16.4.1防火墙系统

    1.防火墙的功能和性能监理评审要素

    主要包括以下内容:

    (1)支持透明和路由两种工作模式。

    (2)集成VPN网关功能。

    (3)支持广泛的网络通信协议和应用协议，包括IPSEC、 H.323等，能够满足网络视频会议、VOD和IP电话等多媒体数据流的传输要求。支持多种协议及控制，满足应用需要及应用控制严格性要求，支持TCP/IP, IPX, ICMP/ARP/RARP, OSPF, NETBEUI,SNMP, 802.1Q, VOIP, DNS等相关协议及控制。

    (4)支持多种入侵监测类型，包括扫描探测、DoS, Web攻击、特洛伊木马等。

    (5)支持SSH远程安全登录。

    (6)支持对HTTP, FTP, SMTP等服务类型的访问控制。

    (7)支持静态、动态和双向的NAT 。

    (8)支持域名解析，支持链路自动切换。

    (9)支持对日志的统计分析功能，同时日志是否可以存储在本地和网络数据库上。

    (10)对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告警。

(11)提供策略备份和恢复功能。管理员可以灵活地定制和应用不同的策略，可以方便地进行策略的备份和还原，并可用于灾难恢复。

    (12)具备检测DoS攻击的能力，例如可以检测SYN Flood, Tear Drop, Ping of Death, IP Spoofing等攻击，默认数据包拒绝，过滤源路由IP，动态过滤访问等。

    (13)支持对接口和策略的带宽和流量管理。

    (14)支持SCMIADS客户隧道配置参数自动集中管理。

    (15)支持负载均衡。

    (16)支持双机热备。

    (17)支持Web自动页面恢复。

    (18)实现与入侵监测系统的联动。

    2.性能指标

    (1)单台设备并发VPN隧道数;

    (2)系统平均无故障时间;

    (3)网络接口:

    (4)加密速度;

    (5)密钥长度;

    (6)设备连续无故障运行时间;

    (7)在不产生网络瓶颈、千兆和百兆网络环境下防火墙的吞吐量;

    (8)防火墙的并发连接数。