Zadanie przełączniki, routery, firewall i wdrożenie systemu bezpieczeństwa oraz uruchomienie sieci bezprzewodowej

Transkrypt

1 Załącznik nr 1a do SIWZ SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA część 1 Przedmiot zamówienia: Dostawa i instalacja wyposażenia budynku LCK w Lublinie jak poniżej: Zadanie przełączniki, routery, firewall i wdrożenie systemu bezpieczeństwa oraz uruchomienie sieci bezprzewodowej Wymagania ogólne 1) Zamawiający wymaga, by dostarczony sprzęt był nowy oraz nieużywany (przy czym Zamawiający dopuszcza, by sprzęt był rozpakowany i uruchomiony przed jego dostarczeniem wyłącznie przez wykonawcę i wyłącznie w celu weryfikacji działania sprzętu, przy czym jest zobowiązany do poinformowania Zamawiającego o zamiarze rozpakowania sprzętu, a Zamawiający ma prawo inspekcji sprzętu przed jego rozpakowaniem), 2) Wykonawca zapewnia i zobowiązuje się, że korzystanie przez Zamawiającego z dostarczonego przedmiotu zamówienia nie będzie stanowić naruszenia majątkowych praw autorskich osób trzecich, w szczególności Zamawiającemu nie mogą być zaoferowane sprzęt i oprogramowanie, które jest zarejestrowane w bazach producentów jako przeznaczone do sprzedaży lub sprzedane do innego klienta końcowego. 3) Oferowany sprzęt w dniu składania ofert nie może być przeznaczony przez producenta do wycofania z produkcji lub ze sprzedaży, 4) Zamawiający wymaga, by dostarczone oprogramowanie było oprogramowaniem w wersji aktualnej w dniu poprzedzającym dzień składania ofert, 5) Zamawiający wymaga dostarczenia niezbędnych ilości kabli - patchcord ow do połączenia wszystkich urządzeń będących przedmiotem niniejszego postępowania. Gwarancja i serwis 1) Na dostarczany sprzęt: kontroler sieci bezprzewodowej oraz punkty dostępowe musi być udzielona min. 60-miesięczna gwarancja liczona od dnia podpisania protokołu odbioru przez Zamawiającego; Zamawiający wymaga by zapewniona była naprawa lub wymiana urządzeń lub ich części, zgodnie z metodyką i zaleceniami producenta i Zamawiającego, 2) Na dostarczany sprzęt: przełącznik typu I, przełącznik typu II, przełącznik typ III, routery BGP, Firewall e musi być udzielona gwarancja na okres co najmniej 5 lat od daty ogłoszenia zakończenia produkcji sprzętu liczona od dnia podpisania protokołu odbioru przez Zamawiającego; Zamawiający wymaga by zapewniona była naprawa lub wymiana sprzętu lub ich części, zgodnie z metodyką i zaleceniami producenta i Zamawiającego, 3) Wykonawca przejmuje na siebie wszelkie obowiązki związane z obsługą serwisu gwarancyjnego oferowanego sprzętu w okresie gwarancji, 4) Serwis wyposażenia będzie świadczony w siedzibie Zamawiającego (miejscu instalacji i użytkowania sprzętu), w języku polskim (przyjmowanie zgłoszeń i realizacja świadczeń). 5) Czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć jednego dnia roboczego (tj. poniedziałek piątek, godz. 07:00-15:00), 6) Usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia) ma zostać wykonana w przeciągu trzech dni roboczych od momentu zdiagnozowania usterki, 7) Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Zamawiającego), faks, lub WWW (przez całą dobę), 8) Wykonawca ma udostępnić pojedynczy punkt przyjmowania zgłoszeń dla całości sprzętu i oprogramowania dostarczonego w ramach przedmiotu zamówienia, 9) Zamawiający otrzyma bezpośredni dostęp do pomocy technicznej Wykonawcy (telefon, lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją całości

2 sprzętu i oprogramowania dostarczonego w ramach przedmiotu zamówienia w godzinach pracy Zamawiającego, 10) Zamawiający uzyska bezpośredni dostęp do części chronionych stron internetowych producentów rozwiązań, umożliwiający: a) pobieranie nowych wersji oprogramowania, b) dostęp do narzędzi konfiguracyjnych i dokumentacji technicznej, c) dostęp do pomocy technicznej producentów 2/37

3 Szczegółowy opis zamawianego sprzętu i oprogramowania: Przełączniki sieciowe: I. Przełącznik Typ I 2 sztuki 1. Typ i liczba portów: a. Minimum 48 porty 1/10Gb/s SFP+ b. Minimum 4 porty 40Gb QSFP c. Porty SFP+ muszą umożliwiać ich obsadzanie wkładkami 10 Gigabit Ethernet minimum 10GBASE-LR 2. Urządzenie musi obsługiwać warstwę 3 modelu ISO/OSI. 3. Urządzenie musi obsługiwać minimum 4000 sieci VLAN 4. Urządzenie musi obsługiwać minimum adresów MAC 5. Urządzenie musi posiadać min. 2GB pamięci DRAM i min. 512MB pamięci flash 6. Parametry fizyczne wysokość maksimum 1U, możliwość montażu w szafie Wydajność przełączania minimum 900Mpps. 8. Przepustowość przełącznika minimum 1Tbps. 9. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min bajtów 10. Obsługa protokołu NTP 11. Musi posiadać obsługę protokołów routingu IPv4 takich, jak RIPv2, OSPF, a także routingu statycznego. 12. Musi posiadać obsługę protokołów routingu IPv6 takich, jak RIPng, OSPFv3, a także routingu statycznego. 13. Musi posiadać obsługę wirtualnych instancji routingu (VRF) 14. Obsługa ruchu multicast - IGMPv3 15. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 16 instancji protokołu RSTP 16. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństwa typu Port Security i IP Source Guard na interfejsach link aggregation 17. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 3 poziomów dostępu administracyjnego poprzez konsolę b. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 c. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów VLAN (VACL) zarówno dla IPv4 jak i IPv6 d. Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym minimum ochronę Spanning Tree Root Guard, listy ACL na interfejsach terminalowych, Storm control (unicast, multicast, i broadcast) 18. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) 19. Obsługa protokołu LLDP i LLDP-MED lub innych pełniących ta samą funkcję (np. CDP). 20. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 21. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 3 plików konfiguracyjnych 22. Zasilanie 230V AC, urządzenie musi posiadać redundantny zasilacz (dopuszczalne rozwiązania zewnętrzne) 23. Urządzenie musi posiadać możliwość połączenia w stos lub zaimplementowania mechanizmu HSRP, VRRP lub równoważnego 3/37

4 24. Musi obsługiwać funkcjonalność Bidirectional Forwarding Detection (BFD) lub odpowiednika. 25. Funkcjonalność BFD (lub odpowiednik) musi posiadać wsparcie dla protokołów OSPF, routingu statycznego. 26. Wyposażenie urządzenia: a. Moduł SFP+ LC MM 24 szt. na każde urządzenie b. Moduły SFP Ethernet do połączenia przełączników z urządzeniem firewall. 4/37

5 II. Przełącznik Typ II 6 sztuk 1. Typ i liczba portów: a. Minimum 48 portów 100/1000 PoE + zgodne z IEEE 802.3at b. Minimum 2 dodatkowe porty uplink 10 Gigabit Ethernet SFP+ c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet minimum 10GBASE-LR, 10GBASE-ER 2. Wymagane jest, aby wszystkie porty dostępowe 100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+ 3. Urządzenie musi obsługiwać minimum 1000 sieci VLAN 4. Urządzenie musi obsługiwać minimum adresów MAC 5. Urządzenie musi posiadać min. 512MB pamięci DRAM i min. 128MB pamięci flash 6. Parametry fizyczne wysokość maksimum 1U, możliwość montażu w szafie Wydajność przełączania minimum 107Mpps dla pakietów 64-bajtowych. Przepustowość przełącznika minimum 108Gb/s (176Gb/s full duplex) 8. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: a. Magistrala stakująca o przepustowości co najmniej 80Gb/s b. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) c. Jeżeli realizacja funkcji stackowania wymaga dodatkowych modułów/kabli itp. ich dostarczenie w ramach tego postępowania jest wymagane (przełącznik musi zostać połączony w stos z przełącznikiem TYP II) 9. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min bajtów 10. Obsługa protokołu NTP 11. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping 12. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 16 instancji protokołu STP 13. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństwa typu Port Security i IP Source Guard na interfejsach link aggregation 14. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 3 poziomy dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 i. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) zarówno dla IPv4 jak i IPv6 j. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard k. Funkcjonalność Protected Port l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) 5/37

6 m. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego n. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub inna pełniąca tą samą funkcję) 15. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. 16. Obsługa protokołu LLDP i LLDP-MED lub innych pełniących ta samą funkcję (np. CDP), 17. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 18. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 3 plików konfiguracyjnych 20. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne) 21. Wyposażenie urządzenia: a. Moduł SFP+ LC MM 1 szt. na każde urządzenie Wymagania dodatkowe, punktowane: Wbudowane funkcje zarządzania energią: b. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) c. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii III. Przełącznik Typ III 6 sztuk 1. Typ i liczba portów: a. Minimum 24 portów 100/1000 PoE + zgodnie z IEEE 802.3at b. Minimum 2 dodatkowe porty uplink 10Gigabit Ethernet SFP+ c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet minimum 10GBASE-LR, 10GBASE-ER 2. Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+ 3. Urządzenie musi obsługiwać minimum 1000 sieci VLAN 4. Urządzenie musi obsługiwać minimum adresów MAC 5. Urządzenie musi posiadać min. 512MB pamięci DRAM i min. 128MB pamięci flash 6. Parametry fizyczne wysokość maksimum 1U, możliwość montażu w szafie Wydajność przełączania minimum 107Mpps dla pakietów 64-bajtowych. Przepustowość przełącznika minimum 108Gb/s (128Gb/s full duplex) 8. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: a. Magistrala stakująca o przepustowości co najmniej 80Gb/s 6/37

7 b. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) c. Jeżeli realizacja funkcji stackowania wymaga dodatkowych modułów/kabli itp. ich dostarczenie w ramach tego postępowania jest wymagane (przełącznik musi zostać połączony w stos z przełącznikiem TYP II) 9. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min bajtów 10. Obsługa protokołu NTP 11. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping 12. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 16 instancji protokołu STP 13. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństwa typu Port Security i IP Source Guard na interfejsach link aggregation 14. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 3 poziomy dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 i. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) zarówno dla IPv4 jak i IPv6 j. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard k. Funkcjonalność Protected Port l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) m. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego n. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub inna pełniąca tą samą funkcję) 15. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. 16. Obsługa protokołu LLDP i LLDP-MED lub innych pełniących ta samą funkcję (np. CDP), 17. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 7/37

8 18. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 3 plików konfiguracyjnych 20. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne) 21. Wyposażenie urządzenia: a. Moduł SFP+ LC MM 1 szt. na każde urządzenie Wymagania dodatkowe, punktowane: Wbudowane funkcje zarządzania energią: b. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) c. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii IV. Router BGP 2 sztuki Rodzaj urządzenia 1. Musi być urządzeniem pełniącym rolę wielousługowego routera modularnego. Architektura 2. Musi posiadać co najmniej 3 porty w standardzie Ethernet (RJ-45): 100/ Musi posiadać zainstalowany wewnętrzny sprzętowy moduł akceleracji szyfrowania. 4. Musi posiadać wszystkie interfejsy aktywne. Nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych. Np. niedopuszczalne jest stosowanie karty 4- portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na użytkowanie pozostałych portów. 5. Urządzenie musi oferować wydajność min. 1Gbps 6. Urządzenie musi obsługiwać pełne tablice BGP w zakresie IPv4 i IPv6 Oprogramowanie/funkcjonalności 7. Oprogramowanie routera musi umożliwiać rozbudowę o dodatkowe funkcjonalności bez konieczności instalacji nowego oprogramowania. Nowe zbiory funkcjonalności muszą być dostępne natywnie lub poprzez wprowadzenie odpowiednich licencji. 8. Musi posiadać obsługę protokołów routingu IPv4 takich, jak RIPv2, OSPF, BGPv4, a także routingu statycznego. 9. Musi posiadać obsługę protokołów routingu IPv6 takich, jak RIPng, OSPFv3, BGPv4, a także routingu statycznego. 10. Musi posiadać obsługę protokołów routingu multicastowego PIM Sparse oraz PIM SSM, a także oraz routingu statycznego. 11. Protokół BGP musi posiadać obsługę 4 bajtowych ASN. 12. Musi posiadać wsparcie dla funkcjonalności Policy Based Routing. 13. Musi obsługiwać mechanizm Reverse Path Forwarding (RPF). 14. Musi obsługiwać tzw. routing między sieciami VLAN w oparciu o trunking 802.1Q. 15. Musi obsługiwać IPv6 w tym ICMP dla IPv6 oraz protokoły routingu IPv6 takie jak RIP, OSPFv3, 16. Musi zapewniać obsługę list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe, protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL. 17. Musi umożliwiać obsługę NAT dla ruchu IP unicast i multicast oraz PAT dla ruchu IP unicast. 18. Musi posiadać obsługę wirtualnych instancji routingu (VRF) - co najmniej 8 instancji VRF. 19. Musi posiadać obsługę mechanizmu DiffServ. 8/37

9 20. Musi mieć możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie i obsługę ruchu (Policing, Shaping) w oparciu o klasę ruchu. 21. Musi zapewniać obsługę mechanizmów kolejkowania ruchu: a. z obsługą kolejki absolutnego priorytetu, b. ze statyczną alokacją pasma dla typu ruchu, 22. Musi obsługiwać mechanizm WRED. 23. Musi obsługiwać protokół GRE. 24. Musi obsługiwać protokół NTP. 25. Musi obsługiwać DHCP w zakresie Client, Server. 26. Musi posiadać obsługę tzw. First Hop Redundancy Protocol (takiego jak HSRP, GLBP, VRRP lub odpowiednika). 27. Musi posiadać obsługę mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA) z wykorzystaniem protokołów RADIUS lub TACACS Musi posiadać obsługę MPLS. 29. Musi obsługiwać funkcjonalność Bidirectional Forwarding Detection (BFD) lub odpowiednika. 30. Funkcjonalność BFD (lub odpowiednik) musi posiadać wsparcie dla protokołów BGP, OSPF, routingu statycznego oraz HSRP lub odpowiednika. 31. Musi posiadać funkcjonalność pozwalającą na monitorowanie zdarzeń systemowych i generowania akcji zdefiniowanych przez użytkownika w oparciu o język skryptowy (tzw. Embedded Event Monitor EEM, lub odpowiednik). 32. Funkcjonalność OER (lub odpowiednik) musi posiadać wsparcie dla: a. optymalizacji ruchu przychodzącego z wykorzystaniem rozgłaszania informacji BGP do zewnętrznych routerów (BGP external peers), b. optymalizacji ruchu głosowego, c. optymalizacji w oparciu o informację z protokołów warstw wyższych (protokoły i porty UDP/TCP), d. optymalizacji ruchu dla tuneli VPN IPSec/GRE, e. optymalizacji ruchu w oparciu o automatyczne wykrywanie ruchu aplikacyjnego. 33. Musi posiadać wsparcie dla Layer-2 Tunneling Protocol. 34. Musi posiadać możliwość rozbudowy o funkcjonalności bezpieczeństwa sieciowego: a. funkcjonalność szyfrowania połączeń z wykorzystaniem algorytmów DES/3DES/AES, b. możliwość konfiguracji tuneli IPSec VPN w oparciu o protokół IKEv2 (Internet Key Exchange v2). Wsparcie dla IKEv2 zarówno dla VPN typu site-2-site jak i dynamicznych, dla ruchu IPv4 oraz IPv6, c. funkcjonalność VPN musi wspierać tworzenie niezależnych VPN (w tym różnego typu: site-2-site, dynamicznych) per VRF, d. funkcja zapory sieciowej z analizą stanów połączenia (tzw. statefull firewall), e. możliwość elastycznej definicji scenariuszy przesyłu IPv4 i IPv6 pomiędzy różnymi strefami, w tym: i. przesyłu, który jest poddawany inspekcji, ii. przesyłu, który jest odrzucany, iii. przesyłu, który jest przenoszony bez inspekcji, f. ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU, g. możliwość logowania pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU, h. możliwość wymuszenia reguł złożoności haseł tworzonych na urządzeniu, Zarządzanie i konfiguracja 35. Musi być zarządzalne za pomocą SNMPv3, Telnet, SSH. 36. Musi mieć możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JFlow lub odpowiednika. 37. Musi być konfigurowalne za pomocą interfejsu linii poleceń (ang. Command Line Interface CLI). 38. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze. Po zapisaniu konfiguracji w pamięci 9/37

10 Obudowa nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian. 39. Musi być wykonana z metalu. Ze względu na różne warunki w których pracować będą urządzenia, nie dopuszcza się stosowania urządzeń w obudowie plastikowej. 40. Musi mieć możliwość montażu w szafie 19. Zasilanie 41. Urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacze AC). 42. Urządzenie musi posiadać dwa, redundantne zasilacze Wyposażenie 43. Urządzenie musi być wyposażone w minimum 512MB pamięci Flash 44. Urządzenie musi być wyposażone w minimum 2GB pamięci RAM 45. Urządzenie musi być wyposażone w minimum jeden port USB. Port musi pozwalać na podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych. 46. Wszystkie karty i moduły muszą być objęte wspólnym serwisem producenta. V. Firewall 2 sztuki 1. Przedmiotem zamówienia jest dostawa, wdrożenie i konfiguracja dwóch urządzeń typu Next Generation Firewall o parametrach zgodnych z formularzem oferty technicznej wraz z niezbędnymi licencjami i subskrypcjami. Urządzenia te będą działać w klastrze wysokiej niezawodności (HA). 2. Zakres wdrożenia obejmuje dostawę, instalację i konfigurację urządzeń. Zamawiający przewiduje następujący harmonogram prac: a. Przygotowanie projektu technicznego wdrożenia wraz z harmonogramem prac, b. Po akceptacji przez Zamawiającego projektu technicznego wdrożenia wraz z harmonogramem, instalacja urządzeń w trybie transparentnym w ścieżce ruchu, c. Konfiguracja polityk bezpieczeństwa d. Testowa praca urządzenia w trybie logowania akcji przez okres minimum 1 tygodnia. e. Weryfikacja prawidłowości działania urządzenia. f. Włączenie trybu blokowania. 3. Wykonawca przeprowadzi prace instalacyjne i konfiguracyjne wspólnie z administratorem Zamawiającego. W ramach prac Wykonawca przekaże wiedzę dotyczącą realizowanej konfiguracji. Po przeprowadzeniu całości prac Wykonawca zapewni warsztaty dla minimum 2 pracowników Zamawiającego w siedzibie Zamawiającego które będą obejmowały co najmniej: a. Instalację urządzenia. b. Konfigurację podstawowych funkcjonalności. c. Weryfikację ruchu (wykrywanie sytuacji niepożądanych). d. Tworzenie własnych sygnatur. e. Zarządzanie uprawnieniami. f. Backup i odtworzenie konfiguracji. 4. Funkcjonalność urządzeń (formularz oferty technicznej): a. Funkcjonalności podstawowe: 10/37

11 Lp. Parametr wymagany przez Zamawiającego 1. Parametry funkcjonalne 1.1. Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE Sposób weryfikacji wymagania przez Zamawiającego producenta oraz próbę konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym 1.2. Urządzenia muszą zapewniać obsługę dla IPv Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL/TLS) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników korzystających z Internetu) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji, która będzie posiadała co najmniej funkcje: wykrywania i blokowania ataków typu exploit (ochrona Intrusion Prevention), wirusów i innych złośliwych kodów (ochrona AntiVirus), filtracji aplikacji i URL. Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. producenta producenta oraz próbę konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym 1.9. Urządzenia muszą identyfikować co najmniej 1000 różnych aplikacji, w tym 11/37

12 Lp Parametr wymagany przez Zamawiającego aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall. Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Urządzenia muszą posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Urządzenia muszą posiadać możliwość uruchomienia modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Baza AV musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. Urządzenia muszą posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją tej usługi. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE Sposób weryfikacji wymagania przez Zamawiającego Dodatkowo: potwierdzenie subskrypcji usługi przez producenta producenta oraz próbę konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym 12/37

13 Lp Parametr wymagany przez Zamawiającego Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. Rozwiązanie musi zostać dostarczone jako klaster HA składający się z dwóch urządzeń. Urządzenia muszą posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Urządzenia muszą zapewnić obsługę połączeń zapasowych w sposób aktywny weryfikując dostępność połączeń podstawowych i automatycznie wykonać przełączenie trasy ruchu w przypadku niedostępności połączeń podstawowych Urządzenia muszą zapewnić odrębną definicję polityk kontroli oraz reguł QoS dla połączeń podstawowych i zapasowych. Urządzenia musza posiadać mechanizmy wykrywania i blokowania ataków typu zero-day (exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta). W celu zwiększenia skuteczności oraz zapewnienia ochrony przed nowymi źródłami zagrożeń, oferowane rozwiązanie powinno korzystać w czasie rzeczywistym oraz otrzymywać regularne aktualizacje z zewnętrznego repozytorium producenta w zakresie: zapytań o klasyfikację niezidentyfikowanych (podejrzanych) adresów URL i DNS pod kątem zagrożeń typu botnet; otrzymywanie binarnych aktualizacji sygnatur antywirusowych; zapytań o klasyfikację podejrzanych plików przychodzących (na przykład Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE Sposób weryfikacji wymagania przez Zamawiającego producenta lub oświadczenia producenta. - producenta oraz próbę konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym producenta lub oświadczenia producenta. producenta lub oświadczenia producenta. 13/37

14 Lp. Parametr wymagany przez Zamawiającego sprawdzenie ich sygnatury pod kątem złośliwego oprogramowania - malware); zapytań o klasyfikację niezidentyfikowanych adresów URL pod kątem ich udziału w rozpowszechnianiu złośliwego oprogramowania (ochrona przed atakami drive-by-downloads). 2. Dobór i skalowanie urządzeń Firewall Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. Urządzenia muszą pochodzić producenta. z autoryzowanego kanału sprzedażowego Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE Sposób weryfikacji wymagania przez Zamawiającego Sprawdzenie oficjalnego oświadczenia producenta Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim Urządzenia muszą być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). Urządzenia muszą być urządzeniami o uznanej na rynku pozycji i muszą odpowiadać opisowi wymagań sformułowanych dla grupy Leaders lub Chellengers raportu Gartnera pt. Magic Quadrant of Enterprise Network Firewalls Urządzenia nie mogą znajdować się na liście end-of-sale oraz end-of-support producenta. Urządzenia będą dostosowane do montażu w szafie typu rack 19 - maksymalnie 2U (podać wartość oferowaną) Lokalizacja budynek Lubelskiego Centrum Konferencyjnego - minimum 2 urządzenia (podać ilość oferowanych urządzeń oraz modele) Każde urządzenie musi zapewniać wydajność przynajmniej 300 Mbps dla ruchu IPSec VPN i do 1000 jednoczesnych tuneli bez konieczności zakupu [U] [szt.] [model] producenta oraz ocenę urządzenia testowego Wymaganie zostanie zweryfikowane przez Zamawiającego na podstawie wymienionych raportów producenta producenta - producenta oraz przeprowadzenie testu 1 Gartner, Magic Quadrant for Enterprise Network Firewalls, Greg Young, Adam Hills, Jeremy D Hoinne, 15 April /37

15 Lp Parametr wymagany przez Zamawiającego dodatkowych licencji. Procedura testu została przedstawiona w rozdziale ( Procedura testów ) Każde urządzenie musi posiadać przepustowość w ruchu full duplex nie mniej niż 4 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji, 2 Gbps dla kontroli IPS wraz z antywirusem oraz akceptować nie mniej niż połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1Gbps. Procedura testu została przedstawiona w rozdziale ( Procedura testów ) Urządzenie zabezpieczeń musi być wyposażone w co najmniej 10 portów Ethernet 100/1000 oraz mieć możliwość instalacji dodatkowych 4 interfejsów w postaci modułów SFP. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły rutingu dynamicznego - przynajmniej BGP i OSPF. Urządzenie zabezpieczeń musi posiadać wbudowany twardy dysk o minimalnej pojemności 100 GB Urządzenie musi charakteryzować się statystycznym parametrem MTBF (Mean Time Between Failure) nie niższym niż 6 lat bezawaryjnej pracy (51840 godzin). 3. Zarządzanie systemem Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania. Zarządzanie musi być realizowane jako wysokodostępne wprost na urządzeniach firewall lub odbywać się za pomocą dedykowanego klastra stacji zarządzających dedykowanych (appliance) Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE Sposób weryfikacji wymagania przez Zamawiającego zgodnie z procedurą określoną w rozdziale ( Procedura testów ) producenta oraz ocenę urządzenia testowego producenta oraz próbę konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym producenta producenta producenta próba konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym 15/37

16 Lp Parametr wymagany przez Zamawiającego Rozwiązanie musi być dostarczone razem z systemem scentralizowanego zarządzania. Dostarczony scentralizowany system zarządzania, musi mieć zapewniony mechanizm HA Active/Standby, dla zapewnienia minimalnych czasów przestoju podczas awarii. Mechanizm HA musi być wykonywany na poziomie rozwiązania sprzętowego dostarczonego przez producenta oferowanego urządzenia NGF. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Wszystkie subskrypcje, aktualizacje, serwis sprzętowy i ewentualne licencje muszą być ważne przynajmniej przez okres pięciu lat. Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE 3.8. Urządzenie musi być wyposażone w dedykowany port zarządzania System zarządzania musi być wyposażony w moduł analizy i korelacji logów oraz umożliwiać generowanie i tworzenie własnych raportów na podstawie zbieranych informacji o ruchu sieciowym, wykrytych zagrożeniach i odwiedzanych stronach www. Raporty muszą mieć możliwość określenia gradacji, co najmniej do: nazwanego użytkownika, adresu IP (źródłowego, docelowego) aplikacji sieciowej portu (źródłowego, docelowego) Funkcje te mogą być dostępne lokalnie na urządzeniu zabezpieczeń lub też realizowane przez dedykowane zewnętrzne urządzenie z odpowiednim oprogramowaniem i licencją. Sposób weryfikacji wymagania przez Zamawiającego producenta próba konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym Oświadczenie producenta producenta oraz ocenę urządzenia testowego producenta próba konfiguracji wymienionego elementu w dostarczonym urządzeniu testowym 16/37

17 Lp. Parametr wymagany przez Zamawiającego 4. Wsparcie i usługi Dla oferowanego produktu (na dzień składania ofert) muszą być dostępne w Polsce szkolenia*, świadczone w języku Polskim, w autoryzowanym ośrodku edukacyjnym. *szkolenia nie są przedmiotem niniejszego postepowania Wykonawca serwisu musi posiadać autoryzację producenta do świadczenia serwisu dla oferowanych rozwiązań. Długość okresu gwarancyjnego oraz serwisowego dla oferowanych urządzeń - 60 miesięcy. Gwarantowany czas reakcji: 4 godziny. Gwarantowany czas naprawy przy awarii pojedynczego urządzenia: NBD (Next Business Day) Gwarantowany czas naprawy podczas awarii całości rozwiązania (klastra urządzeń), rozumiany jako uruchomienie funkcjonalności systemu na bazie naprawionych lub wymienionych urządzeń 8 godzin W celu usunięcia awarii Zamawiający dopuszcza zastosowanie sprzętu zastępczego o parametrach wydajnościowych nie gorszych od sprzętu podstawowego. Przy zastosowaniu sprzętu zastępczego doprowadzenie do stanu sprzed awarii nastąpi w ciągu 2 dni roboczych. Wszystkie części zamienne i materiały niezbędne do przywrócenia urządzenia do prawidłowej pracy wliczone w koszt serwisu. Wymienione części stają się własnością Wykonawcy poza dyskami twardymi, które pozostają w zasobach Zamawiającego, bez dokonywania dodatkowych opłat. Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE [nazwa ośrodka] Sposób weryfikacji wymagania przez Zamawiającego Weryfikacja oferty szkoleniowej wskazanego ośrodka Oświadczenie producenta Oświadczenie producenta Oświadczenie wykonawcy Oświadczenie wykonawcy 4.6. Dostęp do serwisu przez WWW i wyznaczony telefon kontaktowy. Oświadczenie wykonawcy 4.7. Dostępność serwisu: 24x7x365. Oświadczenie wykonawcy 4.8. Serwis realizowany w języku urzędowym obowiązującym w Polsce. Oświadczenie wykonawcy 4.9. Przyjęcie zgłoszenia potwierdzone telefonicznie lub mailowo. Oświadczenie wykonawcy 17/37

18 Lp Parametr wymagany przez Zamawiającego W przypadku wystąpienia problemów, których nie można rozwiązać zdalnie, pomoc techniczna w miejscu instalacji. Dostęp do nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. Informowanie o znanych problemach z oprogramowaniem i sposobach ich rozwiązywania. Licencje na użytkowanie i kopiowanie nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym / TAK/NIE Dostęp do centrum serwisowego producenta Dostęp do elektronicznych kanałów informacji i usług wsparcia (bazy wiedzy, bibliotek dokumentacji, opisów produktów, specyfikacji, literatury technicznej i innych materiałów). Sposób weryfikacji wymagania przez Zamawiającego Oświadczenie wykonawcy Oświadczenie wykonawcy producenta producenta producenta producenta b. Funkcjonalności dodatkowe: Lp. Parametr systemu Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym Sposób weryfikacji wymagania 1. Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Wymaganie zostanie zweryfikowane poprzez sprawdzenie oficjalnej dokumentacji producenta oraz próbę konfiguracji wymienionego elementu w dostarczonej próbce przy użyciu dostępnej dokumentacji. Zamawiający dokona próby skonfigurowania pojedynczej, logicznej 18/37

19 Lp. Parametr systemu Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym Sposób weryfikacji wymagania instancji systemu do pracy we wszystkich wymienionych trybach jednocześnie poprzez zmianę właściwości interfejsów inspekcyjnych Administrator urządzenia musi mieć możliwość konfiguracji rodzaju pliku (exe, dll, pdf, msoffice) oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu Sand-Box. Administrator urządzenia musi mieć możliwość przeglądania informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji jak przesłane pliki zachowywały się w środowisku testowym, które z nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki przesyłali. Wymaganie zostanie zweryfikowane poprzez sprawdzenie oficjalnej dokumentacji producenta oraz próbę konfiguracji wymienionego elementu w dostarczonej próbce przy użyciu dostępnej dokumentacji. Zamawiający dokona próby skonfigurowania urządzenia, aby wysyłało jedynie wybrane typy plików, z wybranych aplikacji podczas ruchu w wybranym kierunku do analizy typu "Sandbox". Np. analizie typu "Sand-Box" mają zostać poddane jedynie: - pliki typu exe, wysyłane z sieci LAN do Internetu za pomocą aplikacji FTP - wszystkie pliki MSOffice, pobierane z Internetu za pomocą przeglądarki www. Wymaganie zostanie zweryfikowane poprzez sprawdzenie oficjalnej dokumentacji producenta oraz próbę konfiguracji wymienionego elementu w dostarczonej próbce przy użyciu dostępnej dokumentacji. Zamawiający sprawdzi czy istnieje możliwość weryfikacji, z poziomu urządzenia, informacji o analizie plików w systemie typu "Sand-Box", stwierdzenia które z analizowanych plików zostały uznane za złośliwie, z jakiego powodu i 19/37

20 Lp. Parametr systemu Oferowana wartość do uzupełnienia przez Wykonawcę w formularzu ofertowym Sposób weryfikacji wymagania którzy użytkownicy je przesyłali. 4 Urządzenia muszą umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów Syslog. Wydajność Wymaganie zostanie zweryfikowane poprzez sprawdzenie oficjalnej dokumentacji producenta oraz próbę konfiguracji wymienionego elementu w dostarczonej próbce przy użyciu dostępnej dokumentacji. Zamawiający dokona próby skonfigurowania na urządzeniu adresów kilku serwerów Syslog i wysyłania do nich informacji dla wybranych polityk bezpieczeństwa. Np. informacje zalogowane przez pierwszą regułę bezpieczeństwa powinny być wysłane do serwera Syslog-1, a informacje zalogowane przez drugą regułę bezpieczeństwa powinny być wysłane do serwera Syslog-2. 5 Maksymalna przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL). Minimalna wymagana przepustowość: 1 Gbps. Za przepustowość powyżej 2 Gbps zostaną przyznane dodatkowe punkty: za przepustowość powyżej 2 Gbps - 5 punktów. za przepustowość powyżej 3 Gbps - 10 punktów, za przepustowość powyżej 4 Gbps - 15 punktów, Przepustowość w Gbps: między 1 a 2 Gbps powyżej 2 Gbps powyżej 3Gbps powyżej 4 Gbps Procedura testu została przedstawiona w opisie ( Procedura testów ). 20/37

21 Procedura testów: 1. Testy muszą zostać wykonane dedykowanym urządzeniem typu appliance umożliwiającym wygenerowanie ruchu o wymaganej charakterystyce i wolumenie, a także umożliwiające generowanie ruchu na podstawie pliku zawierającego podsłuchany (za pomocą sniffera) rzeczywisty ruch występujący w sieci Zamawiającego. Zamawiający dopuszcza możliwość wykorzystania gotowych próbek zaimplementowanych w dedykowanym urządzeniu typu appliance. 21/37

22 Wymagania wobec testów oraz procedura ich przeprowadzenia: 1. Wykonawca w terminie wykonania testów musi przekazać Zamawiającemu kompletne środowisko testowe, w szczególności sprzęt i oprogramowanie składające się na oferowany system oraz wszelkie inne elementy konieczne do przeprowadzenia testów. Po wykonaniu prezentacji Wykonawca zabierze dostarczone przez siebie urządzenia. 2. Miejsce i sposób przeprowadzenia testów: a. Prezentacja odbywać się będzie w lokalizacji Lubelskiego Centrum Konferencyjnego w siedzibie Zamawiającego. O terminie Prezentacji będzie decydować kolejność złożonych ofert. Szczegółowe informacje nt. miejsca oraz terminu przeprowadzenia testów Wykonawca zostanie poinformowany osobnym pismem. Zamawiający nie przewiduje zmiany harmonogramu z przyczyn leżących po stronie Wykonawcy. b. Czas trwania testów nie może być dłuższy niż 6 godzin zegarowych. Wykonawca będzie miał prawo przygotowania środowiska testowego w miejscu testów dwie godziny zegarowe przed początkiem testów. Czas ten może zostać wykorzystany przez Wykonawcę do przygotowania się do testów. c. W celu realizacji testów (podczas przygotowania oraz przeprowadzenia) Wykonawca może korzystać tylko i wyłącznie z środowiska testowego przez siebie dostarczonego. Wyjątek stanowią tutaj urządzenia prezentacyjne: rzutnik, ekran, monitor. d. Podczas testów Wykonawca zobowiązany jest do udzielania Zamawiającemu wszelkich wyjaśnień umożliwiających zbadanie, czy oferowane rozwiązanie posiada wymagane funkcjonalności. e. W przypadku wystąpienia podczas testów problemów lub błędów Wykonawca ma prawo do podjęcia czynności zmierzających do ich eliminacji/usunięcia, w szczególności może dokonywać niezbędnych z jego punktu widzenia modyfikacji prezentowanego środowiska testowego, w ramach czasu przewidzianego na Prezentację, o którym mowa w ppkt. b powyżej. Po przekroczeniu czasu na Prezentację, tj. po upływie pięciu godzin zegarowych, zadania które nie zostały wykonane w zadanym czasie zostaną uznane za niewykonane. f. Testy są jawne, chyba, że Wykonawca zastrzegł, iż stanowi tajemnicę przedsiębiorstwa. (zgodnie z art. 8 ust. 3 Pzp). W związku z powyższym, w przypadku gdyby prezentacja stanowiła tajemnicę przedsiębiorstwa, Wykonawca, nie później niż w terminie składania ofert, musi zastrzec, że nie może być ona udostępniana. g. Nieobecność Wykonawcy na testów będzie równoznaczna z uznaniem, że Testy nie odbyły się. h. Z przeprowadzonych testów Zamawiający sporządzi protokół. i. Testy muszą być prowadzone w języku polskim. 3. Wymagania dla urządzenia testującego. a. Testy muszą być wykonane dedykowanym urządzeniem typu appliance umożliwiającym wygenerowanie ruch o wymaganej charakterystyce i wolumenie. b. Urządzenie generujące ruch musi symulować pracę zarówno klienta jak i serwera dla testowanych aplikacji (odbiornik nadajnik). c. W czasie prowadzonego testu urządzenie musi na bieżąco raportować o wolumenie ruchu po stronie nadajnika jak i po stronie odbiornika. d. Po zakończeniu testów urządzeni musi wygenerować raport z wykonanego testu. e. Urządzenie musi pozwalać na przeprowadzenie testu firewalla pracującego w trybie bridge (L2) jak i w trybie routing (L3). f. Urządzenie musi mieć możliwość wygenerowania ruchu o wolumenie 1 Gbps. g. Urządzenie musi mieć możliwość wygenerowania ruchu dla wybranej grupy aplikacji, o określonym wolumenie i określonej liczbie symulowanych użytkowników. 4. Wymagania w zakresie konfiguracji firewalla 22/37