網(wǎng)絡(luò)安全管理與運維實訓(xùn)教學(xué)平臺需求說明

網(wǎng)絡(luò)安全管理與運維實訓(xùn)教學(xué)平臺需求說明一、建設(shè)背景與目標(biāo)網(wǎng)絡(luò)管理及安全實訓(xùn)教學(xué)平臺項目作為我校重要的計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)實訓(xùn)室空間建設(shè)項目，旨在培養(yǎng)滿足網(wǎng)絡(luò)構(gòu)建及管理、網(wǎng)絡(luò)安全管理與運維等方面的專業(yè)人才，為教師和學(xué)生提供良好的學(xué)生實訓(xùn)教學(xué)空間，滿足學(xué)生競賽培訓(xùn)、實訓(xùn)項目及社會服務(wù)功能的開展；該項目建設(shè)內(nèi)容包括采購設(shè)備：交換機(jī)、路由器、防火墻、上網(wǎng)行為管理、安全防護(hù)網(wǎng)關(guān)、網(wǎng)絡(luò)管理及安全軟硬一體化教學(xué)平臺等；要求質(zhì)量可靠，性能穩(wěn)定，符合實訓(xùn)教學(xué)的基本要求；二、設(shè)備清單序號采購內(nèi)容數(shù)量單位1三層虛擬化交換機(jī)1臺2防火墻1臺3WEB應(yīng)用防火墻1臺4網(wǎng)絡(luò)日志系統(tǒng)1套5無線交換機(jī)1臺6無線接入點1臺7堡壘機(jī)虛擬化管理平臺1套8上網(wǎng)行為管理3臺9下一代防火墻3臺10零信任安全網(wǎng)關(guān)3臺三、技術(shù)參數(shù)序號采購內(nèi)容技術(shù)參數(shù)1三層虛擬化交換機(jī)一、規(guī)格要求1.機(jī)身固化自帶≥24個千兆電口，4個千兆光口、≥4個10GSFP+萬兆接口；交換容量≥500Gbps、包轉(zhuǎn)發(fā)率≥200Mpps；內(nèi)置冗余雙電源；2.機(jī)身支持Console口（RJ45）、帶外管理口（MGMT端口，RJ45）、USB接口、Reset鍵；二、功能要求1.為滿足實訓(xùn)教學(xué)，交換機(jī)需支持RIPV1/2、RIPng、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+；2.支持OpenFlow；支持MPLSVPN；3.支持IPV6DHCPSever功能；支持多進(jìn)程MSTP進(jìn)程功能；三、實訓(xùn)教學(xué)功能要求1.為滿足實訓(xùn)教學(xué)，交換機(jī)需支持虛擬化，CPU安全防護(hù)；2.為滿足實訓(xùn)教學(xué)，交換機(jī)需支持BFD(靜態(tài)路由、RIP、OSPF、BGP、VRRP)功能；3.為滿足實訓(xùn)教學(xué)，交換機(jī)需支持VSF虛擬化技術(shù)，滿足虛擬化相關(guān)實訓(xùn)課程要求；2防火墻一、規(guī)格要求1.采用非X86多核架構(gòu)，處理器為多核并行處理CPU；自主研發(fā)的多核并行安全操作系統(tǒng)；2.機(jī)身固化自帶USB接口≥1個、≥9個GE千兆電口，端口能夠自定義局域網(wǎng)口和廣域網(wǎng)口），USB接口≥1個；二、性能要求1.防火墻吞吐量≥2Gbps；最大并發(fā)會話數(shù)≥20萬；入侵防御（IPS）吞吐量≥250Mbps；防病毒（AV）吞吐量300Mbps；最大IPSECVPN隧道數(shù)≥500條；支持不少于100個SSLVPN用戶并發(fā)用戶；2.支持靜態(tài)路由、OSPF、OSPFv3、BGP、BGP+、RIPv1/v2、RIPng；3.支持10個配置文件并存，并支持配置回滾；4.IPV6功能：IPv6SNMP管理、IPv6路由配置、IPv6DNS配置、IPv6策略配置、IPv6ALG配置、IPv66to4隧道配置、IPv64to6隧道配置；三、功能要求1．網(wǎng)絡(luò)功能方面支持NAT地址有效性檢測：支持NAT公網(wǎng)地址池中IP有效性檢測，避免因NAT地址無法使用導(dǎo)致業(yè)務(wù)中斷；2．防火墻功能支持通過策略列表中的冗余和無用策略進(jìn)行檢測；3．鏈路負(fù)載均衡支持電信和聯(lián)通的ISP路由表，并支持自定義的ISP創(chuàng)建；4．防病毒功能具備病毒過濾特征庫不少于300萬，且支持特征庫每日自動更新升級；5．上網(wǎng)行為管理支持2000萬以上，至少60個分類web頁面庫，且支持自定義URL分類過濾；6．高性能日志記錄：支持基于secure-tcp的日志記錄格式；7．為滿足實訓(xùn)教學(xué)，防火墻需支持緩沖區(qū)溢出、SQL注入和跨站腳本、外鏈、Web訪問攻擊的檢測和防護(hù)功能；8．為滿足實訓(xùn)教學(xué)，防火墻需支持基于流、低延時、高并發(fā)、高性能的病毒過濾功能；9.為確保實訓(xùn)課程要求，要求設(shè)備監(jiān)控支持IPv6、統(tǒng)計集支持IPv6、日志支持IPv6顯示、URL過濾支持IPv6、AV病毒庫支持IPv6；3WEB應(yīng)用防火墻1.機(jī)身固化自帶≥6個千兆電口，≥1個擴(kuò)展插槽，1個Console，存儲≥1T硬盤，機(jī)箱1U；支持web安全掃描，web安全防護(hù)，安全情報分析，DDOS防護(hù)，網(wǎng)頁防篡改，包過濾等功能，有效保障web應(yīng)用服務(wù)資源安全；2.網(wǎng)絡(luò)部署：支持IPv4、IPv6雙棧防護(hù)；支持透明流模式、透明代理模式、反向代理模式、路由牽引模式、鏡像檢測模式及鏡像阻斷模式；鏡像阻斷：支持旁路鏡像模式下，對檢測到的攻擊進(jìn)行旁路阻斷；3.牽引防護(hù)：支持通過BGP方式對流量進(jìn)行牽引，并在清洗攻擊后回注，回注過程支持設(shè)置SNAT策略；4.虛擬補(bǔ)?。褐С痔摂M補(bǔ)丁功能，支持導(dǎo)入appscan等第三方掃描器的掃描結(jié)果生成WAF的規(guī)則，對此類網(wǎng)站漏洞直接防護(hù)；5.智能部署：支持網(wǎng)站自學(xué)習(xí)建模，可通過學(xué)習(xí)URL、host等信息展示網(wǎng)站結(jié)構(gòu)樹形圖，并支持對URL的訪問量和響應(yīng)健康度進(jìn)行圖形化統(tǒng)計；支持通過自學(xué)習(xí)的URL參數(shù)的長度、類型、范圍及請求方法等數(shù)據(jù)特點創(chuàng)建黑白名單模型，如果參數(shù)違反模型則判斷為非法流量，直接執(zhí)行阻斷或封禁動作；6.一鍵斷網(wǎng)：支持網(wǎng)站批量離線、網(wǎng)站批量恢復(fù)、網(wǎng)站一鍵斷網(wǎng)、網(wǎng)站一鍵恢復(fù)操作；7.威脅情報支持：支持第三方威脅情報庫更新；支持利用威脅情報規(guī)則進(jìn)行防護(hù)，并支持基于威脅情報的日志查詢；8.網(wǎng)頁防篡改：應(yīng)能支持對所有安裝防篡改客戶端的服務(wù)器進(jìn)行集中管理；9.Web漏洞掃描：支持自定義Web安全掃描任務(wù)，定期進(jìn)行Web安全掃描；4網(wǎng)絡(luò)日志系統(tǒng)1.機(jī)身固化自帶≥6個千兆電口，≥1個擴(kuò)展插槽，1個Console，存儲≥1T硬盤，機(jī)箱1U；內(nèi)置常用的攻擊工具庫，重點針對網(wǎng)絡(luò)層，可以用于教學(xué)和比賽使用；能夠詳細(xì)識別、記錄所有的用戶數(shù)據(jù)，有詳細(xì)的日志信息，可以導(dǎo)出，可以讓學(xué)生動手分析；2.部署模式：支持旁路模式、支持以二層橋接模式部署，包括單橋和多橋的部署模式；3.網(wǎng)管方式與網(wǎng)管策略:WEB管理、SSH管理、Console管理，能限制非法管理員訪問設(shè)備；4.網(wǎng)絡(luò)功能:支持IPv4、IPv6靜態(tài)路由功能；支持物理接口添加子接口功能；支持將多個以太網(wǎng)物理端口捆綁成一條邏輯端口；5.基礎(chǔ)防火墻功能：IPS入侵檢測，攻擊庫列表展示和查詢，攻擊庫字段包括：攻擊編碼、攻擊名稱、攻擊類型、風(fēng)險等級、CVE編碼、攻擊標(biāo)簽、影響產(chǎn)品、發(fā)布時間、更新時間；DOS/DDOS防護(hù)；Web服務(wù)攻擊防護(hù)；流量實時監(jiān)控；流量控制；支持設(shè)備事件日志告警、黑名單告警、CPU、內(nèi)存、活躍會話數(shù)、入侵事件、攻擊事件等告警；一鍵下載調(diào)試信息，以便學(xué)生分析學(xué)習(xí)分析；6.支持對網(wǎng)站類型流量進(jìn)行排名，并能深入分析該URL類型基于URL的統(tǒng)計，該URL類型基于用戶的統(tǒng)計，該URL類型基于用戶組的統(tǒng)計，該URL類型基于線路的統(tǒng)計；7.記錄WEB應(yīng)用防護(hù)日志，包括攻擊類型、協(xié)議、URL/目錄、源/目的區(qū)域、源/目的IP、源/目的端口、詳細(xì)信息、規(guī)則名稱、嚴(yán)重等級、動作、時間等；8.應(yīng)用審計：支持常用協(xié)議，HTTP應(yīng)用，F(xiàn)TP應(yīng)用，視頻網(wǎng)站瀏覽，WEB視頻，P2P下載，流媒體，網(wǎng)絡(luò)游戲，即時通訊，股票行情，股票交易，網(wǎng)上銀行，網(wǎng)絡(luò)電話，網(wǎng)絡(luò)存儲，移動應(yīng)用，網(wǎng)頁郵箱，軟件更新，遠(yuǎn)程控制，數(shù)據(jù)庫等應(yīng)用分類等2000多種；5無線交換機(jī)1.機(jī)身固化自帶≥24個千兆電口、≥4個萬兆SFP+光口、USB2.0端口≥1個，可同時作為三層交換機(jī)；標(biāo)配可管理AP≥8個，最大管理AP數(shù)≥72個；2.交換容量≥300Gbps、包轉(zhuǎn)發(fā)率≥100Mpps，若有多個指標(biāo)以最小指標(biāo)為準(zhǔn)；3.支持雙OS的備份機(jī)制，AP自動逃生機(jī)制，IPv4/v6雙棧網(wǎng)絡(luò)，無感知認(rèn)證，智能負(fù)載均衡機(jī)制，遠(yuǎn)程探針分析，SAV技術(shù)；4.支持靜態(tài)路由、RIPv1/v2、OSPF路由協(xié)議，支持IGMP，PIM-SM、PIM-DM、PIM-SSM組播協(xié)議；5.支持對FreeResource訪問的實驗功能；6.支持無感知認(rèn)證功能；7.支持內(nèi)置Portal認(rèn)證功能，支持Portal頁面可自定制功能；6無線接入點1.802.11acwave2室內(nèi)放裝型無線AP，內(nèi)置天線，整機(jī)5條空間流，整機(jī)最大速率1.317Gbps，支持802.11a/n/acwave2和802.11b/g/n同時工作，支持1個千兆電口，1個USB接口；支持本地12V直流供電和802.3af/atPoE供電；單端口802.3atPoE模塊，最高輸出功率為30W；7堡壘機(jī)虛擬化管理平臺硬件設(shè)備：配備高性能10核處理芯片，內(nèi)存容量≥256GB，存儲容量≥1T，配置≥2個高速網(wǎng)絡(luò)接口；二、管理功能1.學(xué)勤管理：支持學(xué)員、教員、管理員三種角色類型；支持對學(xué)員進(jìn)行分班級、組織管理；對學(xué)員的賬號信息可進(jìn)行批量管理；資源監(jiān)控及環(huán)境管理：1）、運行概覽監(jiān)控：具備實時顯示當(dāng)前在線人數(shù)、平臺總計用戶數(shù)、學(xué)員人數(shù)、教員人數(shù)、管理員人數(shù)、虛擬化資源操作次數(shù)，班級數(shù)量及平臺開啟虛擬化資源數(shù)量；2）、資源概覽監(jiān)控：直觀展示平臺當(dāng)前的課程總數(shù)、實驗數(shù)量、題庫數(shù)量、鏡像總數(shù)及容器鏡像等資源統(tǒng)計數(shù)據(jù)；2.教學(xué)管理模塊：1）、教學(xué)課程管理課程應(yīng)支持設(shè)置三級目錄，方便選課；每一門課程包含實驗、學(xué)習(xí)指導(dǎo)、課程標(biāo)準(zhǔn)、考核標(biāo)準(zhǔn)等內(nèi)容；每個實驗包含指導(dǎo)書、課程資料等內(nèi)容；指導(dǎo)包含實驗?zāi)康?、實驗原理、實驗?nèi)容、實驗環(huán)境描述、實驗步驟；2）、教學(xué)互動功能應(yīng)提供實驗討論功能，確保實驗操作過程中教員及管理員可以對學(xué)員進(jìn)行遠(yuǎn)程解答；3.教學(xué)課程安排:1）、選修與必修：課程支持必修課和選修課，管理員可自由對課程內(nèi)容進(jìn)行設(shè)計；支持按班級、用戶、課程進(jìn)行授權(quán)；2）、課程管理：課程管理支持課程體系、分類設(shè)置與管理；能查看平臺所有課程；能對課程名稱、上級分類、課程圖片、課程介紹、課程標(biāo)準(zhǔn)、考核標(biāo)準(zhǔn)、教學(xué)評價與設(shè)計等內(nèi)容進(jìn)行編輯、設(shè)置；（1）操作系統(tǒng)基礎(chǔ)至少包含Linux操作系統(tǒng)24個實驗課程，有l(wèi)inux基本應(yīng)用-系統(tǒng)安裝與啟用、linux基本應(yīng)用-基本命令的使用、linux基本應(yīng)用-用戶和組的管理、linux基本應(yīng)用-文件權(quán)限管理、linux下Shell編程-vi編輯器等；（2）數(shù)據(jù)庫基礎(chǔ)主要包含MySQL數(shù)據(jù)庫基礎(chǔ)17個實驗課程，mysql安裝、介紹數(shù)據(jù)庫中常用字段類型、mysql常用命令、字符集支持、創(chuàng)建數(shù)據(jù)庫、select查詢語句和條件語句、排序、分組、指針查詢、sql查詢語句、數(shù)據(jù)庫管理、存儲引擎和表類型、視圖、mysql中的復(fù)制介紹、函數(shù)和操作符、mysql數(shù)據(jù)庫的導(dǎo)入導(dǎo)出、mysql中的空間擴(kuò)展；（3）編程語言基礎(chǔ)主要包含Python3編程基礎(chǔ)30個實驗課程，Python環(huán)境搭建、Python第一個程序、Python數(shù)據(jù)運算、Python數(shù)據(jù)類型和變量、Python語句、Python獲取用戶輸入等；（4）木馬病毒與分析:主要包含惡意代碼分析10個重要實驗課程，移動存儲型病毒分析實驗、木馬分析（隱藏分析）實驗、木馬分析（控制分析）實驗、木馬分析（植入分析）實驗、病毒查找與清除實驗等；（5）安全配置與加固：主要包含系統(tǒng)安全配置與加固實驗課程，木馬技術(shù)初級實驗、windows常見的系統(tǒng)命令、windows操作系統(tǒng)加固、系統(tǒng)安全策略配置等實驗、文件和注冊表監(jiān)控解決0day問題；（6）密碼學(xué)基礎(chǔ)與應(yīng)用：主要包含密碼學(xué)實驗課程，包括密碼破解工具Brutus、使用JohntheRipper、破解Linux系統(tǒng)密碼、古典密碼之凱撒密碼、古典密碼之乘法密碼、古典密碼之仿射密碼、古典密碼-維吉尼亞密碼實驗、對稱密碼-DES實驗、對稱密碼之AES等；（7）WEB安全攻防：主要包含SQL注入漏洞，包括基于錯誤的GET單引號字符型注入、基于錯誤的GET整型注入、基于時間的盲注、基于報錯的盲注、二次注入等；（8）代碼審計：主要包含PHP代碼審計實驗課程內(nèi)容，PHP代碼審計環(huán)境準(zhǔn)備、代碼執(zhí)行漏洞審計之eval與assert、命令注入漏洞審計、XSS漏洞審計、CSRF漏洞審計、SQL注入漏洞審計、文件上傳漏洞審計、文件包含漏洞審計、變量覆蓋漏洞審計、身份認(rèn)證漏洞審計（9）內(nèi)網(wǎng)滲透：主要包含Meterpreter使用，涵蓋Meterpreter核心命令、Meterpreter文件系統(tǒng)命令、Meterpreter后滲透階段關(guān)閉防火墻與殺毒軟件、Meterpreter后滲透階段之遠(yuǎn)程桌面開啟等；8上網(wǎng)行為管理硬件規(guī)格：1U，內(nèi)存大小≥4G，硬盤容量≥128GminisataSSD,單電源，接口≥4千兆電口，授權(quán)含VPN模塊、上網(wǎng)優(yōu)化管理模塊；性能參數(shù)：網(wǎng)絡(luò)層吞吐量（大包）：1.0Gb，應(yīng)用層吞吐量：90Mb，帶寬性能：60Mb，支持用戶數(shù)：200PC+200移動（限制），每秒新建連接數(shù)：600，最大并發(fā)連接數(shù)：30000；2、功能描述：擁有專業(yè)的用戶認(rèn)證與管理、應(yīng)用控制、流量管控、行為審計等功能，結(jié)合行為感知平臺，提供行為日志大數(shù)據(jù)分析能力，有效識別行為風(fēng)險；3、Web訪問質(zhì)量檢測，針對內(nèi)網(wǎng)用戶的web訪問質(zhì)量進(jìn)行檢測，對整體網(wǎng)絡(luò)提供清晰的整體網(wǎng)絡(luò)質(zhì)量評級；4、支持針對特權(quán)用戶配置免認(rèn)證key、免審計key、免控制key；6、設(shè)備內(nèi)置應(yīng)用識別規(guī)則庫，支持超過9000種以上應(yīng)用規(guī)則數(shù)、支持超過6000種以上的應(yīng)用；支持根據(jù)標(biāo)簽選擇應(yīng)用，并支持給每個應(yīng)用自定義標(biāo)簽；支持根據(jù)標(biāo)簽選擇一類應(yīng)用做控制；7、支持SSL加密網(wǎng)頁的內(nèi)容檢查，可對SSL加密網(wǎng)頁進(jìn)行解密并識別、過濾其內(nèi)容，針對加密后的釣魚網(wǎng)站、非法網(wǎng)站，可對用戶進(jìn)行重定向告警；支持客戶端SSL解密，客戶端會自動推送根證書安裝，支持加密證書重定向分發(fā)功能；無需安裝客戶端，通過流量狀況檢查主流殺毒軟件的運行情況，對不滿足檢查要求的終端可重定向頁面修復(fù)；支持與同品牌下一代防火墻系統(tǒng)實現(xiàn)認(rèn)證聯(lián)動，可以轉(zhuǎn)發(fā)用戶認(rèn)證信息到下一代防火墻，實現(xiàn)單點登錄；支持與同品牌零信任產(chǎn)品實現(xiàn)聯(lián)動零信任訪問控制系統(tǒng)，能夠向零信任訪問控制系統(tǒng)同步上報日志；9下一代防火墻1、網(wǎng)絡(luò)層吞吐量≥3G，應(yīng)用層吞吐量≥600M，防病毒吞吐量≥250M，IPS吞吐量≥150M，全威脅吞吐量≥130M，并發(fā)連接數(shù)≥80萬，HTTP新建連接數(shù)≥1.8萬，IPSec最大隧道數(shù)≥1000，授權(quán)含防火墻軟件增強(qiáng)級模塊、多線路模塊、第三方接入授權(quán)；2、硬件規(guī)格：1U，內(nèi)存大?。?G，硬盤容量：128GminisataSSD，電源：單電源，接口：6千兆電口；3、支持網(wǎng)絡(luò)對象、ISP地址、國家地區(qū)等條件進(jìn)行自動選路的策略路由，支持不少于3種的調(diào)度算法，至少包括帶寬比例、加權(quán)流量、輪詢、線路優(yōu)先等；4、支持基于應(yīng)用、服務(wù)、時間、域名、IPv6對象等維度的訪問控制；5、支持IPSecVPN智能選路功能，根據(jù)線路質(zhì)量和應(yīng)用實現(xiàn)自動鏈路切換；6、內(nèi)置超過4500種WEB應(yīng)用攻擊特征，支持對跨站腳本（XSS）攻擊、SQL注入、文件包含攻擊、信息泄露攻擊、WEBSHELL、網(wǎng)站掃描、網(wǎng)頁木馬等攻擊類型進(jìn)行防護(hù)；7、支持對不少于9000種應(yīng)用的識別和控制，應(yīng)用類型包括游戲、購物、圖書百科、工作招聘、P2P下載、社交網(wǎng)絡(luò)、旅游出行、股票軟件等類型應(yīng)用進(jìn)行檢測與控制；8、支持勒索病毒檢測與防御功能，需提供產(chǎn)品功能截圖證明；9、支持對壓縮病毒文件進(jìn)行檢測和攔截，壓縮層數(shù)支持15層及以上；10、支持策略生命周期管理功能，支持對安全策略修改的時間、原因、變更類型進(jìn)行統(tǒng)一管理，便于策略的運維與管理；10零信任安全網(wǎng)關(guān)性能參數(shù)：SSL最大理論加密流量≥250Mbps，SSL最大理論并發(fā)用戶數(shù)≥400；硬件參數(shù)：規(guī)格：1U，內(nèi)存≥8G，硬盤容量≥128GminisataSSD，單電源，接口≥4千兆電口；含：VPN系統(tǒng)軟件V2.0(*1套)；VPN接入授權(quán)軟件V2.0(*50套)；IPSEC軟件模塊(*1套)；軟件升級(*3年)；產(chǎn)品質(zhì)保（標(biāo)準(zhǔn)版）(*3年)；3、兼容Windows、Mac、UOS、麒麟、Android、iOS、鴻蒙等終端設(shè)備接入并創(chuàng)建安全工作空間；4、支持配置企業(yè)的CDN作為零信任客戶端下載地址，以降低設(shè)備本身的非業(yè)務(wù)訪問帶寬壓力；5、為了保障系統(tǒng)的穩(wěn)定性，集群節(jié)點故障后剩余節(jié)點仍能接管所有業(yè)務(wù)；本地集群需支持授權(quán)漂移機(jī)制：集群中的單節(jié)點故障后，集群的總授權(quán)數(shù)跟故障前保持一致；6、為強(qiáng)化系統(tǒng)認(rèn)證安全性，可配置在觸發(fā)異常環(huán)