网络安全管理与运维实训教学平台需求说明

网络安全管理与运维实训教学平台需求说明一、建设背景与目标网络管理及安全实训教学平台项目作为我校重要的计算机网络技术专业实训室空间建设项目，旨在培养满足网络构建及管理、网络安全管理与运维等方面的专业人才，为教师和学生提供良好的学生实训教学空间，满足学生竞赛培训、实训项目及社会服务功能的开展；该项目建设内容包括采购设备：交换机、路由器、防火墙、上网行为管理、安全防护网关、网络管理及安全软硬一体化教学平台等；要求质量可靠，性能稳定，符合实训教学的基本要求；二、设备清单序号采购内容数量单位1三层虚拟化交换机1台2防火墙1台3WEB应用防火墙1台4网络日志系统1套5无线交换机1台6无线接入点1台7堡垒机虚拟化管理平台1套8上网行为管理3台9下一代防火墙3台10零信任安全网关3台三、技术参数序号采购内容技术参数1三层虚拟化交换机一、规格要求1.机身固化自带≥24个千兆电口，4个千兆光口、≥4个10GSFP+万兆接口；交换容量≥500Gbps、包转发率≥200Mpps；内置冗余双电源；2.机身支持Console口（RJ45）、带外管理口（MGMT端口，RJ45）、USB接口、Reset键；二、功能要求1.为满足实训教学，交换机需支持RIPV1/2、RIPng、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+；2.支持OpenFlow；支持MPLSVPN；3.支持IPV6DHCPSever功能；支持多进程MSTP进程功能；三、实训教学功能要求1.为满足实训教学，交换机需支持虚拟化，CPU安全防护；2.为满足实训教学，交换机需支持BFD(静态路由、RIP、OSPF、BGP、VRRP)功能；3.为满足实训教学，交换机需支持VSF虚拟化技术，满足虚拟化相关实训课程要求；2防火墙一、规格要求1.采用非X86多核架构，处理器为多核并行处理CPU；自主研发的多核并行安全操作系统；2.机身固化自带USB接口≥1个、≥9个GE千兆电口，端口能够自定义局域网口和广域网口），USB接口≥1个；二、性能要求1.防火墙吞吐量≥2Gbps；最大并发会话数≥20万；入侵防御（IPS）吞吐量≥250Mbps；防病毒（AV）吞吐量300Mbps；最大IPSECVPN隧道数≥500条；支持不少于100个SSLVPN用户并发用户；2.支持静态路由、OSPF、OSPFv3、BGP、BGP+、RIPv1/v2、RIPng；3.支持10个配置文件并存，并支持配置回滚；4.IPV6功能：IPv6SNMP管理、IPv6路由配置、IPv6DNS配置、IPv6策略配置、IPv6ALG配置、IPv66to4隧道配置、IPv64to6隧道配置；三、功能要求1．网络功能方面支持NAT地址有效性检测：支持NAT公网地址池中IP有效性检测，避免因NAT地址无法使用导致业务中断；2．防火墙功能支持通过策略列表中的冗余和无用策略进行检测；3．链路负载均衡支持电信和联通的ISP路由表，并支持自定义的ISP创建；4．防病毒功能具备病毒过滤特征库不少于300万，且支持特征库每日自动更新升级；5．上网行为管理支持2000万以上，至少60个分类web页面库，且支持自定义URL分类过滤；6．高性能日志记录：支持基于secure-tcp的日志记录格式；7．为满足实训教学，防火墙需支持缓冲区溢出、SQL注入和跨站脚本、外链、Web访问攻击的检测和防护功能；8．为满足实训教学，防火墙需支持基于流、低延时、高并发、高性能的病毒过滤功能；9.为确保实训课程要求，要求设备监控支持IPv6、统计集支持IPv6、日志支持IPv6显示、URL过滤支持IPv6、AV病毒库支持IPv6；3WEB应用防火墙1.机身固化自带≥6个千兆电口，≥1个扩展插槽，1个Console，存储≥1T硬盘，机箱1U；支持web安全扫描，web安全防护，安全情报分析，DDOS防护，网页防篡改，包过滤等功能，有效保障web应用服务资源安全；2.网络部署：支持IPv4、IPv6双栈防护；支持透明流模式、透明代理模式、反向代理模式、路由牵引模式、镜像检测模式及镜像阻断模式；镜像阻断：支持旁路镜像模式下，对检测到的攻击进行旁路阻断；3.牵引防护：支持通过BGP方式对流量进行牵引，并在清洗攻击后回注，回注过程支持设置SNAT策略；4.虚拟补丁：支持虚拟补丁功能，支持导入appscan等第三方扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护；5.智能部署：支持网站自学习建模，可通过学习URL、host等信息展示网站结构树形图，并支持对URL的访问量和响应健康度进行图形化统计；支持通过自学习的URL参数的长度、类型、范围及请求方法等数据特点创建黑白名单模型，如果参数违反模型则判断为非法流量，直接执行阻断或封禁动作；6.一键断网：支持网站批量离线、网站批量恢复、网站一键断网、网站一键恢复操作；7.威胁情报支持：支持第三方威胁情报库更新；支持利用威胁情报规则进行防护，并支持基于威胁情报的日志查询；8.网页防篡改：应能支持对所有安装防篡改客户端的服务器进行集中管理；9.Web漏洞扫描：支持自定义Web安全扫描任务，定期进行Web安全扫描；4网络日志系统1.机身固化自带≥6个千兆电口，≥1个扩展插槽，1个Console，存储≥1T硬盘，机箱1U；内置常用的攻击工具库，重点针对网络层，可以用于教学和比赛使用；能够详细识别、记录所有的用户数据，有详细的日志信息，可以导出，可以让学生动手分析；2.部署模式：支持旁路模式、支持以二层桥接模式部署，包括单桥和多桥的部署模式；3.网管方式与网管策略:WEB管理、SSH管理、Console管理，能限制非法管理员访问设备；4.网络功能:支持IPv4、IPv6静态路由功能；支持物理接口添加子接口功能；支持将多个以太网物理端口捆绑成一条逻辑端口；5.基础防火墙功能：IPS入侵检测，攻击库列表展示和查询，攻击库字段包括：攻击编码、攻击名称、攻击类型、风险等级、CVE编码、攻击标签、影响产品、发布时间、更新时间；DOS/DDOS防护；Web服务攻击防护；流量实时监控；流量控制；支持设备事件日志告警、黑名单告警、CPU、内存、活跃会话数、入侵事件、攻击事件等告警；一键下载调试信息，以便学生分析学习分析；6.支持对网站类型流量进行排名，并能深入分析该URL类型基于URL的统计，该URL类型基于用户的统计，该URL类型基于用户组的统计，该URL类型基于线路的统计；7.记录WEB应用防护日志，包括攻击类型、协议、URL/目录、源/目的区域、源/目的IP、源/目的端口、详细信息、规则名称、严重等级、动作、时间等；8.应用审计：支持常用协议，HTTP应用，FTP应用，视频网站浏览，WEB视频，P2P下载，流媒体，网络游戏，即时通讯，股票行情，股票交易，网上银行，网络电话，网络存储，移动应用，网页邮箱，软件更新，远程控制，数据库等应用分类等2000多种；5无线交换机1.机身固化自带≥24个千兆电口、≥4个万兆SFP+光口、USB2.0端口≥1个，可同时作为三层交换机；标配可管理AP≥8个，最大管理AP数≥72个；2.交换容量≥300Gbps、包转发率≥100Mpps，若有多个指标以最小指标为准；3.支持双OS的备份机制，AP自动逃生机制，IPv4/v6双栈网络，无感知认证，智能负载均衡机制，远程探针分析，SAV技术；4.支持静态路由、RIPv1/v2、OSPF路由协议，支持IGMP，PIM-SM、PIM-DM、PIM-SSM组播协议；5.支持对FreeResource访问的实验功能；6.支持无感知认证功能；7.支持内置Portal认证功能，支持Portal页面可自定制功能；6无线接入点1.802.11acwave2室内放装型无线AP，内置天线，整机5条空间流，整机最大速率1.317Gbps，支持802.11a/n/acwave2和802.11b/g/n同时工作，支持1个千兆电口，1个USB接口；支持本地12V直流供电和802.3af/atPoE供电；单端口802.3atPoE模块，最高输出功率为30W；7堡垒机虚拟化管理平台硬件设备：配备高性能10核处理芯片，内存容量≥256GB，存储容量≥1T，配置≥2个高速网络接口；二、管理功能1.学勤管理：支持学员、教员、管理员三种角色类型；支持对学员进行分班级、组织管理；对学员的账号信息可进行批量管理；资源监控及环境管理：1）、运行概览监控：具备实时显示当前在线人数、平台总计用户数、学员人数、教员人数、管理员人数、虚拟化资源操作次数，班级数量及平台开启虚拟化资源数量；2）、资源概览监控：直观展示平台当前的课程总数、实验数量、题库数量、镜像总数及容器镜像等资源统计数据；2.教学管理模块：1）、教学课程管理课程应支持设置三级目录，方便选课；每一门课程包含实验、学习指导、课程标准、考核标准等内容；每个实验包含指导书、课程资料等内容；指导包含实验目的、实验原理、实验内容、实验环境描述、实验步骤；2）、教学互动功能应提供实验讨论功能，确保实验操作过程中教员及管理员可以对学员进行远程解答；3.教学课程安排:1）、选修与必修：课程支持必修课和选修课，管理员可自由对课程内容进行设计；支持按班级、用户、课程进行授权；2）、课程管理：课程管理支持课程体系、分类设置与管理；能查看平台所有课程；能对课程名称、上级分类、课程图片、课程介绍、课程标准、考核标准、教学评价与设计等内容进行编辑、设置；（1）操作系统基础至少包含Linux操作系统24个实验课程，有linux基本应用-系统安装与启用、linux基本应用-基本命令的使用、linux基本应用-用户和组的管理、linux基本应用-文件权限管理、linux下Shell编程-vi编辑器等；（2）数据库基础主要包含MySQL数据库基础17个实验课程，mysql安装、介绍数据库中常用字段类型、mysql常用命令、字符集支持、创建数据库、select查询语句和条件语句、排序、分组、指针查询、sql查询语句、数据库管理、存储引擎和表类型、视图、mysql中的复制介绍、函数和操作符、mysql数据库的导入导出、mysql中的空间扩展；（3）编程语言基础主要包含Python3编程基础30个实验课程，Python环境搭建、Python第一个程序、Python数据运算、Python数据类型和变量、Python语句、Python获取用户输入等；（4）木马病毒与分析:主要包含恶意代码分析10个重要实验课程，移动存储型病毒分析实验、木马分析（隐藏分析）实验、木马分析（控制分析）实验、木马分析（植入分析）实验、病毒查找与清除实验等；（5）安全配置与加固：主要包含系统安全配置与加固实验课程，木马技术初级实验、windows常见的系统命令、windows操作系统加固、系统安全策略配置等实验、文件和注册表监控解决0day问题；（6）密码学基础与应用：主要包含密码学实验课程，包括密码破解工具Brutus、使用JohntheRipper、破解Linux系统密码、古典密码之凯撒密码、古典密码之乘法密码、古典密码之仿射密码、古典密码-维吉尼亚密码实验、对称密码-DES实验、对称密码之AES等；（7）WEB安全攻防：主要包含SQL注入漏洞，包括基于错误的GET单引号字符型注入、基于错误的GET整型注入、基于时间的盲注、基于报错的盲注、二次注入等；（8）代码审计：主要包含PHP代码审计实验课程内容，PHP代码审计环境准备、代码执行漏洞审计之eval与assert、命令注入漏洞审计、XSS漏洞审计、CSRF漏洞审计、SQL注入漏洞审计、文件上传漏洞审计、文件包含漏洞审计、变量覆盖漏洞审计、身份认证漏洞审计（9）内网渗透：主要包含Meterpreter使用，涵盖Meterpreter核心命令、Meterpreter文件系统命令、Meterpreter后渗透阶段关闭防火墙与杀毒软件、Meterpreter后渗透阶段之远程桌面开启等；8上网行为管理硬件规格：1U，内存大小≥4G，硬盘容量≥128GminisataSSD,单电源，接口≥4千兆电口，授权含VPN模块、上网优化管理模块；性能参数：网络层吞吐量（大包）：1.0Gb，应用层吞吐量：90Mb，带宽性能：60Mb，支持用户数：200PC+200移动（限制），每秒新建连接数：600，最大并发连接数：30000；2、功能描述：拥有专业的用户认证与管理、应用控制、流量管控、行为审计等功能，结合行为感知平台，提供行为日志大数据分析能力，有效识别行为风险；3、Web访问质量检测，针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级；4、支持针对特权用户配置免认证key、免审计key、免控制key；6、设备内置应用识别规则库，支持超过9000种以上应用规则数、支持超过6000种以上的应用；支持根据标签选择应用，并支持给每个应用自定义标签；支持根据标签选择一类应用做控制；7、支持SSL加密网页的内容检查，可对SSL加密网页进行解密并识别、过滤其内容，针对加密后的钓鱼网站、非法网站，可对用户进行重定向告警；支持客户端SSL解密，客户端会自动推送根证书安装，支持加密证书重定向分发功能；无需安装客户端，通过流量状况检查主流杀毒软件的运行情况，对不满足检查要求的终端可重定向页面修复；支持与同品牌下一代防火墙系统实现认证联动，可以转发用户认证信息到下一代防火墙，实现单点登录；支持与同品牌零信任产品实现联动零信任访问控制系统，能够向零信任访问控制系统同步上报日志；9下一代防火墙1、网络层吞吐量≥3G，应用层吞吐量≥600M，防病毒吞吐量≥250M，IPS吞吐量≥150M，全威胁吞吐量≥130M，并发连接数≥80万，HTTP新建连接数≥1.8万，IPSec最大隧道数≥1000，授权含防火墙软件增强级模块、多线路模块、第三方接入授权；2、硬件规格：1U，内存大小：4G，硬盘容量：128GminisataSSD，电源：单电源，接口：6千兆电口；3、支持网络对象、ISP地址、国家地区等条件进行自动选路的策略路由，支持不少于3种的调度算法，至少包括带宽比例、加权流量、轮询、线路优先等；4、支持基于应用、服务、时间、域名、IPv6对象等维度的访问控制；5、支持IPSecVPN智能选路功能，根据线路质量和应用实现自动链路切换；6、内置超过4500种WEB应用攻击特征，支持对跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等攻击类型进行防护；7、支持对不少于9000种应用的识别和控制，应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、社交网络、旅游出行、股票软件等类型应用进行检测与控制；8、支持勒索病毒检测与防御功能，需提供产品功能截图证明；9、支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上；10、支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理；10零信任安全网关性能参数：SSL最大理论加密流量≥250Mbps，SSL最大理论并发用户数≥400；硬件参数：规格：1U，内存≥8G，硬盘容量≥128GminisataSSD，单电源，接口≥4千兆电口；含：VPN系统软件V2.0(*1套)；VPN接入授权软件V2.0(*50套)；IPSEC软件模块(*1套)；软件升级(*3年)；产品质保（标准版）(*3年)；3、兼容Windows、Mac、UOS、麒麟、Android、iOS、鸿蒙等终端设备接入并创建安全工作空间；4、支持配置企业的CDN作为零信任客户端下载地址，以降低设备本身的非业务访问带宽压力；5、为了保障系统的稳定性，集群节点故障后剩余节点仍能接管所有业务；本地集群需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致；6、为强化系统认证安全性，可配置在触发异常环