互联网出口防火墙性能指标
互联网出口防火墙方案
技术指标
指标要求
性能要求Байду номын сангаас
★吞吐量≥10Gbps,并发连接数≥220万,新建连接数≥15万;IPSec VPN接入隧道数≥1000,IPSec VPN加密速度≥450Mbps;硬件指标:2U,不少于1T存储,双电源;配置≥10个千兆电口,≥4个千兆光口;防火墙具备入侵防御和网关防病毒功能模块;
产品联动
支持与安全态势感知产品实现联动,防火墙支持以标准syslog形式上传到态势感知平台,供态势感知系统进行深度关联分析并对恶意威胁实现联动封锁;支持直接从安全态势感知产品上直接下发应用控制策略到防火墙。
入侵防护功能
★设备具备独立的入侵防护漏洞规则特征库,特征总数在7400条以上;
支持对服务器和客户端的漏洞攻击防护,支持XSS攻击、SQL注入等WEB攻击行为进行有效防护;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telnet、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
★访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式,支持长连接功能并可以配置连接时长;
访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则长时间未有匹配等情况;
支持添加访问控制策略时对象直接引用防火墙识别的资产信息。
※访问控制规则支持模拟策略匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;
支持SMB v1/v2协议传输的文件杀毒,支持非PE文件的杀毒,支持压缩文件查杀
山石网科:防火墙的那些性能指标,你了解吗?
山石网科:防火墙的那些性能指标,你了解吗?正如购买其他电子设备需要了解很多性能参数一样,选购一台防火墙也需要了解众多的的性能指标。
那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发,都意味着什么,如何测算得出,到底可以带给用户什么好处?有什么意义?山石网科Hillstone将为您解读防火墙四大指标的含义以及测试方法。
吞吐量(Throughput)吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标,它是指网络设备在每一秒内处理数据包的最大能力。
吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。
设备吞吐量越高,所能提供给用户使用的带宽越大,就像木桶原理所描述的,网络的最大吞吐取决于网络中的最低吞吐量设备,足够的吞吐量可以保证防火墙不会成为网络的瓶颈。
举一个形象的例子,一台防火墙下面有100个用户同时上网,每个用户分配的是10Mbps的带宽,那么这台防火墙如果想要保证所有用户全速的网络体验,必须要有至少1Gbps的吞吐量。
吞吐量的计量单位有两种方式:常见的就是带宽计量,单位是Mbps(Megabits per second)或者Gbps(Gigabits per second),另外一种是数据包处理量计量,单位是pps(packets per second),两种计量方式是可以相互换算的。
在进行对一款设备进行吞吐性能测试时,通常会记录一组从64字节到1518字节的测试数据,每一个测试结果均有相对应的pps数。
64字节的pps数最大,基本上可以反映出设备处理数据包的最大能力。
所以从64字节的这个数,基本上可以推算出系统最大能处理的吞吐量是多少。
很多路由设备的性能指标有一点就是标称xxMpps,所指的就是设备处理64字节的pps数。
比如64字节的pps为100000pps,吞吐量通过换算为100000×(64+20) ×8/1000000= 67.2Mbps,拿这个结果计算1518字节的数据为100000×(1518+20) ×8/100000=1230.4Mbps。
WAF防火墙设备指标及参数说明
不少于450000小时
性能要求
应用层吞吐率
3G
最大吞吐能力
20G
并发TCP会话数
300万
网络部署
部署方式
无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署、反向代理模式部署。
串联部署时防护口不占用IP地址。
串联部署时服务器可以看到真实客户端源IP,而不是WAF的业务IP地址。
网络适应性
支持对身份证、信用卡、手机电话号码、座机电话号码、邮箱地址等敏感信息做检查,当检查到此类数据后可通过配置特殊字符予以替换隐藏,防止信息泄露。
支持对URL编码、多次编码等方式绕过WAF的编码方式进行识别,防止绕过。
可对文件上传做控制,包括最多上传文件数、最大文件上传大小、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制。
配置易用性
可以针对服务器IP地址进行防护,而不需要配置需要防护的网站域名。
支持域名自学习,可以自动学习网络中网站服务器的IP地址及此地址下的域名。
DDoS攻击防护
支持基线学习,可以自动学习用户http正常流量阈值模型,并给出推荐阈值配置项。
对ddos流量支持检测清洗和强制防御两种模式,检测清洗根据是否到达阈值对流量进行清洗,强制清洗对所有流量直接进行流量清洗判断。
WAF防火墙设备指标及参数说明:
指标
功能参数
数量
单位
备注
设备基本要求
专用的硬件和软件保障
采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;硬件设备可以机架安装。产品必须为专业性 WEB 应用防火墙硬件设备,而非下一代防火墙\UTM 类设备集成的 WEB 防护功能;硬软件质保期≥3年,需提供厂家质保证明文件
防火墙性能指标
附件1:防火墙性能指标附件2:入侵检测性能指标附件3:防病毒软件技术指标要求一、服务器防护产品1、具备病毒爆发防御功能。
当最新病毒爆发时,可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭,切断病毒传播途径,预防最新病毒的攻击。
2、支持Windows NT/2000/2003 Server、RedHat Linux、SuSE Linux、Turbolinux DataServer、Novell Netware、Microsoft SharePoint Potal Server、EMC Celerra、Network Appliance Filer等系统的实时病毒防护。
3、智能型扫描机制,能够以文件真正格式作扫描,通过文件头的真实信息而不是简单的通过文件扩展名来识别文件的类型,以提高扫描效率。
4、对服务器进行逻辑分组功能,可分别对不同服务器采取不同的管理策略。
5、安装、卸载、代码或引擎升级均不能重新启动操作系统。
二、桌面端防护产品1、具备病毒爆发防御功能。
当最新病毒爆发时,可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭,切断病毒传播途径,预防最新病毒的攻击。
2、具备个人防火墙功能,可对多种协议数据包进行阻挡,同时具备IDS功能,可对网络中异常浏览进行监控。
3、产品可对网络病毒数据包进行扫描(Network Virus Scanning)。
4、弱点评估功能可对网络中的防毒系统漏洞进行检测,防止这些弱点成为病毒攻击的对象。
5、防病毒管理必须提供Web管理方式,可支持IIS或Apache服务器;管理通讯采取加密措施。
6、一台管理服务器支持的客户端数量不少于50,00 0台,体现管理卓越性能。
7、具备远程病毒集中清除功能。
可对网络中感染病毒的计算机进行远程自动清除,无需知道计算机的物理位置,无需到客户端逐一清除病毒。
8、对于蠕虫、特洛伊木马等恶意程序的专杀工具能够随产品在线自动更新,无需手动下载。
防火墙设备技术要求 一、防火墙参数要求: 1性能方面: 11网络吞吐量
防火墙设备技术要求一、防火墙参数要求:1. 性能方面:1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接〉15万。
1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。
1.3冗余双电源,支持HA、冗余或热备特性。
1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。
1.5内置硬盘,不小于600G,用于日志存储。
2. 功能方面(包含并不仅限于以下功能):2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。
2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。
2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。
2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。
2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。
2.7具有内置或第三方CA证书生成、下发及管理功能。
2.8具有身份认证、身份审计功能,支持用户ID与用户IP地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。
2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。
2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。
2.11具有病毒防护模块,可包含5年病毒库升级服务。
2.12具备基于WEB页面的管理、配置功能,可通过WEB页面实现所有功能的配置、管理和实时状态查看。
简述防火墙的主要技术指标
简述防火墙的主要技术指标
x
防火墙是一种安全设备,它可以保护网络免受外部攻击,以阻止未经授权的网络访问。
防火墙有很多不同的技术指标,下面介绍几项主要的技术指标:
一、性能指标:是指防火墙设备处理报文(包括过滤报文以及维护会话状态)的能力,以及处理相关的各项操作、功能等耗时的性能指标,常用性能如下:
1. 吞吐量:是指防火墙设备能够同时处理的报文数量;
2. 延迟:是指防火墙设备处理报文的时间间隔;
3. 启动时间:是指防火墙设备启动后,可以正常使用的时间;
4. 可用性:是指防火墙设备在正常运行条件下能够达到的可用性;
5. 内存开销:是指防火墙设备在处理报文时,每个报文所占用的内存开销。
二、安全指标:
1. 防火墙认证:防火墙认证是指在进行网络连接时,对用户的身份和权限进行认证;
2. 攻击防护:是指防火墙设备能够检测、阻止、并且记录网络中可疑的攻击,如拒绝服务攻击(DDoS)、TCP SYN Flood等;
3. 可靠性:是指防火墙设备在正常情况下的运行稳定性;
4. 审计功能:是指防火墙设备能够记录详细的网络访问日志,
以供审计之用;
5. 加密功能:是指防火墙设备能够支持的加密算法和密钥管理等功能。
衡量防火墙性能的参数指标有哪些
衡量防火墙性能的参数指标有哪些导读:我根据大家的需要整理了一份关于《衡量防火墙性能的参数指标有哪些》的内容,具体内容:防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
对于防火墙的性能,我们应该怎么衡量比较呢?这篇文章主要介绍了衡量防火墙性能的几个重要参数指标,需要的...防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
对于防火墙的性能,我们应该怎么衡量比较呢?这篇文章主要介绍了衡量防火墙性能的几个重要参数指标,需要的朋友可以参考下防火墙主要参考以下3种性能指标:整机吞吐量:指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。
最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。
该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。
并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
并发连接数是衡量防火墙性能的一个重要指标。
在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几个数量级的差异。
那么,并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是"会话"。
关于防火墙两个关键性能指标的一点思考
关于防火墙两个关键性能指标的一点思考一. 涉及产品
防火墙等安全网关类产品
二. 涉及技术指标
2.1 吞吐量
个人认为准确的表达单位应为pps,且要注明包大小
1Gbps=1024Mbps=1024 x 1024Kbps,pps等于bps除以8再除以包的尺寸
假如包大小为1518Byte,1Gbps=[1024 x 1024]Kbps / [8 x 1518]=86.345Kpps
假如包大小为512Byte,1Gbps=[1024 x 1024] Kbps/ [8 x 512]=256Kpps
假如包大小为64Byte,1Gbps=[1024 x 1024] Kbps/ [8 x 64]=2048Kpps
所以在1秒时间里,防火墙处理的包尺寸越小,要求处理的包的个数就越多,也越能彰显处理效率(即性能),例如,千兆网卡理论上可以一个不落地转发2048K个小包,但系统总线本身的处理性能若也能达到这个数而不丢包,则可视为线速转发;
2.2 并发会话
防火墙维护(不中断)的会话条目数,一条会话建立起来后,可能会产生若干数据包,但这些数据包构成的有关该会话的流量大小并不能说明会话是有大小这样的概念的,它可以被理解成一个通道;
如果会话建立后并无流量(实际通信),则系统会设置一个超时拆除该会话的机制,比如xx秒
防火墙能维护多少会话取决于会话表的容量,比如每条会话表项占用300B,而FG 300C 支持2M条并发会话,那么它应该具有300 x 2M=600MB内存
注:
1Mbps=1024Kbps
1Kbps=1024bps。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
互联网出口防火墙性能指标
标准1U机箱,标配4个千兆MBASE-T接口,2个千兆SFP 接口;整机吞吐率(bps)≥8G,最大并发连接数≥180万,每秒新建连接数≥8万,内置2对电口BYPASS。
1. 具备2-7层的网络安全防护功能,具备防火墙、APT检测、VPN、IPS、WAF、网页防篡改、WEB风险扫描等功能模块;2. 要求能够实现对蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸/VPN隧道攻击等的防护,支持安全防护策略智能联动,可智能生成临时规则封锁攻击源IP,临时封锁时间可自定义,要求提供设备界面截图证明;3. 漏洞特征库: 4000+,支持自动或者手动升级,需提供设备界面截图证明;具备专业攻防团队每1-2周进行特征库和紧急漏洞更新,需提供官网更新数据,处理动作支持“云联动”,支持自动拦截、记录日志、上传灰度威胁到“云端”,提高分析检测能力,提供设备界面截图证明;4. 要求能够实现SQL注入、XSS攻击、WEBSHELL攻击、CSRF跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击和信息泄露攻击等的等web攻击防护,为保障功能可靠性,★要求提供OWASP认证和NSS Labs测试报告证明;5. 要求支持APT攻击检测,实现已感染病毒、木马、蠕虫、僵尸网络等终端的外发恶意流量阻断,保障内网终端安全,需提
供设备界面截图证明;6. 要求支持服务器、客户端的漏洞风险评估功能,能够对目标IP进行端口、服务扫描,同时支持多种应用的弱口令评估与扫描,要求提供设备界面截图证明;支持手动/定时的web风险扫描功能,预定义快速、完整的扫描模板,且支持自定义扫描模板;7. 为保障软件成熟度及软件可靠性,要求厂家为微软MAPP计划合作伙伴并具备国家互联网应急响应中心应急服务支撑单位资质,要求所投品牌厂商是公安部第二代防火墙标准起草单位之一;8. 支持脚本过滤和ActiveX过滤,并能识别并封堵含有恶意插件的网络访问行为,必须能识别并封堵含有恶意脚本、挂载木马等危险网页访问行为,要求提供自主知识产权证明,支持恶意链接检测功能,内置恶意链接地址库,对于可疑的地址链接,设备能够同云端安全分析引擎进行联动,可疑威胁行为在云端进行沙盒执行检测并返回行为分析报告,需提供设备分析报告截图;9. 要求支持网关型网页防篡改,篡改检测需要支持精确匹配和模糊匹配的方式,检测到篡改能提供短信、邮件等报警方式,要求提供设备界面截图证明;10. 要求支持双向内容检测,内置数据泄密防护识别库,能够识别身份证、手机号码、银行卡号、邮箱等敏感信息,并且阻止此类敏感信息被泄密,需提供设备界面截图证明;11. 支持针对重要业务系统的管理员后台URL/Telnet/SSH登录页面扩展短信强认证的功能,防止口令爆破或是社会工程学攻击,要求提供设备界面截图证明。