Załącznik nr 3A do SIWZ DZP-0431-1620/2008 SPECYFIKACJA TECHNICZNA Właściwości systemu zabezpieczeń sieciowych UTM (Unified Threat Management) 1. 2. 3. 4. 5. 6. 7. LP. Parametry wymagane Parametry oferowane (pełny opis parametrów) System zabezpieczeń musi realizować zadania firewall, wykonując kontrolę na poziomie sieci oraz aplikacji Urządzenie musi realizować zarządzanie pasmem sieci (QoS) oraz musi zestawiać zabezpieczone kryptograficznie tunele VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site oraz client-to-site. uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). Aktualizacja bazy sygnatur ataków (IPS) powinna odbywać się na Ŝądanie, bądź automatycznie zgodnie z ustalonym w konfiguracji harmonogramem. uruchomienia modułu kontroli antywirusowej kontrolującego pocztę elektronicznej (SMTP, POP3, IMAP), FTP oraz HTTP. Włączenie kontroli antywirusowej nie wymaga dodatkowego serwera. uruchomienia modułu kontroli antyspamowej działającego w oparciu o mechanizm blacklist. Włączenie kontroli antyspamowej nie wymaga dodatkowego serwera. uruchomienia modułu filtrowania stron WWW w zaleŝności od kategorii treści stron. Włączenie filtrowania stron WWW nie wymaga dodatkowego serwera. System zabezpieczeń musi być dostarczany jako dedykowane urządzenie sieciowe nie posiadające wraŝliwych na awarie elementów sprzętowych (np. twardego dysku). Całość sprzętu i oprogramowania musi być dostarczana i supportowana przez jednego producenta. System zabezpieczeń nie moŝe posiadać ograniczeń na liczbę chronionych komputerów w sieci wewnętrznej.
8. 9. 10. 11. 12. 13. 14. 15. 16. 17. System zabezpieczeń firewall zgodnie z ustaloną polityką musi prowadzić kontrolę ruchu sieciowego pomiędzy obszarami sieci (strefami bezpieczeństwa). Polityki definiowane są pomiędzy dowolnymi strefami bezpieczeństwa. Urządzenie musi obsługiwać nie mniej niŝ 60 stref bezpieczeństwa. Urządzenie zabezpieczeń musi być sterowane przez opracowany przez producenta zabezpieczeń dedykowany system operacyjny (tzn. nie moŝe to być zmodyfikowany system operacyjny ogólnego przeznaczenia jak Linux, czy FreeBSD). Urządzenie zabezpieczeń musi posiadać przepływność nie mniej niŝ 1 Gb/s dla firewall (dla ruchu IMIX), nie mniejszą niŝ 500 Mb/s dla VPN (3DES) i obsługiwać nie mniej niŝ 265 000 jednoczesnych połączeń. Urządzenie zabezpieczeń musi być wyposaŝone w co najmniej cztery porty Gigabit Ethernet 10/100/100 oraz posiadać co najmniej 6 slotów na dodatkowe moduły interfejsów. W urządzeniu musi istnieć moŝliwość uruchomienia następujących interfejsów sieciowych: E1, Serial, ISDN BRI, ADSL, jak równieŝ nie mniej niŝ 20 dodatkowych portów Gigabit Ethernet miedzianych lub optycznych. Urządzenie musi posiadać minimum 1 GB pamięci operacyjnej (DRAM). System zabezpieczeń musi działać w trybie rutera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie posiada skonfigurowanych adresów IP na interfejsach sieciowych. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji. Sieci VPN tworzone przez system zabezpieczeń muszą działać poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń musi posiadać zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client-to-site oraz site-to-site. System zabezpieczeń musi posiadać zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności (tzn. po wykryciu nieaktywności tunelu automatycznie następuje negocjacja IKE). Konfiguracja VPN musi odbywać się w oparciu o reguły polityki bezpieczeństwa (Policy-based VPN) oraz ustawienia rutingu (Routing-based VPN). Urządzenie musi obsługiwać protokoły dostępowe warstwy 2 OSI: co najmniej: Frame Relay, Ethernet
18. 19. 20. 21. 22. 23. (z obsługą co najmniej 150 sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q) oraz Point-to- Point Protocol/High Level Data Link Control (PPP/ HDLC). Urządzenie musi obsługiwać nie mniej niŝ 8 wirtualnych ruterów posiadających odrębne tabele rutingu, umoŝliwiające podłączenie do urządzenia sieci o tej samej adresacji IP. Urządzenie musi obsługiwać protokoły rutingu RIP, OSPF i BGP. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać strefy bezpieczeństwa, adresy IP klientów i serwerów, protokoły i usługi sieciowe, uŝytkowników aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). System zabezpieczeń musi posiadać mechanizmy wykrywania i blokowania technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan), blokowania URL i niebezpiecznych komponentów (m.in. Java/ActiveX/ zip/exe), ochrony sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowania maksymalnej liczby otwartych sesji z jednego adresu IP. Zarządzanie funkcjami zabezpieczeń w pełnym zakresie musi odbywać się z linii poleceń (CLI), graficznej konsoli GUI, oraz scentralizowanego systemu zarządzania. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o róŝnych uprawnieniach. Administratorzy mogą być uwierzytelniani za pomocą haseł statycznych oraz haseł dynamicznych (RADIUS, RSA SecurID). System zabezpieczeń musi posiadać mechanizmy uwierzytelniania toŝsamości uŝytkowników za pomocą haseł statycznych i dynamicznych. UŜytkownicy definiowani są w bazie lokalnej (tzn. bazie utrzymywanej na urządzeniu) oraz na zewnętrznych serwerach LDAP, RADIUS lub SecurID (ACE/Server). System zabezpieczeń musi współpracować z wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust, Microsoft) i musi wspierać standardy PKI (PKCS 7, PKCS 10) oraz protokoły SCEP i OCSP. System zabezpieczeń musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT umoŝliwiają m.in. dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Udostępnianie w Internecie usług wielu serwerów musi odbywać się z uŝyciem tylko jednego publicznego adresu IP.
24. 25. System zabezpieczeń musi posiadać moŝliwość pracy w konfiguracji odpornej na awarie. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Urządzenia zabezpieczeń w klastrze muszą funkcjonować w trybie Active-Active. Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim. Urządzenie powinno być wyposaŝone w dodatkowe 3 26. interfejsy światłowodowe jednodomowe, umoŝliwiające zainstalowanie wkładek GBIC typu SFP. Urządzenie powinno zawierać dodatkowo 3 moduły 27. GBIC jednodomowe typu SFP LC o zasięgu transmisji do 10 km 28. Nazwa/ typ/ model
Załącznik nr 3B do SIWZ DZP-0431-1620/2007 WYMAGANE PRZEZ ZAMAWIAJĄCEGO PRACE INSTALACYJNE Lp. 1. 2. 3. 4. 5. Zakres wymaganych prac instalacyjnych Rekonfiguracja szkieletowej sieci światłowodowej pomiędzy budynkami Uniwersytetu Rolniczego przy ul. Balickiej 116. Konfiguracja routingu na dostarczonym urządzeniu ochrony danych w warstwie 3 modelu OSI dla wybranych V-Lanów ul. Balickiej 116. Konfiguracja routingu na urządzeniach typu firewall firmy Watchguard Firebox X1000 dla wybranych Vlanów do pracy z dostarczonym urządzeniem Rekonfiguracja firewalli firmy Watchguard instytutowych i wydziałowych do pracy z dostarczonym urządzeniem Konfiguracja routingu związanego z dostępem do sieci Internet za pośrednictwem ACK Cyfronet.