天融信網(wǎng)絡安全產(chǎn)品大全

天融信網(wǎng)絡安全產(chǎn)品大全

目錄

1產(chǎn)品功能描述................................................................5

1.1防火墻...........................................................5

1.1.1系統(tǒng)概述........................................................................................................5

1.1.2功能描述........................................................................................................5

1.2入侵防御系統(tǒng).....................................................6

1.2.1系統(tǒng)概述........................................................................................................6

122功能描述.........................................................................................................6

1.3WEB應用防火墻.................................................7

1.3.1系統(tǒng)概述........................................................................................................7

1.3.2功能描述........................................................................................................8

1.4漏掃掃描系統(tǒng)....................................................11

1.4.1系統(tǒng)概述.......................................................................................................11

1.4.2功能描述.......................................................................................................11

1.5數(shù)據(jù)庫審計系統(tǒng).................................................13

7.5.7系統(tǒng)概述......................................................................................................13

1.5.2功能描述......................................................................................................14

1.6負載均衡系統(tǒng)....................................................15

1.6.1系統(tǒng)概述......................................................................................................15

1.6.2功能描述......................................................................................................16

2安全產(chǎn)品硬件規(guī)格及性能參數(shù).................................................17

2.1防火墻品目一：TG-62242.........................................................................17

2.2防火墻品目二：TG-42218.........................................................................19

2.3入侵防御：TI-51628................................................................................20

2.4WAF:TWF-72138......................................................................................21

2.5漏掃：TSC-71528.........................................................................................22

2.6數(shù)據(jù)庫審計:TA-11801-NET/DB.................................................................24

2.7負載均衡：TopApp-81238-NLB-R......................................................25

2.8相關應答：.....................................................26

3產(chǎn)品測試方案................................................................29

3.1負載均衡系統(tǒng)測試方案...........................................29

3.1.1測試目的........................................................29

3.1.2測試內(nèi)容........................................................29

3.1.3測試環(huán)境........................................................29

3.1.4測試用例設計...................................................30

3.1.5測試結論........................................................46

3.2防火墻測試方案.................................................46

3.2.1測試說明........................................................46

3.2.2功能要求及測試方式.............................................40

3.2.3測試結果記錄...................................................64

3.3入侵防御系統(tǒng)測試方案...........................................66

3.3.1測試說明........................................................66

3.3.2測試環(huán)境........................................................66

3.3.3攻擊測試內(nèi)容和方法.............................................69

3.3.4WEB過濾測試內(nèi)容和力法.........................................76

3.3.5應用監(jiān)控測試和方法.............................................77

3.3.6防病毒測試內(nèi)容和方法...........................................78

3.3.7防火墻聯(lián)動......................................................79

3.3.8事件審計........................................................79

3.3.9測試結果........................................................81

3.4WEB應用防火墻測試方案.......................................82

3.4.1測試環(huán)境........................................................82

3.4.2防護能力測試...................................................83

3.5漏洞掃描系統(tǒng)測試方案..........................................116

3.5.1測試目的.......................................................116

3.5.2測試環(huán)境.......................................................116

3.5.3功能測試.......................................................117

3.5.4專項測試.......................................................140

3.5.5漏洞測試.......................................................145

3.5.6壓力測試.......................................................163

3.5.7測試結論.......................................................165

3.6數(shù)據(jù)庫審計系統(tǒng)測試方案........................................165

3.6.1測試目的.......................................................165

3.6.2數(shù)據(jù)庫審計基本功能............................................166

1產(chǎn)品功能描述

1.1防火墻

1.1.1系統(tǒng)概述

網(wǎng)絡層訪問控制基本的安全防護手段，通常采用路由器和防火墻等手段實

現(xiàn)，然而防火墻相對與路由器而言，不僅僅只是提供簡單的訪問控制功能，同

時也能夠提供更為強大的連接檢測、攻擊檢測、認證、內(nèi)容過濾等更加細粒度

的安全防護，所以在網(wǎng)絡層訪問控制方面通常都采用防火墻設備，通過防火墻

設備定義好的安全規(guī)則來實現(xiàn)基本的訪問控制。

防火墻是實現(xiàn)網(wǎng)絡安全的重要設備，防火墻的目的是要在內(nèi)部、外部兩個

網(wǎng)絡之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)

流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。具體地說，設置防火

墻的目的是隔離內(nèi)部網(wǎng)和外部網(wǎng)，保護內(nèi)部網(wǎng)絡不受攻擊，實現(xiàn)以下基本功

能：

?禁止外部用戶進入內(nèi)部網(wǎng)絡，訪問內(nèi)部資源；

?保證外部用戶可以且只能訪問到某些指定的公開信息；

?限制內(nèi)部用戶只能訪問到某些特定資源，如WWW服務、FTP服務等。

1.1.2功能描述

針對安全建設需求，建議對部署在網(wǎng)絡內(nèi)的防火墻配置如下策略：

實現(xiàn)訪問控制；通過在防火墻上配置安全訪問控制策略過濾訪問行為，實

現(xiàn)基于協(xié)議、源/目的TP地址、端口的訪問控制，對來自核心服務器區(qū)邊界的

訪問進行認證檢查及內(nèi)容過濾，有選擇的接入。

帶寬管理：啟用帶寬管理功能，如當某一地址或某地址段對外連接數(shù)超過

一定數(shù)量或流量超過一個設定的閥值時，實現(xiàn)阻斷或流量限制的功能；

身份認證：在防火墻上開啟用戶身份認證功能，利用防火墻自帶數(shù)據(jù)庫或

通過Radius及SecurelD和LDAP用戶認證功能，

抗攻擊：在防火墻上開啟自動抗攻擊功能，利用防火墻本身的防御功能防

止DoS、端口掃描等攻擊，確保網(wǎng)絡不被外部黑客攻破；

抗蠕蟲：通過防火墻的蠕蟲過濾等功能保證核心服務器所承載的核心應用

系統(tǒng)不受來自核心服務器區(qū)邊界的蠕蟲及網(wǎng)絡病毒侵害，保障核心應用系統(tǒng)正

常、高效運行；

多種手段報警：防火墻發(fā)現(xiàn)攻擊、非法入侵、未授權訪問等違反安全規(guī)則

的行為，立即以多種手段（告警、日志、SNMP陷阱等）實現(xiàn)違規(guī)行為的告警，

并記錄日志，以便查詢。

日志管理：在防火墻上開啟日志記錄功能（建議安裝單獨的日志服務

器），利用防火墻的日志功能記錄完整日志和統(tǒng)計報表等資料，尤其是流量日

志、訪問日志、管理日志等重要信息。

1.2入侵防御系統(tǒng)

1.2.1系統(tǒng)概述

天融信公司的網(wǎng)絡入侵防御系統(tǒng)（以下簡稱TopIDP產(chǎn)品）采用在線部署方

式，能夠?qū)崟r檢測和阻斷包括溢出攻擊、RPC攻百、WEBCGI攻擊、拒絕服務、

木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的11大類超過3500種網(wǎng)絡攻擊行為，有效保護

用戶網(wǎng)絡IT服務資源，使其免受各種外部攻擊侵擾。TopTDP產(chǎn)品能夠阻斷或

限制P2P下載、網(wǎng)絡視頻、網(wǎng)絡游戲等各種網(wǎng)絡帶寬濫用行為，確保網(wǎng)絡業(yè)務

通暢。TopIDP產(chǎn)品還提供了詳盡的攻擊事件記錄、各種統(tǒng)計報表，并以可視化

方式動態(tài)展示，實現(xiàn)實時的全網(wǎng)威脅分析。

1.2.2功能描述

■網(wǎng)絡適應性

直連、路由、IDS監(jiān)聽及混合模式接入。

多端口鏈路聚合，支持11種負載均衡算法”

支持IPv6、MPLS、PPPoE網(wǎng)絡。

■入侵防御能力

全面防御溢出攻擊(BufferOverflow)、RPC攻擊(RPC)、WEBCGI攻擊

(WebAccess)x拒絕服務(DDOS)、木馬(TrojanHorse)x蠕蟲(VirusWorn)s

掃描(Scan)sHTTP攻擊類(HTTP)、系統(tǒng)漏洞類(system)o

TopIDP產(chǎn)品的檢測弓|擎采用協(xié)議分析、模式識別、統(tǒng)計閥值和流量異常監(jiān)

視等綜合技術手段來判斷入侵行為，可以準確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡惡意攻

擊。

產(chǎn)品采用了先進的基于目標系統(tǒng)的流重組檢測引擎，首先對到達的TCP數(shù)

據(jù)包按照其目標服務器主機的操作系統(tǒng)類型進行流重組，然后對重組后的完整

數(shù)據(jù)進行攻擊檢測，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。

全面支持DOS/DDOS防御，通過構建統(tǒng)計性攻擊模型和異常包攻擊模型，可

以全面防御SYNflood、ICMPflood.UDPflood、DNSFlood,DHCPflood.

Winnuke.TcpSScan以及CC等多達幾十種DOS/DDOS攻擊行為；系統(tǒng)可以通過

自學習模式，針對用戶所需保護的服務器進行智能防御。

針對本地化業(yè)務系統(tǒng)，深度挖掘業(yè)務系統(tǒng)漏洞，形成防御阻斷規(guī)則后直接

應用于入侵防御系統(tǒng)，更有效保護企業(yè)信息化資產(chǎn)。

系統(tǒng)支持IPv6協(xié)議的攻擊檢測，完全識別IPv6封包下的攻擊檢測。

■可視化實時報表功能

實時顯示按發(fā)生次數(shù)排序的攻擊事件排名，使網(wǎng)絡攻擊及其威脅程度一目

了然?？梢詫崟r顯示ToplO攻擊者、ToplO被攻云者、Topi0攻擊事件等統(tǒng)計報

表，更可以顯示24小時連續(xù)變化的事件發(fā)生統(tǒng)計曲線圖。借助于可視化的實時

報表功能，用戶可以輕松實現(xiàn)仝網(wǎng)威脅分析。

1.3WEB應用防火墻

1.3.1系統(tǒng)概述

借助互聯(lián)網(wǎng)的發(fā)展，越來越多的醫(yī)療服務開始在互聯(lián)網(wǎng)上提供入口，以提

高就醫(yī)體驗和效率，如網(wǎng)上掛號預約、網(wǎng)上繳費等服務，可以大幅提高工作效

率，并提高用戶體驗，節(jié)約用戶排隊等待的時間。醫(yī)療服務的部分內(nèi)容放到互

聯(lián)網(wǎng)上，需要將相關業(yè)務應用的入口如web應用服務器放到互聯(lián)網(wǎng)上，而WEB

服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要忘了攻

擊目標。SQL注入、網(wǎng)頁掛馬等安全事件，頻繁發(fā)生。傳統(tǒng)防火墻針對WEB的

防護能力已經(jīng)不能滿足曰益豐富的WEB應用。

Web應用防護系統(tǒng)(WebApplicationFirewall,簡稱：WAF)代表了一類

新興的信息安全技術，專門用于解決Web應用安全問題。與傳統(tǒng)防火墻不同，

WAF工作在應用層，因此對Web應用防護具有先天的技術優(yōu)勢?；趯eb應

用業(yè)務和邏輯的深刻理解，WAF對來自Web應用程序客戶端的各類請求進行內(nèi)

容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對

各類網(wǎng)站站點進行有效防護。

1.3.2功能描述

■全面的攻擊防御能力

WAF產(chǎn)品提供傳統(tǒng)的基于規(guī)則的檢測和主動防御兩個引擎。

基于規(guī)則的保護是信息安仝產(chǎn)品最主流的防?戶方法，雖然對于未知攻擊和

Oday攻擊缺少防護能力，但是對于大量的已知攻擊可以提供精確的、細致的防

護。WAF產(chǎn)品提供了精細的防護規(guī)則包括：

?跨站腳本攻擊

?掃描器防護

?SQL注入攻擊

?操作系統(tǒng)命令注入

?遠程文件包含攻擊

?本地文件包含攻擊

?目錄遍歷

?信息泄漏

?WebShell檢測

?HTTP協(xié)議異常

?HTTP協(xié)議違規(guī)

?其他類型的攻擊

除了基于規(guī)則的檢測方法，WAF產(chǎn)品還應具備基于自學習建模的主動防御

引擎。對于URI和POST表單，WAF產(chǎn)品的主動防御引擎都可以學習到其參數(shù)的

個數(shù)，以及每一個參數(shù)的類型和長度。在學習一段時間之后（通常是一到兩

周），MF產(chǎn)品可以建立目標服務器所有動態(tài)頁面的正向模型。在應用主動防御

策略的條件下，所有不符合正向模型的參數(shù)都會被阻斷，可有效的防御未知威

脅和Oday攻擊“

■有效的緩解拒絕服務攻擊

WAF產(chǎn)品整合了DDoS防御能力，采用分層的立體防御和業(yè)界領先的源信譽

檢測機制，可以有效的緩解synflood攻擊、CC攻擊、slowheader.slowpost

等拒絕服務攻擊。

WAF產(chǎn)品首先識別明顯的攻擊源，比如單個源流量明顯異常，通過源限速

模塊把所有可能的攻擊源的流量限制在某一個范圍之內(nèi)。第二步也是整個DDoS

防御的核心：源信譽檢測機制，該機制可以有效的把正常流量和攻擊工具生成

的攻擊流量區(qū)分開來，阻斷攻擊流量，放行正常流量。最后一步，當所有的正

常流量的總和仍然超過了目標服務器的處理能力，為了保證服務器正常工作，

通過目的限速模塊把放行到服務器的流量限制在服務器處理能力之內(nèi)。通過這

種分層的防御機制，使服務器不間斷的對外提供服務，保障了業(yè)務的連續(xù)性。

■靈活的部署模式

WAF產(chǎn)品具有在線串接、旁路檢測和服務器負載均衡三種工作模式。在線

串接部署雖然對用戶網(wǎng)絡有一定的侵入性，但WAF產(chǎn)品的高可靠性設計極大的

緩解了這一影響。在線串接的一個顯著好處是可以實現(xiàn)非?？煽康墓糇钄嗄?/p>

力。而旁路檢測完全沒有侵入性，對用戶的網(wǎng)絡環(huán)境不造成任何影響，但奧路

檢測沒有提供攻擊阻斷的能力。在多個服務器對外提供相同服務的環(huán)境里面，

NAF產(chǎn)品可以作為負載均衡器工作，并且提供了靈活的會話調(diào)度的能力和服務

器狀態(tài)檢查能力。

在線串接部署時，WAF產(chǎn)品提供了多種網(wǎng)絡層的接入方式，比如虛擬線、

交換、路由。虛擬線方式使WAF產(chǎn)品像一根虛擬的網(wǎng)線一樣接入用戶網(wǎng)絡，是

最簡單最便捷的方式。交換模式同時支持access、trunk兩種方式，路由模式

支持靜態(tài)路由和策略路由，也就是說在用戶預算受限時WAF產(chǎn)品可以在檢測攻

擊的同時，充當交換機或者路由器。

■全64位ipv6支持

WAF產(chǎn)品的管理平面和數(shù)據(jù)平面均為全64位系統(tǒng)，具備原生ipv4/ipv6雙

棧處理能力，不僅能夠在純ipv6網(wǎng)絡環(huán)境中部署和檢測攻擊，還能夠在

ipv4/ipv6混合網(wǎng)絡環(huán)境中部署和檢測攻擊行為。全64位系統(tǒng)在處理ipvd和

IPv6地址相關操作時具有相同的處理效率，所以WAF產(chǎn)品在ipv6網(wǎng)絡環(huán)境中

具有與在IPv4網(wǎng)絡環(huán)境中一樣的性能。

WAF產(chǎn)品中處理的所有ip地址均支持ipv4和ipv6地址，所有應用層攻擊

無論來自ipv4網(wǎng)絡還是ipv6網(wǎng)絡均采用統(tǒng)一處理流程，使得各種應用層攻擊

都無所遁形。WAF產(chǎn)品還支持配置ipv6地址的主機管理、ipv6SNMP網(wǎng)管以及

支持ipv6的日志服務器等增強功能。

■高可用性

WAF產(chǎn)品應采用雙引擎設計，主檢測引擎和影子檢測引擎不僅功能完全相

同，且均處于運行態(tài)，即只要有數(shù)據(jù)報文傳送就可以進行攻擊檢測。不同的

是，正常情況下，數(shù)據(jù)流只上送到主檢測引擎，影子檢測引擎沒有數(shù)據(jù)可以處

理，相當于處于“待命”狀態(tài)。一旦主檢測引擎出現(xiàn)故障無法處理數(shù)據(jù)報文，

平臺底層負責數(shù)據(jù)流分發(fā)的模塊會及時將數(shù)據(jù)流初換到影子檢測引擎，由于影

子檢測引擎處于準工作的“待命”狀態(tài)，此時會即刻開始數(shù)據(jù)報文的檢測工

作，從而確保整個檢測引擎的不間斷工作，大幅提高了檢測業(yè)務的可靠性。

WAF產(chǎn)品支持硬件bypass功能，可以串行接入用戶網(wǎng)絡環(huán)境，在設備升級維護

等需要重新啟動過程中確保用戶網(wǎng)絡通暢。WAF產(chǎn)品支持主主、主備方式的雙

機熱備功能，可以實現(xiàn)鏈路的高可用性

1.4漏掃掃描系統(tǒng)

1.4.1系統(tǒng)概述

網(wǎng)絡系統(tǒng)的安全性取決于網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)，然而策略的制訂和實施

在實際應用中相差甚遠,網(wǎng)絡系統(tǒng)的安全性是一個動態(tài)的過程,系統(tǒng)配置的不斷

更改,攻擊技術的不斷提高，網(wǎng)絡系統(tǒng)的安全系數(shù)也會不斷的變化,如何及時發(fā)現(xiàn)

網(wǎng)絡系統(tǒng)中最薄弱環(huán)節(jié)?如果最大限度地保證網(wǎng)絡系統(tǒng)的安全?最有效的方式就

是定期對網(wǎng)絡系統(tǒng)進行安全性分析并及時發(fā)現(xiàn)并查找漏洞并進行修改。因此需

要建立一套漏掃主動發(fā)現(xiàn)的手段完善企業(yè)網(wǎng)絡安全。

漏洞掃描系統(tǒng)即是漏洞發(fā)現(xiàn)與評估系的統(tǒng)，作用是模擬掃描攻擊，通過對

系統(tǒng)漏洞、服務后門等攻擊手段多年的研究積累，總結出了智能主機服務發(fā)

現(xiàn)，可以通過智能遍歷規(guī)則庫和多種掃描選項的組合手段，深入檢測出系統(tǒng)中

存在的漏洞和弱點，最后根據(jù)掃描結果，提供測試用例來輔助驗證漏洞的準確

性，同時提供整改方法和建議，幫助管理員修補漏洞，全面提升整體安全性。

1.4.2功能描述

■漏洞掃描管理設計

掃描管理

漏洞掃描一般采用漸進式掃描分析方法，融合操作系統(tǒng)指紋識別、智能端

口服務識別等技術，能夠準確識別被掃描對象的各種信息，發(fā)現(xiàn)其弱點和漏

洞，并提出安全解決建議。

仟務管理中心為用戶掃描操作提供了方便，可以使用默認掃描策略也互以

使用自定義掃描策略，來創(chuàng)建任務掃描計劃，創(chuàng)建掃描任務時也可調(diào)整執(zhí)行方

式，建立定時任務、周期任務、標準任務等，從而具體針對性的進行脆弱性掃

描。

安全域管理

系統(tǒng)運用預探測、漸進式、多線程的掃描技術，全面、快速、準確的發(fā)現(xiàn)

被掃描網(wǎng)絡中的存活主機，準確識別其屬性，包括主機名稱、主機地址、操作

系統(tǒng)等。

策略管理

系統(tǒng)包含多個策略模板，全策略模板的漏洞庫涵蓋目前的安全漏洞和攻擊

特征，具備至少CVE、CNNVD、CNCVE.CNVD、BUGTRAQ等標準，系統(tǒng)還支持自

定義策略模板,為用戶掃描操作變得更加靈活C

報表管理

報表管理可以將掃描的結果生成在線或離線強表，也可以根據(jù)不同的用戶

角色生成報表，并對掃描結果進行細致全面的分析，并以圖、表、文字說明等

多種形式進行展現(xiàn)，并以形式、PDF、Word.Excel等格式進行導出。

■系統(tǒng)漏洞檢測

漏洞掃描系統(tǒng)可以針對各種系統(tǒng)、設備及應用進行漏洞發(fā)現(xiàn)，至少包括如

下信息：

網(wǎng)絡主機：服務器、客戶機、網(wǎng)絡打印機等；

操作系統(tǒng)：MicrosoftWindows9X/NT/2000/XP/2003.SunSolaris.HP

Unix、IBMAIXSIRIX.Linux、BSD等；

網(wǎng)絡設備：Cisco、3com、Checkpoint等主流廠商網(wǎng)絡設備；

應用系統(tǒng)：數(shù)據(jù)庫、Web、FTP、電子郵件等。

■數(shù)據(jù)庫漏洞檢測

數(shù)據(jù)庫漏洞掃描應當可以針對當下主流的數(shù)據(jù)庫，如Oracle、MySQL、

DB2、PostgreSQL.Sybase.SQLServer等進行漏洞檢測，包括對數(shù)據(jù)庫系統(tǒng)

的各項設置、數(shù)據(jù)庫系統(tǒng)軟件本身已知漏洞、數(shù)據(jù)庫系統(tǒng)完整性進行檢查和對

數(shù)據(jù)庫系統(tǒng)的整體安全性做出評估，并給出提高數(shù)據(jù)庫安全性的修復建議。

■豐富的漏洞庫

系統(tǒng)包含CNNVD認證的系統(tǒng)漏洞庫；并且覆蓋當前網(wǎng)絡環(huán)境中重要的，主

流的系統(tǒng)和數(shù)據(jù)庫等漏洞，并且能夠根據(jù)網(wǎng)絡環(huán)境的變化及時調(diào)整更新，確保

漏洞識別的全面性和時效性。

用戶除了可以使用軟件默認提供的檢測庫外，也可以添加自定義的規(guī)則

庫，并具備規(guī)則庫的轉(zhuǎn)換和合并等功能。

■強有力的掃描效率

綜合運用預探測、漸進式、多線程的掃描技術，能夠快速發(fā)現(xiàn)目標網(wǎng)絡中

的存活主機，然后根據(jù)漸進式探測結果選擇適合的掃描策略，啟動多個線程進

行并發(fā)掃描，從而保證了掃描任務可以迅速完成。

■準確的漏洞識別率

采用漸進式掃描分析方法，融合最新的操作系統(tǒng)指紋識別、智能端口服務

識別等技術，能夠準確識別被掃描對象的各種信息，如操作系統(tǒng)、網(wǎng)絡名、用

戶信息、非常規(guī)端口上開放的服務等。

■多樣化的結果報表呈現(xiàn)

生成面向多個用戶角色的客戶化報表，并以圖、表、文字說明等多種形式

進行展現(xiàn)，同口寸支持以HTML、EXCEL、WORD、PDF等多種格式導出結果報表。

1.5數(shù)據(jù)庫審計系統(tǒng)

1.5.1系統(tǒng)概述

數(shù)據(jù)庫安全審計是整個數(shù)據(jù)庫系統(tǒng)安全的有機組成部分，完善的數(shù)據(jù)庫安

全審計系統(tǒng)結合有效的審計制度，能夠有效地避免內(nèi)部人員進行數(shù)據(jù)庫破壞活

動，對外部攻擊者的行為也能夠及時發(fā)現(xiàn)，避免因數(shù)據(jù)庫內(nèi)容泄露或破壞造成

企業(yè)損失。

數(shù)據(jù)庫審計系統(tǒng)主要的功能模塊包括“靜態(tài)審計、實時監(jiān)控與風險控制、

實時審計、雙向?qū)徲?、細粒度審計?guī)則、精準的行為檢索、三層關聯(lián)審計、完

備的審計報表、安全事件回放、審計對象管理、多形式的預警機制”幾個部

分。

齡在中計

口信應用系統(tǒng)安魚般疇

OA/CRMZERP....?

沖計娓剜

□SA府作員

系■■理外蓄全管理物

1.5.2功能描述

數(shù)據(jù)庫靜態(tài)審計的目的是代替繁瑣的手工檢查,預防安全事件的發(fā)生。依托

數(shù)據(jù)庫安全規(guī)則庫，自動完成對幾百種不當?shù)臄?shù)據(jù)庫不安全配置、潛在弱點、

數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等等靜態(tài)審計，通過靜

態(tài)審計，可以為后續(xù)的動態(tài)防護與審計的安全策略設置提供有力的依據(jù)。

靜態(tài)審計由系統(tǒng)管理、項目管理、安全掃描、報表管理幾個子模塊組成：

項目管理報表管理

項目新增當前報表

項目打開歷史報表

項目保存自定義報:

項目編輯報表導入

項目刪除報表導出

系統(tǒng)管理

鑒權管理許可管理日志管理升級管理完整性檢測

其中:

?風險趨勢管理：通過基線創(chuàng)建生成數(shù)據(jù)庫結構的指紋文件，通過基

線掃描發(fā)現(xiàn)數(shù)據(jù)庫結構的變化，從而實現(xiàn)基于基線的風險趨勢分

析；

?弱點檢測與弱點分析：根據(jù)內(nèi)置自動更新的弱點規(guī)則完成對數(shù)據(jù)庫

配置信息的安全檢測及數(shù)據(jù)庫對象的安全檢測；

?弱口令檢測：依據(jù)內(nèi)嵌的弱口令字典完成對口令強弱的檢測；

?補丁檢測：根據(jù)補丁信息庫及被掃描數(shù)據(jù)庫的當前配置，完成補丁

安裝檢測

?存儲過程檢測：根據(jù)內(nèi)嵌的安全規(guī)則，對存儲過程進行安全檢測，

如：是否存在SQL注入漏洞；

?項目管理：按項目月式對掃描任務進行增/刪/改管理；

?報表管理：提供掃描報告的存儲、查看、多文件格式導入/導出功

能；

系統(tǒng)管理：提供鑒權管理、許可管理、日志管理、升級管理及自身完整性檢測;

1.6負載均衡系統(tǒng)

1.6.1系統(tǒng)概述

隨著云計算、虛擬化等技術的興起,用戶對負載均衡設備提供了更高的要求,

負載均衡還要負擔應用的優(yōu)化加速、安全等功能，來提高用戶體驗，適應各種復

雜的場景，比如適配數(shù)據(jù)中心，對數(shù)據(jù)中心的虛擬機進行管理等。用戶希望簡化

部署方式，根據(jù)應用所需性能增加或者減少服務器，增加數(shù)據(jù)中心的利用率，減

少運營成本。應用交付是負載均衡、廣域網(wǎng)優(yōu)化、WEB防火墻等技術的融合，

通過這些技術來保證用戶關鍵業(yè)務應用能可靠、安全的交付到用戶手中。

天融信負載均衡設備能為用戶提供數(shù)據(jù)中心的全套解決方案，包括單數(shù)據(jù)中

心的鏈路負載均衡和服務器負載均衡、以及多數(shù)據(jù)中心的全局負載均衡。支持直

連、單臂透明、單臂反向、三角等組網(wǎng)模式，豐富的負載均衡方法，能適用各種

場景下的服務負載均衡需求。通過壓縮、緩存、SSL卸載、HTTP優(yōu)化等技術加

速應用的處理，提供全方位防DDOS攻擊、WEB應用防火墻等安全防護，為應

用安全保駕護航，豐富的統(tǒng)計數(shù)據(jù)、定制化的報表，用戶能實時了解應用運行狀

態(tài)。通過全方位的負載均衡，增加了數(shù)據(jù)中心的服務器和網(wǎng)絡的利用率，增加了

應用的安全性和可靠性，從而減少了用戶服務器成本和網(wǎng)絡運維成本。

1.6.2功能描述

■頁面加速

通過自動修改HTML頁面及其引用的資源如CSS、JavaScript.圖片的內(nèi)

容，利用精簡、合并、嵌入原始文件內(nèi)容，轉(zhuǎn)換圖片格式等手段來減少HTTP請

求，從而加快整個頁面的響應速度，最終提升用戶體驗

■豐富的服務器負載均衡算法

TopAD設備支持的負載均衡并法種類達到13種，這些高效實用的負載均衡

算法，能夠讓用戶根據(jù)實際的應用場景，選擇最佳的負載均衡算法，從而合理分

擔各個服務器的負載，提高服務器的有效利用率。

■豐富的鏈路負載均衡算法

RoundRobin

按照輪詢的方式返回虛擬服務映射中配置的鏈路，返回鏈路的個數(shù)由虛擬服

務映射的配置決定。最終所有鏈路的返回次數(shù)相等。輪詢算法的特點是簡單、穩(wěn)

定、效率高。

■DNS代理

TopAD對于內(nèi)網(wǎng)用戶的OUTBOUND流量，采用了DNS代理技術做負載

均衡，將用戶的DNS請求按照用戶指定的負載均衡算法選擇鏈路發(fā)送出去，用

戶配置的DNS透明代理服務器（一主一備，支持健康檢查，可將請求發(fā)送給狀

態(tài)正常的DNS服務器）進行解析，然后將解析結果返回給客戶端，客戶端會根

據(jù)返回的解析結果發(fā)起應用流量請求。DNS代理支持DNS緩存，減少用戶DNS

開銷。

■應用路由

應用路由是為了滿足特定的出口流量調(diào)度到指定的鏈路，實現(xiàn)特定流量分離,

目前支持根據(jù)源地址范圍、源端口范圍、協(xié)議類型、拓撲區(qū)域、具體應用的條件

分別調(diào)度，并支持引用多個應用規(guī)則，應用規(guī)則從上到下匹配，當所有規(guī)則都無

法匹配的時候會跳出應用路由，在outbound對象默認策略中選路。

■多維度數(shù)據(jù)統(tǒng)計

從多個維度對負載均衡設備各個業(yè)務模塊進行數(shù)據(jù)統(tǒng)計。

統(tǒng)計對象多樣化，包括接口、會話、鏈路、虛擬服務器、服務器節(jié)點等。

統(tǒng)計內(nèi)容多樣化，包含流量、連接數(shù)、報文數(shù)、健康檢查狀態(tài)、訪問次數(shù)、

服務分布、帶寬利用率、故障分析、性能分析等，各個業(yè)務模塊還有自己特定的

統(tǒng)計數(shù)據(jù)。

內(nèi)容分析多樣化，每個統(tǒng)計內(nèi)容又包含了多個維度的分析，包括趨勢分析、

占比分析、排行分析、服務分布、故障分類、故障分布、性能分析、模塊統(tǒng)計、

地域分析、URL分析、IP分析等。

■定制化報表

報表可定制化，可自定義報表模板。

報表模板包括負載統(tǒng)計、決策分析、故障分析、前言后記等幾大塊內(nèi)容。

負載統(tǒng)計又包括鏈路負載、虛擬服務器負載、服務器節(jié)點負載等；決策分析

又包括來源、地域、運營商分析等；故障分析又包括鏈路和服務器節(jié)點故障分析。

每種統(tǒng)計又細分為多個維度的統(tǒng)計選項，比如流量走勢、總流量占比、報文

數(shù)走勢、報文數(shù)排、訪問次數(shù)占比、帶寬利用率走勢、服務分布、IP數(shù)量地域分

析、訪問次數(shù)地域分析，流量地域分析，IP數(shù)量的運營商分析、訪問次數(shù)運營商

分析、流量的運營商分析、來源分析等，可以根據(jù)需要配置不同的報表模板。

可以引用不同的報表模板并按照時間每天、周、月自動生成報表。

2安全產(chǎn)品硬件規(guī)格及性能參數(shù)

2.1防火墻品目一：TG-62242

配置說明2U機箱;

最大配置為34個千兆接口，或者16個萬兆接口

（SFP+）+2個千兆接口；

默認包括4個可插撥的擴展槽和2個

10/100/1000BASE-T接口（作為HA口和管理口）；

標配雙冗余電源；

網(wǎng)絡吞吐：24Gbps

并發(fā)連接：400萬

新建連接：18萬/秒

HTTP新建連接：12萬/秒

防病毒吞吐率：IGbps

性能描述

IPS吞吐率：2Gbps

IPSEC加解密吞吐率:400Mbps

IPSECVPN隧道數(shù):8000

SSL吞吐率：700Mbps

SSL并發(fā)用戶數(shù):7000

尺寸（寬深高）：426*570*89mm

凈重：12.46KG

毛重:17.76KG

電壓：AC100~240V（正負10%的誤差）

頻率：47%3Hz

硬件參數(shù)電流：6-3A

功率:300W(MAX)

平均無故障時間（MTBF）：超過60,000小時

運行溫度：0~40攝氏度

存儲溫度：-20~80攝氏度

相對濕度：10~90%,非冷凝

符合的標準規(guī)范環(huán)境保護GB/T9813-2000；

電磁輻射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根,大于等于0.75平方毫米.

接地線數(shù)量、線徑：1根,線徑大于等于0.75平方亳

米.

其它要求

接地電阻：小于100毫歐

電源品牌：億泰興

電源型號：EFRP-2300

2.2防火墻品目二：TG-42218

1U機箱

配置為6個10/100/1000BASE-T接口和2個SFP插槽,1

配置說明

個可荀撥的擴展槽；

標配雙電源；

網(wǎng)絡吞吐：3Gbps

并發(fā)連接：160萬

新建連接：5萬/秒

HTTP新建連接:3.5萬/秒

防病毒吞吐率：100Mbps

性能描述

IPS吞n土率：300Mbps

IPSEC加解密吞吐率：80Mbps

IPSECVPN隧道數(shù)：2500

SSL吞吐率：250Mbps

SSL并發(fā)用戶數(shù)：1500

尺寸（寬深高）：426*330*44mm

硬件參數(shù)

凈重;4.71KG

毛重:7.68KG

電壓：AC100~240V（正負10%的誤差）

頻率：50~60Hz

電流:2A

功率：84W

平均無故障時間（MTBF）：超過60,000小時

運行溫度：0~45攝氏度

存儲溫度：-20~70攝氏度

相對濕度：5?95%,非冷凝

符合的標準規(guī)環(huán)境保護GB/T9813-2000；

范電磁輻射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根,大于等于0.75平方毫米.

接地線數(shù)量、線徑：1根,線徑大于等于0.75平方毫米.

其它要求接地電阻：小于100亳歐

電源品牌：全漢

電源型號：FSP084-1CD02CDOUBLE-POWER

2.3入侵防御：TI-51628

2U機架式結構

配置說明最大配置為26個接口，默認包括2個擴展槽位

2個作為HA口和管理口，4個10/100/1000BASE-T

接口（支持Bypass）和4個SFP插槽

標配模塊化雙冗余電源

性能描述

整機吞吐率:lOGbps

最大并發(fā)連接數(shù)：230萬

每秒新建連接數(shù)：7萬

IPS吞吐率:4Gbps

尺寸：460*426*89mm(2U)

電源：100-240V,(正負10%的誤差)

AC,(47-631IZ),4.5-2A,300W

硬件參數(shù)平均無故障時間(MTBF)：超過60,000小時

工作溫度:0~45℃

平臺凈重:9.07KG

產(chǎn)品毛重：12.68KG

符合的標準規(guī)環(huán)境保護GB/T9813-2000；

范電磁輻射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根，大于等于0.75平方

毫米.

接地線數(shù)量、線徑：1根,線徑大于等于0.75平

其它要求方毫米.

接地電阻：小于100毫歐

電源品牌：新巨

電源型號：R1S2-5300V4V

2.4WAF：TWF-72138

2U機架式結構；最大配置為26個接口：

配置說明

4個10/100/1000BASE-T接口和4個SFP插槽,2個

10/100/1000BASE-T接口(作為HA口和管理口)；

默認包括2個可插撥的擴展槽

雙電源

并發(fā)連接＞200萬

性能描述

吞吐率>2000\lbps

尺寸：460*426*89mm(2U)

電源：100-240V,AC,(47-63HZ),4.5-2A,

300W

硬件參數(shù)平均無故障時間(MTBF)：超過60,000小時

工作溫度：0~45c

平臺凈重:9.07KG

產(chǎn)品毛重：12.68KG

符合的標環(huán)境保護GB/T9813-2000；

準規(guī)范電磁輻射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根，大于等于0.75平方毫

米.

接地線數(shù)量、線徑：1根,線徑大于等于0.75平方

其它要求毫米.

接地電阻：小于100毫歐

電源品牌：新巨

電源型號：R1S2-5300V4V

2.5漏掃：TSC-71528

產(chǎn)品型號TSC-71528

配置說明2U機架式結構型；

2個10/100/1OOOBASE-TX管理口

4個光口4個電口

2個擴展插槽

500G存儲空間

雙電源

單個任務可包含多個B類地址

性能參數(shù)單個任務允許并發(fā)掃描100個IP地址；

最大允許20個掃描任務并發(fā)；

尺寸：470*426*89mm

凈重:10.4KG

電壓：100~240VAe(正負10%的誤差)

頻率：47~63Hz

硬件參數(shù)電流：4.5-2A

功率：300W

平均無故障時間(MTBF)：超過60,000小時

工作溫度：。?45攝氏度

非運行溫度?20~70℃

相對濕度5~95%,非冷凝

符合的標準規(guī)環(huán)境保護GB/T9813-2000；

范電磁輻射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根,大于等于0.75平

方毫米.

接地線數(shù)量、線徑：1根,線徑大于等于0.75平

其它要求方毫米.

接地電阻：小于100毫歐

電源品牌：新巨

電源型號：R1S2-5300V4V

2.6數(shù)據(jù)庫審計:TA?11801?NET/DB

型號TA-11801-NET/DB

2U機架式結構型

2個10/100/1000BASE-TX管理口，2個SFP+

插槽

配置說明

默認含2個萬兆多模光模塊

1T存儲空間

配置雙電源

記錄事件數(shù)＞70000條/秒

性能參數(shù)總記錄事件＞20億條

可審計并發(fā)數(shù)據(jù)庫用戶數(shù)＞10000

尺寸：426*470*89(2U)

凈重/毛重(kg)907(無檔板)/12.68

MTBF：60000小時

電壓:AC110/220V（正負10%的誤差）

硬件參數(shù)頻率:47~63Hz

功率：300W（最大）

電流:6~3A

運行溫度/存儲溫度：0~45℃/

相對濕度：5-95%,非冷凝

符合的標準環(huán)境保護GB/T9813-2000；

規(guī)范電磁輻射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根，大于等于0.75平

其它要求方毫米.

接地線數(shù)量、線徑：1根,線徑大于等于0.75

平方毫米.

接地電阻：小于100毫歐

電源品牌：新巨

電源型號：R1S2-5300V4V

2.7負載均衡：TopApp-81238-NLB-R

2U機架式結構；；

標配10個10/100/1000BASE?TX接口;8個

配置說明SFP插槽；2個SFPplus插槽

3個擴展卡槽位

缺省為雙電源

四層新建：40W

七層新建：80W

性能描述

整機吞吐量：10Gbps

最大并發(fā)連接數(shù)：800W

尺寸（寬深高）mm：426*570*89

凈重；12.46KG

毛重：17.76KG

電壓；AC100-240V

頻率：47-63HZ

硬件規(guī)格功率:300W(MAX)

平均無故障時間（MTBF）：超過60,000小

時

運行溫度：0~40攝氏度

存儲溫度：-20~75攝氏度

相對溫度：10~90%,非冷凝

符合的標準規(guī)環(huán)境，呆護GB/T9813-2000；

范電磁福射GB/T17618-1998；GB9254-2008

運輸方式快遞、物流

接地線的數(shù)量、線徑：1根，大于等于0.75平

方毫米.

接地線數(shù)量、線徑：1根,線徑大丁等丁0.75

其它要求平方亳米.

接地電阻：小于100毫歐

電源品牌：億泰興

電源型號：EFRP-2300

2.8相關應答：

3.1.4投標人提供的設備符合國際和國內(nèi)對電磁輻射、環(huán)境保護的標準和規(guī)范。

答：環(huán)境保護GB/T9813-2000；

電磁輻射GB/T17618-1998；GB9254-2008

3.1.5網(wǎng)絡和安全設備要求具有高安全可靠性，連續(xù)長時間無故障運行。投標

人應給出所提供的產(chǎn)品的平均無故障時間或高可用性指標，至少包括設備和部件

的無故障運行時間、每年的不可用時間，并提供有關的證明文件或資料。

答：MTBF:大于5萬小時

3.1.8投標人應回答所投標的各產(chǎn)品型號的推出時間。投標人應保證本次投標

產(chǎn)品在4年內(nèi)能提供完整的原廠維保服務。

答：4年完整原廠維保服務

3.2.15穩(wěn)定性要求：投標設備須在CPU使用率超過50%的壓力下，能夠7*24小

時持續(xù)穩(wěn)定運行，并請?zhí)峁┧懂a(chǎn)品穩(wěn)定性及疲勞性測試相關數(shù)據(jù)。

答：MTBF:大于5萬小時

2.1.16.1本次投標設備使用交流電的供電方式，投標人應提供所投標各種設備

的供電要求，包括：

（1）輸入電源種類、數(shù)量

防火墻（TG-42218）電源功能為84W,類型冗余電源,數(shù)量2

入侵防御、WEB應用防火墻（WAF）、漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)；防火

墻（TG-62242）、負載均衡系統(tǒng)系統(tǒng)電源為300W,類型為ATX冗余電源，數(shù)量2

（2）特殊電源接頭需要專配接線板的情況，要求每個電源接口有獨立供

電保護裝置

使用標準的3C電源線，國標三角插頭轉(zhuǎn)C13

（3）每臺設備輸入電源線的數(shù)量、承載的最大電流或線徑（平方毫米）

每臺設備,需兩根3c電源線，使用10A的電源線即可（1.0平方亳米）

（4）每臺設備的耗電量

1U小于84W,2U小于300W

（5）輸入電壓變化范圍

交流1（）6廣240V,（正負10%的誤差）

（6）接地電阻

接地電阻小于100毫歐

（7）設備接地線、機架保護接地線的數(shù)量、線徑（平方亳米）等技術要

求

1根,大于等于0.75平方亳米.

（8）在零地電位差為2V的情況下設備能夠穩(wěn)定運行

可以穩(wěn)定運行

（9）要求廠家提供并列舉電源模塊型號、生產(chǎn)廠商等詳細信息。

防火墻NGFT4000（TG-42218）電源型號FSP084-1CD02cDOUBLE-POWER,生

產(chǎn)廠商為全漢企業(yè)股份有限公司；

入侵防御、WEB應用防火墻（WAF）,漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)電源型

R1S2-5300V4V,模塊型號P1S-2300-R。生產(chǎn)廠商為新巨企業(yè)股份有限公司；

防火墻NGFT4000（TG-62242）、負載均衡系統(tǒng)topapp?81238-NLB-R電源

型號EFRP-2300,模塊型號EFRP-300。生產(chǎn)廠商為億泰興電子科技股份有限公司；

3.2.16.2投標人提供的硬件設備應能適應如下溫濕度等要求：

（1）溫度：10?35℃

（2）相對濕度:20%?80%

（3）溫度變化率：W5℃/h,不結露

（4）防塵：靜態(tài)條件下的測試，主機房空氣中20.5um的塵粒數(shù)，少于

18000粒/升

（5）設備必須為前進風，后出風方式

,投標人須詳細提供其推薦的各種設備對機房環(huán)境的要求，諸如：運行及非運行

狀態(tài)時的溫度、濕度、防塵、設備噪聲強度、各種電磁干擾等要求，以及運輸、

長期和短期儲存要求等。

答：滿足

3.2.16.3設備抗震加固等

（2）投標人須在點對點應答中詳細說明各種投標設備的尺寸。

（3）投標人須在點對點應答中詳細說明各種設備的重量（Kg）及對機房地板

承重的要求（Kg/m2"

防火墻NGFT4000（TG-42218）:426*330*44mm凈重：4.71KG對機房地板承重無

要求。

入侵防御TI-51628尺寸:426*470*89mm凈重：9.07KG對機房地板承重無要求。

WAFTWF-72138尺寸:426*470*89mm凈重：9.07KG對機房地板承重無要求。

漏洞掃描系統(tǒng)TSC-71528尺寸:426*470*89|1101凈重：10.4KG對機房地板承重

無要求。

數(shù)據(jù)庫審計系統(tǒng)TA-L801-DB尺寸:426*470*89加凈重：9.07KG對機房地板承

重無要求。

防火墻NGFT4000（TG-62242）:426*570*89mm凈重：12.46KG對機房地板承重

無要求。

負載均衡系統(tǒng)topapp-81238-NLB?R尺寸：426*570*89mm凈重：12.46KG對機

房地板承重無要求。

3產(chǎn)品測試方案

3.1負載均衡系統(tǒng)測試方案

3.1.1測試目的

本方案制定了負載均衡產(chǎn)品的測試環(huán)境、測試場景以及測試用例等，對

負載均衡產(chǎn)品進行全功能測試。

3.1.2測試內(nèi)容

本測試方案主要用于完成負載均衡設備的服務器負載測試，多鏈路負載

測試、集群功能測試。

3.1.3測試環(huán)境

測試拓撲

圖1：

ClientlW雨1

、Serveri

Client2?------------------------------------------Server2

Client3、Server3

圖2：

Clientl?會均酊>||ServeH

?