pobierz

Załącznik nr 5 do SIWZ – Szczegółowy opis przedmiotu zamówienia
(Załącznik nr 1 do Umowy)
CZĘŚĆ I
1. OPIS PRZEDMIOTU ZAMÓWIENIA
Przedmiotem zamówienia jest dostawa jednego urządzenia typu Next Generation Firewall,
jego wdrożenie i konfiguracja klastra wysokiej dostępności w oparciu o dostarczane
urządzenie i urządzenie posiadane już przez Zamawiającego, wraz z niezbędnymi
akcesoriami, licencjami, subskrypcjami i szkoleniami certyfikowanymi przez producenta.
Urządzenie musi być kompatybilne i umożliwiać utworzenie klastra wysokiej dostępności z
posiadanym przez Zamawiającego firewallem Palo Alto Networks PA-3020 o numerze
seryjnym 001801027648 z licencjami: BrightCloud URL Filtering, WildFire, Threat Prevention.
2. ZAKRES WDROŻENIA
Zakres wdrożenia obejmuje dostawę, instalację i konfigurację urządzeń (dostarczonego i
posiadanego już przez Zamawiającego) tak, aby utworzyć z nich klaster wysokiej dostępności.
Wszystkie prace przełączeniowe związane z niedostępnością usług wykonywane będą w dni
robocze po godzinie 17:00 w terminie ustalonym z Zamawiającym na minimum 7 dni przed
planowanym terminem realizacji prac.
3. WDROŻENIE, KONFIGURACJA I SZKOLENIE
Wykonawca przeprowadzi prace instalacyjne i konfiguracyjne wspólnie z administratorami
Zamawiającego. W ramach prac Wykonawca przekaże wiedzę dotyczącą realizowanej
konfiguracji.
4. DOKUMENTACJA POWYKONAWCZA
Wykonawca zobowiązany jest do opracowania i dostarczenia dokumentacji technicznej
wykonanych prac.
Dokumentacja powinna zawierać plan konfiguracji, implementacji oraz weryfikacji.
Dokumentacja może zostać dostarczona na nośniku fizycznym (płyta CD/DVD) lub w formie
elektronicznej na adres email podany przez zamawiającego.
5. PARAMETRY URZĄDZENIA
5.1 Urządzenie musi spełniać wymagania określone w poniższej tabeli:
Parametry i funkcjonalności bezwzględne wymagane:
L.P.
Nazwa parametru lub określenie funkcjonalności
1.
2.
3.
4.
5.
Urządzenie musi być kompatybilne i umożliwiać utworzenie klastra wysokiej
dostępności z posiadanym przez Zamawiającego firewallem Palo Alto Networks
PA-3020 o numerze seryjnym 001801027648 z licencjami: BrightCloud URL
Filtering, WildFire, Threat Prevention. Data wygaśnięcia wsparcia technicznego i
subskrypcji dla posiadanego urządzenia: 2017.11.25.
Producent:… Model:…Szczegółowa konfiguracja (łącznie ze szczegółowym
zestawieniem elementów składowych określonych przez kody katalogowe
producenta (part numbers), z podaniem ilości koniecznych elementów.
Urządzenie musi realizować z adania kontroli dostępu (filtracji ruchu sieciowego),
wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji.
Urządzenie musi zapewniać obsługę dla IPv6.
Urządzenie musi zapewnić możliwość statycznej i dynamicznej translacji adresów
NAT między IPv4 i IPv6.
L.P.
Nazwa parametru lub określenie funkcjonalności
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
Urządzenie nie może posiadać ograniczeń licencyjnych dotyczących liczby
chronionych komputerów w sieci wewnętrznej.
Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz
obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami
bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej
weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa.
Urządzenie musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP
szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych
(np. komunikacji użytkowników surfujących w Internecie) oraz ruchu
przychodzącego do serwerów firmy. System musi mieć możliwość deszyfracji
niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż:
wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention),
wirusy i inny złośliwy kod (ochrona anty-wirus i anty-spyware), filtracja plików,
danych i URL.
Urządzenie musi zapewnić możliwość wykluczenia z inspekcji komunikacji
szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL,
dodania własnych wyjątków.
Urządzenie musi zapewnić możliwość skanowania całości ruchu pod kątem
zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu.
Urządzenie musi identyfikować co najmniej 2000 różnych aplikacji, w tym aplikacji
tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor,
BitTorrent, eMule.
Urządzenie musi zapewnić możliwość definiowania własnych wzorców aplikacji
poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu
producenta.
Urządzenie musi zapewnić możliwość dodania własnej lub zmiany predefiniowanej
kategoryzacji URL.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności podmieniania adresów domen
uznanych za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania
DNS w celu wykrycia hostów z sieci wewnętrznej które próbują nawiązać
komunikacje ze złośliwymi domenami.
W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa,
Zamawiający wymaga dostarczenia subskrypcji minimum do 25.11.2018 r. dla
całego klastra
Urządzenie musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli
VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla
użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności wykrywania i blokowania ataków
intruzów w warstwie 7 modelu OSI (IPS). W przypadku gdy funkcjonalność jest
oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia
subskrypcji minimum do 25.11.2018 r. dla całego klastra.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności inspekcji antywirusowej,
kontrolującej przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe
rodzaje plików. Baza AV musi być przechowywana na urządzeniu i regularnie
aktualizowana w sposób automatyczny.
W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa,
Zamawiający wymaga dostarczenia subskrypcji minimum do 25.11.2018 r. dla
całego klastra.
Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami
pozwalającymi na realizację funkcjonalności filtrowania stron WWW w zależności
od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek
komponentów, poza subskrypcją. Baza kategorii stron musi być przechowywana
L.P.
Nazwa parametru lub określenie funkcjonalności
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
na urządzeniu i regularnie aktualizowana w sposób automatyczny. W przypadku
gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający
wymaga dostarczenia subskrypcji minimum do 25.11.2018 r. dla całego klastra.
Urządzenie musi transparentnie ustalać tożsamość użytkowników sieci w oparciu
o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować
prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet
gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników
pracujących w środowisku terminalowym, tym samym mających wspólny adres IP,
ustalanie tożsamości musi odbywać się również transparentnie.
Urządzenie musi wykonywać statyczną i dynamiczną translację adresów NAT.
Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów
posiadających adresy prywatne do Internetu z wykorzystaniem jednego
publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w
sieci Internet.
Urządzenie musi działać w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie
transparentnym (tzn. w warstwie 2 modelu OSI) oraz trybie pasywnego nasłuchu
(tzn. TAP). Funkcjonując w trybie transparentnym urządzenie nie może posiadać
skonfigurowanych adresów IP na interfejsach sieciowych.
W architekturze rozwiązania musi występować moduł zarządzania i moduł
przetwarzania danych.
Urządzenie musi posiadać możliwość pracy w konfiguracji odpornej na awarie w
trybie Active-Passive i Active-Active.
Urządzenie musi umożliwiać zarządzanie pasmem sieci (QoS) w zakresie
oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych
aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenia muszą
umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego.
Urządzenie musi być fabrycznie nowe, aktualnie obecne w linii produktowej
producenta.
Urządzenie musi pochodzić z autoryzowanego kanału sprzedażowego producenta
na terenie Unii Europejskiej.
Interfejs administracyjny urządzeń musi być w języku polskim lub angielskim.
Urządzenie musi być dostarczone jako dedykowane urządzenie zabezpieczeń
sieciowych (appliance).
Urządzenie nie może znajdować się na liście „end-of-sale” oraz „end-of-support”
producenta.
Urządzenie w obudowie typu rack 1U
Urządzenie musi być dostarczone w konfiguracji z minimum 12 portami 1000
BaseT i minimum 8 portami Gigabit SFP.
Wymagane jest dostarczenie następujących typów wkładek do każdego
z urządzeń:
 SFP-1-Gb-LX – 8 szt. do oferowanego firewalla oraz SFP-1-Gb-LX – 8 szt. do
Cisco Nexus posiadanego przez Zamawiającego
Wykonawca dostarczy niezbędne patchcordy (8 szt. o dł. 1,5m) dopasowane do
dostarczonych wkładek SFP a także inne konieczne do uruchomienia urządzenia
okablowanie.
Urządzenie musi zapewniać wydajność przynajmniej 500 Mbps dla ruchu IPSec
VPN.
Urządzenie musi posiadać przepustowość w ruchu nie mniej niż 2 Gbps dla
kontroli firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej
niż 50 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z
włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus,
filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1 Gbps.
Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez
tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na
interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenia muszą obsługiwać
L.P.
Nazwa parametru lub określenie funkcjonalności
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
protokoły routingu dynamicznego, nie mniej niż BGP i OSPF.
Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze
pod scentralizowany system zarządzania.
Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z
graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być
zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System
zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych
uprawnieniach. Dopuszcza się, aby polityki mogły być tworzone tylko z graficznej
konsoli GUI.
Urządzenie firewall musi posiadać koncept konfiguracji kandydackiej którą można
dowolnie edytować na urządzeniu bez automatycznego zatwierdzania
wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany
zostaną zaakceptowane i sprawdzone przez administratora systemu.
Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i
ewentualne licencje/subskrypcje na aktualizację bazy aplikacji muszą być ważne
przynajmniej do dnia 2018.11.25
Urządzenie musi być wyposażone w dedykowany port zarządzania out-of-band.
Musi istnieć możliwość rozbudowy urządzenia dla osiągnięcia możliwości definicji
wirtualnych instancji min. 5 firewalli.
Urządzenie musi posiadać funkcjonalność pozwalającą administratorowi
urządzenia na konfigurację rodzaju pliku (min. exe, dll, pdf, msoffice.), użytej
aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia
ruchu poddanego analizie typu „Sand-Box”. W przypadku gdy funkcjonalność jest
oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia
subskrypcji do 25.11.2018 r.
W przypadku gdy urządzenie pozwala na jednoczesną pracę dwu lub więcej
administratorów musi istnieć wbudowany w system mechanizm umożliwiający
jednemu z administratorów uzyskanie wyłączności na wprowadzanie zmian. W
tym czasie pozostali zalogowani użytkownicy nie mogą być w stanie dokonać
żadnych zmian w konfiguracji.
Urządzenie musi umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów
Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej
reguły bezpieczeństwa, innego serwera Syslog.
Administrator urządzenia musi mieć możliwość przeglądania z poziomu urządzenia
informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box",
informacji jak przesłane pliki zachowywały się w środowisku testowym, które z
nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy
użytkownicy te pliki przesyłali.
Urządzenie musi mieć możliwość czytania oryginalnych adresów IP stacji
końcowych z nagłówka X-Forwarded-For i wykrywania na tej podstawie
użytkowników generujących daną sesje w przypadku gdy ruch przechodzi przez
serwer Proxy zanim dojdzie do urządzenia.
Pomoc techniczna oraz szkolenia z produktu muszą być dostępne w Polsce. Usługi
te muszą być świadczone w języku polskim w autoryzowanym ośrodku
edukacyjnym
Wszelkie wymagane licencje czasowe, subskrypcje i wsparcie techniczne
producenta (support) na okres do 2018.11.25 dla całego klastra.
5.2 Parametry i funkcjonalności dodatkowe
L.P.
1.
Nazwa parametru lub określenie funkcjonalności
Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3
modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
(tzn. TAP) w tym samym czasie. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji interfejsów
inspekcyjnych.
Urządzenie musi umożliwiać definiowanie i przydzielanie innych profili ochrony (AV, IPS, AS, URL) dla
aplikacji pracujących na tym samym porcie UDP lub TCP.
Urządzenie musi umożliwiać definiowanie i przydzielanie odmiennych profili kontrolujących transfer
różnych rodzajów plików dla aplikacji pracujących na tym samym porcie UDP lub TCP.
Urządzenie musi umożliwiać integrację w środowisku wirtualnym VMware w taki sposób, aby móc
automatycznie pobierać informacje o uruchomionych maszynach wirtualnych (np. ich nazwy) i
korzystać z tych informacji do budowy polityk bezpieczeństwa. Tak zbudowane polityki powinny
skutecznie klasyfikować i kontrolować ruch bez względu na rzeczywiste adresy IP maszyn wirtualnych i
jakakolwiek zmiana tych adresów nie powinna pociągać za sobą konieczności zmiany konfiguracji
polityk bezpieczeństwa firewalla.
Urządzenie musi posiadać funkcjonalność odczytywania informacji o adresie IP hosta i korzystającym z
tego hosta użytkowniku na podstawie komunikacji Syslog wysyłanej do firewalla.
Urządzenie musi mieć możliwość uruchomienia kilku, odrębnych tablic routingu w pojedynczej,
logicznej instancji systemu.
Urządzenie musi posiadać możliwość integracji z instancją „Sand-Box“ w chmurze lub na lokalnym,
dodatkowym urządzeniu. Musi posiadać konfigurację decydującą jakie pliki będą wysyłane do której
instancji.
Urządzenie musi mieć możliwość przekierowania ruchu (PBR - policy base routing) dla wybranych
aplikacji i konkretnych użytkowników z pominięciem tablicy routingu.
Urządzenie musi posiadać interfejs API który musi być jego integralną częścią i umożliwiać
konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli do zarządzania lub linii poleceń (CLI).
Urządzenie musi mieć możliwość tworzenia dynamicznych obiektów adresowych do których, na
podstawie zdefiniowanych etykiet, można w automatyczny sposób przypisywać adresy IP. Powinna
istnieć możliwość ręcznego tworzenia etykiet bezpośrednio na urządzeniu lub automatycznego
pobierania ich z zewnętrznych systemów np. VMware vCenter lub ESX(i) oraz skojarzonych z tymi
etykietami adresów IP. Powinna istnieć możliwość wykorzystania tak zbudowanych obiektów
adresowych w politykach bezpieczeństwa.
Urządzenie musi mieć możliwość wyboru sposobu blokowania ruchu w politykach bezpieczeństwa.
Powinna istnieć możliwość ustawienia cichego blokowania ruchu bez wysyłania RST, blokowanie z
wysłaniem RST tylko do klienta, blokowanie z wysłaniem RST tylko do serwera, blokowanie z
wysłaniem RST do klienta i serwera jednocześnie.
CZĘŚĆ II
Certyfikowane i autoryzowane przez producenta szkolenia dla 2 administratorów:
Zaawansowane rozwiązywanie problemów firewall'i (PAN-EDU-311) zakończone egzaminem
Palo Alto Networks Certified Network Security Engineer (PCNSE7)
W przypadku gdy szkolenie lub egzamin odbywać się będzie poza m.st. Warszawą,
Wykonawca pokryje następujące koszty związane z noclegiem i zapewnieniem wyżywienia
uczestnikom:
1) hotel w miejscowości, w której odbywa się Szkolenie i Egzamin o kategorii
przynajmniej trzech gwiazdek, pokój dwuosobowy;
2) wyżywienie w postaci śniadań i obiadokolacji.