Opis przedmiotu zamówienia Zamówienie obejmuje: 1) 80 sztuk routerów dostępowych wraz z oprogramowaniem Numer katalogowy Opis Liczba CISCO861-K9 Cisco 861 Ethernet Security Router 1 CAB-ACE Power Cord Europe 1 S860UK9-12420T Cisco 860 Series IOS UNIVERSAL 1 CCP-CD CCP On CD And CCP Express On Flash 1 CAB-ETH-S-RJ45 Yellow Cable for Ethernet, Straight-through, RJ-45, 6 feet 1 PWR-60W-AC Power Supply 60 Watt AC 1 SL-860-ADVSEC Cisco 860 Advanced Security Software License 1 Zamawiający dopuszcza oferowanie urządzenia równowaŝnego pod warunkiem spełnienia poniŝszych wymagań: 1. Urządzenie musi: - posiadać port WAN typu 10/100 Ethernet - posiadać wbudowany przełącznik minimum 4 porty 10/100 Ethernet - posiadać minimum 256 MB pamięci RAM - posiadać minimum 128 MB pamięci flash - posiadać port do zarządzania pozapasmowego (port konsolowy) 2. Urządzenie musi wspierać następujące funkcje związane z protokołem IP: - Routing Information Protocol (RIPv1 and RIPv2) - Generic routing encapsulation (GRE) - 802.1d Spanning Tree Protocol (STP) - Layer 2 Tunneling Protocol (L2TP) - Layer 2 Tunneling Protocol Version 3 (L2TPv3) - Network Address Translation (NAT) - Dynamic Host Control Protocol (DHCP) server/relay/client - Dynamic DNS - DNS Proxy - DNS Spoofing - Access control lists (ACLs) 3. Urządzenie musi wspierać następujące funkcje związane z bezpieczeństwem: - IPSec VPN - Sprzętowe wsparcie dla: DES, 3DES, AES128, AES192, AES256 - Wsparcie dla infrastruktury klucza publicznego (PKI) - MoŜliwość terminowania co najmniej 5 tuneli IPSec - NAT transparency - Zone-Based Policy Firewall - Stateful Inspection Routing Firewall - Stateful Inspection Transparent Firewall - Secure HTTP (HTTPS), FTP 4. Urządzenie musi wspierać następujące funkcje związane z jakością usług:
- Weighted Fair Queuing (WFQ) - Class-Based WFQ (CBWFQ) 5. Urządzenie musi wspierać następujące funkcje związane z przełączaniem: - Auto MDI-MDX - 2 sieci 802.1Q VLANs - MAC Filtering - Switch Port Analyzer (SPAN) lub analogiczna - Storm Control 6. Urządzenie musi wspierać następujące funkcje związane z wysoką dostępnością: - Virtual Router Redundancy Protocol (VRRP) (RFC 2338) - Hot Standby Router Protocol (HSRP) - MHSRP - wdzwanianie przez zewnętrzny modem z uŝyciem wirtualnego portu AUX 7. Wraz z urządzeniem musi zostać dostarczony zasilacz umoŝliwiający zasilanie 220V. 2) 2 sztuki routerów centralnych terminujących tunele VPN wraz z oprogramowaniem Numer katalogowy Opis Liczba ASA5520-AIP20-K9 ASA 5520 Appliance w/ AIP-SSM-20, SW, HA, 4GE+1FE, 3DES/AES 1 CAB-ACE Power Cord Europe 1 SF-ASA-8.0-K8 ASA 5500 Series Software v8.0 1 SF-ASA-AIP-6.1-K9 ASA 5500 Series AIP Sofware 6.1 for Security Service Modules 1 ASA-VPN-CLNT-K9 Cisco VPN Client Software (Windows, Solaris) 1 CON-SUSA- AS2A20K9 IPS Signature Only 3 ASA5520-VPN-PL ASA 5520 VPN Plus 750 Peer License 1 ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) 1 ASA-AIP-20-INC-K9 ASA 5500 AIP Security Services Module-20 included w/ bundles 1 ASA-180W-PWR-AC ASA 180W AC Power Supply 1 ASA-ANYCONN- CSD-K9 ASA 5500 AnyConnect Client + Cisco Security Desktop Software 1 Zamawiający dopuszcza oferowanie urządzenia równowaŝnego spełniającego poniŝsze wymagania które: Musi być rozwiązaniem sprzętowo-programowym jednego producenta słuŝącym do wykrywania i zapobiegania włamaniom do sieci sonda IPS/IDS i jednocześnie Firewall. Sonda powinna mieć moŝliwość działania zarówno w trybie IDS (Intrusion Detection System) z pasywnym monitorowaniem ruchu w dołączonym do sondy segmencie sieci jak i w trybie IPS (Inline Protection Sensor) z przesyłaniem monitorowanego ruchu poprzez sondę. Musi być oparte o dedykowany system operacyjny nie dopuszcza się rozwiązań gdzie platformą systemową jest otwarty system operacyjny np. UNIX (Linux, FreeBSD etc.) lub jego modyfikacja. Musi posiadać gniazdo które moŝna obsadzić sprzętowymi modułami:
- typu IPS - typu antywirus - z dodatkowymi interfejsami (minimum 4 porty 10/100/1000 lub gniazda SFP) Musi posiadać minimum, jeden interfejs Fast Ethernet 10/100 Mbps oraz cztery interfejsy 10/100/1000 GigabitEthernet. Musi posiadać dedykowany port Konsoli oraz dedykowany port Aux z interfejsem RJ45. Musi posiadać minimum 2 gniazda USB. Musi posiadać minimum 512 MB pamięci DRAM i 64MB Flash. Musi być wyposaŝone w dedykowany sprzętowy moduł słuŝący do kontroli ruchu sieciowego i realizacji funkcjonalności IPS. Musi mieć wydajność co najmniej 200 Mbps dla obsługi ruchu szyfrowanego Musi mieć wydajność co najmniej 350 Mbps dla obsługi ruchu filtrowanego przez firewall i analizowanego przez IPS Musi mieć moŝliwość terminowania jednocześnie co najmniej 750 połączeń IPSec (wraz z urządzeniem musi zostać dostarczony klient IPSec VPN działający na platformie Windows bez limitu na ilość uŝytkowników). Musi mieć moŝliwość tworzenia wirtualnych firewalli minimum 20 (Zamawiający dopuszcza aby funkcjonalność była dodatkowo licencjonowana. W dostarczonej wersji urządzenia musi być moŝliwość stworzenia 2 wirtualnych firewalli). Musi umoŝliwiać zdalne zarządzanie w trybie CLI (console line interface) poprzez protokoły SSH oraz Telnet Musi umoŝliwiać zdalne zarządzanie poprzez przeglądarkę Web z moŝliwością wykorzystania szyfrowania SSL (device manager) Musi umoŝliwiać współpracę z centralnym oprogramowaniem zarządzającym wieloma urządzeniami zabezpieczającymi jak IPS/IDS, Firewall itp. Musi wykrywać ataki w oparciu o sygnatury oraz o anomalie Musi umoŝliwiać obsługę sieci minimum 150 VLAN Musi umoŝliwiać wykrywanie i blokowanie ataków przenoszonych w ramach protokołu IPv6. musi umoŝliwiać wykrywanie i blokowanie ataków przenoszonych w ramach protokołów tunelowania GRE oraz IP in IP Musi umoŝliwiać ograniczenie ruchu (rate limiting) w reakcji na zdarzenia i dla wybranych rodzajów ruchu sieciowego, tak aby uniemoŝliwić nadmierne wykorzystywanie pasma sieciowego Wykrywanie robaków internetowych oraz wirusów sieciowych w szczególności z wykorzystaniem analizy anomalii ruchu w monitorowanych segmentach sieci; Analiza kontekstowa wykrywanie ataków ukryte w wielu następujących po sobie pakietach; Inspekcja aplikacyjna co najmniej dla protokołów: a) FTP, b) Simple Mail Transfer Protocol (SMTP), c) HTTP, d) SMB, e) Domain Name System (DNS), f) remote procedure call (RPC), g) NetBIOS, h) Network News Transfer Protocol (NNTP), i) generic routing encapsulation (GRE), j) Telnet. Wykrywanie anomalii związanych z ruchem w monitorowanym segmencie sieci;
Wykrywanie anomalii związanych z protokołami (w szczególności odstępstw od normalnych zachowań zdefiniowanych przez odpowiednie dokumenty RFC); Wykrywanie ataków związanych z działaniami w warstwie 2 modelu OSI w szczególności ataków na ARP oraz ataków Man-in-the-middle w środowisku przełączanym; Rozmiar urządzenia nie powinien przekraczać 1 RU Musi mieć moŝliwość montaŝu w szafie 19 Urządzenie musi zawierać usługę umoŝliwiającą Zamawiającemu na aktualizowanie baz sygnatur IPS przez okres 3 lat. Zamówione urządzenia ponadto muszą spełniać poniŝsze wymagania: 1) Urządzenia dostarczone w ramach realizacji umowy muszą bezwzględnie gwarantować stabilną pracę pomiędzy routerami dostępowymi a routerami centralnymi przede wszystkim w zakresie dwukierunkowego zestawienia i podtrzymywania tuneli VPN w standardzie IPSec opartym o protokoły 3DES, AES128, AES256 bez względu na instalowane w przyszłości aktualizacje i poprawki oprogramowania wynikające z wykupionej opieki gwarancyjnej i serwisowej. 2) Dostarczone urządzenia muszą bezwzględnie oferować moŝliwość pełnego zarządzania nimi za pomocą oprogramowania CiscoWorks LMS jakie posiada Zamawiający w zakresie w jakim jest to przewidziane dla urządzenia danego typu. 3) Sprzęt dostarczony w ramach realizacji Zamówienia musi być sprzętem fabrycznie nowym, nie uŝywanym wcześniej w innych projektach. 4) Wszystkie urządzenia sieciowe muszą pochodzić od tego samego producenta. 5) Sprzęt dostarczony w ramach realizacji umowy będzie posiadał świadczenia gwarancyjne oparte na gwarancji świadczonej przez producenta sprzętu. 6) Zamawiający wymaga, by gwarancja na urządzenia przez cały okres jej trwania była świadczona na podstawie wykupionego wsparcia producenta sprzętu na cały okres jej świadczenia. Przed podpisaniem protokołu odbioru ilościowego, Zamawiający będzie wymagał dostarczenia potwierdzenia z polskiego lub europejskiego biura przedstawicielstwa Producenta o wykupieniu takiego wsparcia. 7) Sprzęt dostarczony w ramach realizacji umowy będzie sprzętem zakupionym w oficjalnym kanale sprzedaŝy producenta na rynek Unii Europejskiej. Zamawiający będzie Ŝądał stosownego potwierdzenia podpisanego przez polskie biuro przedstawiciela producenta. Jeśli producent nie posiada oficjalnego biura w Polsce przez przedstawiciela biura europejskiego. Potwierdzenie naleŝy dostarczyć wraz z dostawą sprzętu. 8) Wraz z dostawą sprzętu naleŝy dostarczyć dokument wydany przez polskie lub europejskie przedstawicielstwo producenta, poświadczający datę produkcji sprzętu. 9) Dostarczone urządzenia muszą być kompatybilne z urządzeniami posiadanymi przez Zamawiającego (routery i przełączniki Cisco Systems) 10) W ramach zamówienia Wykonawca przeprowadzi 5-cio dniowe warsztaty dla 2 pracowników Zamawiającego obejmujące: - Konfiguracja reguł translacji - Budowa list dostępowych - Wykorzystanie AAA
- Wykorzystanie IPS do zabezpieczania sieci przed atakami sieciowymi - Konfiguracja transparentnych zapór ogniowych - Wykorzystanie kontekstów - Konfiguracja FailOver - Protokół IPSec - budowa sieci VPN typu site-to-site oraz client-to-site Warsztaty muszą być autoryzowane przez producenta dostarczonego sprzętu i dotyczyć jego konfiguracji oraz muszą być przeprowadzone w autoryzowanym ośrodku producenta na terenie Polski. Warsztaty muszą się odbywać w języku polskim i być prowadzone przez certyfikowanych przez producenta instruktorów. 11) Warunki gwarancji i serwisu dla dostarczonych urządzeń: - okres świadczenia 3 lata - naprawa następnego dnia roboczego od zgłoszenia (dostarczenie części zamiennych z podmianą przez inŝyniera na miejscu) dotyczy urządzenia typu router centralny - naprawa do 5 dni roboczych od zgłoszenia (dostarczenie części zamiennych) dotyczy routera dostępowego - w przypadku braku moŝliwości naprawy w wymaganych terminach Wykonawca będzie zobowiązany dostarczyć urządzenie zastępcze (koszty transportu pokrywa Wykonawca) - prawo do pobierania ze strony producenta poprawek i update-ów do oprogramowania - prawo do pobierania ze strony producenta sygnatur IPS (dot. urządzenia typu router centralny)