1、19英寸标准机架式硬件设备,物理内存≥8G,硬盘容量≥1T,配置冗余电源。
2、▲吞吐量≥2Gbps,包转发率≥11.9Mpps,每秒新建连接≥10w,最大并发连接数≥400w。
3、支持IPV6/V4双栈同时工作,支持IPV6流量分析,实现IPV4环境下所有功能。
4、通过旁路部署方式对全流量信息进行采集,支持探针同时接入多个镜像口,每个口相互独立不影响。允许将多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台。
4、具备主动发送少量探测报文,发现潜在的服务器(影子资产)以及学习服务器的基础信息,如:操作系统、开放的端口号等。
5、具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等。
6、具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。
7、能够识别应用类型≥1100种,应用识别规则总数≥3000条,具备亿万级别URL识别能力,漏洞特征库规则数量≥4000条以上。漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号等。
8、可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。
9、提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,能够发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型。
10、支持对节点内部主机外发的异常流量进行检测,支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为。
11、支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能。
12、▲支持DNS审计日志、HTTP审计日志、SMB审计日志、SMTP、POP3、IMAP审计日志、AD域协议审计日志、用于为安全态势感知平台dns flow分析引擎、http flow分析引擎、SMB flow分析引擎、Mail flow分析引擎、AD域分析引擎等进行安全分析提供数据源支持。
13、能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容至少包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为等。
14、▲支持通过设备对流量进行抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。
15、支持设备内置简单命令行管理窗口,便于基础运维调试。能够提供网络管理功能,可进行静态路由配置。
16、支持在线升级和离线升级,并依托安全感知平台进行统一管控。
原文链接:http://ggzy.xuchang.gov.cn/zcqxcs/59220.jhtml