WAF防火墙设备指标及参数说明:
指标 | 功能参数 | 数量 | 单位 | 备注 | |
设备本基 要求 | 专用的硬件和软件保障 | 基于操作系统内核采用专用硬件架构与专用安全操作系统,的完全检测技术;硬件设备可以机架安装。产品必须为专业类设\UTM 性 WEB 应用防火墙硬件设备,而非下一代防火墙需提供厂家3年,备集成的 WEB 防护功能;硬软件质保期≥ 质保证明文件 | 1 | 台 | |
硬件模块化设计 | 硬件采用模块化设计,可以通过扩展卡来增减业务接口,而非软件WAF。 | ||||
和端口数量扩展能力 | 个可插拨默认包括2个接口;2U机架式结构;最大配置为26(其10/100/1000BASE-TSFP插槽接口和4个的扩展槽和4个接口(作为2,个10/100/1000BASE-T个中2SFP+万兆插槽) 口和管理口);HA | ||||
MTBF | 小时不少于450000 | ||||
能性 要求 | 应用层吞吐率 | 3G | |||
最大吞吐能力 | 20G | ||||
会话TCP并发 数 | 300万 | ||||
络网 部署 | 部署方式 | 纯透明模式串联部署、旁路监测模式部署、负载均衡模无IP 式部署、反向代理模式部署。 | |||
串联部署时防护口不占用IP地址。 | |||||
的串联部署时服务器可以看到真实客户端源IPWAF,而不是 IP业务地址。 | |||||
网络适应性 | trunkVLAN支持划分,支持多VLAN环境下的部署。 | ||||
支持虚拟线无论任何网络环境可强制数据从一个接口转发到 另一个接口。 | |||||
物理接口支持子接口 | |||||
链部署,提高链路带宽;支持Trunk支持链路聚合(Channel) 路防护。 | |||||
MTU支持自定义配置网络接口、双工模式、双工模式等属性。 | |||||
支持静态路由及策略路由配置。 | |||||
ARP支持绑定 | |||||
MAC支持静态地址表配置 | |||||
支持服务器健康检查,可以实时监测服务器的活跃状态;健 康记录可定期备份 | |||||
协议。支持IPV6 | |||||
协议下邻居指定支持IPV6 | |||||
、目的IP、源区域、目的支持网络层防火墙功能,支持源IP 区域等条件的访问控制。 | |||||
攻击 防护 | 支持HTTPS | 支持HTTP/HTTPS站点防护 | |||
协议合规检查 | 支持请求限制配置通过定义最大请求头长度、最大长度、最大请求行长度、最大、最大content-lengthbody最行长度、header头个数、header最多cookies最多个数、 大header长度等来对请用户数据做合规性检查。 | ||||
1 / 5
WEB安全防护 | 800+条以上的应用层规则。支持 | ||||
注入攻击,命令注入注入攻击,Cookie 应能识别和阻断SQL 攻击。 | |||||
(XSS)攻击。应能识别和阻断跨站脚本 | |||||
支持对中国菜刀等工具对后webshell等后门上传防护、支持 门连接的阻断。 | |||||
awvs等扫描器的扫描防护支持对appscan、 | |||||
支持远程文件包含、本地文件包含、目录遍历、信息泄露等 攻击防护 | |||||
命令执行等常见Struts2参数污染攻击、00截断、支持HTTP 攻击防护 | |||||
支持爬虫防护且用户可以根据需要可以自定义爬虫 | |||||
支持暴力登录防护,用户可以根据需要配置需要防护暴力登 录的界面 | |||||
支持盗链防护,且支持攻击源盗链例外配置,及目的服务器 例外配置。URI | |||||
攻击应能识别和阻断跨站请求伪造(CSRF) | |||||
黑白名单控制。黑白名单、URL支持IP | |||||
支持对身份证、信用卡、号码、座机电话号码、邮箱地址等敏感信息做检查,当检查到此类数据后可通过配置 特殊字符予以替换隐藏,防止信息泄露。 | |||||
的编码方式进行编码、多次编码等方式绕过WAF支持对URL 识别,防止绕过。 | |||||
可对文件上传做控制,包括最多上传文件数、最大文件上传类型及允许请求大小、可以通过对上传文件的扩展名、MIME 体编码类型等做上传控制。 | |||||
可对文件做下载控制,包括最大下载文件大小、禁止下载文 类型等件的扩展名、MIME | |||||
检测到攻击后支持阻断、只检测等动作且动作为阻断时用户 可自定义阻断页面。 | |||||
地址URIURL中的特殊支持URI策略例外,可针对服务器上 做单独的策略控制。 | |||||
参数的长度、支持自学习建模功能,可以通过学习正常URL参数类型、请求方法等数据特点创建白名单模型,如果参数违反白名单模型则认为是非法流量直接阻断。开启自学习建 模功能后可生成自学习网站参数的自学习结果报告。 | |||||
等第三方扫描w3af支持虚拟补丁功能,支持导入appscan、 WAF的规则,对此类网站漏洞直接防护。器的扫描结果生成 | |||||
可停用或启用任意一条规则,当触发规则后可以制定针对该条规则的动作,包括阻断记录日志、阻断不记录日志、继续、 警告、临时或永久跳转到某一重定向页面等动作。 | |||||
不用再上内使用,wafhttps证书支持直接将证书内容填充到 传或者转换证书使用。 | |||||
2 / 5
配置易用性 | 而不需要配置需要防护的地址进行防护,可以针对服务器IP 网站域名。 | ||||
地址IP支持域名自学习,可以自动学习网络中网站服务器的 及此地址下的域名。 | |||||
DDoS攻击防护 | 正常流量阈值模型,http支持基线学习,可以自动学习用户 并给出推荐阈值配置项。 | ||||
检测清洗根流量支持检测清洗和强制防御两种模式,对ddos据是否到达阈值对流量进行清洗,强制清洗对所有流量直接 进行流量清洗判断。 | |||||
支持针对每秒包数、每秒新建连接数、每秒并发连接数对 HTTP/HTTPS Flood攻击做控制配置。 | |||||
的次数做控制配置,支持对客户端在单位时间内的访问URI攻击访问消耗服恶意ddos防止特定URI路径被HTTP Flood 务器资源导致服务器拒绝服务。 | |||||
ddos攻击的防护。SLOW POST的等慢速支持对SLOW HEADER和 | |||||
源新建连接数、攻击源的发包速度、支持对HTTP/HTTPS Flood源并发连接数做源限速控制配置,且可以阻断攻击或者将攻 加入黑名单。击IP | |||||
攻击目的服务器的发包速度、源新Flood支持对HTTP/HTTPS 建连接数、源并发连接数做目的限速控制配置,且可以阻断 加入黑名单。攻击或者将攻击IP | |||||
攻击做重定向或验证码验证,将异Flood支持对HTTP/HTTPS 常流量加入黑名单。 | |||||
网页防篡改 | 网关型网页防篡改,无需在服务器中安装任何插件,可以对 动态网。站及静态网站文件内容进行防篡改,当检测到篡改后可以实 时恢复篡改内容。 | ||||
漏洞扫描 WEB | 注入、跨站应用漏洞的安全扫描检测,如SQL支持多种WEB 脚本、目录遍历等。 | ||||
webWEB漏洞扫描任务,支持对需要认证登录的支持自定义系统进行漏洞扫描,支持自定义每日、每周、每月等扫描周 期设置。 | |||||
等格式pdf,html,txt,xmlweb漏洞扫描报告,报告支可导出 导出。 | |||||
负载均衡 | 支持多服务器的负载均衡,支持轮叫、加权轮叫、原地址散 列、最小连接等多种负载均衡算法。 | ||||
能配合现有的负载均衡设备协同工作,支持任意部署,而不 影响客户现有拓扑。 | |||||
数据 分析 | 网络数据分析 | 口、管理口、扩展卡、接口、USBWeb界面可以直观查看WAF 口及业务口的运行状态。HA | |||
可以查看使用业务接口的上下行实时流量。 | |||||
地IP客户端和服务器及的所有可以查看通过WAFIPV4IPV6 址及端口连接数及状态。 | |||||
3 / 5
可以实时查看设备新建连接数、并发连接数、每秒事务数及 应用层吞吐率等数据并以可视化的方式展示。HTTP | |||||
设备运行数据分析 | 固态硬盘等自身使用率情SSDCPU、内存、可以实时查看设备 况。web应用防护系统 | ||||
日志报表数据 分析 | 两种格式向远端日志服务器发送welfsyslog和日志支持以 日志。 | ||||
日志传输可加密,且管理员可以配置加密密码。 | |||||
支持系统日志、管理员登录日志、调试日志的记录 | |||||
、客户端IP)支持记录包括时间、客户端流量日志(访问日志地址、、服务器端口、协议类型、服务器IPIP端口、服务器地址、请求方法、服务器响应、接口及发送数据访问的URL 大小等相关信息。 | |||||
、客户端攻击日志支持记录包括时间、严重程度、客户端IP、服务器端口、协议类型、时间类型、触发端口、服务器IP ID、解决建议、处理动作、攻击请求头等相关信息。规则 | |||||
DDOS日志的记录。支持防篡改日志及抗 | |||||
格式的日志导出,及XML日志支持多条件与查询,支持CSV 日志支持清空配置。 | |||||
支持每种攻击时间类型及次数的统计并以柱状图等形式直观 展现。 | |||||
攻击IP支持最近一小时、一天、三十天等多种条件内攻击源 的统计。次数及攻击分布TOPN | |||||
系统 管理 | 系统管理 | 多种方式管理。、ConsoleSSH支持SSL的WEB界面、 | |||
服务器同步时间。支持手工设置时间、本地同步时间、和NTP | |||||
等多种故障诊断方、DNSHTTPTRACEROUTE、TCP、支持ping、 式。 | |||||
SNMP陷阱主机功能。、V3管理,支持的支持SNMPV1、V2 | |||||
域名解析。WAF本机DNS支持 | |||||
配置文件导入、导出及恢复出厂配置。支持WAF | |||||
方式升级及命令行等方式的离线升级。支持操作系统WEB | |||||
支持规则库的在线升级和离线升级。 | |||||
支持攻击日志短信告警,可以将特定的攻击类型的攻击日志 发送给指定手机接收。 | |||||
支持攻击日志邮件告警,可以定时将特定攻击类型的攻击日 志间隔定一定时间后定时发送至指定邮箱。 | |||||
支持攻击报表邮件告警,可以定时将攻击报表间隔定一定时 间后定时发送至指定邮箱。 | |||||
sslstarttls认证传输、支持告警邮件支持明文传输、支持的加密传输。 | |||||
账号及认证管理 | 支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号 管理功能。 | ||||
支持用户身份认证,用户切换角时,必须进行重新认证。 | |||||
支持超时重新认证机制并能够定义用户认证尝试的最大允许 | |||||
4 / 5
失败次数。 | |||||
支持账号策略自定义,支持定义允许最大登录失败次数、密码错误账号锁定时间、最大在线管理员数、对其他非法在线 管理员强制下线、防管理员账号暴力破解。 | |||||
可高 用性 | 双机热备 | 支持双机热备,主备模式、主主负载均衡模式、连接保护模主主模式下一边断了,会话表会同步到另一边数据不丢(式 。包) | |||
配置同步。支持两台WAF | |||||
另外一个down(一个接口支持同一台WAF上下接口状态联动 。接口也同步down) | |||||
WAF纯透明交换模式接入。两台WAF路由模式接入、两台 | |||||
功硬件Bypass 能 | bypass模块。支持开机及断电bypass模式,光口支持外置 | ||||
质资 要求 | 厂商资质 | 中国信息安全测评中心颁发的《中国国家信息安全漏洞库 )一级技术支撑单位》(CNNVD国-国家互联网应急中心颁发的《网络安全应急服务支撑单位 家级》 中国信息安全认证中心颁发的《一级应急处理服务资质》 中国信息安全认证中心颁发的《一级风险评估服务资质》 | |||
产品资质 | 中华人民共和国公安部颁发的《计算机信息系统安全专用产 品销售许可证》 | ||||
《涉密信息系统产品检测证书》国家保密科技测评中心颁发的) 类专业WAF( | |||||
中华人民共和国国家版权局颁发的《计算机软件著作权登记 证书》 | |||||
应用防火墙认证证书》OWASP颁发的《web | |||||
)EAL3+国家信息安全测评信息技术产品安全测评证书( | |||||
5 / 5
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论