Załącznik nr 1a do SIWZ - zmieniony SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA część 1 Przedmiot zamówienia: Dostawa i instalacja wyposażenia budynku LCK w Lublinie jak poniżej: Zadanie przełączniki, routery, firewall i wdrożenie systemu bezpieczeństwa oraz uruchomienie sieci bezprzewodowej Wymagania ogólne 1) Zamawiający wymaga, by dostarczony sprzęt był nowy oraz nieużywany (przy czym Zamawiający dopuszcza, by sprzęt był rozpakowany i uruchomiony przed jego dostarczeniem wyłącznie przez wykonawcę i wyłącznie w celu weryfikacji działania sprzętu, przy czym jest zobowiązany do poinformowania Zamawiającego o zamiarze rozpakowania sprzętu, a Zamawiający ma prawo inspekcji sprzętu przed jego rozpakowaniem), 2) Wykonawca zapewnia i zobowiązuje się, że korzystanie przez Zamawiającego z dostarczonego przedmiotu zamówienia nie będzie stanowić naruszenia majątkowych praw autorskich osób trzecich, w szczególności Zamawiającemu nie mogą być zaoferowane sprzęt i oprogramowanie, które jest zarejestrowane w bazach producentów jako przeznaczone do sprzedaży lub sprzedane do innego klienta końcowego. 3) Oferowany sprzęt w dniu składania ofert nie może być przeznaczony przez producenta do wycofania z produkcji lub ze sprzedaży, 4) Zamawiający wymaga, by dostarczone oprogramowanie było oprogramowaniem w wersji aktualnej w dniu poprzedzającym dzień składania ofert, 5) Zamawiający wymaga dostarczenia niezbędnych ilości kabli - patchcord ow do połączenia wszystkich urządzeń będących przedmiotem niniejszego postępowania. Gwarancja i serwis 1) Na dostarczany sprzęt: kontroler sieci bezprzewodowej oraz punkty dostępowe musi być udzielona min. 60-miesięczna gwarancja liczona od dnia podpisania protokołu odbioru przez Zamawiającego; Zamawiający wymaga by zapewniona była naprawa lub wymiana urządzeń lub ich części, zgodnie z metodyką i zaleceniami producenta i Zamawiającego, 2) Na dostarczany sprzęt: przełącznik typu I, przełącznik typu II, przełącznik typ III, routery BGP, Firewall e musi być udzielona gwarancja na okres co najmniej 5 lat od daty ogłoszenia zakończenia produkcji sprzętu liczona od dnia podpisania protokołu odbioru przez Zamawiającego; Zamawiający wymaga by zapewniona była naprawa lub wymiana sprzętu lub ich części, zgodnie z metodyką i zaleceniami producenta i Zamawiającego, 3) Wykonawca przejmuje na siebie wszelkie obowiązki związane z obsługą serwisu gwarancyjnego oferowanego sprzętu w okresie gwarancji, 4) Serwis wyposażenia będzie świadczony w siedzibie Zamawiającego (miejscu instalacji i użytkowania sprzętu), w języku polskim (przyjmowanie zgłoszeń i realizacja świadczeń). 5) Czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć jednego dnia roboczego (tj. poniedziałek piątek, godz. 07:00-15:00), 6) Usunięcie usterki (naprawa lub wymiana wadliwego podzespołu lub urządzenia) ma zostać wykonana w przeciągu trzech dni roboczych od momentu zdiagnozowania usterki, 7) Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez telefon (w godzinach pracy Zamawiającego), faks, e-mail lub WWW (przez całą dobę), 8) Wykonawca ma udostępnić pojedynczy punkt przyjmowania zgłoszeń dla całości sprzętu i oprogramowania dostarczonego w ramach przedmiotu zamówienia, 9) Zamawiający otrzyma bezpośredni dostęp do pomocy technicznej Wykonawcy (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją całości
sprzętu i oprogramowania dostarczonego w ramach przedmiotu zamówienia w godzinach pracy Zamawiającego, 10) Zamawiający uzyska bezpośredni dostęp do części chronionych stron internetowych producentów rozwiązań, umożliwiający: a) pobieranie nowych wersji oprogramowania, b) dostęp do narzędzi konfiguracyjnych i dokumentacji technicznej, c) dostęp do pomocy technicznej producentów 2/31
Szczegółowy opis zamawianego sprzętu i oprogramowania: Przełączniki sieciowe: I. Przełącznik Typ I 2 sztuki 1. Typ i liczba portów: a. Minimum 48 porty 1/10Gb/s SFP+ b. Minimum 4 porty 40Gb QSFP c. Porty SFP+ muszą umożliwiać ich obsadzanie wkładkami 10 Gigabit Ethernet minimum 10GBASE-LR 2. Urządzenie musi obsługiwać warstwę 3 modelu ISO/OSI. 3. Urządzenie musi obsługiwać minimum 4000 sieci VLAN 4. Urządzenie musi obsługiwać minimum 128 000 adresów MAC 5. Urządzenie musi posiadać min. 2GB pamięci DRAM i min. 512MB pamięci flash 6. Parametry fizyczne wysokość maksimum 1U, możliwość montażu w szafie 19 7. Wydajność przełączania minimum 900Mpps. 8. Przepustowość przełącznika minimum 1Tbps. 9. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min. 9216 bajtów 10. Obsługa protokołu NTP 11. Musi posiadać obsługę protokołów routingu IPv4 takich, jak RIPv2, OSPF, a także routingu statycznego. 12. Musi posiadać obsługę protokołów routingu IPv6 takich, jak RIPng, OSPFv3, a także routingu statycznego. 13. Musi posiadać obsługę wirtualnych instancji routingu (VRF) 14. Obsługa ruchu multicast - IGMPv3 15. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 16 instancji protokołu RSTP 16. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństwa typu Port Security i IP Source Guard na interfejsach link aggregation lub równoważne na interfejsach link aggregation. Za równoważne Zamawiający uzna realizacje powyższych funkcjonalności w sposób, poprzez: Możliwość określenia maksymalnej liczby adresów MAC oraz możliwość określenia maksymalnej ilości wpisów ARP dla interfejsu link aggregation z możliwością filtrowania obu typów wpisów (MAC i ARP), przy czym nie dopuszcza się rozwiązań bazujących wyłącznie na statycznym filtrowaniu wpisów MAC i ARP (przełącznik musi automatycznie tworzyć opisaną powyżej bazę danych) oraz implementacji takiej ochrony poprzez mechanizm standardowych list dostępu (access-list). 17. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 3 poziomów dostępu administracyjnego poprzez konsolę b. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 c. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów VLAN (VACL) zarówno dla IPv4 jak i IPv6 d. Zapewnienie podstawowych mechanizmów bezpieczeństwa w tym minimum ochronę Spanning Tree Root Guard, listy ACL na interfejsach terminalowych, Storm control (unicast, multicast, i broadcast) 18. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) 19. Obsługa protokołu LLDP i LLDP-MED lub innych pełniących ta samą funkcję (np. CDP). 20. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 3/31
21. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 3 plików konfiguracyjnych 22. Zasilanie 230V AC, urządzenie musi posiadać redundantny zasilacz (dopuszczalne rozwiązania zewnętrzne) 23. Urządzenie musi posiadać możliwość połączenia w stos lub zaimplementowania mechanizmu HSRP, VRRP lub równoważnego 24. Musi obsługiwać funkcjonalność Bidirectional Forwarding Detection (BFD) lub odpowiednika. 25. Funkcjonalność BFD (lub odpowiednik) musi posiadać wsparcie dla protokołów OSPF, routingu statycznego. 26. Wyposażenie urządzenia: a. Moduł SFP+ LC MM 24 szt. na każde urządzenie b. Moduły SFP Ethernet do połączenia przełączników z urządzeniem firewall. 4/31
II. Przełącznik Typ II 6 sztuk 1. Typ i liczba portów: a. Minimum 48 portów 100/1000 PoE + zgodne z IEEE 802.3at b. Minimum 2 dodatkowe porty uplink 10 Gigabit Ethernet SFP+ c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet minimum 10GBASE-LR, 10GBASE-ER 2. Wymagane jest, aby wszystkie porty dostępowe 100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+ 3. Urządzenie musi obsługiwać minimum 1000 sieci VLAN 4. Urządzenie musi obsługiwać minimum 16 000 adresów MAC 5. Urządzenie musi posiadać min. 512MB pamięci DRAM i min. 128MB pamięci flash 6. Parametry fizyczne wysokość maksimum 1U, możliwość montażu w szafie 19 7. Wydajność przełączania minimum 107Mpps dla pakietów 64-bajtowych. Przepustowość przełącznika minimum 108Gb/s (176Gb/s full duplex) 8. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: a. Magistrala stakująca o przepustowości co najmniej 80Gb/s b. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) c. Jeżeli realizacja funkcji stackowania wymaga dodatkowych modułów/kabli itp. ich dostarczenie w ramach tego postępowania jest wymagane (przełącznik musi zostać połączony w stos z przełącznikiem TYP II) 9. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min. 9216 bajtów 10. Obsługa protokołu NTP 11. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping 12. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 16 instancji protokołu STP 13. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństwa typu Port Security i IP Source Guard na interfejsach link aggregation 14. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 3 poziomy dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 i. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) zarówno dla IPv4 jak i IPv6 j. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard k. Funkcjonalność Protected Port l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) 5/31
m. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego n. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub inna pełniąca tą samą funkcję) 15. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. 16. Obsługa protokołu LLDP i LLDP-MED lub innych pełniących ta samą funkcję (np. CDP), 17. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 18. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 3 plików konfiguracyjnych 20. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne) 21. Wyposażenie urządzenia: a. Moduł SFP+ LC MM 1 szt. na każde urządzenie Wymagania dodatkowe, punktowane: Wbudowane funkcje zarządzania energią: a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii III. Przełącznik Typ III 6 sztuk 1. Typ i liczba portów: a. Minimum 24 portów 100/1000 PoE + zgodnie z IEEE 802.3at b. Minimum 2 dodatkowe porty uplink 10Gigabit Ethernet SFP+ c. Porty SFP muszą umożliwiać ich obsadzanie wkładkami Gigabit Ethernet minimum 10GBASE-LR, 10GBASE-ER 2. Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+ 3. Urządzenie musi obsługiwać minimum 1000 sieci VLAN 4. Urządzenie musi obsługiwać minimum 16 000 adresów MAC 5. Urządzenie musi posiadać min. 512MB pamięci DRAM i min. 128MB pamięci flash 6. Parametry fizyczne wysokość maksimum 1U, możliwość montażu w szafie 19 7. Wydajność przełączania minimum 107 95 Mpps dla pakietów 64-bajtowych. Przepustowość przełącznika minimum 108Gb/s (128Gb/s full duplex) 8. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: a. Magistrala stakująca o przepustowości co najmniej 80Gb/s 6/31
b. Możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) c. Jeżeli realizacja funkcji stackowania wymaga dodatkowych modułów/kabli itp. ich dostarczenie w ramach tego postępowania jest wymagane (przełącznik musi zostać połączony w stos z przełącznikiem TYP II) 9. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości min. 9216 bajtów 10. Obsługa protokołu NTP 11. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping 12. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree. Wymagane wsparcie dla min. 16 instancji protokołu STP 13. Obsługa połączeń link aggregation zgodnie z IEEE 802.3ad. Obsługa mechanizmów bezpieczeństwa typu Port Security i IP Source Guard na interfejsach link aggregation 14. Przełącznik musi obsługiwać następujące mechanizmy bezpieczeństwa: a. Minimum 3 poziomy dostępu administracyjnego poprzez konsolę b. Autoryzacja użytkowników w oparciu o IEEE 802.1X z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL c. Obsługa funkcji Guest VLAN d. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC e. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X f. Przełącznik musi umożliwiać elastyczność w zakresie przeprowadzania mechanizmu uwierzytelniania na porcie. Wymagane jest zapewnienie jednoczesnego uruchomienia na porcie zarówno mechanizmów 802.1X, jak i uwierzytelniania per MAC oraz uwierzytelniania w oparciu o www g. Wymagana jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie h. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6 i. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) zarówno dla IPv4 jak i IPv6 j. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard k. Funkcjonalność Protected Port l. Zapewnienie podstawowych mechanizmów bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) w tym minimum ochronę przed rozgłaszaniem fałszywych komunikatów Router Advertisement (RA Guard), ochronę przed dołączeniem nieuprawnionych serwerów DHCPv6 do sieci (DHCPv6 Guard) m. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego n. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub inna pełniąca tą samą funkcję) 15. Przełącznik musi wspierać następujące mechanizmy związane z zapewnieniem jakości usług w sieci: a. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP b. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek c. Możliwość obsługi jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority) d. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. 16. Obsługa protokołu LLDP i LLDP-MED lub innych pełniących ta samą funkcję (np. CDP), 17. Urządzenie musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli 7/31
18. Przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN) 19. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 3 plików konfiguracyjnych 20. Zasilanie 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszczalne rozwiązania zewnętrzne) 21. Wyposażenie urządzenia: a. Moduł SFP+ LC MM 1 szt. na każde urządzenie Wymagania dodatkowe, punktowane: Wbudowane funkcje zarządzania energią: a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii IV. Router BGP 2 sztuki Rodzaj urządzenia 1. Musi być urządzeniem pełniącym rolę wielousługowego routera modularnego. Architektura 2. Musi posiadać co najmniej 3 porty w standardzie Ethernet (RJ-45): 100/1000 3. Musi posiadać zainstalowany wewnętrzny sprzętowy moduł akceleracji szyfrowania. 4. Musi posiadać wszystkie interfejsy aktywne. Nie dopuszcza się stosowania kart, w których dla aktywacji interfejsów potrzebne będą dodatkowe licencje lub klucze aktywacyjne i konieczne wniesienie opłat licencyjnych. Np. niedopuszczalne jest stosowanie karty 4- portowej gdzie aktywne są 2 porty, a dla uruchomienia pozostałych konieczne jest wpisanie kodu, który uzyskuje się przez wykupienie licencji na użytkowanie pozostałych portów. 5. Urządzenie musi oferować wydajność min. 1Gbps 6. Urządzenie musi obsługiwać pełne tablice BGP w zakresie IPv4 i IPv6 Oprogramowanie/funkcjonalności 7. Oprogramowanie routera musi umożliwiać rozbudowę o dodatkowe funkcjonalności bez konieczności instalacji nowego oprogramowania. Nowe zbiory funkcjonalności muszą być dostępne natywnie lub poprzez wprowadzenie odpowiednich licencji. 8. Musi posiadać obsługę protokołów routingu IPv4 takich, jak RIPv2, OSPF, BGPv4, a także routingu statycznego. 9. Musi posiadać obsługę protokołów routingu IPv6 takich, jak RIPng, OSPFv3, BGPv4, a także routingu statycznego. 10. Musi posiadać obsługę protokołów routingu multicastowego PIM Sparse oraz PIM SSM, a także oraz routingu statycznego. 11. Protokół BGP musi posiadać obsługę 4 bajtowych ASN. 12. Musi posiadać wsparcie dla funkcjonalności Policy Based Routing. 13. Musi obsługiwać mechanizm Reverse Path Forwarding (RPF). 14. Musi obsługiwać tzw. routing między sieciami VLAN w oparciu o trunking 802.1Q. 15. Musi obsługiwać IPv6 w tym ICMP dla IPv6 oraz protokoły routingu IPv6 takie jak RIP, OSPFv3, 16. Musi zapewniać obsługę list kontroli dostępu w oparciu o adresy IP źródłowe i docelowe, protokoły IP, porty TCP/UDP, opcje IP, flagi TCP, oraz o wartości TTL. 17. Musi umożliwiać obsługę NAT dla ruchu IP unicast i multicast oraz PAT dla ruchu IP unicast. 18. Musi posiadać obsługę wirtualnych instancji routingu (VRF) - co najmniej 8 instancji VRF. 19. Musi posiadać obsługę mechanizmu DiffServ. 8/31
20. Musi mieć możliwość tworzenia klas ruchu oraz oznaczanie (Marking), klasyfikowanie i obsługę ruchu (Policing, Shaping) w oparciu o klasę ruchu. 21. Musi zapewniać obsługę mechanizmów kolejkowania ruchu: a. z obsługą kolejki absolutnego priorytetu, b. ze statyczną alokacją pasma dla typu ruchu, 22. Musi obsługiwać mechanizm WRED. 23. Musi obsługiwać protokół GRE. 24. Musi obsługiwać protokół NTP. 25. Musi obsługiwać DHCP w zakresie Client, Server. 26. Musi posiadać obsługę tzw. First Hop Redundancy Protocol (takiego jak HSRP, GLBP, VRRP lub odpowiednika). 27. Musi posiadać obsługę mechanizmów uwierzytelniania, autoryzacji i rozliczania (AAA) z wykorzystaniem protokołów RADIUS lub TACACS+. 28. Musi posiadać obsługę MPLS. 29. Musi obsługiwać funkcjonalność Bidirectional Forwarding Detection (BFD) lub odpowiednika. 30. Funkcjonalność BFD (lub odpowiednik) musi posiadać wsparcie dla protokołów BGP, OSPF, routingu statycznego oraz HSRP lub odpowiednika. 31. Musi posiadać funkcjonalność pozwalającą na monitorowanie zdarzeń systemowych i generowania akcji zdefiniowanych przez użytkownika w oparciu o język skryptowy (tzw. Embedded Event Monitor EEM, lub odpowiednik). 32. Funkcjonalność OER (lub odpowiednik) musi posiadać wsparcie dla: a. optymalizacji ruchu przychodzącego z wykorzystaniem rozgłaszania informacji BGP do zewnętrznych routerów (BGP external peers), b. optymalizacji ruchu głosowego, c. optymalizacji w oparciu o informację z protokołów warstw wyższych (protokoły i porty UDP/TCP), d. optymalizacji ruchu dla tuneli VPN IPSec/GRE, e. optymalizacji ruchu w oparciu o automatyczne wykrywanie ruchu aplikacyjnego. 33. Musi posiadać wsparcie dla Layer-2 Tunneling Protocol. 34. Musi posiadać możliwość rozbudowy o funkcjonalności bezpieczeństwa sieciowego: a. funkcjonalność szyfrowania połączeń z wykorzystaniem algorytmów DES/3DES/AES, b. możliwość konfiguracji tuneli IPSec VPN w oparciu o protokół IKEv2 (Internet Key Exchange v2). Wsparcie dla IKEv2 zarówno dla VPN typu site-2-site jak i dynamicznych, dla ruchu IPv4 oraz IPv6, c. funkcjonalność VPN musi wspierać tworzenie niezależnych VPN (w tym różnego typu: site-2-site, dynamicznych) per VRF, d. funkcja zapory sieciowej z analizą stanów połączenia (tzw. statefull firewall), e. możliwość elastycznej definicji scenariuszy przesyłu IPv4 i IPv6 pomiędzy różnymi strefami, w tym: i. przesyłu, który jest poddawany inspekcji, ii. przesyłu, który jest odrzucany, iii. przesyłu, który jest przenoszony bez inspekcji, f. ochrona centralnego procesora urządzenia (CPU) przed atakiem Denial of Service (DoS) poprzez możliwość klasyfikowania i limitowania ruchu docierającego do CPU, g. możliwość logowania pakietów przekraczających skonfigurowane limity ruchu docierającego do CPU, h. możliwość wymuszenia reguł złożoności haseł tworzonych na urządzeniu, Zarządzanie i konfiguracja 35. Musi być zarządzalne za pomocą SNMPv3, Telnet, SSH. 36. Musi mieć możliwość eksportu statystyk ruchowych za pomocą protokołu Neftflow/JFlow lub odpowiednika. 37. Musi być konfigurowalne za pomocą interfejsu linii poleceń (ang. Command Line Interface CLI). 38. Plik konfiguracyjny urządzenia (w szczególności plik konfiguracji parametrów routingu) musi pozwalać na edycję w trybie off-line, tzn. musi być możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym komputerze. Po zapisaniu konfiguracji w pamięci 9/31
Obudowa nieulotnej powinno być możliwe uruchomienie urządzenia z nowa konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania dowolnej ilości plików konfiguracyjnych. Zmiany aktywnej konfiguracji muszą być widoczne natychmiastowo - nie dopuszcza się częściowych restartów urządzenia po dokonaniu zmian. 39. Musi być wykonana z metalu. Ze względu na różne warunki w których pracować będą urządzenia, nie dopuszcza się stosowania urządzeń w obudowie plastikowej. 40. Musi mieć możliwość montażu w szafie 19. Zasilanie 41. Urządzenie musi mieć możliwość zasilania ze źródeł zmiennoprądowych 230V (zasilacze AC). 42. Urządzenie musi posiadać dwa, redundantne zasilacze Wyposażenie 43. Urządzenie musi być wyposażone w minimum 512MB pamięci Flash 44. Urządzenie musi być wyposażone w minimum 2GB pamięci RAM 45. Urządzenie musi być wyposażone w minimum jeden port USB. Port musi pozwalać na podłączenie zewnętrznych pamięci FLASH w celu przechowywania obrazów systemu operacyjnego, plików konfiguracyjnych lub certyfikatów elektronicznych. 46. Wszystkie karty i moduły muszą być objęte wspólnym serwisem producenta. V. Firewall 2 sztuki 1. Przedmiotem zamówienia jest dostawa, wdrożenie i konfiguracja dwóch urządzeń typu Next Generation Firewall o parametrach zgodnych z formularzem oferty technicznej wraz z niezbędnymi licencjami i subskrypcjami. Urządzenia te będą działać w klastrze wysokiej niezawodności (HA). 2. Zakres wdrożenia obejmuje dostawę, instalację i konfigurację urządzeń. Zamawiający przewiduje następujący harmonogram prac: a. Przygotowanie projektu technicznego wdrożenia wraz z harmonogramem prac, b. Po akceptacji przez Zamawiającego projektu technicznego wdrożenia wraz z harmonogramem, instalacja urządzeń w trybie transparentnym w ścieżce ruchu, c. Konfiguracja polityk bezpieczeństwa d. Testowa praca urządzenia w trybie logowania akcji przez okres minimum 1 tygodnia. e. Weryfikacja prawidłowości działania urządzenia. f. Włączenie trybu blokowania. 3. Wykonawca przeprowadzi prace instalacyjne i konfiguracyjne wspólnie z administratorem Zamawiającego. W ramach prac Wykonawca przekaże wiedzę dotyczącą realizowanej konfiguracji. Po przeprowadzeniu całości prac Wykonawca zapewni warsztaty dla minimum 2 pracowników Zamawiającego w siedzibie Zamawiającego które będą obejmowały co najmniej: a. Instalację urządzenia. b. Konfigurację podstawowych funkcjonalności. c. Weryfikację ruchu (wykrywanie sytuacji niepożądanych). d. Tworzenie własnych sygnatur. e. Zarządzanie uprawnieniami. f. Backup i odtworzenie konfiguracji. 4. Funkcjonalność urządzeń (formularz oferty technicznej): a. Funkcjonalności podstawowe: 10/31
Lp. Parametr wymagany przez Zamawiającego 1. Parametry funkcjonalne 1.1. Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. 1.2. Urządzenia muszą zapewniać obsługę dla IPv6. 1.3. Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. 1.4. Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL/TLS) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników korzystających z Internetu) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji, która będzie posiadała co najmniej funkcje: wykrywania i blokowania ataków typu exploit (ochrona Intrusion Prevention), wirusów i innych złośliwych kodów (ochrona AntiVirus), filtracji aplikacji i URL. Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. Urządzenia muszą identyfikować co najmniej 1000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall. Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. 1.11. Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. 1.12. 1.13. 1.14. Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Urządzenia muszą posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Urządzenia muszą posiadać możliwość uruchomienia modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Baza AV musi być 11/31
Lp. 2. 1.15. 1.16. 1.17. Parametr wymagany przez Zamawiającego przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. Urządzenia muszą posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją tej usługi. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. 1.18. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. 1.19. Rozwiązanie musi zostać dostarczone jako klaster HA składający się z dwóch urządzeń. 1.20. 1.21. Urządzenia muszą posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Urządzenia muszą zapewnić obsługę połączeń zapasowych w sposób aktywny weryfikując dostępność połączeń podstawowych i automatycznie wykonać przełączenie trasy ruchu w przypadku niedostępności połączeń podstawowych 1.22. Urządzenia muszą zapewnić odrębną definicję polityk kontroli oraz reguł QoS dla połączeń podstawowych i zapasowych. 1.23. 1.24. Urządzenia musza posiadać mechanizmy wykrywania i blokowania ataków typu zero-day (exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta). W celu zwiększenia skuteczności oraz zapewnienia ochrony przed nowymi źródłami zagrożeń, oferowane rozwiązanie powinno korzystać w czasie rzeczywistym oraz otrzymywać regularne aktualizacje z zewnętrznego repozytorium producenta w zakresie: zapytań o klasyfikację niezidentyfikowanych (podejrzanych) adresów URL i DNS pod kątem zagrożeń typu botnet; otrzymywanie binarnych aktualizacji sygnatur antywirusowych; zapytań o klasyfikację podejrzanych plików przychodzących (na przykład sprawdzenie ich sygnatury pod kątem złośliwego oprogramowania - malware); zapytań o klasyfikację niezidentyfikowanych adresów URL pod kątem ich udziału w rozpowszechnianiu złośliwego oprogramowania (ochrona przed atakami drive-by-downloads). 2.1. Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. 12/31
Lp. 3. Parametr wymagany przez Zamawiającego 2.2. Urządzenia muszą pochodzić z autoryzowanego kanału sprzedażowego producenta. 2.3. Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim. 2.4. Urządzenia muszą być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). 2.5. Urządzenia muszą być urządzeniami o uznanej na rynku pozycji i muszą odpowiadać opisowi wymagań sformułowanych dla grupy Leaders lub Chellengers raportu Gartnera pt. Magic Quadrant of Enterprise Network Firewalls 2014 1 2.6. Urządzenia nie mogą znajdować się na liście end-of-sale oraz end-of-support producenta. 2.7. Urządzenia będą dostosowane do montażu w szafie typu rack 19 - maksymalnie 2U (podać wartość oferowaną) 2.8. Lokalizacja budynek Lubelskiego Centrum Konferencyjnego - minimum 2 urządzenia (podać ilość oferowanych urządzeń oraz modele) 2.9. 2.10. 2.11. 2.12. Każde urządzenie musi zapewniać wydajność przynajmniej 300 Mbps dla ruchu IPSec VPN i do 1000 jednoczesnych tuneli bez konieczności zakupu dodatkowych licencji. Procedura testu została przedstawiona w rozdziale ( Procedura testów ) Każde urządzenie musi posiadać przepustowość w ruchu full duplex nie mniej niż 4 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji, 2 Gbps dla kontroli IPS wraz z antywirusem oraz akceptować nie mniej niż 50 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1Gbps. Procedura testu została przedstawiona w rozdziale ( Procedura testów ) Urządzenie zabezpieczeń musi być wyposażone w co najmniej 10 portów Ethernet 100/1000 oraz mieć możliwość instalacji dodatkowych 4 interfejsów w postaci modułów SFP. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły rutingu dynamicznego - przynajmniej BGP i OSPF. 2.13. Urządzenie zabezpieczeń musi posiadać wbudowany twardy dysk o minimalnej pojemności 100 GB 2.14. Urządzenie musi charakteryzować się statystycznym parametrem MTBF (Mean Time Between Failure) nie niższym niż 6 lat bezawaryjnej pracy (51840 godzin). 3.1. Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania. 3.2. Zarządzanie musi być realizowane jako wysokodostępne wprost na urządzeniach firewall lub odbywać się za pomocą dedykowanego klastra stacji zarządzających dedykowanych (appliance) 1 Gartner, Magic Quadrant for Enterprise Network Firewalls, Greg Young, Adam Hills, Jeremy D Hoinne, 15 April 2014 13/31
Lp. Parametr wymagany przez Zamawiającego 4. 3.3. Rozwiązanie musi być dostarczone razem z systemem scentralizowanego zarządzania. 3.4. 3.5. 3.6. Dostarczony scentralizowany system zarządzania, musi mieć zapewniony mechanizm HA Active/Standby, dla zapewnienia minimalnych czasów przestoju podczas awarii. Mechanizm HA musi być wykonywany na poziomie rozwiązania sprzętowego dostarczonego przez producenta oferowanego urządzenia NGF. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. 3.7. Wszystkie subskrypcje, aktualizacje, serwis sprzętowy i ewentualne licencje muszą być ważne przynajmniej przez okres pięciu lat. 3.8. Urządzenie musi być wyposażone w dedykowany port zarządzania. 3.9. 4.1. System zarządzania musi być wyposażony w moduł analizy i korelacji logów oraz umożliwiać generowanie i tworzenie własnych raportów na podstawie zbieranych informacji o ruchu sieciowym, wykrytych zagrożeniach i odwiedzanych stronach www. Raporty muszą mieć możliwość określenia gradacji, co najmniej do: nazwanego użytkownika, adresu IP (źródłowego, docelowego) aplikacji sieciowej portu (źródłowego, docelowego) Funkcje te mogą być dostępne lokalnie na urządzeniu zabezpieczeń lub też realizowane przez dedykowane zewnętrzne urządzenie z odpowiednim oprogramowaniem i licencją. Dla oferowanego produktu (na dzień składania ofert) muszą być dostępne w Polsce szkolenia*, świadczone w języku Polskim, w autoryzowanym ośrodku edukacyjnym. *szkolenia nie są przedmiotem niniejszego postepowania 4.2. Wykonawca serwisu musi posiadać autoryzację producenta do świadczenia serwisu dla oferowanych rozwiązań. 4.3. Długość okresu gwarancyjnego oraz serwisowego dla oferowanych urządzeń - 60 miesięcy. 4.4. Gwarantowany czas reakcji: 4 godziny. Gwarantowany czas naprawy przy awarii pojedynczego urządzenia: NBD (Next Business Day) Gwarantowany czas naprawy podczas awarii całości rozwiązania (klastra urządzeń), rozumiany jako uruchomienie funkcjonalności systemu na bazie naprawionych lub wymienionych urządzeń 8 godzin 14/31
Lp. 4.5. Parametr wymagany przez Zamawiającego W celu usunięcia awarii Zamawiający dopuszcza zastosowanie sprzętu zastępczego o parametrach wydajnościowych nie gorszych od sprzętu podstawowego. Przy zastosowaniu sprzętu zastępczego doprowadzenie do stanu sprzed awarii nastąpi w ciągu 2 dni roboczych. Wszystkie części zamienne i materiały niezbędne do przywrócenia urządzenia do prawidłowej pracy wliczone w koszt serwisu. Wymienione części stają się własnością Wykonawcy poza dyskami twardymi, które pozostają w zasobach Zamawiającego, bez dokonywania dodatkowych opłat. 4.6. Dostęp do serwisu przez WWW i wyznaczony telefon kontaktowy. 4.7. Dostępność serwisu: 24x7x365. 4.8. Serwis realizowany w języku urzędowym obowiązującym w Polsce. 4.9. Przyjęcie zgłoszenia potwierdzone telefonicznie lub mailowo. 4.10. W przypadku wystąpienia problemów, których nie można rozwiązać zdalnie, pomoc techniczna w miejscu instalacji. 4.11. Dostęp do nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. 4.12. Informowanie o znanych problemach z oprogramowaniem i sposobach ich rozwiązywania. 4.13. Licencje na użytkowanie i kopiowanie nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. 4.14. Dostęp do centrum serwisowego producenta. 4.15. Dostęp do elektronicznych kanałów informacji i usług wsparcia (bazy wiedzy, bibliotek dokumentacji, opisów produktów, specyfikacji, literatury technicznej i innych materiałów). Minimalna wymagana przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, 4.16. M filtracja aplikacji i kategoryzacja URL): 1Gbps Procedura testów: 1. Testy muszą zostać wykonane dedykowanym urządzeniem typu appliance umożliwiającym wygenerowanie ruchu o wymaganej charakterystyce i wolumenie, a także umożliwiające generowanie ruchu na podstawie pliku zawierającego podsłuchany (za pomocą sniffera) rzeczywisty ruch występujący w sieci Zamawiającego. Zamawiający dopuszcza możliwość wykorzystania gotowych próbek zaimplementowanych w dedykowanym urządzeniu typu appliance. 15/31
Wymagania wobec testów oraz procedura ich przeprowadzenia: 1. Wykonawca w terminie wykonania testów musi przekazać Zamawiającemu kompletne środowisko testowe, w szczególności sprzęt i oprogramowanie składające się na oferowany system oraz wszelkie inne elementy konieczne do przeprowadzenia testów. Po wykonaniu prezentacji Wykonawca zabierze dostarczone przez siebie urządzenia. 2. Miejsce i sposób przeprowadzenia testów: a. Prezentacja odbywać się będzie w lokalizacji Lubelskiego Centrum Konferencyjnego w siedzibie Zamawiającego. O terminie Prezentacji będzie decydować kolejność złożonych ofert. Szczegółowe informacje nt. miejsca oraz terminu przeprowadzenia testów Wykonawca zostanie poinformowany osobnym pismem. Zamawiający nie przewiduje zmiany harmonogramu z przyczyn leżących po stronie Wykonawcy. b. Czas trwania testów nie może być dłuższy niż 6 godzin zegarowych. Wykonawca będzie miał prawo przygotowania środowiska testowego w miejscu testów dwie godziny zegarowe przed początkiem testów. Czas ten może zostać wykorzystany przez Wykonawcę do przygotowania się do testów. c. W celu realizacji testów (podczas przygotowania oraz przeprowadzenia) Wykonawca może korzystać tylko i wyłącznie z środowiska testowego przez siebie dostarczonego. Wyjątek stanowią tutaj urządzenia prezentacyjne: rzutnik, ekran, monitor. d. Podczas testów Wykonawca zobowiązany jest do udzielania Zamawiającemu wszelkich wyjaśnień umożliwiających zbadanie, czy oferowane rozwiązanie posiada wymagane funkcjonalności. e. W przypadku wystąpienia podczas testów problemów lub błędów Wykonawca ma prawo do podjęcia czynności zmierzających do ich eliminacji/usunięcia, w szczególności może dokonywać niezbędnych z jego punktu widzenia modyfikacji prezentowanego środowiska testowego, w ramach czasu przewidzianego na Prezentację, o którym mowa w ppkt. b powyżej. Po przekroczeniu czasu na Prezentację, tj. po upływie pięciu godzin zegarowych, zadania które nie zostały wykonane w zadanym czasie zostaną uznane za niewykonane. f. Testy są jawne, chyba, że Wykonawca zastrzegł, iż stanowi tajemnicę przedsiębiorstwa. (zgodnie z art. 8 ust. 3 Pzp). W związku z powyższym, w przypadku gdyby prezentacja stanowiła tajemnicę przedsiębiorstwa, Wykonawca, nie później niż w terminie składania ofert, musi zastrzec, że nie może być ona udostępniana. g. Nieobecność Wykonawcy na testów będzie równoznaczna z uznaniem, że Testy nie odbyły się. h. Z przeprowadzonych testów Zamawiający sporządzi protokół. i. Testy muszą być prowadzone w języku polskim. 3. Wymagania dla urządzenia testującego. a. Testy muszą być wykonane dedykowanym urządzeniem typu appliance umożliwiającym wygenerowanie ruch o wymaganej charakterystyce i wolumenie. b. Urządzenie generujące ruch musi symulować pracę zarówno klienta jak i serwera dla testowanych aplikacji (odbiornik nadajnik). c. W czasie prowadzonego testu urządzenie musi na bieżąco raportować o wolumenie ruchu po stronie nadajnika jak i po stronie odbiornika. d. Po zakończeniu testów urządzeni musi wygenerować raport z wykonanego testu. e. Urządzenie musi pozwalać na przeprowadzenie testu firewalla pracującego w trybie bridge (L2) jak i w trybie routing (L3). f. Urządzenie musi mieć możliwość wygenerowania ruchu o wolumenie minimum 1 4 Gbps. g. Urządzenie musi mieć możliwość wygenerowania ruchu dla wybranej grupy aplikacji, o określonym wolumenie. i określonej liczbie symulowanych użytkowników. 4. Wymagania w zakresie konfiguracji firewalla 16/31
a. Przed rozpoczęciem testów, Wykonawca dostarczy Zamawiającemu pełną konfigurację testowanego NGFW. b. W czasie testu należy aktywować wszystkie funkcjonalności firewalla typu NGFW: kontrola aplikacji, IPS, AV, URL, Anti-Bot. c. Wszystkie moduły inspekcyjne muszą mieć zainstalowane najnowsze aktualizacje sygnatur oraz baz URL. d. Moduły inspekcyjne muszą mieć wyłączone opcje fail-open. e. Moduły inspekcyjne IPS oraz AV muszą analizować cały ruch (analiza wszystkich danych przesłanych w sesji). f. Konfiguracja modułu firewalla i kontroli aplikacji - w czasie testu polityka zezwalała będzie na dowolny ruch/aplikację (reguła ANY ANY ACCEPT). g. Konfiguracja modułu IPS domyślna polityka producenta. h. Konfiguracja AV domyślna polityka producenta. i. Konfiguracja URL domyślna polityka producenta. j. Konfiguracja Anti-Bot domyślna polityka producenta. k. Konfiguracja logowania włączone logowanie dla wszystkich modułów. 5. Generator powinien wygenerować ruch na podstawie pliku zawierającego ruch pozyskany przez Zamawiającego w jego sieci poprzez sniffing. Plik z ruchem zostanie dostarczony przez Zamawiającego Wykonawcom przed rozpoczęciem testów. Zamawiający dopuszcza możliwość wykorzystania gotowych próbek zaimplementowanych w dedykowanym urządzeniu typu appliance w celu wygenerowania ruchu. 6. Przed wykonaniem testu generatorem wykonane zostaną wstępne testy potwierdzające poprawne działanie modułów inspekcyjnych oraz logowania. 7. Stan wyjściowy: a. Firewall skonfigurowany jak do testu generatorem (tryb bridge-mode) b. Przebieg testu: L.p. Nazwa testu Opis Oczekiwany wynik 1. Weryfikacja konfiguracji. Wskazanie konfiguracji potwierdzającej, że wszystkie wymagane moduły zostały uruchomione i skonfigurowane zgodnie z wymaganiami. 2. Test rozpoznania aplikacji Nawiązać połączenie dowolną aplikacją. 3. Test AV - protokół HTTP Przesłanie pliku eicar protokołem HTTP. 4. Test AV protokół FTP Przesłanie pliku eicar protokołem FTP. 5. 6. Test AV protokół HTTP, plik skompresowany Test AV protokół FTP, plik skompresowany 7. Test IPS Przesłanie skompresowanego pliku eicar protokołem HTTP Przesłanie skompresowanego pliku eicar protokołem FTP Wygenerowanie dowolnego zdarzenia rozpoznanego przez IPS Potwierdzenie w konfiguracji włączenia funkcjonalności. Informacja w logu potwierdzająca rozpoznanie aplikacji. Próba przesłania pliku powinna zostać zablokowana. Próba przesłania pliku powinna zostać zablokowana. Próba przesłania pliku powinna zostać zablokowana. Próba przesłania pliku powinna zostać zablokowana. Informacja w logu potwierdzająca wykrycie zdarzenia. Wynik pozytywny (tak/nie) 17/31
8. Test URL Zablokowanie dostępu do przykładowej strony (predefiniowanej lub zdefiniowanego na czas testu URL) Zablokowanie dostępu. Informacja w logu zawierająca zablokowany URL oraz kategorię strony. 8. Weryfikacja konfiguracji generatora: Celem testu będzie weryfikacja poprawności działania generatora 9. Stan wyjściowy: a. Test powinien zostać wykonany bez urządzeń na ścieżce ruchu porty nadajnika i odbiornika połączone bezpośrednio. W ramach testu należy wygenerować ruch zgodnie ze specyfikacją opisaną w punkcie 5 b. Przebieg testu: L.p. Nazwa testu Opis Oczekiwany wynik 1. Weryfikacja konfiguracji generator 1 Gbps *) Sumaryczny ruch (Tx + Rx) Generacja ruchu o wolumenie 1Gbps na podstawie pliku z ruchem Zamawiającego lub gotowych próbek zaimplementowanych w dedykowanym urządzeniu *) Czas trwania testu 5 minut Potwierdzanie uzyskanych wyników w statystykach generatora oraz w raporcie końcowym. Wynik pozytywny (tak/nie) 10. Testy firewalla z użyciem generatora, stan wyjściowy: a. Przebieg testu: L.p. Nazwa testu Opis Oczekiwany wynik Wynik Generacja ruchu o wolumenie 1Gbps. *) 1. Test 1 Gbps - pełna Czas trwania testu 5 minut Poprawne działanie urządzenia, funkcjonalność Włączoną pełna funkcjonalność urządzenia (ochrona Intrusion prawidłowa kategoryzacja ruchu (tak/nie) Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) 2. 3. Test 2 Gbps pełna funkcjonalność Test 3 Gbps pełna funkcjonalność Generacja ruchu o wolumenie 2Gbps. *) Czas trwania testu 5 minut Włączoną pełna funkcjonalność urządzenia (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) Generacja ruchu o wolumenie 3Gbps. *) Czas trwania testu 5 minut Włączoną pełna funkcjonalność urządzenia (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) Poprawne działanie urządzenia, prawidłowa kategoryzacja ruchu Poprawne działanie urządzenia, prawidłowa kategoryzacja ruchu (tak/nie) (tak/nie) 18/31
4. 5. Test 4 Gbps pełna funkcjonalność Test MAX pełna funkcjonalność *) Sumaryczny ruch (Tx + Rx) Generacja ruchu o wolumenie 4Gbps. *) Czas trwania testu 5 minut Włączoną pełna funkcjonalność urządzenia (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) Generacja ruchu o maksymalnym wolumenie obsługiwanym przez firewall Czas trwania testu 5 minut Włączoną pełna funkcjonalność urządzenia (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) Poprawne działanie urządzenia, prawidłowa kategoryzacja ruchu Poprawne działanie urządzenia, prawidłowa kategoryzacja ruchu (tak/nie) Wartość w Gbps*): 11. Powyższe testy urządzenia firewall zostaną powtórzone 3 krotnie. Aby wynik testów został uznany za pozytywny, za każdym razem testy 1,2,3,4 powinny zakończyć się wynikiem pozytywnym. Dla testu 5 należy przyjąć wartość średnią uzyskaną w trzech próbach. 19/31
Elementy sieci bezprzewodowej: VI. Kontroler sieci bezprzewodowej 2 sztuki 1. Urządzenie umożliwiające centralną kontrolę punktów dostępu bezprzewodowego: a. zarządzanie politykami bezpieczeństwa b. wykrywanie intruzji nieuprawnionych dostępów c. zarządzanie pasmem radiowym d. zarządzanie mobilnością e. zarządzanie jakością transmisji zgodnie z protokołem CAPWAP (RFC 5415) lub innego pełniącego tą samą funkcję 2. obsługa 48 punktów dostępowych z możliwością rozszerzenia do min. 60. 3. min. 8 interfejsów GE 1000BaseX, obsadzonych odpowiednimi wkładkami SFP 4. zarządzanie pasmem radiowym punktów dostępowych: a. automatyczna adaptacja do zmian w czasie rzeczywistym b. optymalizacja mocy punktów dostępowych (wykrywanie i eliminacja obszarów bez pokrycia) c. dynamiczne przydzielanie kanałów radiowych d. wykrywanie, eliminacja i unikanie interferencji e. równoważenie obciążenia punktów dostępowych f. tworzenie profili RF (parametry konfiguracyjne) dla grup punktów dostępowych g. automatyczna dystrybucja klientów pomiędzy punkty dostępowe h. mechanizmy wspomagające priorytetyzację zakresu 5GHz dla klientów dwuzakresowych 5. mapowanie SSID do segmentów VLAN w sieci przewodowej a. 1:1 b. 1:n (SSID mapowane do wielu segmentów VLAN, ruch użytkowników rozkładany pomiędzy segmenty) c. możliwość tunelowania ruchu klientów do kontrolera oraz lokalnego terminowania do sieci przewodowej na poziomie AP (konfigurowane per SSID) 6. obsługa sieci kratowych - automatyczne formowanie sieci kratowej między punktami dostępowymi (optymalizacja tras z uwzględnieniem parametrów jakościowych połączenia, minimalizacja interferencji z możliwością awaryjnego przełączenia na inne pasmo) 7. obsługa mechanizmów bezpieczeństwa: a. 802.11i, WPA2, WPA, WEP b. 802.1x z EAP (m.in. PEAP, EAP-TLS) c. obsługa serwerów autoryzacyjnych RADIUS, TACACS+, LDAP, wbudowana lokalna baza użytkowników (min. 1 000 wpisów) d. możliwość kreowania różnych polityk bezpieczeństwa w ramach pojedynczego SSID e. możliwość profilowania użytkowników: a. przydział sieci VLAN b. przydział list kontroli dostępu (ACL) f. uwierzytelnianie (podpis cyfrowy) ramek zarządzania 802.11 (wykrywanie podszywania się punktów dostępowych użytkowników pod adresy infrastruktury) 802.11w lub podobny g. uwierzytelnianie punktów dostępowych w oparciu o certyfikaty X.509 h. obsługa list kontroli dostępu (ACL) i. wykrywanie i dezaktywacja obcych punktów dostępowych j. współpraca z systemami IDS/IPS k. ochrona kryptograficzna (DTLS lub inna pełniąca tą samą funkcję) komunikacji pomiędzy punktami dostępowymi AP 8. obsługa mechanizmów QoS: a. 802.1p, b. WMM, TSpec, c. ograniczanie pasma per użytkownik 20/31