網(wǎng)應(yīng)急中心頒發(fā)的網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單 位-