PARAMETRY TECHNICZNE I FUNKCJONALNE

Transkrypt

1 Załącznik nr 5 do SIWZ PARAMETRY TECHNICZNE I FUNKCJONALNE Uwagi i objaśnienia: 1) Należy wypełnić wszystkie pozycje tabeli. 2) Parametry określone przez Zamawiającego jako Wymagane są parametrami, którymi bezwzględnie muszą charakteryzować się oferowane Dostawy i których niespełnienie będzie skutkowało odrzuceniem oferty. 3) Wykonawca jest zobowiązany podać opis parametru zgodny ze stanem faktycznym. 4) Jeżeli w opisie przedmiotu zamówienia ściśle określono wartość parametru, lub użyto określeń minimum ( min. ), maksimum ( max., do ), nie gorszy niż, nie mniej niż itp. - należy wpisać dokładną wartość oferowanego parametru. 5) Wykonawca zobowiązany jest do podania parametrów w jednostkach wskazanych w niniejszym opisie. Tabela nr 1: Wymagania dla urządzeń tworzących platformę sprzętową Firewall LP Parametr Wymagany Oferowany (opisać) 1. Obudowa wielkości: 1U, dostarczona z kompletem mocowań do szafy RACK Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z elementów systemu. W ramach postępowania dostawca musi dostarczyć system w formie redundantnej w postaci klastra złożonego z dwóch urządzeń 3. Wymagane interfejsy: 1) 2 porty 10GE SFP+, 2) 8 portów SFP, 3) 8 portów RJ45, 4) 1 port RJ45 do zarządzania, 5) 2 porty USB, 6) 1 port konsoli. 4. Możliwość zdefiniowania co najmniej 200 interfejsów wirtualnych - definiowanych jako VLAN y w oparciu o standard 802.1Q 5. Przepustowość Firewall IPv4 dla pakietów UDP 1) 64byte - min. 22Gb/s 1

2 2) 512 byte - min. 36 Gb/s 6. Przepustowość Firewalla liczona liczbą pakietów na sekundę min. 33 miliony 7. Minimum 8 milionów jednoczesnych sesji oraz przyrost 300 tyś. Sesji na sekundę 8. Musi posiadać wbudowane mechanizmy zarządzania pasmem (QoS, Traffic Shaping) 9. Możliwość zdefiniowania polityk 10. Możliwość zdefiniowania 2000 tuneli IPSec VPN typu site to site 11. Możliwość utworzenia tuneli IPSec VPN typu client to site 12. Przepustowość tuneli IPSec VPN dla pakietów 512byte minimum 20Gb/s przy szyfrowaniu AES256-SHA Przepustowość tunelu SSL-VPN minimum 5 Gb/s 14. Możliwość jednoczesnego podłączenia do 500 klientów SSL-VPN 15. Wydajność systemu w zakresie inspekcji komunikacji szyfrowanej SSL dla ruchu http minimum 5.7 Gbps 16. Przepustowość dla kontroli aplikacji minimum 14Gb/s 17. Możliwość utworzenia 10 logicznych urządzeń posiadających te same funkcje co jednostka fizyczna 18. Wydajność IPS minimum 11Gb/s 19. Wydajność skanowania ruchu z włączonymi funkcjami: IPS, filtrowanie aplikacji i stron sieci WEB, Antywirus - minimum 4,7 Gb/s 20. Zasilacz Hot-swap z możliwością instalacji redundantnego zasilania 21. Musi posiadać licencję na filtrowanie sieci WEB, filtrowanie Aplikacji, Filtr antyspamowy, IPS, silnik antywirusowy oraz sandbox na minimum 36 miesięcy 22. Musi posiadać wbudowane mechanizmy ochrony przed wyciekiem informacji (DLP) 23. Musi posiadać sprzętowy firewall klasy Stateful Inspection 24. Musi posiadać ochronę przed malware co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS 25. Możliwość analizy ruchu szyfrowanego SSL i SSH 26. Oprogramowanie urządzenia musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: Haseł statycznych i definicji użytkowników przechowywanych 2

3 w lokalnej bazie systemu haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu SSO w środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania na kontrolerze domeny 27. System musi zapewniać translację adresów NAT: źródłowego i docelowego, translację PAT oraz: Translację jeden do jeden oraz jeden do wielu. Dedykowany ALG (Application Level Gateway) dla protokołu SIP. 28. Budowanie polityk w oparciu o adres IP, użytkownika, protokół, usługę sieciową, aplikację, reakcję zabezpieczeń z możliwością budowania zbiorów w oparciu o powyższe zmienne 29. System musi umożliwiać konfigurację połączeń typu IPSec VPN. W zakresie tej funkcji musi zapewniać: Wsparcie dla IKE v1 oraz v2. Obsługa szyfrowania protokołem AES z kluczem 128 i 256 bitów w trybie pracy Galois/Counter Mode(GCM). Obsługa protokołu Diffie-Hellman grup 19 i 20. Wsparcie dla Pracy w topologii Hub and Spoke oraz Mesh, w tym wsparcie dla dynamicznego zestawiania tuneli pomiędzy SPOKE w topologii HUB and SPOKE. Tworzenie połączeń typu Site-to-Site oraz Client-to-Site. Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności. Możliwość wyboru tunelu przez protokoły: dynamicznego routingu (np. OSPF) oraz routingu statycznego. Obsługa mechanizmów: IPSec NAT Traversal, DPD, Xauth. Mechanizm Split tunneling dla połączeń Client-to-Site. 30. System musi umożliwiać konfigurację połączeń typu SSL VPN. W 3

4 zakresie tej funkcji musi zapewniać: Pracę w trybie Portal - gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem przeglądarki. W tym zakresie system musi zapewniać stronę komunikacyjną działającą w oparciu o HTML 5.0. Pracę w trybie Tunnel z możliwością włączenia funkcji Split tunneling przy zastosowaniu dedykowanego klienta. 31. Obsługa routingu w oparciu o polisy, routingu statycznego i dynamicznego. Obsługa protokołów RIPv2, OSPF, BGP oraz PIM 32. System musi umożliwiać obsługę kilku (co najmniej dwóch) łączy WAN z mechanizmami statycznego lub dynamicznego podziału obciążenia oraz monitorowaniem stanu połączeń WAN. 33. Zarządzanie pasmem co najmniej poprzez: określenie: maksymalnej, gwarantowanej ilości pasma, oznaczanie DSCP oraz wskazanie priorytetu ruchu możliwość określania pasma dla poszczególnych aplikacji możliwość zarządzania pasmem dla wybranych kategorii URL 34. Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021) oraz skanowanie archiwów, w tym co najmniej: zip, RAR. 35. Kontrola aplikacji musi umożliwiać: kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP kontrolę w oparciu o automatycznie aktualizowaną bazę sygnatur aplikacji ze szczególnym uwzględnieniem takich aplikacji jak proxy czy p2p tworzenie wyjątków oraz własnych sygnatur aplikacji 36. Ochrona przed atakami (IPS) musi: opierać się co najmniej na analizie sygnaturowej oraz na analizie anomalii w protokołach sieciowych. Uwzględniać aplikacje pracujące na niestandardowych portach Posiadać automatycznie aktualizowaną bazę zawierającą minimum 5000 sygnatór 4

5 Umożliwiać tworzenie własnych sygnatur oraz wyjątków zapewniać wykrywanie anomalii protokołów i ruchu sieciowego, realizując tym samym podstawową ochronę przed atakami typu DoS oraz DDoS zapewnić mechanizmy ochrony dla aplikacji Web owych na poziomie sygnaturowym (co najmniej ochrona przed: CSS, SQL Injecton, Trojany, Exploity, Roboty) oraz możliwość kontrolowania długości nagłówka, ilości parametrów URL, Cookies Wykrywać i blokować komunikację botnet z serwerami C&C. 37. Moduł kontroli stron WWW musi: korzystać z bazy zawierającej co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. posiadać kategorie istotne z punktu widzenia bezpieczeństwa, jak: malware (lub inne będące źródłem złośliwego oprogramowania), phishing, spam, Dynamic DNS, proxy avoidance. Mieć możliwość filtrowania kategorii stron zabronionych prawem: Hazard. Udostępniać możliwość nadpisywania kategorii oraz tworzenia wyjątków białe/czarne listy dla adresów URL. umożliwiać zdefiniowanie czasu, który użytkownicy sieci mogą spędzać na stronach o określonej kategorii. Administrator musi mieć możliwość definiowania komunikatów zwracanych użytkownikowi dla różnych akcji podejmowanych przez moduł kontroli stron WWW. 38. Jeżeli oferowane urządzenie posiada inne wkładki niż te kompatybilne z urządzeniem Fortigate 800C to wraz z urządzeniami należy dostarczyć 4 szt. wkładek SFP 1Gb/s, jednomodowe 4 szt. wkładek SFP+ 10Gb/s, jednomodowe 39. Musi być w pełni kompatybilny z posiadanym przez Zamawiającego systemem do zbierania i analizy logów Fortianalyzer 300D 5

6 Tabela nr 2: Wymagania Firewall dla małego oddziału LP Parametr Wymagany Oferowany (opisać) 1. Obudowa typu desktop 2. Wbudowany dysk twardy na logi 3. Wymagane interfejsy: 7) 2 porty WAN RJ45 8) 1 Port DMZ RJ45 9) 7 portów RJ45 10) 1 port zarządzania/konsola 11) 1 port USB 4. Możliwość zdefiniowania interfejsów wirtualnych - definiowanych jako VLAN y w oparciu o standard 802.1Q 5. Przepustowość Firewall IPv4 dla pakietów UDP 3) 64 byte - min. 3 Gb/s 4) 512byte - min. 3 Gb/s 6. Przepustowość Firewalla liczona liczbą pakietów na sekundę min. 4,5 miliona 7. Minimum 1 milion jednoczesnych sesji oraz przyrost 30 tyś. sesji na sekundę 8. Możliwość zdefiniowania polityk 9. Możliwość zdefiniowania 200 tuneli IPSec VPN typu site to site 10. Możliwość utworzenia 500 tuneli IPSec VPN typu client to site 11. Przepustowość tuneli IPSec VPN minimum 2Gb/s przy szyfrowaniu AES256-SHA Przepustowość tunelu SSL-VPN minimum 150Mb/s 13. Możliwość jednoczesnego podłączenia do 100 klientów SSL-VPN 14. Przepustowość filtrowania ruchu szyfrowanego HTTPS min. 150 Mb/s 15. Przepustowość dla kontroli aplikacji minimum 500 Mb/s 16. Możliwość utworzenia 10 logicznych urządzeń posiadających te same funkcje co jednostka fizyczna 17. Wydajność IPS minimum 1Gb/s 18. Wydajność IPS z uruchomioną kontrolą aplikacji i NGFW minimum 400 Mb/s 19. Musi posiadać licencję na filtrowanie sieci WEB, filtrowanie Aplikacji, 6

7 Filtr antyspamowy, IPS, silnik antywirusowy oraz sandbox na minimum 36 miesięcy 20. Musi posiadać wbudowane mechanizmy ochrony przed wyciekiem informacji (DLP) 21. Musi posiadać sprzętowy firewall klasy Stateful Inspection 22. Musi posiadać ochronę przed malware co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS 23. Możliwość analizy ruchu szyfrowanego SSL i SSH 24. Oprogramowanie urządzenia musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu SSO w środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania na kontrolerze domeny 25. System musi zapewniać translację adresów NAT: źródłowego i docelowego, translację PAT oraz: Translację jeden do jeden oraz jeden do wielu. Dedykowany ALG (Application Level Gateway) dla protokołu SIP. 26. Budowanie polityk w oparciu o adres IP, użytkownika, protokół, usługę sieciową, aplikację, reakcję zabezpieczeń z możliwością budowania zbiorów w oparciu o powyższe zmienne 27. System musi umożliwiać konfigurację połączeń typu IPSec VPN. W zakresie tej funkcji musi zapewniać: Wsparcie dla IKE v1 oraz v2. Obsługa szyfrowania protokołem AES z kluczem 128 i 256 bitów w trybie pracy Galois/Counter Mode(GCM). Obsługa protokołu Diffie-Hellman grup 19 i 20. Wsparcie dla Pracy w topologii Hub and Spoke oraz Mesh, w tym wsparcie dla dynamicznego zestawiania tuneli pomiędzy 7

8 SPOKE w topologii HUB and SPOKE. Tworzenie połączeń typu Site-to-Site oraz Client-to-Site. Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności. Możliwość wyboru tunelu przez protokoły: dynamicznego routingu (np. OSPF) oraz routingu statycznego. Obsługa mechanizmów: IPSec NAT Traversal, DPD, Xauth. Mechanizm Split tunneling dla połączeń Client-to-Site. 28. System musi umożliwiać konfigurację połączeń typu SSL VPN. W zakresie tej funkcji musi zapewniać: Pracę w trybie Portal - gdzie dostęp do chronionych zasobów realizowany jest za pośrednictwem przeglądarki. W tym zakresie system musi zapewniać stronę komunikacyjną działającą w oparciu o HTML 5.0. Pracę w trybie Tunnel z możliwością włączenia funkcji Split tunneling przy zastosowaniu dedykowanego klienta. 29. Obsługa routingu w oparciu o polisy, routingu statycznego i dynamicznego. Obsługa protokołów RIPv2, OSPF, BGP oraz PIM 30. Zarządzanie pasmem co najmniej poprzez: określenie: maksymalnej, gwarantowanej ilości pasma, oznaczanie DSCP oraz wskazanie priorytetu ruchu możliwość określania pasma dla poszczególnych aplikacji możliwość zarządzania pasmem dla wybranych kategorii URL 31. Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021) oraz skanowanie archiwów, w tym co najmniej: zip, RAR. 32. Kontrola aplikacji musi umożliwiać: kontrolę ruchu na podstawie głębokiej analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP kontrolę w oparciu o automatycznie aktualizowaną bazę sygnatur aplikacji ze szczególnym uwzględnieniem takich aplikacji jak proxy czy p2p tworzenie wyjątków oraz własnych sygnatur aplikacji 8

9 33. Ochrona przed atakami (IPS) musi: opierać się co najmniej na analizie sygnaturowej oraz na analizie anomalii w protokołach sieciowych. Uwzględniać aplikacje pracujące na niestandardowych portach Posiadać automatycznie aktualizowaną bazę zawierającą minimum 5000 sygnatur Umożliwiać tworzenie własnych sygnatur oraz wyjątków zapewniać wykrywanie anomalii protokołów i ruchu sieciowego, realizując tym samym podstawową ochronę przed atakami typu DoS oraz DDoS zapewnić mechanizmy ochrony dla aplikacji Web owych na poziomie sygnaturowym (co najmniej ochrona przed: CSS, SQL Injecton, Trojany, Exploity, Roboty) oraz możliwość kontrolowania długości nagłówka, ilości parametrów URL, Cookies Wykrywać i blokować komunikację botnet z serwerami C&C. 34. Moduł kontroli stron WWW musi: korzystać z bazy zawierającej co najmniej 40 milionów adresów URL pogrupowanych w kategorie tematyczne. posiadać kategorie istotne z punktu widzenia bezpieczeństwa, jak: malware (lub inne będące źródłem złośliwego oprogramowania), phishing, spam, Dynamic DNS, proxy avoidance. Mieć możliwość filtrowania kategorii stron zabronionych prawem: Hazard. Udostępniać możliwość nadpisywania kategorii oraz tworzenia wyjątków białe/czarne listy dla adresów URL. umożliwiać zdefiniowanie czasu, który użytkownicy sieci mogą spędzać na stronach o określonej kategorii. Administrator musi mieć możliwość definiowania komunikatów zwracanych użytkownikowi dla różnych akcji podejmowanych przez moduł kontroli stron WWW. 35. Musi być w pełni kompatybilny z posiadanym przez Zamawiającego systemem do zbierania i analizy logów Fortianalyzer 300D 9

10 Tabela nr 3: Subskrypcje dla Fortianalyzer 300D Numer katalogowy Poziom wsparcia Wymagany Oferowany poziom wsparcia FC-10-L x5 FortiCare Contract Uprawniony przedstawiciel Wykonawcy Data:. (pieczątka i podpis) 10