1、ICS 03.080.99 A 10 DB37 山东省地方标准 DB37/T 17992011 网络流量管理设备通用技术条件 20110114 发布 20110201 实施 山东省质量技术监督局 发布 DB37/T 17992011 I 目 次 前言 . . III 1 范围 . . 1 2 规范性引用文件 . . 1 3 术语和定义 . . 1 4 缩略语 . . 1 5 硬件技术要求 . . 2 6 功能要求 . . 2 7 性能要求 . . 4 8 可靠性要求 . . 4 9 设备安全要求 . . 4 10 电磁兼容性要求 . . 4 11 部署要求 . . 4 12 测试要求 . .
2、5 13 标志、 包装、运输和贮存 . . 7 参考文献 . . 1 DB37/T 17992011 II 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准由山东省质量技术监督局提出。 本标准由山东省信息标准化技术委员会归口。 本标准起草单位:北京网康科技有限公司、山东省标准化研究院。 本标准主要起草人:隗玉凯、王曙光、王明伟、张乐、张宝权、李强、陈刚、张媛、曲发川。 DB37/T 17992011 网络流量管理设备通用技术条件 1 范围 本标准规定了网络流量管理设备通用技术条件,包括硬件技术要求、功能要求、性能要求、可靠 性要求、设备安全要求、电磁兼容性要求、部署要求、测试
3、要求以及标志、包装、运输和贮存要求。 本标准适用于网络流量管理设备的设计和制造,也可作为组织选择和部署网络流量管理设备的依 据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB 191 包装储运图示标志 GB 4943 信息技术设备的安全 GB/T 5271.8 信息技术 词汇 第8部分:安全 GB 9254 信息技术设备的无线电骚扰限值和测量方法 GB/T 17618 信息技术设备抗扰度限值和测量方法 3 术语和定义 下列术语和定义适用于本文件。 3.1
4、网络流量管理设备 基于网络应用层对网络中流量进行监控、分析,并根据用户、应用、时间、数据流向等条件实施 实时监视、流量控制、智能选路等管控措施的网络设备。 3.2 通道 网络中任意两点或两个节点之间的传输路径。 3.3 攻击 违反计算机安全的企图。例:恶性逻辑、窃听等。 注: 依据GB/T 5271.8。 4 缩略语 DB37/T 17992011 下列缩略语适用于本文件。 CPU: 中央处理器 Central Processing Unit FTP: 文件传输协议 File Transfer Protocol HTTP: 超文本传输协议 Hypertext Transfer Protocol
5、 HTTPs: 安全超文本传输协议 Hypertext Transfer Protocol over Secure Socket Layer IP: 网际互连协议 Internet Protocol OA: 办公自动化 Office Automation POP: 邮局协议 Post Office Protocol SMTP: 简单邮件传输协议 Simple Mail Transfer Protocol SNMP: 简单网络管理协议 Simple Network Management Protocol SSH: 安全外壳协议 Secure Shell Protocol TCP: 传输控制协议
6、Transmission Control Protocol VLAN: 虚拟局域网 Virtual Local Area Network 5 硬件技术要求 设备宜采用1U或2U机身设计。设备应具有良好的散热结构,内部各模块布局合理。应具备满足功 能要求的存储介质,如闪存、硬盘。应具有独立管理接口,工作接口应不少于4个。设备表面说明功能 的文字、符号、标志应清晰、端正、牢固并符合相应的国家标准。电源模块宜具备双电源冗余。应具 有良好的接地系统。 注: U为Unit的缩写,1U=1.75英寸,即4.445 cm。 6 功能要求 6.1 实时监视 6.1.1 应支持常用网管协议,如 SNMP 等。可
7、识别各种常用应用层、网络层协议,包括使用加密传输、 动态协商端口、常规协议及端口借用技术的网络应用。 6.1.2 可对系统状态、应用等实时监控,及时发现网络故障并准确定位。监控内容可通过各种直观图 表方式进行展示。 6.2 流量控制 6.2.1 流量封堵 6.2.1.1 可基于时间、用户、VLAN、应用等条件设置流量封堵策略,限制用户网络应用的范围,实现 对不良网络应用的屏蔽。 6.2.1.2 可使用基于通道的应用封堵功能,在约定的通道内禁止使用与工作无关、降低工作效率或有 安全风险的网络应用,如网络视频、网络游戏、在线聊天、网上炒股等。 6.2.2 流量限速 6.2.2.1 可在不封堵某种网
8、络应用的情况下,将上传、下载带宽限定在合理范围内,保持相关网络应 用的可用性,防止对有限带宽资源的无序抢占。 6.2.2.2 流量限速功能可跟据实际需要,对不同部门、不同 VLAN 和不同用户所需的带宽资源进行合 理规划和限制,避免不同应用之间对带宽资源的争用。 DB37/T 17992011 6.2.2.3 可基于通道或用户,针对流量速率、包速率、连接数、新增连接数、丢包率和丢弃连接数等 指标,根据需要自行定义不同的阈值和不同的报警级别。报警信息应产生报警日志,并发送报警邮件 到指定邮箱。 6.2.3 流量限额 可在不限制指定用户上网流量时,限制其每天或每月的总上网流量,使其每天或每月流量超
9、标后 被禁止上网。 6.3 连接控制 可基于用户、VLAN或通道控制并发连接数和每秒新建连接数,限制网络连接,预防病毒爆发。 6.4 流量保障 可分别根据用户、 VLAN、 应用分配不同级别的带宽通道, 并可根据业务优先等级, 对重要应用 (如: Web、Email、OA等)提供保障,对进入通道的数据流量进行有序管理,保证流量在通道内平稳传输。 应支持通道预留技术。 6.5 智能选路 6.5.1 链路备份 当链路出现故障时,可及时将该链路上的流量自动切换到备份链路上。多条链路之间可互为备份, 并对备份链路切换的时间以及切换的流量进行监控。 6.5.2 流量分担 应具备多条链路之间流量分担功能,
10、可分别设置流量上、下限阈值,当链路流量达到阈值时,将 该链路中流量分担至其他可用链路。 6.6 流量镜像 可将设备上指定链路的流量(如总流量、上传流量、下载流量)镜像给其它第三方设备,由第三 方设备进行相应的流量监控和流量分析。 6.7 上网用户管理 6.7.1 支持多级用户管理,并可按照 IP 地址对用户进行分组实现分组用户管控策略。 6.7.2 可提供多种用户认证和识别方式,包括 IP/MAC绑定、DS 集成认证、LDAP 认证、RADIUS 认证、 POP3 认证等,实现基于用户身份的访问管理。 6.7.3 可按照管理需求,基于网段、权限和职能自定义用户组和成员。 6.8 统计与报告 6
11、.8.1 可基于指定用户、时间、网络应用和策略等统计条件的组合进行统计,依据用户的上传、下载 流量等查询条件,实时显示基于汇总流量、每小时流量和细节流量等查询结果。 6.8.2 可通过走势图、叠加图、二维表、柱状图、饼状图等图表,从不同的分析角度提供清晰而全面 的网络流量分析报告,生成的报告可通过邮件方式发送。 6.9 安全功能 DB37/T 17992011 可对各种网络安全事件产生相应日志,日志应按照用户规定时间进行存档。日志内容包括:事件 发生时间、事件类型、主体身份标识、操作内容、事件结果等。 7 性能要求 7.1 最大吞吐量 设备每秒钟所处理的数据流量峰值。此项指标主要评估设备在应用
12、层的吞吐量,此项值越大,表 示设备的数据转发能力越强。 7.2 最大新建连接数 设备每秒完成的HTTP请求数目。此项指标主要评估设备在应用层的处理速度,此项值越大,表示 设备处理交易事物的速度越快,可支持的并发用户数越大。 7.3 最大并发连接数 设备在网络环境中可支持的同时存在的并发连接数。此项值越大,表示设备支持的用户规模越大。 7.4 最大时延 设备在网络环境中转发数据包引起的延迟。此项值越小,表示设备转发数据的速度越快。 8 可靠性要求 应从软件和硬件方面增强系统的可靠性。设备应支持双机协议。系统软件高负载死锁情况下,可 自动将网口进行旁路,保障网络连通性。 9 设备安全要求 设备的安
13、全应符合GB 4943要求。 10 电磁兼容性要求 10.1 设备的无线电骚扰限值应符合GB 9254的规定,在设备标准中应明确规定选用A级或B级所规定 的无线电骚扰限值。 10.2 抗扰度限值应符合 GB 17618 的规定。 11 部署要求 11.1 透明串接方式 设备以透明网桥方式接入网络,网络流流量经过流量管理设备,透明串接部署不改变网络结构和 配置,如图1。 DB37/T 17992011 图1 透明串接方式 11.2 旁路监听方式 旁路监听方式下,网络流量管理设备通过网络流量镜像方式抓取数据包, 实现对网络流量的管理与 控制,如图2。 图2 旁路监听方式 12 测试要求 12.1
14、测试环境 12.1.1 自然环境 网络流量管理设备测试的自然环境条件应符合以下要求: 温度:1535 ; 相对湿度:45 %75 %; 大气压力:86106 kPa。 DB37/T 17992011 12.1.2 网络环境 测试网络环境包括透明串接和旁路监听两种部署方式,应分别验证两种部署方式下设备的功能和 性能是否符合设计要求。 12.2 测试工具 应使用协议分析、流量模拟等工具对网络流量管理设备进行功能测试和性能测试。 12.3 功能测试 12.3.1 实时监控 查看系统资源状况,是否包含CPU、内存、硬盘等使用信息。查看当前在线用户列表,是否包含全 部合法用户以及活跃用户。 查看设备是否
15、能监控当前网络实时流量以及一段时间内网络流量变化情况。 12.3.2 流量控制 针对网络应用的IP地址、用户、部门、时间段等条件,配置以下应用控制策略,产生相应的应用 会话,验证设备是否能正确识别并有效控制上述网络应用。 a) 标准应用协议,如:HTTP(S)、SMTP、POP3、 FTP、TELNET、SSH 等; b) 聊天软件,如:QQ、MSN等; c) P2P,如:BT、迅雷等; d) 网络游戏,如:联众世界等; e) 网络电视,如:PPStream、PPLive、Sopcast、UUSee 等; f) 炒股软件,如:大智慧、同花顺等; g) 流媒体,如:RealMedia、WinMe
16、dia等; h) 隐患服务,如:Windows文件共享等会带来网络安全隐患的服务。 12.3.3 连接控制 配置基于IP地址、用户、Vlan、时间段和控制管理策略,产生相应的网络流量,分别验证设备以 下功能: a) 访问控制策略是否有效; b) 带宽管理策略是否有效。带宽管理策略包括带宽限制、带宽保证、带宽预留、带宽平均分配、 通道内每用户带宽上限等管理手段; c) 验证限额管理策略是否有效。限额管理包括每日限额和每月限额; d) 验证连接数管理策略是否有效。连接数管理包括并发连接数和新建连接数; e) 验证报警管理策略是否有效。报警管理包括针对流量速率、包速率、连接数等的阈值报警。 12.3
17、.4 流量分担 12.3.4.1 配置基于流量大小的流量分担功能,观察当一条链路的流量达到阈值时,是否能将流量自 动分担到另一条链路上。 12.3.4.2 配置基于目的 IP 的负载均衡, 观察访问电信内网站和联通内网站的流量是否分别选择不同 的链路。 12.3.5 流量镜像 配置基于TCP端口进行过滤的应用引流策略、镜像策略,观察符合过滤条件的流量是否被镜像到指 定端口,同时不影响原流量的正常运行。 DB37/T 17992011 12.3.6 用户管理 12.3.6.1 分别以授权和非授权用户登录设备的管理界面,验证其是否可对设备功能进行激活、禁止、 修改等操作。 12.3.6.2 验证设
18、备是否采用检测要求中的一种或多种方式对上网用户进行身份鉴别。 12.3.6.3 验证设备的用户分组是否支持树形组织结构,支持组内套组,支持父组、子组管理方式。 12.3.7 统计和报告 12.3.7.1 验证设备是否可根据规定条件对网络流量情况进行准确统计,验证设备多种条件查询功能 是否有效。 12.3.7.2 验证设备是否可根据统计情况生成准确的流量分析报告。 12.3.8 安全功能 验证设备是否可对各项操作及安全事件产生完整日志记录。 12.4 性能测试 应使用网络流量模拟工具测试设备最大吞吐量、最大新建连接数、最大并发连接数和最大时延性 能指标是否符合相应设备规格要求。 13 标志、包装
19、、运输和贮存 13.1 包装箱外应标有制造厂名称设备型号并喷刷或贴有“小心轻放”、“怕湿”等运输标志,运输 标志应符合 GB 191 的规定。设备的其他标识标志应符合国家有关规定。 13.2 包装箱外喷刷或粘贴的标志不应因运输条件和自然条件而退色变色脱落。 13.3 包装箱应符合防潮、防尘、防震的要求,包装箱内应有装箱明细表、检验合格证、备附件及有 关的随机文件。 13.4 包装后的设备应能以任何交通工具,运往任何地点,在长途运输时不得装在敞开的船舱和车厢 中,中途转运时不得存放在露天仓库中,在运输过程中不允许和易燃、易爆、易腐蚀的物品同车(或 其他运输工具)装运,并且设备不允许经受雨、雪或液
20、体物质的淋袭与机械损伤。 13.5 设备贮存时应存放在原包装箱内,存放设备的仓库环境温度宜为 0 40 ,相对湿度宜为 30 %85 %。仓库内不应有有害气体、易燃、易爆的设备及有腐蚀性的化学物品,并且应无强烈的机 械振动、冲击和强磁场作用。包装箱应垫离地面至少 10 cm,距离墙壁、热源、冷源窗口或空气入口 至少 50 cm。若无其他规定时贮存期一般应为六个月,若在生产厂存放超过六个月者则应重新进行交 收检验。 DB37/T 17992011 参 考 文 献 1 GA/T 6982007 信息安全技术 信息过滤产品 安全功能要求 2 YDN 1382006 基于PC终端的互联网内容过滤软件技术要求 3 YDN 1392006 基于PC 终端的互联网内容过滤软件测试方法 _
