l 針對IDC網(wǎng)絡(luò)治理部分和IDC服務(wù)部分應(yīng)提出不同的安全級別解決方案。
l 所有的IDC安全產(chǎn)品要求廠家穩(wěn)定的服務(wù)保障和技術(shù)支持隊伍。服務(wù)包括產(chǎn)品的定時升級,培訓(xùn),入侵檢測,安全掃描系統(tǒng)報告分析以及對安全事故的快速響應(yīng)。
l 安全產(chǎn)品應(yīng)能與集成商方案的網(wǎng)管產(chǎn)品,路由,交換等網(wǎng)絡(luò)設(shè)備功能兼容并有效整合。
l 所有的安全產(chǎn)品應(yīng)具有公安部的銷售許可和國家信息化辦公室的安全認證。
l 所有安全產(chǎn)品要求界面友好,易于安裝,配置和治理,并有詳盡的技術(shù)文檔。
l 所有安全產(chǎn)品要求自身高度安全性和穩(wěn)定性。
l 安全產(chǎn)品要求功能模塊配置靈活,并具有良好的可擴展性。
1.3 防火墻部分的功能需求 l 網(wǎng)絡(luò)特性:防火墻所能保護的網(wǎng)絡(luò)類型應(yīng)包括以太網(wǎng)、快速以太網(wǎng)、(千兆以太 網(wǎng)、ATM、令牌環(huán)及FDDI可選)。支持的最大LAN接口數(shù):軟、硬件防火墻應(yīng)能提供至少4個端口。
l 服務(wù)器平臺:軟件防火墻所運行的操作系統(tǒng)平臺應(yīng)包括Solaris2.5/2.6、linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可選)。
l 加密特性:應(yīng)提供加密功能,最好為基于硬件的加密。
l 認證類型:應(yīng)具有一個或多個認證方案,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、數(shù)字證書等。
l 訪問控制:包過濾防火墻應(yīng)支持基于協(xié)議、端口、日期、源/目的ip和MAC地址過濾;過濾規(guī)則應(yīng)易于理解,易于編輯修改;同時應(yīng)具備一致性檢測機制,防止沖突;在傳輸層、應(yīng)用層(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持;支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。
l 防御功能:支持病毒掃描,提供內(nèi)容過濾,能防御Ping of Death,TCP SYN Floods及其它類型DoS攻擊。
l 安全特性:支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP 代理);提供入侵實時警告;提供實時入侵防范;識別/記錄/防止企圖進行IP地址欺騙。
l 治理功能:支持本地治理、遠程治理和集中治理;支持SNMP監(jiān)視和配置;負載均衡特性;支持容錯技術(shù),如雙機熱備份、故障恢復(fù),雙電源備份等。
l 記錄和報表功能:防火墻應(yīng)該提供日志信息治理和存儲方法;防火墻應(yīng)具有日志的自動分析和掃描功能;防火墻應(yīng)提供告警機制,在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運轉(zhuǎn)異常情況時,通過告警來通知治理員采取必要的措施,包括E-mail、呼機、手機等;提供簡要報表(按照用戶ID或IP 地址提供報表分類打印); 提供實時統(tǒng)計。
