2024年5月11日发(作者:)

1

Citrix NetScaler MPX 7500 AP Firewall建議規格書

1. 設備為機架式,可安裝於19吋標準機架上。

2. 設備需可提供有 8 個10/100/1000 Base-T 網路連接埠

3. 設備需提供 8 GB(含)以上之記憶體。

4. 本設備系統效能需達下列要求

(1) 1,000 Mbps 的系統處理流量

(2) 1,000 Mbps 的 HTTP壓縮效能

(3) 100,000 request /sec 的 HTTP請求效能

(4) 10,000 transaction/sec 的 SSL 處理效能

(5) 1,000 Mbps 的SSL處理流量

5. 本設備需支援IPv6 (優規)

6. 需支援VLAN 802.1Q、IPv6、Link Aggregation 802.3ad等協定

7. 本設備需具備SSL專屬硬體晶片設計,支援SSL offload 及SSL 加速功能(優規)

8. 本設備可提供應用程式安全性防護功能

(1) 提供DoS的攻擊行為包含SYN Flood、HTTP DoS、Ping of Death等攻擊進行防護。

(2) 提供網路第三層與第四層的存取控制清單(ACL) 。

(3) 提供網路位址轉譯(RNAT) 。

(4) 需提供HTTP rewrite、URL rewrite功能

(5) 本設備需支援認證(Authentication)、授權(Authorization)、稽核(Auditing)等AAA 管理功

能。

(6) 至少針對Buffer Overflow、CGI-BIN parameter Manipulation、Form/Hidden Field

Manipulation、Forceful browsing protection、Cookies/Session Poisoning、Broken ACLs、

Cross-site Scripting (XSS)、Command Injection、SQL Injection、Error Triggering sensitive

Information Leaks、Insecure use of cryptography、Server Misconfiguration、Backdoors &

Debug Options、Rate-based policy enforcement、Well-known Platform Vulnerabilities、

1

2

Zero-day Exploits、Cross Site Request Forgery (CSRF)、Credit card and other sensitive data

leakage prevention 等Web應用系統弱點進行偵測與防護。

(7) 內建Web 應用系統的SQL Injection 攻擊防護功能,抵禦各種SQL Injection 攻擊行為,

並提供管理者選擇「學習」(Learn)、「阻擋」(Block)、「統計」(Statistics)、「記錄」

(Log)等反應處理方式。

(8) 內建Cross-site scripting(XSS)防護功能,抵禦各種Cross-site scripting(XSS)攻擊行

為,並於偵測出內含XSS 指令之資訊後,並提供管理者選擇「學習」(Learn)、「阻擋」

(Block)、「統計」(Statistics)、「記錄」(Log)等反應處理方式。

(9) 提供Web 應用系統防護規則「自動學習」模式(Learning Feature),協助與建議使用者定

義各種防護規則,簡化防護規則設定過程。

(10) 本設備學習功能(Learning Feature)需支援Start URL security check、Cookie Consistency

security check、Form Field Consistency security check、Field Formats security check、HTML

Cross-Site Scripting security check、HTML SQL Injection security check、XML

Denial-of-Service (DoS) security check、XML Attachment security check、WS-I security

check 等多種防護安全防護檢查。

(11) 提供正規表示式(Regular Expressions)自訂防護規則功能,可針對使用者特殊之環境要求

自訂防護措施。

(12) 提供Web 應用系統「入口網址點(Start URLs)」白名單鎖定功能,避免輸入不當網址及

「暴力瀏覽(Forceful Browsing)」而產生之目錄結構外洩、機敏資訊洩漏等問題。

(13) 內建第七層阻斷式服務攻擊(Layer7 DoS)防護功能,可經由定義用戶端偵測速率(Client

Detect Rate)參數等方式,建立防護措施,以確保Web 應用系統資源應用之可用性。

(14) 內建 XML 安全防護機制,並支援XML Denial of Service(xDoS)、XML SQL injection 及

cross site scripting XML message validation、format checks、WS-I basic profile

compliance、XML attachment check 等防禦功能。

(15) 本設備需提供URL轉換功能(URL Transformation),將來訪需求重新導向設定的目標。

(16) 提供客製化的Web 應用系統之異常與錯誤回應訊息,其中包含預設錯誤訊息與重新導

2

3

向至首頁或特定網頁,以避免系統環境及平台等機敏資訊之外洩。

(17) 提供CLI (Command Local Interface) 命令列管理介面(支援SSH、Telnet、Console) 與Web

化圖形管理介面。

(18) 本設備需支援Active/Passive、Active/Active等高可用性功能(HA)。

(19) 提供網頁註解過濾(Strip HTML comments)功能,針對瀏覽之回應網頁自動過濾原始

程式註解,避免洩漏程式邏輯,並提高原始程式之安全性。

(20) 內建金融信用卡機敏資訊自動遮罩防護功能,提供對American Express、Diners Club、

Discover、JCB、Master Card、VISA 等金融信用卡資訊之保護,並可自訂遮罩之字元

數目,以避免機敏資訊外流。

(21) 提供客製化自行定義選項,可以針對定義之機密敏感資訊,如電話號碼、採購單號、客

戶編號等物件,執行自動遮罩(X’s out)、移除、阻擋回應(block)等防護功能。

9. 本設備可原機升級第四層Layer 4 負載平衡功能,無須外加其他硬體或功能模組版卡。

10. 本設備可升級第七層Layer 7負載平衡(Content Switching)功能,無須外加硬體或功能模組版卡。

11. 本設備可升級下列分析及監控功能 (獨規 EdgeSight for NetScaler)

使用者存取後端應用程式狀態監控資料,需提供即時(real-time)及歷史(historical)資料兩種類

後端網頁應用程式服務效能管理預估及報告

3