Załącznik nr 2 do SIWZ PO MODYFIKACJI W DNIU 03.09.2015 r. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Dla części II przedmiotu zamówienia 2 Urządzenia - Loadbalancer - 2 urządzenia w trybie wysokiej dostępności (HA) Lp. Opis wymagań minimalnych 1 Min. 1GB RAM, wewnętrzna pamięć masowa typu SSD, Minimum 1 procesor wielordzeniowy typu Dual Core, wbudowany zasilacz 230V typu ATX, zestaw akcesoriów do zamontowania urządzenia w szafie rack. 2 Urządzenie musi być wyposażone w fizyczne interfejsy komunikacji: port konsoli (RJ-45); port VGA oraz 2 porty USB 3 Terminowanie i obsługa ruchu szyfrowanego protokołem SSL Obsługa przez jedno urządzenie minimum 1000 nowych transakcji SSL na sek. (TPS) 4 Urządzenie musi zapewniać przepustowość minimum Load Balancer Throughput min 1.2 Gbps Interface throughput 4 x 949 Mbit/s obsługa minimum 43 000 transakcji http na sekundę obsługa minimum 74 000 jednoczesnych połączeń L7. 5 Min. 4 porty 1000 Mbit/s Base-TX, porty z funkcją auto-wykrywania i auto-negocjacji 6 Urządzenie musi wspierać tworzenie i zarządzanie Virtual LAN według standardu IEEE 802.1Q (agregacja Vlan, trunking) 7 Urządzenie musi wspierać Link Interface Bonding dla modeli: 802.3ad, link Failover. 8 Urządzenie musi umożliwiać równoważenie obciążenia ruchu TCP/UDP na serwerach rzeczywistych i wirtualnych. 9 Urządzenie musi umożliwiać terminowanie i akcelerowanie ruchu SSL w celu odciążenia serwerów rzeczywistych. 10 Urządzenie musi być wyposażone w zaawansowany system przezroczystego buforowania dla protokołów HTTP/HTTPS. 11 Urządzenie musi umożliwiać kompresję treści dla statycznego ruchu HTTP/HTTPS. 12 Urządzenie musi być wyposażone w systemy wykrywania i zapobiegania włamaniom Intrusion Prevention System (IPS) dla warstwy 7 z możliwością obsługi reguł VRT SNORT lub własnych pod warunkiem, że producent urządzenia jest członkiem organizacji CyberThreatAliance. 13 Balansowanie ruchu L4/L7 dla serwerów polegające na tworzeniu wirtualnych adresów IP minimum 256 VIP i ukrycia za nimi do 1000 serwerów. 14 Praca w architekturze wysokiej dostępności w postaci klastra Active/Hot Standby w trybie gwarantowanej ciągłości pracy (Stateful Failover). Umożliwia komunikację klastra przez sieć Ethernet. 15 Urządzenie musi zapewniać możliwość przełączania ruchu dla warstwy 7 na podstawie treści content switching. 16 Urządzenie musi wykorzystywać następujące metody równoważenie ruchu: Round Robin Weighted Round Robin Least Connection Weighted Least Connection Agent-based Adaptive Chained Failover (Fixed Weighting) Source-IP Hash Layer 7 Content Switching 17 Urządzenie musi umożliwiać edytowanie i wdrażanie wirtualnych serwisów w locie. 18 Urządzenie musi przeprowadzić auto rekonfiguracje w przypadku wykrycia awarii serwera rzeczywistego. 19 Przejście określonego ruchu tą samą drogą bazując na dowolnej informacji z nagłówka i zawartości pakietu IP. Strona 29 z 57
20 Urządzenie musi umożliwiać sprawdzanie statusów serwerów poprzez internetowy protokół komunikatów kontrolnych. 21 Urządzenie musi wspierać konfigurację Direct Server Return. 22 Urządzenie musi umożliwiać konfigurację wsparcia dla topologii usług S-NAT. 23 Urządzenie musi być wyposażone w wbudowany system wykrywania sesji dla Microsoft Terminal Services. 24 Akceleracje SSL na urządzeniu musi umożliwiać wsparcie dla klucza RSA-2048bit. 25 Urządzenie musi mieć możliwość generowania zapytań CSR CRL w celu potwierdzenia z centrum autoryzacyjnym zgodności certyfikatu. (CSR - Certificate Signing Request) (CRL - Certificate Revocation List) 26 Urządzenie musi zapewniać wsparcie użycia co najmniej 256 certyfikatów SSL. 27 Urządzenie musi umożliwiać stosowanie certyfikatów firm trzecich. 28 Urządzenie musi oferować wsparcie dla certyfikatów z przedłużoną ważnością. 29 Urządzenie musi zapewniać możliwość bezpiecznego zdalnego logowania dla administratorów poprzez SSH oraz HTTPS. 30 Produkt musi mieć funkcję filtracji adresów IP w oparciu o zdefiniowane listy dostępowe ACL 31 Produkt musi posiadać funkcję globalnej zapory firewall, która dopuszcza ruch tylko do zdefiniowanych i udostępnionych Wirtualnych Serwisów VS. 32 Produkt musi zapewniać ochronę usług aplikacyjnych co najmniej przed atakami typu: DDoS mitigation, L7 rate based attacks 33 Urządzenie musi wyświetlać w czasie rzeczywistym informacje o dostępności i wydajności. Obsługa protokołów monitorowania SYSLOG, SNMP 34 Moduł uwierzytelniania użytkowników aplikacji webowych w dostępie klientów danej aplikacji do wirtualnych usług serwerowych zdefiniowanych na loadbalancerze. 35 Urządzenie musi oferować wsparcie dla WTS(RDP). 36 Urządzenie musi być wyposażone w wbudowany system wykrywania sesji dla Microsoft Terminal Services. 37 Produkt musi zapewniać metody sprawdzania (próbkowania z poziomu warstwy 7) dostępności usług na serwerach produkcyjnych co najmniej poprzez następujące protokoły: DNS, FTP, HTTP, IMAP, NNTP,POP3, SMTP, WTS(RDP), Telnet. 38 Urządzenie musi posiadać wbudowane mechanizmy mapowania Sticky (Persistence) dla nawiązanych już sesji, co najmniej dla metod: Source IP (L4) SSL SessionID (L4) HTTP/HTTPS Browser-session (L7) HTTP/HTTPS WebClient-session (L7) RDP Login ID (L7) 39 Urządzenie musi oferować pełną konfiguracje poprzez przeglądarkę internetową 40 Urządzenie musi posiadać, co najmniej roczny pakiet serwisowy producenta, w liczony w cenę urządzenia, z obsługą w systemie 5 dni w tygodniu 10 godzin dziennie z możliwością podniesienia do SLA 24/7. Aktywny pakiet serwisowy uprawnia Zamawiającemu pobieranie z serwera WWW lub ftp producenta sprzętu najnowszego oprogramowania systemu operacyjnego urządzenia i jego instalację - najnowsze wersje oprogramowania w ramach tej samej funkcjonalności udostępnione przez producenta w okresie trwania gwarancji. Strona 30 z 57
Załącznik nr 3 do SIWZ PO MODYFIKACJI W DNIU 03.09.2015 r. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Dla części III przedmiotu zamówienia Firewall w trybie HA (dwa fizyczne urządzenia) oraz wsparcie producenta przez okres 2 lat. Lp. Parametr Wymagania techniczne 1. Architektura systemu ochrony System ochrony musi być zbudowany przy użyciu minimalnej ilości elementów ruchomych, krytycznych dla jego działania. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizowanego układu ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). 2. System operacyjny Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. 3. Ilość/rodzaj portów Nie mniej niż 2 porty 10-GbE SFP+, 16 portów Ethernet 10/100/1000 Base- TX, 16 portów 10/100/1000 SFP 4. Funkcjonalności podstawowe i uzupełniające 5. Zasada działania (tryby) 6. Polityka bezpieczeństwa (firewall) System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowych: 1. kontrolę dostępu - zaporę ogniową klasy Stateful Inspection 2. ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM, SMTPS, POP3S, IMAPS, HTTPS) 3. poufność danych - IPSec VPN oraz SSL VPN 4. ochronę przed atakami - Intrusion Prevention System [IPS/IDS] oraz funkcjonalności uzupełniających: 5. kontrolę treści Web Filter [WF] 6. kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP, SMTPS, POP3S, IMAPS) 7. kontrolę pasma oraz ruchu [QoS i Traffic shaping] 8. kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P) 9. zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak Prevention) 10. SSL proxy z możliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów Urządzenie powinno dawać możliwość ustawienia jednego z dwóch trybów pracy: 1. jako router/nat (3.warstwa ISO-OSI) lub 2. jako most /transparent bridge/. Tryb przezroczysty umożliwia wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasma sieci (m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). Strona 31 z 57
7. Wykrywanie ataków Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. a) Nie mniej niż 3900 sygnatur ataków. b) Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie c) Możliwość wykrywania anomalii protokołów i ruchu 8. Translacja adresów Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. 9. Wirtualizacja i routing dynamiczny Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. 10. Połączenia VPN Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site Dostawca musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: o antywirus o web filtering Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth 11. Uwierzytelnianie użytkowników System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory bez dodatkowych opłat licencyjnych. 12. Wydajność Obsługa nie mniej niż 11 milionów jednoczesnych połączeń i 240 000 nowych połączeń na sekundę. Przepływność nie mniejsza niż 52 Gbps dla ruchu nieszyfrowanego i 30 Gbps 25 Gbps dla VPN (3DES). Obsługa nie mniej niż 20 000 jednoczesnych tuneli VPN. 13. Funkcjonalność zapewniająca niezawodność Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Możliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active-Passive 14. Zasilanie Redundantne zasilanie z sieci 230V/50Hz. 15. Konfiguracja i zarządzanie Możliwość konfiguracji poprzez terminal i linię komend oraz konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: a) haseł statycznych b) haseł dynamicznych (RADIUS, RSA SecureID) System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu bezpieczeństwa powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. Strona 32 z 57
16. Certyfikaty Potwierdzeniem wysokiej skuteczności systemów bezpieczeństwa są posiadane przez producenta certyfikaty. Producent musi posiadać następujące certyfikaty: ISO 9001, UTM NSS Approved, EAL4+, ICSA Labs dla funkcji: Firewall, IPSec, Network IPS, Antywirus. 17. Zarządzanie System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem centralnego zarządzania umożliwiając: 1. Przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup urządzeń z możliwością dziedziczenia ustawień po grupie nadrzędnej 2. Wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć konfigurację z dowolnego punktu w przeszłości 3. Zarządzanie wersjami firmware u na urządzeniach oraz zdalne uaktualnienia 4. Zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia 5. Monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM) 6. Zapis i zdalne wykonywanie skryptów na urządzeniach 18. Raportowanie System musi współpracować z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym : 1. Zbieranie logów z urządzeń bezpieczeństwa 2. Generowanie raportów 3. Skanowanie podatności stacji w sieci 4. Zdalną kwarantannę dla modułu antywirusowego; 19. Integracja systemu zarządzania 20. Serwisy, szkolenia Usługi, wsparcie Zamawiający posiada Fortinet FortiAnalyser 400C Zgodnie z zaleceniami normy PN-ISO/17799 zarówno moduł centralnego zarządzania jak i raportowania muszą być zrealizowane na osobnych urządzeniach sprzętowych. Jednocześnie administrator powinien mieć do dyspozycji jedną konsolę zarządzającą do kontroli obu podsystemów. System powinien być objęty serwisem gwarancyjnym producenta przez okres 2 lat. System powinien być objęty serwisem gwarantującym udostępnienie i dostarczenie sprzętu zastępczego na czas naprawy w Następnym Dniu Roboczym. Serwis powinien być realizowany przez Producenta rozwiązania lub Autoryzowanego Dystrybutora Producenta, mającego swoją lokalizację serwisową na terenie Polski, posiadającego certyfikat ISO 9001 w zakresie usług serwisowych (należy dołączyć go do oferty). Zgłoszenia serwisowe przyjmowane będą w trybie 8x5 przez dedykowany serwisowy moduł internetowy (należy podać adres www) oraz lub infolinię 24x7 (należy podać numer infolinii). Dostawca musi okazać zaświadczenie informujące o możliwości przyjęcia uszkodzonego urządzenia objętego serwisem do naprawy u dystrybutora na terenie polski. Szkolenie w zakresie obsługi systemu przeprowadzone w j. polskim, w Autoryzowanym Centrum Szkoleniowym producenta (ATC) dla 2 administratorów. Wsparcie producenta przez okres 2 lat w trybie 7 dni w tygodniu z czasem reakcji do końca następnego dnia roboczego. 21. Inne Wykonawca dokona migracji konfiguracji z aktualnie używanego firwalla i wdroży nowe urządzenia w trybie HA w siedzibie Zamawiającego. Instalacja i konfiguracja systemu powinna być przeprowadzona przez uprawnionego inżyniera posiadającego aktualny certyfikat producenta. Strona 33 z 57
22. Dodatkowe Wykonawca musi dostarczyć 35 modułów transmisyjnych SFP wielomodowych o prędkości 1 Gb/s w pełni kompatybilnych z dostarczonymi urządzeniami. Strona 34 z 57