Specyfikacja techniczna do przełączników sieciowych i firewall a Załącznik nr 4 1) Przełącznik sieciowy typu I (np: WS-C2960-48TC-L lub równoważny) 1. Urządzenie powinno: - przetwarzać pakiety (64 bajty) z wydajnością co najmniej 10 Mpps. - posiadać 64 MB pamięci RAM - posiadać 32 MB pamięci flash - posiadać 48 portów 10/100 Ethernet (RJ-45) - posiadać co najmniej 2 porty typu Combo (gniazda 10/100/1000 Ethernet RJ-45 oraz SFP). Musi istnieć możliwość instalacji wkładek typu 1000Base-X (-SX, -LX/LH, - ZX, WDM, CWDM) oraz 100Base-FX - Mieć możliwość konfiguracji co najmniej 8000 adresów MAC oraz 255 grup IGMP - Posiadać dedykowany port konsolowy, możliwość zarządzania przez telnet oraz interfejs graficzny 2. Porty urządzenia powinny mieć zdolność pracy w trybie full duplex. 3. Urządzenie powinno wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: - IEEE 802.1s - IEEE 802.1w - Możliwość grupowania portów zgodnie z IEEE 802.3ad - IEEE 802.3x - IEEE 802.3ah (dla portów światłowodowych 100Base-X) 4. Urządzenie powinno wspierać następujące mechanizmy związane z zapewnieniem jakości usług pracy w sieci: - Obsługa co najmniej czterech kolejek dla różnego rodzaju ruchu - Możliwość ograniczenia pasma dostępnego na port (rate limiting) z użyciem mechanizmów CIR z granulacją do 1 Mbps - Wsparcie dla IEEE 802.1p CoS i pola DSCP - wsparcie dla algorytmu SRR - możliwość tworzenia 64 reguł filtrowania (policerów) na każdym porcie typu Fast Ethernet lub Gigabit Ethernet 5. Urządzenie powinno wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa w sieci: - IEEE 802.1q (obsługa minimum 255 VLANów) - Mieć możliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.1x) - Autoryzacja użytkowników/portów przez 802.1x z możliwością przypisania atrybutów takich jak podsieć VLAN - Możliwość filtrowania pakietów na poziomie warstw od drugiej do czwartej (listy dostępu ACL) - Wsparcie sprzętowe dla list dostępu ACL 6. Możliwość przekierowania ruchu na wybrany port przełącznika lub innego przełącznika (funkcjonalności: SPAN oraz RSPAN) 7. Urządzenie powinno wspierać protokół SNMP v1,2,3 CDP, NTP, VTP, IGMP snooping 8. Urządzenie powinno posiadać możliwość podłączenia dodatkowego, zewnętrznego zasilacza dla zapewnienia redundancji. 9. Urządzenie powinno mieć możliwość montażu w szafie 19 i zajmować przestrzeń nie większą jak 1 RU.
2) Przełącznik sieciowy typu II (np: WS-3560G-24TS-S lub równoważny) 1. Urządzenie powinno: - przetwarzać pakiety (64 bajty) z wydajnością co najmniej 38,7Mpps. - posiadać matrycę przełączającą o wydajności 32 Gbps - przetwarzać pakiety w oparciu o routing statyczny, RIP - posiadać 128 MB pamięci RAM - posiadać 32 MB pamięci Flash - posiadać 24 interfejsy 10/100/1000 Ethernet (RJ-45) - posiadać co najmniej 4 porty Gb Ethernet na moduły SFP (wymagana jest możliwość instalacji modułów: 1000Base-(T;SX;LX/LH;ZX), 100Base-FX, CWDM. - mieć możliwość konfiguracji co najmniej 12000 adresów MAC i 11000 tras routing-u, 1000 grup IGMP - posiadać dedykowany port konsolowy, możliwość zarządzania przez telnet oraz interfejs graficzny 2. Wszystkie porty Ethernet urządzenia powinny mieć zdolność pracy w trybie full duplex. 3. Przełącznik powinien posiadać możliwość rozbudowy/wymiany oprogramowania tak aby dostępne były funkcjonalności/protokoły: OSPF, EIGRP (lub równoważny), BGP RIP oraz OSPFv3 (Zamawiający dopuszcza aby wymiana oprogramowania była możliwa po wykupieniu stosownej licencji nie objętej niniejszym postępowaniem) 4. Urządzenie powinno wspierać następujące mechanizmy związane z zapewnieniem ciągłości pracy sieci: - IEEE 802.1s - IEEE 802.1w - możliwość grupowania portów zgodnie z IEEE 802.3ad - IEEE 802.3x - obsługa minimum 128 instancji spanning-tree 5. Urządzenie powinno wspierać następujące mechanizmy związane z zapewnieniem jakości usług pracy w sieci: - obsługa co najmniej czterech kolejek dla różnego rodzaju ruchu - możliwość ograniczenia pasma dostępnego na port (rate limiting) z użyciem mechanizmów CIR z granulacją do 8kbps. Decyzje o ograniczeniach powinny być podejmowane na podstawie informacji zawartych w warstwach 2-4. - możliwość tworzenia minimum 64 policerów na każdy port Gigabit Ethernet - wsparcie dla IEEE 802.1p CoS i pola DSCP - wsparcie dla algorytmu SRR - wsparcie dla algorytmu WTD - IEEE 802.1q (obsługa minimum 1024 VLANów oraz 4000 VLAN ID), możliwość konfiguracji portu trunkingowego, możliwość routingu wewnętrznego pomiędzy VLANami 6. Urządzenie powinno wspierać następujące mechanizmy związane z zapewnieniem bezpieczeństwa w sieci: - autoryzacja użytkowników/portów przez 802.1x z możliwością przypisania atrybutów takich jak podsieć VLAN, lista dostępowa ACL, specjalny VLAN gościnny dla użytkowników nie mogących korzystać z 802.1x - możliwość filtrowania pakietów na poziomie warstw od drugiej do czwartej - obsługa funkcjonalności Private VLAN lub analogicznej - obsługa funkcjonalności port security lub analogicznej - obsługa funkcjonalności IP source guard lub analogicznej - obsługa funkcjonalności Dynamic ARP Inspection lub analogicznej - wsparcie dla protokołów TACACS+ i RADIUS 7. Możliwość przekierowania ruchu na wybrany port przełącznika lub innego przełącznika (funkcjonalności: SPAN oraz RSPAN) 8. Urządzenie powinno wspierać mechanizmy/protokóły: SNMP v1,2,3 CDP, NTP, VTP, DHCP (klient, serwer, snooping)
9. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) powinien być możliwy do edycji w trybie off-line tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Plik konfiguracyjny powinien być przechowywany w pamięci nieulotnej. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się restartów urządzenia po dokonaniu zmian. 10. Urządzenie powinno mieć możliwość montażu w szafie 19 i zajmować przestrzeń nie większą jak 1 RU. 11. Urządzenie powinno mieć możliwość zasilania ze źródła zmiennoprądowego 230V +-10% (zasilacz wewnętrzny). Musi istnieć możliwość podłączenia drugiego redundantnego zasilacza (Zamawiający dopuszcza aby był to zasilacz zewnętrzny). 3) Firewall z funkcjonalnością IPS (np.: ASA5510-AIP10-K9 lub równoważny) Architektura 1. Powinno być urządzeniem modularnym pozwalającym na uzyskanie funkcji firewall, VPN (sprzętowe wsparcie szyfracji), sondy IPS. 2. Powinno być wyposażone w co najmniej 4 interfejsy FE Ethernet 10/100 3. Powinno być wyposażone w co najmniej jeden interfejs dla zarządzania pozapasmowego (OOB) 4. Powinno posiadać minimum dwa porty dedykowane dla zarządzania: port konsoli, port asynchroniczny dla przyłączenia modemu 5. Powinno posiadać co najmniej jeden port USB (tokeny, certyfikaty etc.) 6. Powinno posiadać co najmniej 64MB pamięci Flash 7. Powinno posiadać co najmniej 256MB pamięci DRAM 8. Urządzenie powinno posiadać dodatkowy slot pozwalający na wykorzystanie modułów funkcjonalnych zwiększających standardową funkcjonalność urządzenia, a w szczególności a. moduł umożliwiający osiągniecie pełnej funkcjonalności systemu IPS (Intrusion Prevention System) b. moduł umożliwiający osiągniecie funkcjonalności ochrony antywirusowej, antyspyware, antyspamowej, filtrowania i blokowania odwołań do niepożądanych adresów URL oraz filtrowania zawartości poczty elektronicznej e-mail c. moduł zwiększający ilość obsługiwanych interfejsów o co najmniej 4 porty Gigabit Ethernet Zasilanie 9. Urządzenie powinno posiadać zasilacz umożliwiający zasilanie prądem przemiennym 230V Wydajność 10. Urządzenie powinno posiadać wydajność co najmniej 270 Mbps ruchu poddawanego inspekcji przez mechanizmy ściany ogniowej 11. Urządzenie powinno posiadać wydajność co najmniej 160 Mbps ruchu szyfrowanego 12. Urządzenie powinno umożliwiać terminowanie co najmniej 200 jednoczesnych sesji VPN 13. Na urządzeniu powinna istnieć możliwość terminować jednocześnie przynajmniej 200 sesji WebVPN (Zamawiający wymaga aby w dostarczonym urządzeniu była możliwość zestawienia 2 jednoczesnych połączeń SSLVPN. Dopuszczalne jest aby
zwiększenie ilości terminowanych sesji SSLVPN było zależne od wykupienia dodatkowej licencji nie objętej niniejszym postępowaniem) 14. Urządzenie powinno obsługiwać co najmniej 45 000 jednoczesnych sesji/połączeń 15. Urządzenie powinno umożliwiać obsługę do 5 wirtualnych instancji firewall (Dopuszczalne jest aby uruchomienie funkcjonalności było zależne od wykupienia dodatkowej licencji nie objętej niniejszym postępowaniem) Oprogramowanie funkcjonalność: 16. Urządzenie powinno pełnić rolę ściany ogniowej śledzącej stan połączeń z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji 17. Urządzenie nie może posiadać ograniczenia na ilość jednocześnie pracujących użytkowników w sieci chronionej 18. Powinno być oparte o dedykowany system operacyjny nie dopuszcza się rozwiązań gdzie platformą systemową jest otwarty system operacyjny np. UNIX (Linux, FreeBSD etc.) lub jego modyfikacja 19. Urządzenie powinno zostać dostarczone wraz z dedykowanym oprogramowaniem klienta VPN. Oprogramowanie powinno mieć możliwość instalacji na stacjach roboczych pracujących pod kontrolą systemów operacyjnych Windows. Oprogramowanie powinno umożliwiać zestawienie do urządzenia stanowiącego przedmiot postępowania połączeń VPN z komputerów osobistych PC. Oprogramowanie to powinno pochodzić od tego samego producenta, co oferowane urządzenie i powinno być objęte jego jednolitym wsparciem technicznym. Licencja na oprogramowanie klienckie powinna być typu bez limitu 20. Urządzenie powinno mieć możliwość operowania jako transparentna ściana ogniowa warstwy drugiej ISO OSI 21. Powinno mieć możliwość routingu pakietów zgodnie z protokołami RIP, OSPF 22. Powinno obsługiwać mechanizmy związane z obsługą ruchu multicast 23. Powinno obsługiwać protokół NTP 24. Urządzenie powinno być wyposażone w moduł IPS o wydajności nie mniejszej niż 150 Mbps dla ruchu poddawanego inspekcji IPS. 25. Ponadto urządzenie musi posiadać funkcjonalności: - musi umożliwiać wykrywanie i blokowanie ataków przenoszonych w ramach protokołu IPv6, - musi umożliwiać wykrywanie i blokowanie ataków przenoszonych w ramach protokołów IP in IP, - musi umożliwiać ograniczenie ruchu (rate limiting) w reakcji na zdarzenia i dla wybranych rodzajów ruchu sieciowego, tak aby uniemożliwić nadmierne wykorzystywanie pasma sieciowego, - identyfikacja, klasyfikacja i powstrzymywanie ruchu zagrażającego bezpieczeństwu organizacji w tym: a) robaki sieciowe; b) adware; c) spyware; d) wirusy sieciowe; e) nadużycia aplikacyjne. - wykrywanie i powstrzymywanie działań wskazujących na przekroczenie polityk bezpieczeństwa w tym: a) działania z wykorzystaniem komunikatorów internetowych; b) działania z wykorzystaniem aplikacji peer-to-peer; c) filtracja w oparciu o typy MIME. - wykrywanie robaków oraz wirusów sieciowych w szczególności z wykorzystaniem analizy anomalii ruchu w monitorowanych segmentach sieci, - inspekcja aplikacyjna co najmniej dla protokołów:
a) FTP, b) Simple Mail Transfer Protocol (SMTP), c) HTTP, d) SMB, e) Domain Name System (DNS), f) remote procedure call (RPC), g) NetBIOS, h) Network News Transfer Protocol (NNTP), i) generic routing encapsulation (GRE), j) Telnet. - wykrywanie anomalii związanych z ruchem w monitorowanym segmencie sieci, - wykrywanie anomalii związanych z protokołami (w szczególności odstępstw od normalnych zachowań zdefiniowanych przez odpowiednie dokumenty RFC), - wykrywanie ataków związanych z działaniami w warstwie 2 modelu OSI w szczególności ataków na ARP oraz ataków Man-in-the-middle w środowisku przełączanym, - mechanizmy zapobiegające omijaniu systemów IPS w szczególności: a) normalizacji ruchu; b) scalania strumieni TCP; c) deobfuscation; d) scalające (defragmentujące) dla pakietów IP. - definiowanie kryteriów oceny ryzyka - Wymagane jest dostarczenie wraz z modułem licencji na dostęp do sygnatur IPS przez cały okres trwania gwarancji; Wymagania dodatkowe: Warunki realizacji zamówienia - dotyczy punktów 1, 2 i 3 a) sprzęt dostarczony w ramach realizacji zamówienia musi być sprzętem fabrycznie nowym, nieużywanym wcześniej w innych projektach; b) dostarczone urządzenia i ich komponenty muszą pochodzić od tego samego producenta wraz z dostawą należy dostarczyć odpowiednie oświadczenie Wykonawcy; c) sprzęt i oprogramowanie dostarczone w ramach realizacji umowy muszą posiadać 3-letnie świadczenia gwarancyjne oparte na gwarancji producenta gwarancja przez cały okres jej trwania będzie świadczona na podstawie posiadanego przez Wykonawcę wsparcia producenta. Do oferty należy dołączyć odpowiednie oświadczenie Wykonawcy; d) jeżeli awaryjność sprzętu będzie wymagała kilku napraw, to po trzeciej naprawie sprzęt zostanie uznany jako wadliwy i wymieniony na nowy e) serwis gwarancyjny: świadczony w okresie 3 lat; świadczony w miejscu instalacji sprzętu; czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i kontakt ze Zgłaszającym) nie może przekroczyć jednego dnia roboczego; usunięcie awarii (naprawa lub wymiana wadliwego podzespołu lub urządzenia) ma zostać wykonana w przeciągu następnego dnia roboczego od momentu zgłoszenia; w przypadku awarii sprzętu, dla której wymagany jest dłuższy czas naprawy Zamawiający wymaga podstawienia na ten czas sprzętu o nie gorszych parametrach funkcjonalnych. Naprawa w takim przypadku nie może przekroczyć 14 dni roboczych od momentu zgłoszenia; usługi serwisowe muszą być realizowane przez pracowników Wykonawcy, posiadających odpowiednie certyfikaty producenta;
f) Wykonawca zainstaluje, skonfiguruje, włączy i uruchomi urządzenia w strukturze Sieci Komputerowej Zamawiającego w lokalizacjach przez niego wskazanych do oferty należy dołączyć listę pracowników Wykonawcy, przewidywanych do realizacji zamówienia, wraz z kserokopiami certyfikatów producenta urządzeń i oprogramowania, potwierdzających wymagane kwalifikacje w zakresie ich instalacji i konfiguracji;