plik pdf - Archiwum - Urząd Marszałkowski Województwa Kujawsko

Transkrypt

Załącznik nr 3 do SIWZ
SPECYFIKACJA TECHNICZNA
systemu ochrony sieci i bezpiecznych tuneli VPN wraz z wdrożeniem w 9 lokalizacjach oraz systemu
sieci bezprzewodowej zintegrowanego z istniejącą infrastrukturą bezpieczeństwa wraz z wdrożeniem
w Urzędzie Marszałkowskim Województwa Kujawsko-Pomorskiego
Składana oferta musi odpowiadać warunkom nie gorszym niż określone poniżej:
Uwaga:
1. Oferowane produkty muszą spełniać wszystkie parametry określone w niniejszym załączniku oraz
być fabrycznie nowe, oznakowane symbolem CE, pochodzić z legalnego źródła, muszą być
dostarczone przez autoryzowany kanał sprzedaży producenta na terenie kraju i objęte standardowym
pakietem usług gwarancyjnych zawartych w cenie urządzenia i oprogramowania świadczonych
przez sieć serwisową producenta na terenie Polski. Zamawiający zastrzega sobie prawo do żądania
potwierdzenia źródła pochodzenia urządzenia w postaci oświadczenia producenta.
2. Wykonawca winien przedstawić nazwę producenta i model oferowanego sprzętu i oprogramowania
w poszczególnych jego rodzajach.
3. Wszystkie opisane parametry wymagane są wymaganiami minimalnymi.
Wdrożenie UTM-ów obejmuje następujące lokalizacje:
LP Miasto
Adres
1.
2.
3.
4.
5.
6.
7.
8.
9.
Toruń
Toruń
Toruń
Toruń
Toruń
Bydgoszcz
Włocławek
Inowrocław
Grudziądz
ul. M. Skłodowskiej-Curie 73
ul. Szosa Chełmińska 32
ul. Św. Jana 1/3
ul. Antczaka 39-41
ul. Słowackiego 114
ul. Jagiellońska 9
ul. Bechiego 2
ul. Roosevelta 36/38
ul. Sienkiewicza 22
Wdrożenie*) punktów dostępowych do sieci bezprzewodowej w Urzędzie Marszałkowskim Województwa
Kujawsko-Pomorskiego, Plac Teatralny 2 w Toruniu w następujących lokalizacjach:
LP
1.
2.
3.
Lokalizacja
Toruń, Plac Teatralny 2
Toruń, M. Skłodowskiej-Curie 73
Włocławek, ul. Bechiego 2
Ilość punktów dostępowych
10
1
1
*)
Wdrożenie w zakresie konfiguracji urządzeń w poszczególnych lokalizacjach. Wdrożenie punktów
dostępowych nie obejmuje montażu urządzeń w budynku.
1. System ochrony sieci (lokalizacja nr 1, 2) – 2 szt.
Nazwa producenta: ……………………………………………………………………………..
Typ produktu, model: …………………………………………………………………………..
Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa
oraz funkcjonalności niezależnie od dostawcy łącza. Wymaga się aby elementy wchodzące w skład systemu
ochrony były zrealizowane w postaci zamkniętej platformy sprzętowej.
Dla elementów systemu bezpieczeństwa obsługujących Urząd Marszałkowski Województwa KujawskoPomorskiego, Wykonawca zapewni wszystkie poniższe funkcjonalności:
1. Możliwość łączenia w klaster Active-Active lub Active-Passive każdego z elementów systemu.
2. Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów
zabezpieczeń oraz łączy sieciowych.
3. Monitoring stanu realizowanych połączeń VPN oraz automatyczne przekierowanie pakietów
zgodnie z trasą definiowaną przez protokół OSPF.
4. System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch trybów:
Routera z funkcją NAT lub transparent.
5. System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet
10/100/1000 Base-TX
6. Możliwość tworzenia min 230 interfejsów wirtualnych definiowanych jako VLANy w oparciu o
standard 802.1Q.
7. W zakresie Firewall’a obsługa nie mniej niż 500 tysięcy jednoczesnych połączeń oraz 15 tys.
nowych połączeń na sekundę
8. Przepustowość Firewall’a: nie mniej niż 5 Gbps
Wydajność szyfrowania AES lub 3DES: nie mniej niż 2 Gbps
9. System realizujący funkcję Firewall powinien być wyposażony w lokalny dysk o pojemności
minimum 60GB do celów logowania i raportowania.
10. W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych
funkcjonalności. Poszczególne funkcjonalności systemu bezpieczeństwa mogą być realizowane w
postaci osobnych platform sprzętowych lub programowych:
• kontrola dostępu - zapora ogniowa klasy Stateful Inspection
• ochrona przed wirusami – antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP,
HTTPS). W celu zapewnienia wysokiej skuteczności mechanizmu antywirusowego wymaga się
aby mechanizm skanowania działał w oparciu o technologię proxy umożliwiającą analizę
dowolnego typu załączników
• poufność danych - połączenia szyfrowane IPSec VPN oraz SSL VPN
• ochrona przed atakami - Intrusion Prevention System [IPS]
• kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie niebezpiecznych:
zawierających złośliwe oprogramowanie, stron szpiegujących oraz udostępniających treści typu
SPAM.
• kontrola zawartości poczty – antyspam [AS] (dla protokołów SMTP, POP3, IMAP)
• kontrola pasma oraz ruchu [QoS, Traffic shaping]
• Kontrola aplikacji oraz rozpoznawanie ruchu P2P
• Możliwość analizy ruchu szyfrowanego protokołem SSL
• Ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji na
lokalnym dysku
11. Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 500 Mbps
12. Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączonymi
funkcjami: Antivirus, WebFilter, min. 90 Mbps
13. W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
• Tworzenie połączeń w topologii Site-to-site oraz Client-to-site
• Producent oferowanego rozwiązania VPN powinien dostarczać klienta VPN współpracującego z
proponowanym rozwiązaniem.
• Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
• Praca w topologii Hub and Spoke oraz Mesh
• Możliwość wyboru tunelu przez protokół dynamicznego routiongu, np. OSPF
• Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
14. Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w
oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM. Protokoły routingu powinny funkcjonować w
ramach terminowanych na urządzeniu połączeniach IPSec VPN.
15. Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów
bezpieczeństwa w zakresie routingu, Firewall’a, Antywirus’a, IPS’a, Web Filter’a.
16. Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
17. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły,
usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz zarządzanie
pasmem sieci (m.in. pasmo gwarantowane i maksymalne, priorytety)
18. Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
19. Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla
protokołów działających na niestandardowych portach (np. FTP na porcie 2031)
20. Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza wykrywanych
ataków powinna zawierać co najmniej 5000 wpisów. Ponadto administrator systemu powinien mieć
możliwość definiowania własnych wyjątków lub sygnatur. Dodatkowo powinna być możliwość
wykrywania anomalii protokołów i ruchu stanowiących podstawową ochronę przed atakami typu
DoS oraz DDos.
21. Zaproponowane rozwiązanie musi posiadać możliwość logowania zdarzeń i archiwizowania
danych do posiadanego przez Zamawiającego systemu centralnego gromadzenia logów firmy
Fortinet - FortiAnalyzer.
22. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy
pakietów, nie bazując jedynie na wartościach portów TCP/UDP
23. Baza filtra WWW pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być
dostępne takie kategorie stron jak: spyware, malware, spam, proxy avoidance. Administrator
powinien mieć możliwość nadpisywania kategorii oraz tworzenia wyjątków i reguł omijania filtra
WWW.
24. Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz ciągły
dostęp do globalnej bazy zasilającej filtr URL.
25. System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za
pomocą nie mniej niż:
• Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie systemu
• haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP
• haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych
• Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu Single Sign On w
środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania na
kontrolerze domeny.
26. Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące
certyfikaty:
• ICSA dla funkcjonalności SSLVPN, IPS, Antywirus
• ICSA lub EAL4 dla funkcjonalności Firewall
27. Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i
współpracować z dedykowanymi do centralnego zarządzania i monitorowania platformami
wchodzącymi w skład systemu. Komunikacja systemów zabezpieczeń z platformami zarządzania
musi być realizowana z wykorzystaniem szyfrowanych protokołów.
28. Zaproponowane rozwiązanie musi posiadać możliwość zarządzania poprzez posiadany przez
Zamawiającego system centralnego zarządzania firmy Fortinet - FortiManager.
29. Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 3lat.
30. Gwarancja oraz wsparcie
1) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres
36 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub
wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na
terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć
dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego
na terenie Rzeczpospolitej Polskiej.
2) Serwis powinien być realizowany przez producenta rozwiązania lub autoryzowanego
przedstawiciela producenta w zakresie serwisu gwarancyjnego (oferent winien przedłożyć dokument
producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie
Polski), mających swoją siedzibę na terenie Polski. Wsparcie techniczne producenta przyjmowane
w trybie 8h dziennie w dni robocze.
3)
W przypadku istnienia takiego wymogu w stosunku do technologii objętej przedmiotem
niniejszego postępowania (tzw. produkty podwójnego zastosowania), Dostawca winien przedłożyć
dokument pochodzący od importera tej technologii stwierdzający, iż przy jej wprowadzeniu na
terytorium Polski, zostały dochowane wymogi właściwych przepisów prawa, w tym ustawy z dnia
29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu
strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i
bezpieczeństwa (Dz.U. z 2004, Nr 229, poz. 2315 z późn zm.) oraz dokument potwierdzający, że
importer posiada certyfikowany przez właściwą jednostkę system zarządzania jakością tzw.
wewnętrzny system kontroli wymagany dla wspólnotowego systemu kontroli wywozu, transferu,
pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania.
4)
Oferent winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora
producenta na terenie Polski, iż oferent posiada autoryzację producenta w zakresie sprzedaży
oferowanych rozwiązań oraz świadczenia usług z nimi związanych.
2. System ochrony sieci (lokalizacja nr 3,4) – 2 szt.
ochrony były zrealizowane w postaci zamkniętej platformy sprzętowej
5. System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet 10/100
Base-TX oraz 2 portami Ethernet 10/100/1000 Base-TX
standard 802.1Q.
7. W zakresie Firewall’a obsługa nie mniej niż 400 tysięcy jednoczesnych połączeń oraz 10 tys.
nowych połączeń na sekundę
8. Przepustowość Firewall’a: nie mniej niż 500 Mbps
Wydajność szyfrowania AES lub 3DES: nie mniej niż 100 Mbps
minimum 60GB do celów logowania i raportowania.
aby mechanizm skanowania działał w oparciu o technologię proxy. umożliwiającą analizę
SPAM.
•
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
Ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji na
lokalnym dysku
Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 200 Mbps
Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączonymi
funkcjami: Antivirus, WebFilter, min. 50 Mbps
W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
• .Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w
Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów
Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły,
Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla
Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza wykrywanych
DoS oraz DDos.
Zaproponowane rozwiązanie musi posiadać możliwość logowania zdarzeń i archiwizowania
Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy
Baza filtra WWW pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być
WWW.
Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz ciągły
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za
środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania a
kontrolerze domeny.
Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące
certyfikaty:
Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i
28. Zaproponowane rozwiązanie musi posiadać możliwość zarządzania poprzez posiadany przez
29. Serwisy i licencje
• Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 3 lat.
30. Gwarancja oraz wsparcie
1) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres
36 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub
wymianie urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na
terenie Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć
dokument producenta, który wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego
na terenie Rzeczpospolitej Polskiej.
2) Serwis. Serwis powinien być realizowany przez producenta rozwiązania lub autoryzowanego
3)
4)
3. System ochrony sieci (lokalizacja nr 5-9) – 5 szt.
ochrony były zrealizowane w postaci zamkniętej platformy sprzętowej
5. System realizujący funkcję Firewall powinien dysponować minimum 7 portami Ethernet
10/100/1000 Base-TX
standard 802.1Q.
7. W zakresie Firewall’a obsługa nie mniej niż 40 tysięcy jednoczesnych połączeń oraz 2 tys. nowych
połączeń na sekundę
8. Przepustowość Firewall’a: nie mniej niż 190 Mbps
Wydajność szyfrowania AES lub 3DES: nie mniej niż 50 Mbps
minimum 4 GB do celów logowania i raportowania.
aby mechanizm skanowania działał w oparciu o technologię proxy. umożliwiającą analizę
SPAM.
• Ochrona przed wyciekiem poufnej informacji (DLP) z funkcją archiwizowania informacji na
lokalnym dysku
11. Wydajność skanowania ruchu w celu ochrony przed atakami (IPS) min 40 Mbps
12. Wydajność całego systemu bezpieczeństwa przy skanowaniu strumienia danych z włączonymi
funkcjami: Antivirus, WebFilter - min. 20 Mbps
13. W zakresie realizowanych funkcjonalności VPN, wymagane jest nie mniej niż:
• .Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
14. Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny i dynamiczny w
15. Możliwość budowy min 2 oddzielnych (fizycznych lub logicznych) instancji systemów
16. Translacja adresów NAT adresu źródłowego i NAT adresu docelowego.
17. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły,
18. Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
19. Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla
20. Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza wykrywanych
DoS oraz DDos.
21. Zaproponowane rozwiązanie musi posiadać możliwość logowania zdarzeń i archiwizowania
22. Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej analizy
23. Baza filtra WWW pogrupowanych w kategorie tematyczne. W ramach filtra www powinny być
24.
25.
26.
27.
28.
29.
30.
WWW.
Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz ciągły
System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za
środowisku Active Directory bez konieczności instalowania jakiegokolwiek oprogramowania a
kontrolerze domeny.
Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać następujące
certyfikaty:
Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i
Zaproponowane rozwiązanie musi posiadać możliwość zarządzania poprzez posiadany przez
Serwisy i licencje
• Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 3 lat.
Gwarancja oraz wsparcie
1) Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta przez okres 36
miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie
urządzenia w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie
Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien przedłożyć dokument
Rzeczpospolitej Polskiej.
2) Serwis. Serwis powinien być realizowany przez producenta rozwiązania lub autoryzowanego
3)
4)
4. Punkty dostępowe – 12 szt.
Tryb pracy
Urządzenie musi być tzw cienkim punktem dostępowym zarządzanym z
Obudowa
Moduł
radiowy
Anteny
Interfejsy
Zasilanie
Gwarancja
Serwis
Oświadczenie
poziomu kontrolera sieci bezprzewodowej. W celu zapewnienia spójności
zarządzania i uzyskania wymaganego poziomu bezpieczeństwa kontroler sieci
wireless ma być uruchomiony w obrębie urządzenia bezpieczeństwa
gwarantującego ochronę dla obsługiwanych sieci wireless i przewodowych.
Oferowane punkty dostępowe muszą integrować się z posiadanym przez
Zamawiającego urządzeniami klasy UTM – Fortinet Fortigate 621B.
Kompaktowa obudowa z tworzywa sztucznego umożliwiającą montaż na
suficie lub ścianie wewnątrz budynku
Musi być wyposażone w dwa niezależne moduły radiowe, jeden z nich ma
pracować w paśmie 5 GHz a/n lub 2,4 GHz b/g/n (do wyboru), drugi
natomiast ma zapewniać obsługę zakresu 2,4 GHz b/g/n.
Musi pozwalać na jednoczesne rozgłaszanie co najmniej 14 SSID
Wymagana moc nadawania min 17dBm
Minimum 2 anteny wbudowane
Dołączone uchwyty do montażu do ściany
Minimum 1 interfejs w standardzie 10/100/1000 Base-TX
Minimum 1 szeregowy port konsoli zarządzania CLI
Możliwość zasilania w standardzie PoE 802.3at, dołączony zasilacz PoE
Gwarancja: System powinien być objęty serwisem gwarancyjnym producenta
przez okres 36 miesięcy, realizowanym na terenie Rzeczpospolitej Polskiej,
polegającym na naprawie lub wymianie urządzenia w przypadku jego
wadliwości. W przypadku gdy producent nie posiada na terenie
Rzeczpospolitej Polskiej własnego centrum serwisowego, oferent winien
przedłożyć dokument producenta, który wskazuje podmiot uprawniony do
realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej Polskiej.
Serwis powinien być realizowany przez producenta rozwiązania lub
autoryzowanego przedstawiciela producenta w zakresie serwisu
gwarancyjnego (oferent winien przedłożyć dokument producenta, który
wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na
terenie Polski), mających swoją siedzibę na terenie Polski. Wsparcie
techniczne producenta przyjmowane w trybie 8h dziennie w dni robocze.
Oferent winien przedłożyć oświadczenie producenta lub autoryzowanego
dystrybutora producenta na terenie Polski, iż oferent posiada autoryzację
producenta w zakresie sprzedaży oferowanych rozwiązań oraz świadczenia
usług z nimi związanych
5. Wdrożenie – 1 szt.
W związku ze specyfiką wdrożenia Zamawiający wymaga, aby wykonawca posiadał aktualny certyfikat ISO
27001 bądź równoważny (załączyć do oferty).
W zakres zamówienia wchodzi oprócz dostawy wyspecyfikowanych urządzeń, także ich wdrożenie na
miejscu u zamawiającego oraz we wskazanych lokalizacjach przez certyfikowanego inżyniera (certyfikat
poświadczający zdanie egzaminów i znajomość konfiguracji dostarczanego systemu bezpieczeństwa na
poziomie min. II producenta oferowanego rozwiązania):
Wdrożenie systemu do zabezpieczenia sieci w podległych lokalizacjach i punktów dostępowych w siedzibie
Urzędu Marszałkowskiego Województwa Kujawsko-Pomorskiego:
1. Wstępna konfiguracja zamówionego sprzętu UTM
2. Integracja z istniejącym systemem zarządzania FortiManager
3. Konfiguracja IPSec VPN
4. Konfiguracja polityk firewall
5. Konfiguracja profili UTM
6. Konfiguracja dynamicznego routingu (OSPF)
7. Instalacja UTM w miejscach docelowych
8. Testy urządzeń UTM
9. Konfiguracja punktów dostępowych
10. Stworzenie profili dla sieci bezprzewodowych
11. Konfiguracja istniejących urządzeń Zamawiającego (2x FortiGate 621B) do współpracy z punktami
dostępowymi
12. Konfiguracja polityk firewall dla sieci bezprzewodowych
13. Konfiguracja profili UTM dla sieci bezprzewodowych
14. Testy sieci bezprzewodowej
15. Włączenie punktów dostępowych do środowiska produkcyjnego
16. Monitoring
17. Szkolenie administrator(ów)
18. Przeprowadzenie szkolenia instruktażowego z zakresu konfiguracji i zarządzania urządzeniami
wskazanymi w niniejszym załączniku, po wykonaniu wdrożenia urządzeń u Zamawiającego.
Szkolenie autoryzowane dla 3 osób (każda osoba odbywająca szkolenie w innym terminie) z zakresu
konfiguracji i zarządzania dla dostarczonego sprzętu opisanego w powyższym załączniku, prowadzone przez
trenera certyfikowanego przez producenta sprzętu oraz przeprowadzone w autoryzowanym przez producenta
centrum szkoleniowym w Toruniu lub Warszawie. W przypadku wyboru lokalizacji Warszawa, Wykonawca
zobowiązany jest pokryć koszty dojazdu, zakwaterowania i wyżywienia uczestników szkolenia. Po
zakończeniu szkolenia uczestnicy otrzymają certyfikat ukończenia sygnowany przez producenta
oferowanego rozwiązania szczegółowo opisanego w niniejszym załączniku. Oferowane szkolenia umożliwią
uczestnikom przystąpienie do egzaminu na uzyskanie statusu inżyniera. W zakres szkolenia należy
uwzględnić vouchery uprawniające do zdawania tego egzaminu dla powyższych osób ważne przez minimum
rok.
Szkolenie powinno obejmować poniższą tematykę:
A. Wirtualne Sieci Prywatne (VPN) oraz Wirtualne domeny (VDOM)
o tworzenie VLAN-ów na urządzeniu UTM
o konfiguracja VDOM'ów i testowanie połączeń typu Inter-VDOM
B. Diagnostyka
o polecenia monitorujące stan pracy urządzenia
o obsługa sniffera
o komendy służące do debugowania
o pomoc techniczna
C. Transparentny tryb pracy urządzenia
o Tryby pracy urządzenia UTM
o Budowa ramek ethernetowych i objaśnienie tagów VLAN
o VLAN-y w trybie transparentnym
o Domeny broadcastowe
o Zasada działania Spanning Tree Protocol i agregacji linków
D. Obsługa zapory ogniowej
Podstawowa konfiguracja zapory ogniowej
Load Balancing
Virtual IP
Konfiguracja logowania
Konfiguracja Routingu
o Różnice pomiędzy trybem NAT a Route
o Routing Statyczny
o Policy Routing
o Routing Dynamiczny (RIP, OSPF, BGP)
o Multicast Routing
Optymalizowanie ruchu
o Wykorzystanie cache'owania
o Konfiguracja proxy na interfejsie WAN
o Wdrożenie QoS
Zarządzanie zagrożeniami
o Techniki skanowania
o Konfiguracja modułu antywirusowego
o Konfiguracja modułu IPS
o Konfiguracja modułu antyspamowego
o Ochrona przed wyciekiem danych (DLP)
o Kontrola aplikacji
o Archwizowanie ruchu
o Inspekcja ruchu SSL
o Filtrowanie stron WWW
Zaawansowane Uwierzytelnianie Użytkowników
o Grupy użytkowników
o Uwierzytelnianie po certyfikatach i usługach katalogowania
Wirtualne Sieci Prywatne VPN
o Architektura i konfiguracja SSL VPN
o Architektura, topologie i konfiguracja IPSec VPN
o Tryby pracy: interface i tunnel
o Konfiguracja tuneli VPN
o Monitorowanie i debuggowanie połączeń VPN
High Availability i Virtual Clusters
o tryby pracy klastra
o konfiguracja HA Master
o konfiguracja HA Slave
o konfiguracja wirtualnych klastrów
o
o
o
o
E.
F.
G.
H.
I.
J.

plik pdf - Archiwum - Urząd Marszałkowski Województwa Kujawsko

Transkrypt

Podobne dokumenty

Załącznik nr 1c do SIWZ

Konfiguracja połączenia VPN i test komunikacji ze

Zał_nr_1_do_zapytania_ofertowego_OPZ

1. Dostarczony system bezpieczeństwa musi zapewniać co

Wykonanie inwestycji podłączenia do sieci teleinformatycznej