负载均衡和防火墙设备参数
综合安全网关设备(防火墙)主要参数
所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(需提供相关证明文件或功能截图)
33
技术支持服务
提供三年免费质量保障售后服务承诺
25
支持对第三方API接口的功能(提供具备CNAS资质的第三方机构颁发的第三方测试报告,第三方报告需体现第三方接口支持的测试方案内容)
26
所投产品必须支持针对“应急响应消息”的手动或自动处置,处置方法至少包括基于漏洞的处置和基于威胁情报的处置(需提供相关证明文件或功能截图)
27
运维管理
产品内置安全报表模板,可定义报表内容,包括网络整体安全状况、服务器安全风险分析、终端主机安全分析等。
18
所投产品必须支持L2TP、支持L2TP over IPSec、支持PPTP ,并支持本地认证以及LDAP/Radius/证书/Active Directory/TACACS+/POP3等第三方用户认证系统。支持客户端地址分配
19
IPSec VPN支持DES、3DES、AES、AES192、AES256等标准加密算法,支持MD5、SHA1、SHA2-256、SHA2-384、SHA2-512等标准HASH算法。
22
支持对失陷的主机进行检测并阻断隔离的功能(提供具备CNAS资质的第三方机构颁发的第三方测试报告,第三方报告需体现失陷主机检测及处置的测试方案内容)
23
策略与处置
支持在单条安全策略中可同时启用入侵防御、防病毒、URL过滤、文件过滤、Web应用防护等安全功能。
24
所投产品必须支持接收前防护状态、处置状态以及相应的操作等信息;并可根据设备安全配置的变化动态显示应急响应的处理结果(需提供相关证明文件或功能截图)
28
所投产品必须web页面必须内置抓包工具,并可通过表达式方便灵活的指定抓包过滤条件
网络防火墙的负载均衡配置方法
网络防火墙的负载均衡配置方法随着互联网的迅猛发展,网络安全问题日益突出。
作为维护网络安全的重要工具之一,网络防火墙起到了至关重要的作用。
然而,仅靠一个防火墙可能无法满足大量数据流的处理需求,因此,负载均衡配置方法成为提高网络防火墙性能的重要手段。
负载均衡是指将网络流量分散到多个服务器上以达到均衡负载的目的。
在网络防火墙中,负载均衡可以实现对流量的分流和分担,提高防火墙的整体性能和可靠性。
一、硬件负载均衡配置方法硬件负载均衡是常见的一种方式,其基本原理是将网络流量通过路由器、交换机等硬件设备进行分流,使得防火墙能够平均地处理对应的数据。
1. 硬件设备选择:为了实现负载均衡,需要选购支持此功能的硬件设备。
常见的有路由器、交换机、负载均衡器等。
2. 网络架构设计:在网络设计过程中,需要考虑负载均衡的需求。
一般来说,建议采用多层次的网络架构,将不同的网络流量分流到不同的服务器上,同时避免单点故障。
3. 多服务器配置:在网络防火墙中,需要部署多个服务器来完成负载均衡的任务。
在配置过程中,需要为每个服务器分配一个唯一的IP地址,并确保网络流量能正常地路由到对应的服务器。
二、软件负载均衡配置方法除了硬件负载均衡之外,软件负载均衡也是一种常见的配置方法。
软件负载均衡是通过在防火墙上安装负载均衡软件来实现的。
1. 负载均衡软件选择:市面上有许多负载均衡软件可供选择。
常见的有Nginx、HAProxy等。
选择适合自己需求的负载均衡软件非常重要。
2. 安装配置软件:根据软件的使用说明,进行安装和配置。
通常需要设置负载均衡的算法、服务器的IP地址和端口等信息。
3. 监控和调优:在配置完负载均衡软件之后,需要进行监控和调优来确保系统的稳定性和高性能。
根据实际情况,可以通过调整负载均衡算法、增加服务器数量等方法来优化负载均衡效果。
三、虚拟化负载均衡配置方法虚拟化负载均衡是在虚拟化环境中实现负载均衡的一种方式。
在网络防火墙中,使用虚拟化技术可以将多个防火墙虚拟机实例部署在不同的物理服务器上,提高整体性能。
F5负载均衡设备参数
F5负载均衡设备参数1.带宽:F5负载均衡设备的带宽是指它能够处理的最大网络流量。
带宽越高,设备能够处理的网络流量就越大,从而增加了网络的吞吐量和响应速度。
2.吞吐量:吞吐量是指F5设备在单位时间内可以处理的网络流量量。
它是衡量负载均衡设备性能的重要指标之一、吞吐量越高,设备可以同时处理的连接数就越多,从而提高了网络的可扩展性和性能。
3.连接数:连接数是指负载均衡设备同时支持的最大连接数。
连接数越多,设备可以同时处理的用户请求也就越多。
对于高流量的网络环境,连接数是一个重要的考虑因素。
4.响应时间:响应时间是指从用户发送请求到负载均衡设备返回响应的时间。
较低的响应时间可以提高用户体验并减少用户等待时间。
5.可用性:可用性是指F5设备在运行期间的可靠性和稳定性。
负载均衡设备通常具有冗余的硬件和软件组件,以确保在设备故障时仍能保持网络的可用性。
6.安全性:负载均衡设备通常具有内置的安全功能,如防火墙、入侵检测和防御系统等。
这些功能可以帮助保护网络免受恶意攻击和数据泄露。
7.管理界面:F5负载均衡设备通常提供一个易于使用的管理界面,管理员可以使用该界面配置、监控和管理设备。
管理界面应该直观易用,并提供丰富的管理功能。
8.支持的协议:F5负载均衡设备通常支持多种协议,如HTTP、TCP、UDP和SSL等。
支持的协议越多,设备能够处理的不同类型的网络流量也就越多。
9.扩展性:负载均衡设备应具有良好的可扩展性,以便根据需要增加更多的服务器资源。
当网络流量增加时,负载均衡设备应能够水平扩展,以满足日益增长的需求。
10.监控和报告功能:F5负载均衡设备通常提供监控和报告功能,用于实时监视设备和服务器的活动,并生成性能报告和日志。
这些功能可以帮助管理员及时定位和解决网络故障。
11.高可用性:负载均衡设备通常具有高可用性配置,通过冗余硬件和软件组件来保证设备在故障时的持续可用性。
12.负载均衡算法:F5负载均衡设备通常支持多种负载均衡算法,如轮询、最短连接和源IP散列等。
网络防火墙的负载均衡配置方法(二)
网络防火墙的负载均衡配置方法随着网络技术的快速发展,网络防火墙在保护企业网络安全方面扮演着重要角色。
然而,随着企业网络流量的不断增加,网络防火墙的负载也越来越重,容易导致性能瓶颈。
为了解决这一问题,负载均衡技术应运而生,通过优化资源配置来提升网络防火墙的性能和可靠性。
负载均衡是指将网络流量平均分配到多台服务器或设备上,以达到提升整体处理能力的目的。
在网络防火墙的环境下,负载均衡的配置可以有效增加防火墙的吞吐量和并发连接数。
首先,合理选择负载均衡算法是实现网络防火墙负载均衡的关键。
常见的负载均衡算法有轮询、最小连接数、哈希算法等。
轮询算法将每个请求依次分发给每台服务器,均匀分配负载;最小连接数算法将请求分发给当前连接数最少的服务器;哈希算法则根据请求的某个特定值,如源IP地址或URL,将请求分发给确定的服务器。
不同的应用场景可根据实际情况选择合适的负载均衡算法,以达到最佳的性能。
其次,在配置网络防火墙负载均衡时,需确保各个服务器或设备之间的网络连接无障碍,以保证流量的正常传递。
可以采用物理链路聚合技术,通过将多个物理接口绑定成一个逻辑接口的方式,增加网络带宽和冗余度,提高负载均衡的可靠性。
同时,还可以通过定期监测服务器的状态和性能指标,及时发现故障或性能下降的服务器,并进行调整或替换,以保证整个负载均衡系统的稳定性。
另外,为了进一步提升网络防火墙的负载均衡效果,还可以采用智能流量调度技术。
这种技术通过深度分析网络流量,识别出具有较高访问需求或优先级的特定流量类型,将其优先分发到性能较好的服务器上。
这样可以在保证关键流量的高优先级处理能力的同时,提高整体网络防火墙的处理速度。
此外,负载均衡配置还需要注意安全性。
对于网络防火墙来说,安全性是首要考虑因素。
为了保护系统免受各种攻击和恶意流量的影响,可以采用多层安全防护策略。
例如,可以在负载均衡设备上配置访问控制列表(ACL),限制流量的来源和目的地;通过配置反向代理服务器,隐藏响应服务器的真实IP地址,增加系统的安全性。
WAF防火墙设备指标及参数说明
日志支持以syslog和welf两种格式向远端日志服务器发送日志。
日志传输可加密,且管理员可以配置加密密码。
支持系统日志、管理员登录日志、调试日志的记录
流量日志(访问日志)支持记录包括时间、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、服务器IP地址、访问的URL地址、请求方法、服务器响应、接口及发送数据大小等相关信息。
支持对HTTP/HTTPS Flood攻击源的发包速度、源新建连接数、源并发连接数做源限速控制配置,且可以阻断攻击或者将攻击IP加入黑名单。
支持对HTTP/HTTPS Flood攻击目的服务器的发包速度、源新建连接数、源并发连接数做目的限速控制配置,且可以阻断攻击或者将攻击IP加入黑名单。
支持对HTTP/HTTPS Flood攻击做重定向或验证码验证,将异常流量加入黑名单。
WEB安全防护
支持800+条以上的应用层规则。
应能识别和阻断SQL注入攻击,Cookie 注入攻击,命令注入攻击。
应能识别和阻断跨站脚本(XSS)攻击。
支持webshell等后门上传防护、支持对中国菜刀等工具对后门连接的阻断。
支持对appscan、awvs等扫描器的扫描防护
支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护
支持对身份证、信用卡、手机电话号码、座机电话号码、邮箱地址等敏感信息做检查,当检查到此类数据后可通过配置特殊字符予以替换隐藏,防止信息泄露。
支持对URL编码、多次编码等方式绕过WAF的编码方式进行识别,防止绕过。
可对文件上传做控制,包括最多上传文件数、最大文件上传大小、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制。
WAF防火墙设备指标及参数说明:
负载均衡设备指标要求
可扩展支持HTTP, FTP, STMP等常见协议的安全检查,防止不附合协议规访的访问请求。
*WEB应用防火墙
主动式及被动式应用安全防护,能防御所有已知和未知的Web蠕虫和漏洞攻击。支持防护SQL注入,跨站脚本攻击,命令注入攻击,缓冲区溢出攻击,参数/表格纂改攻击,Http/Https拒绝服务攻击,SSL Flooding攻击,应用平台漏洞攻击等针对HTTP(1.0/1.1),HTTPS应用的攻击行为,支持ICAP协议,配合防病毒设备可以对WEB病毒进行过滤。
*WEB应用加速
可扩展专门针对WEB应用的加速模块,可以通过修改浏览器行为,智能的浏览器缓存技术来对动态及静态对象进行加速,提高WEB应用的访问速度3-5倍。
*SSL VPN 功能
实现SSL VPN 远程接入功能,标配10个用户的LICENSE,并可以根据用户数进行扩展。
*设备之间的广域网加速通道
在两台设备之间可以保护并且加速广域网上传送的数据。通过对称式部署,创建一个站点到站点的安全隧道,以提高传输速率,减少带宽使用量,并且卸载应用的负载,从而实现更高效的广域网通信,保证最高的应用性能。
负载均衡设备指标要求
功能及技术指标项
参数要求
*千兆端口
≥10千兆端口,其中千兆光口不少于2个(如果电口与光口复用,只能算一个)
*吞吐量
≥2Gbps
*处理器CPU
双核CPU,主频≥1.8GHz、支持CMP(Clustering Multi Processor)技术
*内存
内存≥4GB
存储介质
Disk≥160GB,CF卡≥8G
*智能压缩
使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量。缺省提供50Mbps处理能力,最大支持1Gbps。
WAF防火墙设备指标及参数说明
台
硬件模块化设计
硬件采用模块化设计,可以通过扩展卡来增减业务接口,而非软件WAF。
和端口数量扩展能力
个可插拨默认包括2个接口;2U机架式结构;最大配置为26(其10/100/1000BASE-TSFP插槽接口和4个的扩展槽和4个接口(作为2,个10/100/1000BASE-T个中2SFP+万兆插槽)口和管理口);HA
可以查看使用业务接口的上下行实时流量。
地IP客户端和服务器及的所有可以查看通过WAFIPV4IPV6址及端口连接数及状态。
3 / 5
可以实时查看设备新建连接数、并发连接数、每秒事务数及应用层吞吐率等数据并以可视化的方式展示。HTTP
设备运行数据分析
固态硬盘等自身使用率情SSDCPU、内存、可以实时查看设备况。
1 / 5
WEB安全防护
800+条以上的应用层规则。支持
注入攻击,命令注入注入攻击,Cookie应能识别和阻断SQL攻击。
(XSS)攻击。应能识别和阻断跨站脚本
支持对中国菜刀等工具对后webshell等后门上传防护、支持门连接的阻断。
awvs等扫描器的扫描防护支持对appscan、
支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护
等第三方扫描w3af支持虚拟补丁功能,支持导入appscan、WAF的规则,对此类网站漏洞直接防护。器的扫描结果生成
可停用或启用任意一条规则,当触发规则后可以制定针对该条规则的动作,包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。
不用再上内使用,wafhttps证书支持直接将证书内容填充到传或者转换证书使用。
命令执行等常见Struts2参数污染攻击、00截断、支持HTTP攻击防护
华为交换机,路由器及防火墙技术参数要求
攻击防范
能够抵御各种DoS攻击和DDoS攻击,包括:SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、DNS Flood攻击、ARP攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、Http get攻击、CC攻击等;
产品授权*
投标现场提供原厂商针对本项目的授权书原件
成熟度
在网运行超过2年
应标承诺*
投标现场提供原厂商针对本项目投标设备满足参数要求的应标承诺书原件(原厂商签字盖章)
2.
产品主要规格
推荐参数
整机性能和硬件规格
转发性能
≥750Kpps
实配以太网路由端口
≥3*GE
整机未用可扩展插槽数
≥6
主要特性
体系架构
多核CPU和无阻塞交换架构
支持VLAN内端口隔离
支持端口聚合,
支持1:1, N:1端口镜像;
支持流镜像;
支持远程端口镜像(RSPAN);
支持ERSPAN, 通过GRE隧道实现跨域远程镜像;
支持VCT,端口环路检测
路由特性
路由表≥128K
支持静态路由
ARP≥16K
支持RIP V1、V2, OSPF, IS-IS,BGP
支持IP FRR
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置;最大支持100个虚拟防火墙;VPN支持:IPSec VPN、L2TP VPN、GRE VPN、SSL VPN
支持内置硬件加密;防火墙必须支持一对一、地址池等NAT方式;必须支持必须支持多种应用协议,如FTP、H.323、SIP、ICMP、DNS、PPTP、NAT ALG功能;支持策略NAT功能;支持的NAT功能要多样性,满足实际需求;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
TG-51440+TopSEC-CARD-8S-N+TopSEC-CARD-8A-N硬件防火墙
型号
描述
TG-51440+
TopSEC-CARD
-8S-N+TopSE
C-CARD-8A-N
硬件防火墙
版本号:V3.3
网络接口类型:8个10/100/1000自适应电口,8个SFP插槽
流量控制:能够根据IP地址、用户、协议、网络接口、时间等进行细粒度流量控制,控制粒度小于1K;支持QoS带宽管理,支持最小保证带宽和最大限制带宽,支持分层的带宽管理,支持流量统计功能。
区分安全角色:能够对不同的管理员角色分配不同的管理权限,包括超级管理权限、安全管理权限、安全审计权限等。
管理员分级:管理员分为多个级别,包括超级管理员、安全管理员和审计管理员,某个级别的管理员可管理同级别或低级别的功能模块。
控制粒度:具有区域、单独IP或网段(源/目标)、MAC地址(源/目标)、协议端口(源/目标)、用户、服务/服务组、时间表、方向、服务器/均衡组、关键字、文件、特殊端口等多种组合的细粒度的安全控制;支持定制开发。
支持协议:支持VLAN、ADSL、PPP、ISL、802.1Q、STP、HTTP、SMTP、POP3、TELNET、FTP、H.323、SIP、MMS、RTSP、SQL*NET、PPPOE、RPC、TFTP等。
日志分析:可根据设定的参数记录用户日志、通பைடு நூலகம்日志、会话日志;提供定时统计功能,可按用户预先设定的周期执行,如按日、周、月进行定时统计;提供表格及多种图形表现形式(柱状图、曲线图)的日志统计报告。
审计报警:支持按制定的条件过滤、查找日志内容;可以根据事先制定的报警响应策略对相应的审计信息给出报警,包括声音、邮件、控制台和SNMP等方式。
OS类型、版本:控制台PC的OS平台为Windows;防火墙OS平台为TOS(Topsec Operating System),版本为v3.3。OS的子版本号为v3.3.005,相应的编译器版本为v3.3。
管理模式:包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。
升级方式:包括本地升级和远程在线升级;相同型号、相同主版本的软件升级终身免费,升级内容包括产品主要版本的故障排除、版本维护、故障修复、补丁、小版本升级等,为不定期升级,当公司发布升级包后会立即通知相应用户。
负载均衡和防火墙设备参数
TopApp-81128-NLB负载均衡
型号
描述
TopApp-81128-NLB负载均衡
端口:标配6个10/100/1000BASE-TX接口;4个SFP插槽;
CPU主频:3.1Ghz
内存实配(单位M):8000
内存最大可扩展(单位M):64000
存储介质(单位M):128000
重量(kg):20.8
工作环境(温度、湿度):工作温度0~45℃,工作湿度-20~85℃
电源(W):300
认证标准(安全标准、电磁辐射认证):GB9254-1998,GB17618-1998,FCC Class B,IEC 61000-4-2(静电放电ESD抗扰度),IEC 61000-4-3(射频电磁场抗扰度),IEC 61000-4-4(电快速瞬变EFT抗扰度),IEC 61000-4-5(浪涌Surge抗扰度)
最大并发会话数:500万
交换背板(单位Gb/s):1
HTTP压缩(单位M/s):300
VLAN个数:255
IP路由表项:无限制
四层处理能力(/秒):130000
七层处理能力(/秒):250000
支持的虚拟服务器数量VIP:无限制
Real Server:无限制
SSL支持/对称加密流量:2Gbps
SSL支持/在线会话数:300000
常规工作环境:电压:AC 100~240V,频率:47~63HZ,电流:4.5-2A,功率:300W,运行温度:0~45摄氏度,存储温度:-20~70摄氏度,相对湿度:5~95%,非冷凝.
地址转换:可实现动态/静态地址转换;可同时实现正向、反向地址转换功能。
地址绑定:可以实现MAC/IP绑定,支持手工配置和自动搜索两种方式。
代理类型:支持透明代理和非透明代理。
协议种类:支持代理的协议种类包括FTP,HTTP,SMTP,POP3等。
邮件过滤:能够根据邮件主题、收发件人、附件类型、邮件大小等条件进行邮件过滤。
安全产品的联动:支持与专业IDS产品实现联动,包括天融信网络卫士入侵检测系统、启明星辰天阗入侵检测系统、金诺网安KIDS、中科网威入侵检测系统、绿盟冰之眼入侵检测系统等。防病毒系统支持北信源VRV、卡巴斯基网络版。
API接口:支持
高可用:双机热备,支持扩展冗余电源。
支持的网络协议:支持所有TCP/IP、UDP协议。
VLAN与VLAN TAG:支持802.1q标准封装协议
链路聚合故障切换:具备链路聚合故障切换
光纤千兆端口:缺省配置1个扩展插槽,最大支持扩展8个光纤接口,支持千兆多模光纤接口、千兆单模光纤接口
10/100/1000M端口:缺省配置4个10/100/1000BASE-TX接口。
功能模块分级:采用分级的模块化功能组合,可以为不同的功能模块分配不同的管理权限,如区域管理权限和全局管理权限等,某个级别的功能模块可接受同级别或更高级别的管理员管理。
报警和审计:具有完善的审计和报警功能,对于不同级别的安全事件可提供不同的报警方式,当日志存储空间耗尽时,系统提供报警功能。
自身抗攻击:具有强大的抗攻击能力,支持抵御多种流行的DoS/DDoS攻击和各种常见的网络攻击,如端口扫描攻击、IP碎片攻击、Syn攻击、ICMP碎片攻击、大包ICMP攻击、DNS攻击、RIP攻击等。
IP Version:IP V4,IP V6
防止Dos攻击:自身具备一定的抗攻击能力,可以防御来自网络上的各种入侵或攻击,包括抗端口扫描攻击、抗DoS和DDoS攻击等。
安全的管理:包括GUI、WEB界面、命令行界面等。支持远程集中管理功能
RS-232C控制口:具备1个console口。
外观尺寸(长*宽*高/cm):426×450×89
安全访问:支持多种安全认证和访问权限控制方式,包括用户名/口令方式、一次性口令(OTP)、RADIUS、S/KEY、TACACS、LDAP、SecurID、域认证及数字证书(CA)等常用的安全认证方法。