Załącznik nr 5 do specyfikacji BPM.ZZP.271.479.2012 SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL Sprzęt musi być zgodny, równowaŝny lub o wyŝszych parametrach technicznych z wymaganiami określonymi poniŝej: Urządzenie typu FIREWALL* Ilość sztuk = 1 Producent* Model* Numer Katalogowy Urządzenia (Producenta)*: spełniający niŝej wymienione wymogi: Parametry inne, równowaŝne lub wyŝsze ** lp. 1-2- Urządzenie ma realizować następujące funkcje : ochronę typu firewall, router, VPN, IPS oraz opcjonalnie moŝliwość zapewnienia ochrony antywirusowej, antyspamowej oraz web filtering ; 1. Zastosowanie Urządzenie musi zapewnić wydajną prace w środowisku sieciowym Zamawiającego ; Oferowany sprzęt musi być fabrycznie nowy; Urządzenie musi : 2. Parametry - być przystosowane do pracy w szafach teleinformatycznych 19, musi być dostarczone wraz z elementami umoŝliwiającymi montaŝ w szafie rackowej 19 ; - posiadać minimum 16 portów Ethernet (10/100/1000Base-T lub światłowodowe) w tym minimum 12 portów typu 10/100/1000BASE-T. Urządzenie musi umoŝliwiać podłączenie modułów światłowodowych typu Ethernet (minimum 4 porty) na przykład poprzez karty/sloty rozszerzeń oraz posiadać port USB; Str. 1 z 5
3. Wydajność 4. Funkcjonalność Wydajność firewall = minimum 1,5 Gbps Wydajność IPS = minimum 230 Mbps Wydajność dla IPsec VPN = min. 250 Mbps MoŜliwa (maksymalna) ilość równoczesnych tunelów VPN = min. 1000 MoŜliwa (maksymalna) ilość obsługiwanych sesji = min. 120 tysięcy MoŜliwa (maksymalna) ilość połączeń/sekundę = min. 8500 MoŜliwa (maksymalna) ilość reguł (polityk bezpieczeństwa) = minimum 4096 Liczba obsługiwanych uŝytkowników: bez limitu MoŜliwa (maksymalna) liczba stref bezpieczeństwa = minimum 32 MoŜliwa (maksymalna) liczba wirtualnych routerów = 20 MoŜliwa (maksymalna) liczba sieci VLAN wedle 802.1q = 512 Polityka bezpieczeństwa systemu zabezpieczeń urządzenia uwzględnia m.in. strefy bezpieczeństwa, adresy IP urządzeń, protokoły i usługi sieciowe, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasmem sieci; Obsługa ramek Jumbo Frame - 9216 byte; Obsługa protokołów IPv4, IPv6; Obsługa Source NAT z PAT; Obsługa Destination NAT z PAT; Obsługa QoS w tym : 802.1p, DiffServ Marking, ustawianie maksymalnego pasma, gwarantowanego pasma, WRED, CBQ, DSCP; Obsługa VLAN 802.1q; Zarządzanie urządzeniem poprzez Web interfejs (przeglądarkę internetowa) w pełni funkcjonalny interfejs webowy, zarządzanie poprzez command-line w tym za pomocą protokołu ssh; W jednym urządzeniu moŝna definiować wirtualne routery, gdzie kaŝdy z nich posiada swoje indywidualne tabele routingu. Obsługa syslog moŝliwość wysyłania logów na zewnętrzny serwer; MoŜliwość monitorowania wydajności w czasie rzeczywistym, obciąŝenia, zajętości pasma, sesji; System zabezpieczeń powinien mieć moŝliwość pracy w konfiguracji odpornej na awarię (HA - High Availability). W takim przypadku urządzenia w klastrze powinny funkcjonować w trybie Active-Active lub Active-Passive; MoŜliwość uruchomienia dodatkowej funkcjonalności poprzez zakup licencji: Antivirus, antispam, Web filtering; Str. 2 z 5
5. Funkcjonalność 6. Funkcjonalność 7. Funkcjonalność Obsługa source based-routing; Obsługa Policy-based routing; Obsługa protokołów: RIPv2, OSPF/OSPFv3, BGP, Multicast (Internet Group Management Protocol IGMPv3), PIM; Obsługa routingu statycznego; Firewall pracujący jako stateful firewall z obsługą filtrów ACL; Wykrywanie i zapobieganie atakom denial of service (DoS) i distributed denial of service (DDoS) - w oparciu o anomalie (anomaly-based); Ochrona: TCP reassembly for fragmented packet protection, SYN attack protection, IP spoofing, Malformed packet protection; Ochrona typu IPS (intrusion prevention system) m.in. protocol anomaly protection, sygnatury ataków. MoŜliwość automatycznych updatów sygnatur ataków. VPN : Obsługa autentykacji Message Digest 5 (MD5) and SHA-1; Obsługa IPsec, Data Encryption Standard (DES) (56-bit), triple Data Encryption Standard (3DES) (168-bit), Advanced Encryption Standard (AES) (256-bit) encryption; Tunele VPN typu : IPsec w konfiguracji site-to-site oraz client-to-site Sieci VPN tworzone przez system zabezpieczeń działają poprawnie w środowiskach sieciowych, gdzie na drodze VPN wykonywana jest translacja adresów NAT. System zabezpieczeń posiada zaimplementowany mechanizm IPSec NAT Traversal dla konfiguracji VPN client-to-site oraz site-to-site. System zabezpieczeń posiada zaimplementowane mechanizmy monitorowania stanu tuneli VPN i stałego utrzymywania ich aktywności. MoŜliwość definiowania reguł polityki bezpieczeństwa dla VPN. Str. 3 z 5
8. Dodatkowe wymogi dotyczące zamówienia Instalacja i konfiguracja sprzętu i oprogramowania dostosowując do wymogów Urzędu w tym wczytanie lub przepisanie konfiguracji zabezpieczeń z obecnie uŝytkowanego firewalla. Zapewnienie mechanizmu/oprogramowania umoŝliwiającego łączenie komputerów z siecią urzędu poprzez VPN dla 20 połączeń równoczesnych. Instalacja i konfiguracja ma zostać wykonana w obecności Zamawiającego. Wykonawca ma obowiązek dokonać prezentacji działania i konfiguracji urządzeń. Szkolenie dla 2 administratorów sieci minimum 16 godzin (2 dni po 8h). Szkolenie nie moŝe być powiązane z instalacją sprzętu i stanowi oddzielne dni przeznaczony wyłącznie na szkolenie. Wykonawca zapewnia zaplecze sprzętowe niezbędne do przeprowadzenia szkolenia. Szkolenie ma być przeprowadzone w siedzibie Zamawiającego. 9. Wsparcie techniczne Wraz z produktem wymagane jest zapewnienie/dostarczenie opieki technicznej waŝnej przez okres 3 lat. Opieka musi zawierać : - wsparcie techniczne oraz konsultacje techniczne świadczone telefonicznie, mailowo przez producenta, dystrybutora lub Wykonawcę w dni robocze w godzinach 8-16 w języku polskim - dostęp do nowych wersji oprogramowania w tym do bazy sygnatur IPSowych, dostęp do bazy wiedzy, aktualnej dokumentacji technicznej, - wymiana uszkodzonego uszkodzenia na nowe sprawne w przeciągu następnego dnia roboczego (next business day). Str. 4 z 5
10. Gwarancja 3 lata od dnia podpisania protokołu odbioru dla urządzenia. Gwarancja typu door-to-door, serwis świadczony w miejscu instalacji Towaru. Usunięcie awarii w następnym dniu roboczym po otrzymaniu zgłoszenia (przyjmowanie zgłoszeń w godzinach 9-16, w dni robocze telefonicznie, faksem, e-mail). W przypadku gdy wymagany jest dłuŝszy okres naprawy, Wykonawca podstawia na czas naprawy sprzęt o nie gorszych parametrach technicznych łącznie z wykonaniem niezbędnej konfiguracji dla zapewnienia ciągłości pracy sieci Zamawiającego. Naprawa w takim przypadku nie moŝe przekroczyć 14 dni roboczych od momentu zgłoszenia usterki. Serwis urządzenia i komponentów musi być realizowany przez podmiot autoryzowany przez producenta. Zamawiający nie musi przechowywać oryginalnego opakowania, oferent ma obowiązek odebrać uszkodzony sprzęt bez oryginalnego pudełka. Instrukcja wypełniania: *) naleŝy wskazać oferowany produkt: nazwa producenta + typ/model **) naleŝy wypełnić w przypadku jeŝeli oferowany towar posiada parametry inne, przynajmniej równowaŝne lub wyŝsze; nie wypełniona rubryka wskazuje, Ŝe oferowany produkt spełnia wymagania zawarte w poszczególnych punktach Str. 5 z 5