OP-IV.27 Załącznik nr 6 do SIWZ * - pozostawić właściwe (niepotrzebne skreślić) 1. Przełącznik Typ II 6 sztuk Nazwa sprzętu Ilość Numer produktu, producent, model/typ oferowanego sprzętu * Wbudowane funkcje zarządzania energią: 1. a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii Oferowane urządzeni nie posiada funkcjonalności: 0 pkt Oferowane urządzenie posiada funkcjonalność: 3 pkt. TAK/NIE
2. Przełącznik Typ III 6 sztuk Nazwa sprzętu Ilość Numer produktu, producent, model/typ oferowanego sprzętu 1. Wbudowane funkcje zarządzania energią: a. Zgodność ze standardem IEEE 802.3az EEE (Energy Efficient Ethernet) b. Możliwość hibernowania przełącznika w określonych godzinach celem dodatkowego oszczędzania energii Oferowane urządzeni nie posiada funkcjonalności: 0 pkt Oferowane urządzenie posiada funkcjonalność: 3 pkt. TAK/NIE 3. Firewall 2 sztuki 1. Parametry funkcjonalne 1.1. Urządzenia muszą realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. 1.2. Urządzenia muszą zapewniać obsługę dla IPv6. 1.3. 1.4. Urządzenia muszą zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. Urządzenia nie mogą posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. Strona 2 z 9
1.5. 1.6. 1.7. 1.8. 1.9. 1.10. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL/TLS) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników korzystających z Internetu) oraz ruchu przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji, która będzie posiadała co najmniej funkcje: wykrywania i blokowania ataków typu exploit (ochrona Intrusion Prevention), wirusów i innych złośliwych kodów (ochrona AntiVirus), filtracji aplikacji i URL. Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. Urządzenia muszą identyfikować co najmniej 1000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent. Zezwolenie dostępu do aplikacji musi odbywać się w regułach polityki firewall. Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. 1.11. Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. 1.12. 1.13. 1.14. Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Urządzenia muszą posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Urządzenia muszą posiadać możliwość uruchomienia modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Baza AV musi być przechowywana na urządzeniu i Strona 3 z 9
1.15. 1.16. 1.17. regularnie aktualizowana w sposób automatyczny. Urządzenia muszą posiadać możliwość uruchomienia modułu filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupowania jakichkolwiek komponentów, poza subskrypcją tej usługi. Zamawiający wymaga subskrypcji tej usługi na okres 60 miesięcy. Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. 1.18. Całość sprzętu i oprogramowania musi być dostarczana i wspierana przez jednego producenta. 1.19. Rozwiązanie musi zostać dostarczone jako klaster HA składający się z dwóch urządzeń. 1.20. 1.21. 1.22. 1.23. 1.24. Urządzenia muszą posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. Moduł ochrony przed awariami musi monitorować i wykrywać uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Urządzenia muszą zapewnić obsługę połączeń zapasowych w sposób aktywny weryfikując dostępność połączeń podstawowych i automatycznie wykonać przełączenie trasy ruchu w przypadku niedostępności połączeń podstawowych Urządzenia muszą zapewnić odrębną definicję polityk kontroli oraz reguł QoS dla połączeń podstawowych i zapasowych. Urządzenia musza posiadać mechanizmy wykrywania i blokowania ataków typu zero-day (exploit, który pojawia się na czarnym rynku przed publikacją poprawki przez producenta). W celu zwiększenia skuteczności oraz zapewnienia ochrony przed nowymi źródłami zagrożeń, oferowane rozwiązanie powinno korzystać w czasie rzeczywistym oraz otrzymywać regularne Strona 4 z 9
aktualizacje z zewnętrznego repozytorium producenta w zakresie: zapytań o klasyfikację niezidentyfikowanych (podejrzanych) adresów URL i DNS pod kątem zagrożeń typu botnet; otrzymywanie binarnych aktualizacji sygnatur antywirusowych; zapytań o klasyfikację podejrzanych plików przychodzących (na przykład sprawdzenie ich sygnatury pod kątem złośliwego oprogramowania - malware); zapytań o klasyfikację niezidentyfikowanych adresów URL pod kątem ich udziału w rozpowszechnianiu złośliwego oprogramowania (ochrona przed atakami drive-by-downloads). 2. Dobór i skalowanie urządzeń Firewall 2.1. Urządzenia muszą być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. 2.2. Urządzenia muszą pochodzić z autoryzowanego kanału sprzedażowego producenta. 2.3. Interfejs administracyjny urządzenia musi być w języku polskim lub angielskim. 2.4. Urządzenia muszą być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). 2.5. Urządzenia muszą być urządzeniami o uznanej na rynku pozycji i muszą odpowiadać opisowi wymagań sformułowanych dla grupy Leaders lub Chellengers raportu Gartnera pt. Magic Quadrant of Enterprise Network Firewalls 2014 1 2.6. Urządzenia nie mogą znajdować się na liście end-of-sale oraz end-of-support producenta. 2.7. 2.8. Urządzenia będą dostosowane do montażu w szafie typu rack 19 - maksymalnie 2U (podać wartość oferowaną) Lokalizacja budynek Lubelskiego Centrum Konferencyjnego - minimum 2 urządzenia (podać ilość oferowanych urządzeń oraz modele) [U] [szt.] [model] 1 Gartner, Magic Quadrant for Enterprise Network Firewalls, Greg Young, Adam Hills, Jeremy D Hoinne, 15 April 2014 Strona 5 z 9
2.9. 2.10. 2.11. 2.12. Każde urządzenie musi zapewniać wydajność przynajmniej 300 Mbps dla ruchu IPSec VPN i do 1000 jednoczesnych tuneli bez konieczności zakupu dodatkowych licencji. Procedura testu została przedstawiona w rozdziale ( Procedura testów ) Każde urządzenie musi posiadać przepustowość w ruchu full duplex nie mniej niż 4 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji, 2 Gbps dla kontroli IPS wraz z antywirusem oraz akceptować nie mniej niż 50 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1Gbps. Procedura testu została przedstawiona w rozdziale ( Procedura testów ) Urządzenie zabezpieczeń musi być wyposażone w co najmniej 10 portów Ethernet 100/1000 oraz mieć możliwość instalacji dodatkowych 4 interfejsów w postaci modułów SFP. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły rutingu dynamicznego - przynajmniej BGP i OSPF. 2.13. Urządzenie zabezpieczeń musi posiadać wbudowany twardy dysk o minimalnej pojemności 100 GB 2.14. Urządzenie musi charakteryzować się statystycznym parametrem MTBF (Mean Time Between Failure) nie niższym niż 6 lat bezawaryjnej pracy (51840 godzin). 3. Zarządzanie systemem 3.1. 3.2. Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania. Zarządzanie musi być realizowane jako wysokodostępne wprost na urządzeniach firewall lub odbywać się za pomocą dedykowanego klastra stacji zarządzających dedykowanych (appliance) 3.3. Rozwiązanie musi być dostarczone razem z systemem scentralizowanego zarządzania. 3.4. Dostarczony scentralizowany system zarządzania, musi mieć zapewniony mechanizm HA Active/Standby, dla zapewnienia minimalnych czasów przestoju podczas awarii. Strona 6 z 9
3.5. 3.6. 3.7. Mechanizm HA musi być wykonywany na poziomie rozwiązania sprzętowego dostarczonego przez producenta oferowanego urządzenia NGF. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Wszystkie subskrypcje, aktualizacje, serwis sprzętowy i ewentualne licencje muszą być ważne przynajmniej przez okres pięciu lat. 3.8. Urządzenie musi być wyposażone w dedykowany port zarządzania. 3.9. System zarządzania musi być wyposażony w moduł analizy i korelacji logów oraz umożliwiać generowanie i tworzenie własnych raportów na podstawie zbieranych informacji o ruchu sieciowym, wykrytych zagrożeniach i odwiedzanych stronach www. Raporty muszą mieć możliwość określenia gradacji, co najmniej do: nazwanego użytkownika, adresu IP (źródłowego, docelowego) aplikacji sieciowej portu (źródłowego, docelowego) Funkcje te mogą być dostępne lokalnie na urządzeniu zabezpieczeń lub też realizowane przez dedykowane zewnętrzne urządzenie z odpowiednim oprogramowaniem i licencją. 4. Wsparcie i usługi 4.1. 4.2. Dla oferowanego produktu (na dzień składania ofert) muszą być dostępne w Polsce szkolenia*, świadczone w języku Polskim, w autoryzowanym ośrodku edukacyjnym. *szkolenia nie są przedmiotem niniejszego postepowania Wykonawca serwisu musi posiadać autoryzację producenta do świadczenia serwisu dla oferowanych rozwiązań. [nazwa ośrodka] 4.3. Długość okresu gwarancyjnego oraz serwisowego dla oferowanych urządzeń - 60 miesięcy. 4.4. Gwarantowany czas reakcji: 4 godziny. Gwarantowany czas naprawy przy awarii pojedynczego urządzenia: NBD (Next Business Day) Strona 7 z 9
Gwarantowany czas naprawy podczas awarii całości rozwiązania (klastra urządzeń), rozumiany jako uruchomienie funkcjonalności systemu na bazie naprawionych lub wymienionych urządzeń 8 godzin 4.5. W celu usunięcia awarii Zamawiający dopuszcza zastosowanie sprzętu zastępczego o parametrach wydajnościowych nie gorszych od sprzętu podstawowego. Przy zastosowaniu sprzętu zastępczego doprowadzenie do stanu sprzed awarii nastąpi w ciągu 2 dni roboczych. Wszystkie części zamienne i materiały niezbędne do przywrócenia urządzenia do prawidłowej pracy wliczone w koszt serwisu. Wymienione części stają się własnością Wykonawcy poza dyskami twardymi, które pozostają w zasobach Zamawiającego, bez dokonywania dodatkowych opłat. 4.6. Dostęp do serwisu przez WWW i wyznaczony telefon kontaktowy. 4.7. Dostępność serwisu: 24x7x365. 4.8. Serwis realizowany w języku urzędowym obowiązującym w Polsce. 4.9. Przyjęcie zgłoszenia potwierdzone telefonicznie lub mailowo. 4.10. W przypadku wystąpienia problemów, których nie można rozwiązać zdalnie, pomoc techniczna w miejscu instalacji. 4.11. Dostęp do nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. 4.12. Informowanie o znanych problemach z oprogramowaniem i sposobach ich rozwiązywania. 4.13. Licencje na użytkowanie i kopiowanie nowych wersji, aktualizacji i poprawek do oprogramowania dla oferowanych urządzeń. 4.14. Dostęp do centrum serwisowego producenta. 4.15. Dostęp do elektronicznych kanałów informacji i usług wsparcia (bazy wiedzy, bibliotek dokumentacji, opisów produktów, specyfikacji, literatury technicznej i innych materiałów). Strona 8 z 9
Parametr systemu Oferowana wartość do uzupełnienia przez Wykonawcę 1. 2. 3. Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Administrator urządzenia musi mieć możliwość konfiguracji rodzaju pliku (exe, dll, pdf, msoffice) oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu Sand-Box. Administrator urządzenia musi mieć możliwość przeglądania informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji jak przesłane pliki zachowywały się w środowisku testowym, które z nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki przesyłali. 4 Urządzenia muszą umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów Syslog. 5 Wydajność Maksymalna przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL). Minimalna wymagana przepustowość: 1 Gbps. Za przepustowość powyżej 2 Gbps zostaną przyznane dodatkowe punkty: za przepustowość powyżej 2 Gbps - 5 punktów. za przepustowość powyżej 3 Gbps - 10 punktów, za przepustowość powyżej 4 Gbps - 15 punktów, Przepustowość w Gbps: między 1 a 2 Gbps powyżej 2 Gbps powyżej 3Gbps powyżej 4 Gbps...dnia...... (podpis i pieczątka imienna osoby upoważnionej do składania oświadczeń woli w imieniu wykonawcy) Strona 9 z 9