plik 75578

Załącznik nr 7 do SIWZ
(Załącznik nr 1 do umowy)
Szczegółowy opis przedmiotu zamówienia
1. OPIS PRZEDMIOTU ZAMÓWIENIA
Przedmiotem zamówienia jest dostawa, wdrożenie i konfiguracja jednego urządzenia typu Next Generation
Firewall, o parametrach zgodnych z punktem 5 OPZ, wraz z niezbędnymi licencjami i subskrypcjami, a
także przeprowadzenie związanego z tym szkolenia. Przedmiot zamówienia zostanie zrealizowany w
siedzibie Ministerstwa Administracji i Cyfryzacji przy ulicy Królewskiej 27.
2. ZAKRES WDROŻENIA
Zakres wdrożenia obejmuje dostawę, instalację i konfigurację urządzeń.
3. WDROŻENIE, KONFIGURACJA I SZKOLENIE
Wykonawca przeprowadzi prace instalacyjne i konfiguracyjne wspólnie z administratorami
Zamawiającego. W ramach prac Wykonawca przekaże wiedzę dotyczącą realizowanej konfiguracji. Po
przeprowadzeniu całości prac Wykonawca zapewni szkolenie dla maksymalnie 5 pracowników
Zamawiającego w siedzibie Zamawiającego lub Wykonawcy które będzie obejmowało co najmniej:
• Instalację urządzenia.
• Konfigurację podstawowych funkcjonalności.
• Weryfikację ruchu (wykrywanie sytuacji niepożądanych).
• Tworzenie własnych sygnatur.
• Zarządzanie uprawnieniami.
• Backup i odtworzenie konfiguracji.
W przypadku gdy szkolenie odbywa się poza siedzibą Zamawiającego, Wykonawca pokryje koszty
związane z noclegiem i zapewnieniem wyżywienia uczestnikom (śniadanie, obiad, kolacja).
4. DOKUMENTACJA POWYKONAWCZA
Wykonawca zobowiązany jest do opracowania i dostarczenia dokumentacji technicznej.
Dokumentacja musi zawierać plan konfiguracji, implementacji oraz weryfikacji.
Dokumentacja zostanie dostarczona na nośniku fizycznym (płyta CD/DVD) lub w formie elektronicznej
na adres email podany przez zamawiającego.
5. PARAMETRY URZĄDZENIA
5.1 Urządzenie musi spełniać wymagania określone w poniższej tabeli:
Parametry i funkcjonalności bezwzględne wymagane:
L.P.
1.
2.
3.
4.
5.
Wymagania techniczne i funkcjonalne wymagane przez Zamawiającego
Szczegółowa konfiguracja (łącznie ze szczegółowym zestawieniem elementów
składowych określonych przez kody katalogowe producenta (part numbers), z
podaniem ilości koniecznych elementów.
Urządzenie musi realizować zadania kontroli dostępu (filtracji ruchu sieciowego),
wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji.
Urządzenie musi zapewniać obsługę dla IPv6.
Urządzenie musi zapewnić możliwość statycznej i dynamicznej translacji adresów
NAT między IPv4 i IPv6.
Urządzenie nie może posiadać ograniczeń licencyjnych dotyczących liczby
chronionych komputerów w sieci wewnętrznej.
Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz
obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej
weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa.
Urządzenie musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP
szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych
(np. komunikacji użytkowników surfujących w Internecie) oraz ruchu
przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji
niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż:
wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention),
wirusy i inny złośliwy kod (ochrona anty-wirus i anty-spyware), filtracja plików,
danych i URL.
Urządzenie musi zapewnić możliwość wykluczenia z inspekcji komunikacji
szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL,
dodania własnych wyjątków.
Urządzenie musi zapewnić możliwość skanowania całości ruchu pod kontem
zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu.
Urządzenie musi identyfikować co najmniej 2000 różnych aplikacji, w tym aplikacji
tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor,
BitTorrent, eMule.
Urządzenie musi zapewnić możliwość definiowania własnych wzorców aplikacji
poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu
producenta.
Urządzenie musi zapewnić możliwość dodania własnej lub zmiany predefiniowanej
kategoryzacji URL.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności podmieniania adresów domen
uznanych za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania
DNS w celu wykrycia hostów z sieci wewnętrznej które próbują nawiązać
komunikacje ze złośliwymi domenami. W przypadku gdy funkcjonalność jest
oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia
subskrypcji na min. 24 miesiące.
Urządzenie musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli
VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla
użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności wykrywania i blokowania ataków
intruzów w warstwie 7 modelu OSI (IPS). W przypadku gdy funkcjonalność jest
oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia
subskrypcji na min. 24 miesiące.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności inspekcji antywirusowej, kontrolującej
przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików.
Baza AV musi być przechowywana na urządzeniu i regularnie aktualizowana w
sposób automatyczny. W przypadku gdy funkcjonalność jest oferowana jako
subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 24
miesiące.”
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności filtrowania stron WWW w zależności
od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek
komponentów, poza subskrypcją. Baza kategorii stron musi być przechowywana na
urządzeniu i regularnie aktualizowana w sposób automatyczny. W przypadku gdy
funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga
dostarczenia subskrypcji na min. 24 miesiące.
Urządzenie musi transparentnie ustalać tożsamość użytkowników sieci w oparciu o
Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet
gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników
pracujących w środowisku terminalowym, tym samym mających wspólny adres IP,
ustalanie tożsamości musi odbywać się również transparentnie.
Urządzenie musi wykonywać statyczną i dynamiczną translację adresów NAT.
Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów
posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego
adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.
Urządzenie musi działać w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie
transparentnym (tzn. w warstwie 2 modelu OSI) oraz trybie pasywnego nasłuchu
(tzn. TAP). Funkcjonując w trybie transparentnym urządzenie nie może posiadać
skonfigurowanych adresów IP na interfejsach sieciowych.
W architekturze rozwiązania musi występować moduł zarządzania i moduł
przetwarzania danych.
Urządzenie musi posiadać możliwość pracy w konfiguracji odpornej na awarie w
trybie Active-Passive i Active-Active.
Urządzenie musi umożliwiać zarządzanie pasmem sieci (QoS) w zakresie
oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych
aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenie musi
umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego.
Urządzenie musi być fabrycznie nowe, aktualnie obecne w linii produktowej
producenta.
Urządzenie musi pochodzić z autoryzowanego kanału sprzedażowego producenta
na terenie Unii Europejskiej.
Interfejs administracyjny urządzeń musi być w języku polskim lub angielskim.
Urządzenie musi być dostarczone jako dedykowane urządzenie zabezpieczeń
sieciowych (appliance).
Urządzenie musi być urządzeniami o uznanej na rynku pozycji i musi znajdować się
w kwadracie „Leaders” raportu Gartnera pt. „Magic Quadrant of Network
Enterprise Firewalls – Kwiecień 2015”.
Urządzenie nie może znajdować się na liście „end-of-sale” oraz „end-of-support”
producenta.
Urządzenie musi być w obudowie typu rack maksymalnie 2U.Podać rozmiar.
Urządzenie musi posiadać wbudowane co najmniej 12 portów 1000 BaseT i 8
portów Gigabit SFP (lub 10Gb SFP+).
Wymagane jest dostarczenie następujących typów wkładek do każdego z urządzeń:
 SFP-1-Gb-LX – 8 szt. do oferowanego firewalla oraz SFP-1-Gb-LX – 8 szt. do
Cisco Nexus posiadanego przez Zamawiającego
lub
 SFP+ 10Gb wielomodowe – 8 szt.
Wykonawca dostarczy niezbędne patchcordy (8 szt. o dł. 1,5m) dopasowane do
dostarczonych wkładek SFP (lub SFP+) a także inne konieczne do uruchomienia
urządzenia okablowanie.
Urządzenie musi zapewniać wydajność przynajmniej 500 Mbps dla ruchu IPSec
VPN.
Urządzenie musi posiadać przepustowość w ruchu nie mniej niż 2 Gbps dla kontroli
firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż 50
000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną
funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i
kategoryzacja URL) nie może być mniejsza niż 1 Gbps.
Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez
tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na
interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenia muszą
obsługiwać protokoły routingu dynamicznego, nie mniej niż BGP i OSPF.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze
pod scentralizowany system zarządzania.
Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z
graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być
zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System
zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych
uprawnieniach. Dopuszcza się, aby polityki mogły być tworzone tylko z graficznej
konsoli GUI.
Urządzenie firewall musi posiadać koncept konfiguracji kandydackiej którą można
dowolnie edytować na urządzeniu bez automatycznego zatwierdzania
wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną
zaakceptowane i sprawdzone przez administratora systemu.
Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i
ewentualne licencje/subskrypcje na aktualizację bazy aplikacji muszą być ważne
przynajmniej przez okres trzech lat.
Urządzenie musi być wyposażone w dedykowany port zarządzania out-of-band.
Urządzenie musi posiadać funkcjonalność pozwalającą administratorowi urządzenia
na konfigurację rodzaju pliku (min. exe, dll, pdf, msoffice.), użytej aplikacji oraz
kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego
analizie typu „Sand-Box”. W przypadku gdy funkcjonalność jest oferowana jako
subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 24
miesiące.
W przypadku gdy urządzenie pozwala na jednoczesną pracę dwu lub więcej
administratorów musi istnieć wbudowany w system mechanizm umożliwiający
jednemu z administratorów uzyskanie wyłączności na wprowadzanie zmian. W
tym czasie pozostali zalogowani użytkownicy nie mogą być w stanie dokonać
żadnych zmian w konfiguracji.
Urządzenie musi umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów
Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej
reguły bezpieczeństwa, innego serwera Syslog.
Administrator urządzenia musi mieć możliwość przeglądania z poziomu urządzenia
informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box",
informacji jak przesłane pliki zachowywały się w środowisku testowym, które z
nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy
użytkownicy te pliki przesyłali.
Urządzenie musi mieć możliwość czytania oryginalnych adresów IP stacji
końcowych z nagłówka X-Forwarded-For i wykrywania na tej podstawie
użytkowników generujących daną sesje w przypadku gdy ruch przechodzi przez
serwer Proxy zanim dojdzie do urządzenia.
Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi
te muszą być świadczone w języku polskim w autoryzowanym ośrodku
edukacyjnym
Parametry i funkcjonalności dodatkowe:
L.P. Dodatkowe parametry techniczne i funkcjonalne (podkryteria)
1. Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w
warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub
trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Tryb pracy zabezpieczeń
musi być ustalany w konfiguracji interfejsów inspekcyjnych.
2. Urządzenie musi umożliwiać definiowanie i przydzielanie innych profili ochrony (AV,
IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP.
3. Urządzenie musi umożliwiać definiowanie i przydzielanie odmiennych profili
kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym samym
porcie UDP lub TCP.
4. Urządzenie zabezpieczeń musi umożliwiać integrację w środowisku wirtualnym VMware
w taki sposób, aby móc automatycznie pobierać informacje o uruchomionych maszynach
wirtualnych (np. ich nazwy) i korzystać z tych informacji do budowy polityk
bezpieczeństwa. Tak zbudowane polityki powinny skutecznie klasyfikować i kontrolować
ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i jakakolwiek zmiana
tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji polityk
bezpieczeństwa firewalla.
5. Urządzenie musi posiadać funkcjonalność odczytywania informacji o adresie IP hosta i
korzystającym z tego hosta użytkowniku na podstawie komunikacji Syslog wysyłanej do
firewalla.
6. Urządzenie musi mieć możliwość uruchomienia kilku, odrębnych tablic routingu w
pojedynczej, logicznej instancji systemu.
7. Musi istnieć możliwość rozbudowy urządzenia dla osiągnięcia możliwości definicji
wirtualnych instancji min. 5 firewalli.
8. Urządzenie musi posiadać możliwość integracji z instancją „Sand-Box“ w chmurze lub na
lokalnym, dodatkowym urządzeniu. Musi posiadać konfigurację decydującą jakie pliki
będą wysyłane do której instancji.
9. Urządzenie musi mieć możliwość przekierowania ruchu (PBR - policy base routing) dla
wybranych aplikacji i konkretnych użytkowników z pominięciem tablicy routingu.
10. Urządzenie zabezpieczeń musi posiadać interfejs API który musi być jego integralną
częścią i umożliwiać konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli
do zarządzania lub linii poleceń (CLI).
11. Urządzenie musi mieć możliwość tworzenia dynamicznych obiektów adresowych do
których, na podstawie zdefiniowanych etykiet, można w automatyczny sposób
przypisywać adresy IP. Powinna istnieć możliwość ręcznego tworzenia etykiet
bezpośrednio na urządzeniu lub automatycznego pobierania ich z zewnętrznych systemów
np. VMware vCenter lub ESX(i) oraz skojarzonych z tymi etykietami adresów IP.
Powinna istnieć możliwość wykorzystania tak zbudowanych obiektów adresowych w
politykach bezpieczeństwa.
12. Urządzenie musi mieć możliwość wyboru sposobu blokowania ruchu w politykach
bezpieczeństwa. Powinna istnieć możliwość ustawienia cichego blokowania ruchu bez
wysyłania RST, blokowanie z wysłaniem RST tylko do klienta, blokowanie z wysłaniem
RST tylko do serwera, blokowanie z wysłaniem RST do klienta i serwera jednocześnie.