Opis Przedmiotu Zamówienia

Transkrypt

1 Załącznik nr 1 do SIWZ Z uwzględnieniem II - zmian do siwz z dnia Opis Przedmiotu Zamówienia 1. Przedmiot zamówienia jest podzielony na dwie (2) niezależne od siebie części Wymiana przełączników w core sieci i w bloku DC oraz dostawa urządzeń typu firewall - informacje ogólne Przedmiotem zamówienia jest zakup, dostawa oraz instalacja przełączników sieciowych (Część 1 Zamówienia) oraz urządzeń typu firewall (Część 2 Zamówienia) do dwóch równoważnych ośrodków przetwarzania danych Zamawiającego, oznaczonych w dalszej części niniejszego dokumentu, jako DC1 i DC2, a że usługa serwisu gwarancyjnego przez okres maksymalnie 36 miesięcy dla dostarczonego sprzętu. Ogólna architektura sieci Zamawiającego została przedstawiona na rysunku 1: DC1 DC Blok Core Trasa q 6509 Trasa P Switch_DC1 Stack 3750 Blok Datacenter nie-dmz Switch_DC2 Stack 3750 Rysunek 1 Ogólna architektura sieci Zamawiającego (stan obecny) Po instalacji urządzeń będących przedmiotem niniejszego Zamówienia, architektura sieci Zamawiającego zostanie przekształcona zgodnie z poniższym rysunkiem: 1

2 UCS OK FAIL OK FAIL OK FAIL OK FAIL! UCS OK FAIL OK FAIL OK FAIL OK FAIL! Przełącznik CORE Przełącznik CORE Warstwa dystrybucyjna DC1 Blok Core DC2 Przełącznik CORE Przełącznik Trasa 1 CORE Konteksty na jednym fizycznym przełączniku Core Firewall L3 Synchronizacja Trasa 2 P Firewall Core Konteksty na jednym fizycznym przełączniku DC nie- DMZ Trasa 1 DC nie- DMZ L2 Fabric Trasa 2 Przełącznik DC Przełącznik DC Moduł wyniesiony Blok DC nie-dmz Przełącznik DC P Przełącznik DC Moduł wyniesiony Serwery Blade Serwery RACK Serwery Blade Serwery RACK Rysunek 2 Ogólna architektura sieci Zamawiającego (stan docelowy) Na przełącznikach Core zostaną wydzielone następujące konteksty (odseparowane logicznie części przełącznika): Core DC LAN (tylko w lokalizacji DC1) Przedmiotami zamówienia objęte są odpowiednio dla każdej z części zamówienia: (1) 2 typy przełączników (jeden z nich dodatkowo wyposażony w moduły wyniesione) oraz (2) urządzenia typu firewall: 1. Przełączniki w dwóch równoważnych ośrodkach przetwarzania danych w obrębie rdzenia sieci (przełączniki te zostały oznaczone na rysunku 1 jako 6509, a na rysunku 2 jako Przełącznik CORE ). Zamówienie obejmuje 4 sztuki przełączników tego typu. 2. Przełączniki w dwóch równoważnych ośrodkach przetwarzania danych w obrębie bloku datacenter (przełączniki te zostały oznaczone na rysunku 1 jako Switch_DC1 oraz Switch_DC2, a na rysunku 2 jako Przełącznik DC ), wraz z modułami wyniesionymi. Zamówienie obejmuje 4 sztuki przełączników tego typu wraz z 12 modułami wyniesionymi. Zamawiający zastrzega możliwość dokupienia 2

3 dodatkowych 2 sztuk przełączników oraz 9 modułów wyniesionych na zasadach prawa opcji opisanego w rozdziale 3 niniejszego dokumentu. 3. Urządzenia typu firewall działające na styku rdzenia sieci i bloku datacenter (oznaczone na rysunku 2 jako Firewall ). Dodatkowo w ramach każdej z części Zamówienia, Wykonawca dostarczy niezbędne okablowanie o odpowiednich parametrach wynikające z przeprowadzonej inwentaryzacji Wymiana przełączników w warstwie dystrybucji (opcja) - informacje ogólne Zamówienie w zakresie przełączników w warstwie dystrybucji realizowane będzie w ramach opcji. Przedmiotem zamówienia opcjonalnego dla części 1 w zakresie przełączników sieciowych objętych jest 7 typów przełączników (opis wymagań technicznych dla poszczególnych typów przełączników znajduje się w rozdziale 2): 1. Przełączniki modularne typ M1 (11 sztuk) 2. Przełączniki modularne typ M2 (1 sztuka) 3. Przełączniki typ 1 (20 sztuk) 4. Przełączniki typ 1s (4 sztuki) 5. Przełącznik typ 2 (1 sztuka) 6. Przełączniki typ 3 (24 sztuki) 7. Przełączniki typ 4 (50 sztuk) Dodatkowo w ramach Zamówienia Wykonawca powinien dostarczyć okablowanie na podstawie przeprowadzonej przez siebie wizji lokalnej. Ogólna architektura sieci LAN Zamawiającego przedstawiona została na rysunku 3. 3

4 Rysunek 3 Schemat sieci LAN Zamawiającego Zestawienie wszystkich przełączników obecnych w sieci Zamawiającego wraz z oznaczeniem, które z nich podlegają wymianie w ramach niniejszego zamówienia (zarówno przełączników core, jak i przełączników w bloku datacenter, jak również w warstwie dystrybucji) znajduje się w Tabeli 1. Tabela ta specyfikuje że interfejsy (wkładki SFP), jakie należy dostarczyć razem z przełącznikami: Tabela 1 Zestawienie przełączników w sieci Zamawiającego Lp. Lokalizacja Model 1 DC1 Serwerownia 2 DC1 Serwerownia WS-C6509 WS- SUP720-3B WS-SUP720 WS-C6509- E WS- SUP720-3B WS-SUP720 3 DC2 WS-C6509- E WS- SUP720-3B WS-SUP720 4 DC2 WS-C6509- E WS- SUP720-3B WS-SUP720 5 DC1 Serwerownia WS- C4507R+E WS-X45- SUP7-E WS-X45- Do wymiany Wymiana na:/stan docelowy: Wymiana na przełącznik CORE - Wymiana na przełącznik CORE - Wymiana na przełącznik CORE - Wymiana na przełącznik CORE - nie Obecny przełącznik do użycia w sieci LAN - Wymagane interfejsy Uplink 4

5 Lp. Lokalizacja Model 6 DC1 Serwerownia 7 DC1 Serwerownia 8 DC1 Serwerownia 44 DC1 Serwerownia 13 DC1 Serwerownia 9 DC1 Serwerownia SUP7-E WS- C4507R+E WS-X45- SUP7-E WS-X45- SUP7-E WS-C GE WS- C3750E- 24TD-S WS- C3750E- 24TD-S WS-C2924- XL-EN WS-C SMI brak 18 DC1 Serwerownia 19 DC1 Serwerownia 10 DC1 Parter 48TS-E 11 DC1 Parter WS-C SMI 12 DC1 Parter WS-C SMI 14 DC1 WS- Serwerownia C3750X- 24T-S 15 DC1 Pietro I 48TS 16 DC1 Pietro I WS-C EMI 17 DC1 Pietro II WS-C4507R WS-X GE WS-X GE WS- C3750X- 24T-S WS- C3750X- 48T-S Do wymiany nie nie nowe przełączniki w stosie nie nie nie Wymiana na:/stan docelowy: Obecny przełącznik do użycia w sieci LAN Wymiana na 2 przełączniki DC z 8 modułami wyniesionymi- Nowy stos przełączników złożony z: Przełącznika - typ: 1s i Przełącznika - typ: 1 (do podłączenia użytkowników podłączonych do tej pory do przełączników 6509) Brak potrzeby zakupu - wymiana na posiadany przez Zamawiającego przełącznik modularny WS-C4507R+E - - Przełącznik modularny - typ M DC1 Pietro III WS-C4507R Przełącznik modularny - typ Wymagane interfejsy Uplink - 5

6 Lp. Lokalizacja Model WS-X GE WS-X GE 21 DC1 Pietro IV WS-C EMI 22 DC1 Pietro IV 48TS-E 48TS-E 23 DC1 Pietro IV WS-C DC1 Pietro IV WS-C4507R WS-X GE WS-X GE 25 DC1 Pietro IV 48TS-E 26 DC1 Pietro V 48TS-E 27 DC1 Pietro V 48TS-E 28 DC1 Pietro V WS-C SMI 29 DC1 Pietro V 48TS-E 30 DC1 Pietro V 48TS-E 31 - WS-C Ludna 33 CBF 34 CBF 35 CBF 36 CBF XL SOT WS-C WS-C WS-C WS-C EMI Do wymiany Wymiana na:/stan docelowy: M1 Przełącznik modularny - typ M1 Brak potrzeby zakupu - wymiana na posiadany przez Zamawiającego przełącznik modularny WS-C4507R+E Przełącznik modularny - typ M1 Przełącznik modularny - typ M2 Wymagane interfejsy Uplink - 10GBaseLR 6

7 Lp. Lokalizacja Model 37 CBF 38 CBF 39 CBF WS- C3750X- 48T-S 48TS WS- C3750E- 24TD Serwerownia 49 DC1 Serwerownia 50 DC1 Serwerownia 51 Grochowska 52 Grochowska 40 CBF WS-C SMI 41 DC1 Antresola WS- C3750G- 48TS 42 DC1 Antresola WS- C3750G- 48TS-S 43 DC1 Antresola WS-C2924- XL 45 DC2 WS-C SMI 46 DC2 WS- C3750E- 24TD-S 47 DC1 Catalyst Serwerownia DC1 Catalyst 1900 WS- C3750G- 48TS-S (x2 - stack) WS- C3750G- 48TS-S (x2 - stack) Do wymiany nie nie nie nie Wymiana na:/stan docelowy: Stos przełączników złożony z: Przełącznika - typ: 1s i Przełącznika - typ: 2 Wymiana na 2 przełączniki DC z 4 modułami wyniesionymi Stos przełączników złożony z: Przełącznika - typ: 1s i Przełącznika - typ: 1 Stos przełączników złożony z: Przełącznika - typ: 1s i Przełącznika - typ: 1 Wymagane interfejsy Uplink 8x 1000BaseSX - - 7

8 Lp. Lokalizacja Model 53 Warecka 54 Warecka 55 Warecka 56 Warecka 57 Białystok 58 Gdańsk 59 Gdańsk 60 Gdańsk 61 Katowice 62 Wrocław 63 Wrocław 64 Kielce 65 Kielce 48TS-E WS-C3548- XL-EN WS-C3548- XL-EN WS-C TS 48TS Catalyst TS 48TS 48TS WS-C2924- XL 48TS WS-C Do wymiany Wymiana na:/stan docelowy: Przełącznik modularny - typ M1 Wymagane interfejsy Uplink 10GBaseLR 8

9 Lp. Lokalizacja Model 66 Kraków 67 Kraków 68 Kraków 69 Lublin 70 Łódź 71 Łódź 72 Olsztyn 73 Opole 74 Poznań 75 Poznań 76 Rzeszów 77 Szczecin 78 Toruń 48TS WS-C TS-E 48TS-E 48TS-E WS-C TS-E 48TS-E 48TS WS-C EMI 48TS 48TS 48TS Do wymiany Wymiana na:/stan docelowy: Wymagane interfejsy Uplink 9

10 Lp. Lokalizacja Model 79 Toruń 80 Zielona Góra WS-C3524- XL-EN 48TS Do wymiany Wymiana na:/stan docelowy: Wymagane interfejsy Uplink Instalacja urządzeń odbędzie się w następujących lokalizacjach: a) DC1 obecnie Warszawa, al. Jerozolimskie 7 b) DC2 obecnie Warszawa, ul. Mory 8 c) Innych lokalizacjach na terenie Warszawy oraz lokalizacjach zamiejscowych na terenie Polski, zgodnie z określeniem w Tabeli 1 dokładne adresy lokalizacji Zamawiający udostępni Wykonawcy po podpisaniu umowy. 2. Szczegółowy opis przedmiotu zamówienia 2.1. Wymagania dotyczące wszystkich urządzeń dostarczonych w ramach Zamówienia część 1 oraz część W ramach podstawowego i opcjonalnego przedmiotu zamówienia dla części 1 oraz części 2 Wykonawca: a) Dokona inwentaryzacji okablowania i urządzeń w ośrodkach przetwarzania danych oraz w punktach dystrybucyjnych sieci (lista lokalizacji zawarta jest w Tabeli 1) Zamawiającego na podstawie, której oszacuje niezbędną ilość oraz rodzaj infrastruktury peryferyjnej wyspecyfikowanej w części opcjonalnej oraz niezbędnej do dostarczenia wraz z zamówieniem podstawowym. b) Wykona projekt sieci Zamawiającego zgodny z przedstawioną przez Zamawiającego koncepcją przebudowy sieci. Zamawiający przekaże szczegółową koncepcję przebudowy sieci wybranemu Wykonawcy po podpisaniu umowy. c) Wykona plan migracji urządzeń aktywnych (przełączników i firewalli) w ośrodkach przetwarzania danych oraz punktach dystrybucyjnych sieci. Przygotowane przez Wykonawcę projekt sieci oraz plan migracji, o których 10

11 mowa powyżej, będą podlegać akceptacji Zamawiającego w toku bieżącej realizacji przedmiotu umowy. d) Dostarczy przełączniki sieciowe do warstwy rdzenia sieci (4 szt.), warstwy datacenter (4 szt.) i warstwy dystrybucji oraz dostarczy urządzenia firewall klasy NGF. e) Wspólnie z Zamawiającym dokona migracji urządzeń zgodnie z przygotowanym i zaakceptowanym przez Zamawiającego projektem i planem migracji, uwzględniającym aktualne usługi realizowane przez migrowaną infrastrukturę, aby zostały one również przeniesione. Migracja zostanie zakończona weryfikacją poprawności działania infrastruktury oraz usług. f) Przeprowadzi certyfikowane warsztaty szkoleniowe obejmujące transfer wiedzy oraz demonstrację i objaśnienie sposobów obsługi, konfiguracji i administrowania urządzeniami dostarczonymi w ramach Zamówienia dla 6 osób. Warsztaty szkoleniowe muszą być zrealizowane w autoryzowanym centrum szkoleniowym producentów danego sprzętu w ilości godzin nie mniejszej niż 40 dla każdej z osób i każdej z kategorii funkcjonalnej, linii produktowej urządzeń dostarczonych w ramach Zamówienia. Termin musi zostać uzgodniony z Zamawiającym. Przeprowadzone Szkolenie potwierdzone będzie zaświadczeniem producenta lub autoryzowanego przez producenta centrum szkoleniowego (certyfikat ukończenia). g) Dostarczy dokumentację powykonawczą zawierającą w szczególności: część opisową i schemat graficzny (w formie edytowalnej vsd, vsdx) architektury nowych/modyfikowanych elementów architektury sieci dla wszystkich etapów wdrożenia (włączając stan sprzed realizacji) oraz procedury eksploatacji/administracji, archiwizacji, odtworzenia, monitorowania oraz postępowania w przypadku wystąpienia awarii systemu. h) Zapewni gwarancję i serwis dla dostarczonych urządzeń zgodnie z zapisami rozdziału Wszystkie licencje wymagane do uruchomienia funkcjonalności wymaganych w OPZ i poszczególnych Formularzach Oferty Technicznej muszą być uwzględnione w ofercie (chyba, że wprost zaznaczono inaczej). Licencje wymagane na potrzeby realizacji wymagań opcjonalnych (w przypadku ich spełnienia) że muszą być uwzględnione w ofercie (chyba, że wprost zaznaczono inaczej). 11

12 2.2. Wymagania techniczne dotyczące przełączników w równoważnych ośrodkach przetwarzania danych w obrębie rdzenia sieci Wykonawca dostarczy cztery (4) przełączniki sieciowe (określane, jako przełączniki Core) spełniające wymagania określone w punkcie 1 Formularza Oferty Technicznej (Przełączniki) Wykonawca wraz z przełącznikami dostarczy wyposażenie dodatkowe zgodne z poniższym zestawieniem: Tabela 2 Urządzenie, do którego jest przeznaczone dodatkowe wyposażenie Przełącznik Core Urządzenie 1 w DC1 Przełącznik Core Urządzenie 2 w DC1 Przełącznik Core Urządzenie 1 w DC2 Przełącznik Core Urządzenie 2 w DC2 Wymagane wyposażenie 34 wkładki światłowodowe typu 10GBASE-SR 4 wkładki światłowodowe typu 10GBASE-LR 3 wkładki typu 1000BaseT RJ45 34 wkładki światłowodowe typu 10GBASE-SR 4 wkładki światłowodowe typu 10GBASE-LR 3 wkładki typu 1000BaseT RJ45 8 wkładek światłowodowych typu 10GBASE-SR 3 wkładki typu 1000BaseT RJ45 8 wkładek światłowodowych typu 10GBASE-SR 3 wkładki typu 1000BaseT RJ45 12

13 2.3. Wymagania techniczne dotyczące przełączników w równoważnych ośrodkach przetwarzania danych w obrębie bloku datacenter (4 sztuki) Wykonawca dostarczy cztery (4) przełączniki sieciowe (określane, jako przełączniki DC) spełniające wymagania określone w punkcie 2 Formularza Oferty Technicznej (Przełączniki) Wykonawca wraz z przełącznikami dostarczy wyposażenie dodatkowe zgodne z poniższym zestawieniem: Tabela 3 Urządzenie, do którego jest przeznaczone dodatkowe wyposażenie Przełącznik DC Urządzenie 1 w DC1 Przełącznik DC Urządzenie 2 w DC1 Przełącznik DC Urządzenie 1 w DC2 Przełącznik DC Urządzenie 2 w DC2 Przełączniki DC Obydwa urządzenia w DC1 (łącznie) Przełączniki DC Obydwa urządzenia w DC2 (łącznie) Wymagane wyposażenie 2 wkładki światłowodowe typu 10GBASE-SR 2 wkładki światłowodowe typu 10GBASE-SR 2 wkładki światłowodowe typu 10GBASE-SR 2 wkładki światłowodowe typu 10GBASE-SR Wymaga się dostarczenia razem z przełącznikami do lokalizacji DC1 w sumie ośmiu modułów wyniesionych lub przełączników zapewniających po 48 portów 1/10G SFP+ każdy, dołączanych pasmem G do przełącznika macierzystego oraz spełniających wymagania funkcjonalne dla modułów wyniesionych określone w ramach wymagań na przełączniki DC zgodnie z punktem 2 FOT (Przełączniki). Razem z każdym modułem wyniesionym należy dostarczyć wszystkie wkładki oraz kable umożliwiające dołączenie pasmem 40G do każdego z dwóch przełączników macierzystych w tym celu należy przewidzieć że wkładki do przełącznika macierzystego Wymaga się dostarczenia razem z przełącznikami do lokalizacji DC2 w sumie czterech modułów wyniesionych lub przełączników zapewniających po 48 portów 1/10G SFP+ każdy, dołączanych pasmem G do przełącznika macierzystego oraz spełniających wymagania funkcjonalne dla modułów wyniesionych określone w ramach wymagań na przełączniki DC zgodnie z punktem 2 FOT (Przełączniki). Razem z każdym modułem wyniesionym należy dostarczyć wszystkie wkładki oraz kable umożliwiające dołączenie pasmem 40G do każdego z dwóch 13

14 przełączników macierzystych w tym celu należy przewidzieć że wkładki do przełącznika macierzystego 2.4. Wymagania techniczne dotyczące urządzeń firewall. Wykonawca dostarczy dwa (2) urządzenia firewall klasy NGF (Next Generation Firewall) wraz z platformą zarządzania o parametrach zgodnych Formularzem Oferty Technicznej nr 2 (Urządzenia firewall). W celu potwierdzenie spełniania wymagań Zamawiającego przez oferowane urządzenia firewall klasy NGF, każdy z oferentów zobowiązany będzie do dostarczenia urządzenia testowego zgodnie z warunkami opisanymi poniżej w rozdziałach Zamawiający wymaga gotowości oferenta do przeprowadzenia testów w terminie nie dłuższym niż 14 dni kalendarzowych liczonym od dnia otwarcia ofert. Zamawiający po upływie tego terminu oddzielnym pismem wyznaczy każdemu z oferentów dokładny termin przeprowadzenia testów Kryteria oceny urządzeń firewall Zamawiający będzie weryfikował wszystkie poniższe parametry i funkcjonalności na podstawie oficjalnej dokumentacji producenta przedstawionej jednostkowo przez Wykonawcę w odniesieniu do każdego z punktów tabeli oraz na podstawie testów. Wszelkie testy będą przeprowadzane przez oferenta na jego koszt i ryzyko. Każdy z wezwanych oferentów tylko jeden raz będzie miał możliwość okazania zaoferowanego urządzenia w terminie wyznaczonym przez Zamawiającego (nie dopuszcza się by testy weryfikacyjne zostały przeprowadzone drugi raz). W przypadku braku możliwości potwierdzenia parametru z oficjalnej dokumentacji producenta oraz testów Zamawiający ma prawo wezwać do opisu sposobu zapewnienia parametru popartego przedstawieniem listing konfiguracji lub referencji z uzyskania ww. parametru w innym projekcie z wykorzystaniem tych samych urządzeń w tej samej konfiguracji Parametry i funkcjonalności podstawowe: Tabela 4 Lp. Nazwa parametru/funkcjonalności 1. Urządzenie musi realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. 2. Urządzenie musi zapewniać obsługę dla IPv6. Typ wymagania* Sposób weryfikacji parametrów / funkcjonalności które wymagają przeprowadzenia testów 14

15 3. Urządzenie musi zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. 4. Urządzenie nie może posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. 5. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. 6. Urządzenie musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż: wykrywanie i blokowanie aów typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona antywirus i any-spyware), filtracja plików, danych i URL. 7. Urządzenie musi zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. 8. Urządzenie musi zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. 9. Urządzenie musi identyfikować co najmniej 1000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu- Gadu, Tor, BitTorrent, emule. 10. Urządzenie musi zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. 11. Urządzenie musi zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. 12. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność podmieniania adresów domen uznanych za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania DNS w celu wykrycia hostów z sieci wewnętrznej które próbują nawiązać komunikacje ze złośliwymi domenami. 13. Urządzenie musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. 14. Urządzenia muszą posiadać możliwość uruchomienia modułu wykrywania i blokowania aów intruzów w warstwie 7 modelu OSI (IPS). W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. Nie dotyczy Dodatkowo: potwierdzenie subskrypcji usługi przez 15

16 15. Urządzenie musi posiadać możliwość uruchomienia modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Baza AV musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. 16. Urządzenie musi posiadać możliwość uruchomienia w przyszłości modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek komponentów, poza subskrypcją. Baza kategorii stron musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. 17. Urządzenie musi transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. 18. Urządzenie musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. 19. Urządzenie musi działać w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) oraz trybie pasywnego nasłuchu (tzn. TAP). Funkcjonując w trybie transparentnym urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych. 20. W architekturze rozwiązania musi występować moduł zarządzania i moduł przetwarzania danych. 21. Urządzenie musi posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. 22. Urządzenie musi umożliwiać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a że ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenia muszą umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego. 23. Urządzenie musi być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. producenta Weryfikacja występowania modułów w dostarczonym urządzeniu - oględziny urządzenia Nie dotyczy 24. Urządzenie musi pochodzić z autoryzowanego kanału sprzedażowego producenta na terenie Unii Europejskiej. Nie dotyczy 25. Urządzenie musi być monitorowane przez posiadany przez Zamawiającego system Tufin Secure Track oraz Tufin Secure Change.. Wykonawca Nie dotyczy dostarczy wymagane licencje do systemu Tufin. 26. Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim. Nie dotyczy 27. Urządzenie musi być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). Nie dotyczy 28. Urządzenie musi być urządzeniem o uznanej na rynku pozycji i muszą znajdować się w kwadracie Leaders lub Chellengers raportu Gartnera pt. Nie dotyczy Magic Quadrant of Network Enterprise Firewalls - Kwiecień 2014 lub Magic Quadrant of Network Enterprise Firewalls Kwiecień Urządzenie nie może znajdować się na liście end-of-sale oraz end-ofsupport producenta. Nie dotyczy 30. Urządzenie musi być w obudowie typu rack Oględziny urządzenia 31. W lokalizacji Warszawa - Centrum Przetwarzania Danych zostanie zainstalowane minimum jedno urządzenie Nie dotyczy 32. W lokalizacji Warszawa - Rezerwowe Centrum Przetwarzania Danych - zostanie zainstalowane minimum jedno urządzenie Nie dotyczy 16

17 33. Urządzenie musi mieć budowę modularną umożliwiającą instalację minimum 1 karty zarządzającej oraz minimum 6 kart z interfejsami liniowymi 34. Przepustowość matrycy przełączającej (backplane) urządzenia musi wynosić minimum 1 Tbps. 35. Urządzenie musi być dostarczone w konfiguracji z minimum 12 portami 1000 BaseT, 8 portami Gigabit SFP, 4 portami 10 Gigabit SFP+ oraz 2 portami 40Gb. Wymagane jest dostarczenie następujących typów wkładek do każdego z urządzeń: a) SFP+-10Gb-LR 2 szt. b) SFP+10Gb-SR 4 szt. 36. System zabezpieczeń firewall musi mieć możliwość zwiększenia liczby interfejsów poprzez dodanie dodatkowych modułów bądź kart rozszerzeń o dodatkowo (w stosunku do konfiguracji minimalnej opisanej w punkcie poprzednim): minimum 4 interfejsy optyczne 1Gb (SFP) oraz minimum 20 interfejsów optycznych 10Gb (SFP+). Dopuszcza się użycie kabli rozszywających 40Gb QSFP na 10Gb SFP Każde urządzenie musi zapewniać wydajność przynajmniej 8 Gbps dla ruchu IPSec VPN. 38. Każde urządzenie musi posiadać przepustowość w ruchu nie mniej niż 20 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 10 Gbps. 39. Każde urządzenie musi posiadać możliwość rozbudowy przepustowości w ruchu do nie mniej niż 100 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż nowych połączeń na sekundę i obsługiwać min jednoczesnych sesji. 40. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły routingu dynamicznego, nie mniej niż BGP i OSPF. 41. Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania. 42. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Dopuszcza się, aby polityki mogły być tworzone tylko z graficznej konsoli GUI. 43. Urządzenie firewall musi posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu. 44. Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i ewentualne licencje/subskrypcje na aktualizajcę bazy aplikacji muszą być ważne przynajmniej przez okres trzech lat. 45. Urządzenie musi być wyposażone w dedykowany port zarządzania out-ofband. 46. Urządzenie musi umożliwiać stworzenie i konfigurację min. 25 wirtualnych firewalli. Musi istnieć możliwość rozbudowy urządzenia dla osiągnięcia możliwości definicji min. 200 wirtualnych firewalli. 47. W przypadku gdy urządzenie pozwala na jednoczesną pracę dwu lub więcej administratorów musi istnieć wbudowany w system mechanizm Oględziny urządzenia Nie dotyczy Oględziny urządzenia Oględziny urządzenia Przeprowadzenie testu zgodnie z procedurą określoną w rozdziale 2.6 ( Procedura testów ) Przeprowadzenie testu zgodnie z procedurą określoną w rozdziale 2.6 ( Procedura testów ) Nie dotyczy Jw. Nie dotyczy Nie dotyczy 17

18 umożliwiający jednemu z administratorów uzyskanie wyłączności na wprowadzanie zmian. W tym czasie pozostali zalogowani użytkownicy nie mogą być w stanie dokonać żadnych zmian w konfiguracji. 48. Urządzenie musi umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej reguły bezpieczeństwa, innego serwera Syslog. 49. Administrator urządzenia musi mieć możliwość przeglądania z poziomu urządzenia informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji jak przesłane pliki zachowywały się w środowisku, które z nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki przesyłali. 50. Urządzenie musi mieć możliwość czytania oryginalnych adresów IP stacji końcowych z nagłówka X-Forwarded-For i wykrywania na tej podstawie użytkowników generujących daną sesje w przypadku gdy ruch przechodzi przez serwer Proxy zanim dojdzie do urządzenia. 51. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim w autoryzowanym ośrodku edukacyjnym 52. Wraz z system zabezpieczeń firewall musi zostać dostarczona fizyczna platforma w postaci urządzenia sieciowego (lub urządzeń sieciowych) pozwalająca na centralne zarządzanie, logowanie i raportowanie zdarzeń z 25 urządzeń fizycznych i logicznych instancji systemów bezpieczeństwa o pojemności dysku nie mniejszej niż 1 TB w RAID 1 (2 x 1 TB). Musi istnieć możliwość rozbudowy systemu zarządzania do obsługi minimum 150 urządzeń fizycznych bez konieczności wymiany platformy sprzętowej. 53. Konsola zarządzająca, logująca i raportująca musi mieć możliwość korelowania zbieranych zdarzeń i informacji oraz budowania na ich podstawie wielu, dostosowanych do potrzeb Zamawiającego raportów. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, użytkownikach, aplikacjach, zagrożeniach i filtrowaniu stron WWW. Musi istnieć możliwość zapisania stworzonych raportów i uruchamianie ich w sposób ręczny lub automatyczny w określonych przedziałach czasu oraz wysyłania ich w postaci wiadomości do wybranych osób. 54. Konsola zarządzająca, logująca i raportująca musi móc pracować w trybie kolektora logów zbierającego jedynie dane z systemów bezpieczeństwa lub w trybie pełnej analizy w celu optymalizacji procesu zbierania logów. Powinna istnieć możliwość rozbudowy systemu zarządzającego, logującego i raportującego o kolejne urządzenia aby umożliwić zwiększenie pojemności lub/i wydajności całego systemu w przyszłości. Nie dopuszcza się systemu w którym występuje konieczność rozdzielenia funkcji raportowania i logowania oraz funkcji zarządzania na dwa różne systemy fizyczne lub logiczne. 55. Konsola zarządzająca, logująca i raportująca musi umożliwiać centralne budowanie i dystrybucję polityk bezpieczeństwa, aktualizację oprogramowania i sygnatur oraz funkcje audytu i backupu konfiguracji. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy Nie dotyczy Parametry i funkcjonalności dodatkowe: Tabela 5 Lp. Nazwa parametru/funkcjonalności 1. Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Liczba punktów za spełnienie wymagania Sposób weryfikacji parametrów / funkcjonalności które wymagają przeprowadzenia testów 3 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania pojedynczej, 18

19 Tryb pracy zabezpieczeń musi być ustalany w konfiguracji interfejsów inspekcyjnych. 2. Urządzenie musi umożliwiać definiowanie i przydzielanie innych profili ochrony (AV, IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP. 3. Urządzenie musi umożliwiać definiowanie i przydzielanie odmiennych profili kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym samym porcie UDP lub TCP. 4. Urządzenie musi posiadać funkcjonalność odczytywania informacji o adresie IP hosta i korzystającym z tego hosta użytkowniku na podstawie komunikacji Syslog wysyłanej do firewalla. 5. Urządzenie musi mieć możliwość uruchomienia kilku, odrębnych tablic routingu w pojedynczej, logicznej instancji systemu. logicznej instancji systemu do pracy we wszystkich wymienionych trybach jednocześnie poprzez zmianę właściwości interfejsów inspekcyjnych. 2 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania innych profili ochrony dla różnych aplikacji pracujących na tych samych portach TCP lub UDP. Np. wszystkie rozpoznawane aplikacje typu web-mail pracujące na porcie tcp/80 muszą być skanowane profilami AV-1, IPS-1 i AS- 1, a aplikacje typu social-networking pracujące również na porcie tcp/80 profilami AV-2, IPS-2 i AS-2. 1 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania osobnych profili kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tych samych portach TCP lub UDP. Np. zablokuje wysyłanie plików typu MS Office we wszystkich rozpoznanych aplikacji typu web-mail pracujących na porcie tcp/80 oraz zablokować ściąganie plików typu exe dla aplikacji typu social-networking pracujących na tym samym porcie tcp/80. W tym samym czasie wysyłanie plików exe za pomocą aplikacji typu web-mail i pobieranie plików typu MS Office aplikacjami typu socialnetworking powinno być możliwe. 1 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania zewnętrznego systemu, np. serwera FTP lub serwera WWW który będzie wysyłał informacje Syslog bezpośrednio do firewalla przy każdym poprawnym zalogowaniu użytkownika z informacjami o jego nazwie i adresie IP hosta z którego nawiązano połączenie. 1 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania kilku tablic routingu w pojedynczej, logicznej instancji systemu. 19

20 6. Urządzenie musi posiadać funkcjonalność pozwalającą administratorowi urządzenia na konfigurację rodzaju pliku (exe, dll), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu Sand-Box. Musi istnieć możliwość rozbudowy funkcjonalności o analizę plikó pdf, msoffice. 7. Urządzenie musi mieć możliwość przekierowania ruchu na podstawie list dostępowych dla wybranych aplikacji i konkretnych użytkowników z pominięciem tablicy routingu. 8. Urządzenie musi posiadać interfejs API który musi być jego integralną częścią i umożliwiać konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli do zarządzania lub linii poleceń (CLI). 9. Urządzenie musi mieć możliwość tworzenia dynamicznych obiektów adresowych do których, na podstawie zdefiniowanych etykiet, można w automatyczny sposób przypisywać adresy IP. Powinna istnieć możliwość ręcznego tworzenia etykiet bezpośrednio na urządzeniu lub automatycznego pobierania ich z zewnętrznych systemów np. VMware vcenter lub ESX(i) oraz skojarzonych z tymi etykietami adresów IP. Powinna istnieć możliwość wykorzystania zbudowanych obiektów adresowych w politykach bezpieczeństwa. 10. Urządzenie musi mieć możliwość wyboru sposobu blokowania ruchu w politykach bezpieczeństwa. Powinna istnieć możliwość ustawienia cichego blokowania ruchu bez 3 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania urządzenia, aby wysyłało jedynie wybrane typy plików, z wybranych aplikacji podczas ruchu w wybranym kierunku do analizy typu "Sand-box". Np. analizie typu "Sand-Box" mają zostać poddane jedynie: - pliki typu exe, wysyłane z sieci LAN do Internetu za pomocą aplikacji FTP - wszystkie pliki MSOffice, pobierane z Internetu za pomocą przeglądarki www. 2 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona skonfigurowania kilku reguł PBR które powinny przekierowywać ruch w różny sposób w zależności od tego jaki użytkownik i/lub jaka aplikacja go generuje. Np. ruch generowany przez użytkownika A dla wszystkich rozpoznawanych aplikacji typu web- musi wychodzić interfejsem nr 1 a ruch generowany przez użytkownika B dla wszystkich rozpoznawanych aplikacji typu socialnetworking interfejsem nr 2. 3 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona zmiany konfiguracji urządzenia za pomocą skryptu łączącego się bezpośrednio z interfejsem API urządzenia zabezpieczeń bez użycia konsoli do zarządzania lub linii poleceń (CLI). Np. skrypt powinien zmienić akcję w pierwszej skonfigurowanej regule bezpieczeństwa z "zezwalaj" na "blokuj". 1 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent dokona konfiguracji obiektów dynamicznych i wykorzystania ich w politykach bezpieczeństwa. 3 w dostarczonej próbce przy użyciu dostępnej dokumentacji. Oferent 20

21 wysyłania RST, blokowanie z wysłaniem RST tylko do klienta, blokowanie z wysłaniem RST tylko do serwera, blokowanie z wysłaniem RST do klienta i serwera jednocześnie. 11. System zarządzania urządzeniami dostarczony w ramach Zamówienia musi zarządzać posiadanymi przez Zamawiającego firewallami Palo Alto PA3050 (2 sztuki) - w zakresie nie mniejszym niż wymagany dla zarządzania nowo dostarczanymi urządzeniami. dokona konfiguracji polityki bezpieczeństwa z użyciem różnych mechanizmów blokowania. 5 Nie dotyczy 12. Wydajność Maksymalna przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji, Anti-Bot ). Minimalna wymagana przepustowość: 15 Gbps. Za przepustowość powyżej 15 Gbps lecz nie więcej niż 30 Gbits zostaną przyznane dodatkowe punkty: za każdy 1Gbits 1 pkt Za każdy 1Gbits 1 pkt max 15 pkt Procedura testu została przedstawiona w rozdziale 2.6 ( Procedura testów ) Procedura testów Testy muszą zostać wykonane dedykowanym urządzeniem typu appliance umożliwiającym wygenerowanie ruchu o wymaganej charakterystyce i wolumenie, a że umożliwiające generowanie ruchu na podstawie pliku zawierającego podsłuchany (za pomocą sniffera) rzeczywisty ruch występujący w sieci Zamawiającego Wymagania wobec testów oraz procedura ich przeprowadzenia Oferent w terminie wykonania testów musi przekazać Zamawiającemu kompletne środowisko testowe (ŚT), w szczególności sprzęt i oprogramowanie składające się na oferowany system oraz wszelkie inne elementy konieczne do przeprowadzenia testów. Po wykonaniu prezentacji Oferent zabierze dostarczone przez siebie urządzenia Miejsce i sposób przeprowadzenia testów 1. Testy zostaną przeprowadzone w lokalizacji BGK wskazanej przez Zamawiającego. O terminie testów będzie decydować kolejność złożonych ofert. Szczegółowe informacje nt. miejsca oraz terminu przeprowadzenia testów zostaną przekazane oferentowi osobnym pismem. Zamawiający nie przewiduje zmiany harmonogramu z przyczyn leżących po stronie oferenta. Wszelkie testy i konfiguracje będą wykonywane przez oferenta na jego koszt i ryzyko. 2. Czas trwania testów nie może być dłuższy niż 6 godzin zegarowych. Oferent będzie miał prawo przygotowania ŚT w miejscu testów dwie godziny zegarowe przed początkiem testów. Czas ten może zostać wykorzystany przez Oferenta do przygotowania się do testów. 3. W celu realizacji testów (podczas przygotowania oraz przeprowadzenia) oferent może korzystać tylko i wyłącznie z ŚT przez siebie dostarczonego. Wyjątek stanowią tutaj urządzenia prezentacyjne: rzutnik, ekran, monitor, które w razie potrzeby dostarczy Zamawiający. W im przypadku oferent zobowiązany jest do 21

22 przekazania informacji Zamawiającemu o potrzebie dostarczenia urządzeń prezentacyjnych najpóźniej na jeden dzień roboczy przed wyznaczonym dniem przeprowadzenia testów. 4. Podczas testów oferent zobowiązany jest do udzielania Zamawiającemu wszelkich wyjaśnień umożliwiających zbadanie, czy oferowane rozwiązanie posiada wymagane parametry i funkcjonalności. 5. W przypadku wystąpienia podczas testów problemów lub błędów oferent ma prawo do podjęcia czynności zmierzających do ich eliminacji/usunięcia, w szczególności może dokonywać niezbędnych z jego punktu widzenia modyfikacji prezentowanego ŚT, w ramach czasu przewidzianego na testy, o którym mowa w pkt. 2. Po przekroczeniu czasu na testy, tj. po upływie 6 godzin zegarowych, zadania które nie zostały wykonane w zadanym czasie zostaną uznane za niewykonane. 6. Testy są jawne, chyba, że oferent zastrzegł, iż stanowią tajemnicę przedsiębiorstwa. (zgodnie z art. 8 ust. 3 Pzp). W związku z powyższym, w przypadku gdyby prezentacja stanowiła tajemnicę przedsiębiorstwa, oferent, nie później niż w terminie składania ofert, musi zastrzec, że nie może być ona udostępniana. 7. Nieobecność oferenta na testach w wyznaczonym terminie bądź dostarczenie urządzenia typu firewall niezgodnego z zaoferowanym bądź niedostarczenie wszystkich elementów niezbędnych do przeprowadzenia testów będzie równoznaczne z uznaniem, że testy nie odbyły się z winy oferenta. 8. Zamawiający nie ponosi odpowiedzialności za szkodę wyrządzoną utratą, zniszczeniem lub uszkodzeniem urządzeń dostarczonych przez oferenta. Wszelkie testy będą prowadzone przez oferenta. 9. Po zakończeniu testów lub upływie czasu na ich przeprowadzenie oferent odbiera dostarczone urządzenia. 10. Z przeprowadzonych testów Zamawiający sporządzi protokół. 11. Testy muszą być prowadzone w języku polskim Wymagania dla urządzenia testującego (generatora ruchu): a) Testy muszą być wykonane dedykowanym urządzeniem umożliwiającym wygenerowanie ruch o wymaganej charakterystyce i wolumenie. b) Urządzenie generujące ruch musi symulować pracę zarówno klienta jak i serwera dla testowanych aplikacji (odbiornik, nadajnik). c) Urządzenie musi pozwalać na przeprowadzenie testu firewalla pracującego w trybie bridge (L2) jak i w trybie routing (L3). d) Urządzenie musi mieć możliwość wygenerowania ruchu o wolumenie większym, niż wymagany przez Zamawiającego maksymalny wolumen ruchu dla oferowanego urządzenia. e) Urządzenie musi posiadać predefiniowane przez producenta próbki symulujące ruch generowany prze różnego rodzaju aplikacje, grupy aplikacji oraz protokoły np. HTTP Enterprise, Windows Update, Facebook, Google , Microsoft Exchange, Oracle, Enterprise Mix. f) Urządzenie musi mieć możliwość wygenerowania ruchu dla wybranej grupy aplikacji, o określonym wolumenie i określonej liczbie symulowanych użytkowników. g) Urządzenia powinno posiadać możliwość automatycznego przerwania testu, jeśli liczba błędów przekroczy określoną wartość. 22

23 h) W czasie prowadzonego testu urządzenie musi na bieżąco raportować informacje o generowanym ruchu. W czasie testu powinny być dostępne ie informacje jak: 8.1. sumaryczny wolumen generowanego ruchu; 8.2. wolumen ruchu na poszczególnych interfejsach; 8.3. liczba wygenerowanych transakcji (poprawne oraz nieudane); 8.4. liczba wygenerowanych sesji TCP, liczba jednoczesnych sesji TCP, liczba sesji TCP/sec. i) Po zakończeniu testów urządzenie musi wygenerować raport z wykonanego testu zawierający miedzy innymi informacje o: wolumenie wygenerowanego ruchu; procentowym udziale poszczególnych aplikacji w wolumenie generowanego ruchu; ilości błędów w generowanym ruchu; liczbie wygenerowanych sesji TCP; ruchu wygenerowanym na poszczególnych interfejsach Wymagania, co do konfiguracji firewalla: a) W czasie testu sprawdzona zostanie wydajność firewalla NGFW oraz wydajność firewalla z włączoną ochroną Threat Prevention (IPS, AV, Anti-Bot) b) Moduły inspekcyjne muszą mieć zainstalowane najnowsze aktualizacje sygnatur oraz najnowsze silniki skanowania c) Moduły inspekcyjne muszą mieć wyłączone opcje fail-open. d) Moduły inspekcyjne IPS oraz AV muszą analizować cały ruch (analiza wszystkich danych przesłanych w sesji). e) modułu firewalla i kontroli aplikacji - w czasie testu polityka zezwalała będzie na dowolny ruch/aplikację (reguła ANY ANY ACCEPT). f) modułu IPS na czas testu należy wdrożyć predefiniowaną przez producenta politykę zapieniającą najwyższy poziom ochrony np. Recommend, Strict. g) AV domyślna polityka producenta. h) Anti-Bot domyślna polityka producenta i) NGFW (rozpoznawanie aplikacji) włączone wszystkie dostępne sygnatury rozpoznawania aplikacji j) logowania włączone logowanie dla wszystkich modułów Wymagania, co do ruchu, którym testowana będzie wydajność firewalla. Generator powinien symulować rzeczywisty ruch występujący w sieci klienta/w sieciach enterprise. Dodatkowe informacje na temat charakterystyki ruchu, który powinien zostać wygenerowany przedstawia poniższa tabela. Tabela 6. Parametry generowanego ruchu Aplikacja % udział w ruchu Liczba symulowanych użytkowników HTTP 40 % >=

24 HTTPS 10% SQL 10% RDP 5% FTP 5% SMTP 5% DNS 1% Przebieg testów Weryfikacja konfiguracji firewalla. Przed wykonaniem testu generatorem wykonane zostaną wstępne testy potwierdzające poprawne działanie modułów inspekcyjnych oraz logowania. Stan urządzenia zgodnie z punktem 2.6.4: Firewall skonfigurowany jak do testu generatorem (tryb bridge-mode). Przebieg testu funkcjonalnego zgodnie z wymaganiami zawartymi w punkcie 2.6.5: Tabela 7 L.p. Nazwa testu Opis Oczekiwany wynik Wynik pozytywny (/nie) 0. Weryfikacja konfiguracji. Wskazanie konfiguracji potwierdzającej, że wszystkie wymagane moduły zostały uruchomione i skonfigurowane zgodnie z wymaganiami. Potwierdzenie w konfiguracji włączenia funkcjonalności. 1. Test aplikacji rozpoznania Nawiązać połączenie dowolną aplikacją. Informacja w logu potwierdzająca rozpoznanie aplikacji. 2. Test AV - protokół HTTP Przesłanie pliku eicar protokołem HTTP. Próba przesłania pliku powinna zostać zablokowana. 3. Test AV protokół FTP Przesłanie pliku eicar protokołem FTP. Próba przesłania pliku powinna zostać zablokowana. 4. Test AV protokół HTTP, plik skompresowany Przesłanie skompresowanego pliku eicar protokołem HTTP Próba przesłania pliku powinna zostać zablokowana. 5. Test AV protokół FTP, plik Przesłanie skompresowanego pliku eicar protokołem FTP Próba przesłania pliku powinna zostać 24

25 skompresowany 6. Test IPS Wygenerowanie dowolnego zdarzenia rozpoznanego przez IPS zablokowana. Informacja w logu potwierdzająca wykrycie zdarzenia Weryfikacja konfiguracji generatora Celem testu będzie weryfikacja poprawności działania generatora. Stan wyjściowy: Test powinien zostać wykonany bez urządzeń na ścieżce ruchu porty nadajnika i odbiornika połączone bezpośrednio. W ramach testu należy wygenerować ruch zgodnie ze specyfikacją opisaną w punkcie Przebieg testu: Tabela 8 L.p. Nazwa testu Opis Oczekiwany wynik Wynik pozytywny (/nie) 1. Weryfikacja konfiguracji generator Generacja ruchu o wolumenie 20Gbps. *) Czas trwania testu 5 minut Potwierdzanie uzyskanych wyników w statystykach generatora oraz raportem końcowym Testy firewalla z użyciem generatora Stan wyjściowy: Firewall skonfigurowany w trybie bridge zgodnie z wymaganiami opisanymi w punkcie Jeden z interfejsów generatora (port nadajnika) podłączony zostanie do portu wejściowego firewall drugi (port odbiornika) do wyjściowego. Podczas testów generowany będzie ruch zgodnie z parametrami opisanymi w punkcie Przebieg testu: Tabela 9 L.p. Nazwa testu Opis Oczekiwany wynik Wynik 1. Test maksymalnej wydajności firewalla z włączonym mechanizmami Threat Prevention (IPS + AV + Anti-Bot+filtracja aplikacji.) Włączone mechanizmy tradycyjnego firewalla oraz NGFW (rozpoznawanie aplikacji). Włączone mechanizmy Threat Prevention (IPS + AV + Anti- Poprawne urządzenia. działanie Prawidłowa kategoryzacja ruchu. Wartość w Gbps*): 25

26 Bot.) Generacja ruchu o maksymalnym wolumenie obsługiwanym przez firewall. Urządzenie generujące ruch nie odnotowuje błędnych transakcji. Czas trwania testu 5 minut *) Sumaryczny ruch (Tx + Rx). Powyższy test urządzenia firewall zostanie powtórzony 3-krotnie. Aby wynik testów został uznany za pozytywny, za każdym razem test musi zakończyć się wynikiem pozytywnym. Jako wartość przepustowości firewall a zostanie przyjęta wartość średnia z dokonanych pomiarów. 3. Szczegółowy opis prawa opcji w ramach części 1 zamówienia Zamawiający w ramach prawa opcji zastrzega prawo do zakupu dowolnej ilości dodatkowych komponentów infrastruktury, które zostały ujęte w tabeli poniżej. Wykonawca powinien przedstawić cenę dla każdego z produktów zgodnie z tabelą. Zamawiający może zażądać realizacji zamówienia dodatkowego w dowolnej części. Tabela 10 Lp. Typ Nazwa Szacowana maksymalna ilość do zakupu w ramach prawa opcji 1 Przełącznik Przełącznik modularny typ M Przełącznik Przełącznik modularny typ M2 1 3 Przełącznik Przełącznik typ Przełącznik Przełącznik typ 1s 4 5 Przełącznik Przełącznik typ Przełącznik Przełącznik typ Przełącznik Przełącznik typ Patchcord patchcord typu multimode o długości do 30 m Patchcord patchcord typu single mode o długości do 30 m Patchcord Patchcord UTP Wkładka Wkładka 1000BaseT

27 SFP/SFP+ 12 Wkładka SFP/SFP+ Wkładka 1000Base-SX MM Wkładka SFP/SFP+ 14 Wkładka SFP/SFP+ Wkładka i patchcord umożliwiające podłączenie do urządzenia wyposażonego w interfejs 1000Base-SX MM ze stykiem SC Wkładka i patchcord umożliwiające podłączenie do urządzenia wyposażonego w interfejs 1000Base LX ze stykiem SC Wkładka SFP/SFP+ 16 Wkładka SFP/SFP+ 17 Przełącznik/ moduł wyniesiony Wkładka 10Gbase-SR 50 Wkładka 10Gbase-LR 20 Moduły wyniesione do przełącznika DC 9 18 Przełącznik Przełączniki Datacenter 2 Szczegółowe wymagania dotyczące przełączników zostały określone w rozdziale Wymagania techniczne dotyczące przełączników Tabela 11 Lp. Nazwa przełącznika Parametry przełącznika 1 Przełącznik modularny typ M1 Zgodność parametrów z wymogami punktu 3 FOT (Przełączniki). 2 Przełącznik modularny typ M2 Zgodność parametrów z wymogami punktu 4 FOT (Przełączniki). 3 Przełącznik typ 1 Zgodność parametrów z wymogami punktu 5 FOT (Przełączniki). 4 Przełącznik typ 1s Zgodność parametrów z wymogami punktu 6 FOT (Przełączniki). 5 Przełącznik typ 2 Zgodność parametrów z wymogami punktu 7 FOT (Przełączniki). 6 Przełącznik typ 3 Zgodność parametrów z wymogami punktu 8 FOT (Przełączniki). 7 Przełącznik typ 4 Zgodność parametrów z wymogami punktu 9 FOT (Przełączniki). 8 Moduł wyniesiony do przełącznika DC Moduł wyniesiony do przełącznika DC zapewniający 48 portów 1/10G SFP+, dołączany 27

28 pasmem G do przełącznika macierzystego oraz spełniający wymagania dla modułów wyniesionych określone w ramach wymagań na przełączniki DC zgodnie z wymogami punktu 2 FOT (Przełączniki). Razem z modułem wyniesionym należy dostarczyć wszystkie wkładki oraz kable umożliwiające dołączenie pasmem 40G do każdego z dwóch przełączników macierzystych w tym celu należy przewidzieć że wkładki do przełącznika macierzystego. 9 Przełącznik Datacenter Zgodność parametrów z wymogami punktu 2 FOT (Przełączniki). 4. Gwarancja i serwis 4.1. Dostarczone urządzenia w ramach niniejszego Zamówienia objęte są 36 miesięcznym Serwisem 4.2. Obowiązkiem Wykonawcy jest świadczenie usługi Serwisu obejmującej: Obsługę zgłoszeń serwisowych, poprzez: a) rejestrację zgłoszeń serwisowych, w tym w szczególności awarii; b) wstępną diagnozę przyczyny awarii polegającej na pomocy przy identyfikacji problemu; c) przedstawienie BGK proponowanego sposobu usunięcia awarii z uwzględnieniem posiadanych przez BGK gwarancji i odniesienie się do uwag BGK do realizacji; d) doprowadzenie do prawidłowego oraz sprawnego (tj. usunięcie awarii) funkcjonowania Sprzętu w infrastrukturze Zamawiającego lub zastosowanie tymczasowego obejścia do czasu usunięcia właściwej przyczyny; e) dostarczenie w ciągu do 3 dni roboczych raportu obejmującego opis przyczyny awarii, sposób jej usunięcia oraz ewentualne zalecenia eksploatacyjne na przyszłość Nie rzadziej niż raz na pół roku w terminie ustalonym z Zamawiającym upgrade oprogramowania na urządzeniach podlegających usłudze Serwisu do nowszej i stabilnej wersji (pod warunkiem pojawienia się nowszej wersji oraz pod warunkiem, że urządzenia spełniają wymagania minimalne producenta do upgrade u) Prace będą realizowane przez Wykonawcę w miejscu instalacji Sprzętu i mogą być prowadzone jedynie w obecności upoważnionych przedstawicieli Zamawiającego. 28