Parametry techniczne - załącznik nr 3A i 3B

Załącznik nr 3A do SIWZ
DZP-0431-1620/2008
SPECYFIKACJA TECHNICZNA
Właściwości systemu zabezpieczeń sieciowych UTM (Unified Threat
Management)
LP.
1.
2.
3.
4.
5.
6.
7.
Parametry wymagane
System zabezpieczeń musi realizować zadania firewall,
wykonując kontrolę na poziomie sieci oraz aplikacji
Urządzenie musi realizować zarządzanie pasmem sieci
(QoS)
oraz
musi
zestawiać
zabezpieczone
kryptograficznie tunele VPN w oparciu o standardy
IPSec i IKE w konfiguracji site-to-site oraz client-to-site.
Urządzenie zabezpieczeń musi posiadać moŜliwość
uruchomienia modułu wykrywania i blokowania
ataków intruzów w warstwie 7 modelu OSI (IPS).
Aktualizacja bazy sygnatur ataków (IPS) powinna
odbywać się na Ŝądanie, bądź automatycznie
zgodnie
z
ustalonym
w
konfiguracji
harmonogramem.
Urządzenie zabezpieczeń musi posiadać moŜliwość
uruchomienia modułu kontroli antywirusowej
kontrolującego pocztę elektronicznej (SMTP, POP3,
IMAP), FTP oraz HTTP. Włączenie kontroli
antywirusowej nie wymaga dodatkowego serwera.
Urządzenie zabezpieczeń musi posiadać moŜliwość
uruchomienia modułu kontroli antyspamowej
działającego w oparciu o mechanizm blacklist.
Włączenie kontroli antyspamowej nie wymaga
dodatkowego serwera.
Urządzenie zabezpieczeń musi posiadać moŜliwość
uruchomienia modułu filtrowania stron WWW w
zaleŜności od kategorii treści stron. Włączenie
filtrowania stron WWW nie wymaga dodatkowego
serwera.
System zabezpieczeń musi być dostarczany jako
dedykowane urządzenie sieciowe nie posiadające
wraŜliwych na awarie elementów sprzętowych (np.
twardego dysku). Całość sprzętu i oprogramowania
musi być dostarczana i supportowana przez jednego
producenta.
System zabezpieczeń nie moŜe posiadać ograniczeń
na liczbę chronionych komputerów w sieci wewnętrznej.
Parametry oferowane (pełny opis
parametrów)
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
System zabezpieczeń firewall zgodnie z ustaloną
polityką musi prowadzić kontrolę ruchu sieciowego
pomiędzy obszarami sieci (strefami bezpieczeństwa). Polityki definiowane są pomiędzy
dowolnymi strefami bezpieczeństwa. Urządzenie musi
obsługiwać nie mniej niŜ 60 stref bezpieczeństwa.
Urządzenie zabezpieczeń musi być sterowane przez
opracowany
przez
producenta
zabezpieczeń
dedykowany system operacyjny (tzn. nie moŜe to być
zmodyfikowany
system
operacyjny
ogólnego
przeznaczenia jak Linux, czy FreeBSD).
Urządzenie
zabezpieczeń
musi
posiadać
przepływność nie mniej niŜ 1 Gb/s dla firewall (dla
ruchu IMIX), nie mniejszą niŜ 500 Mb/s dla VPN
(3DES) i obsługiwać nie mniej niŜ 265 000
jednoczesnych połączeń.
Urządzenie zabezpieczeń musi być wyposaŜone w
co najmniej cztery porty Gigabit Ethernet 10/100/100
oraz posiadać co najmniej 6 slotów na dodatkowe
moduły interfejsów. W urządzeniu musi istnieć
moŜliwość uruchomienia następujących interfejsów
sieciowych: E1, Serial, ISDN BRI, ADSL, jak równieŜ
nie mniej niŜ 20 dodatkowych portów Gigabit
Ethernet miedzianych lub optycznych.
Urządzenie musi posiadać minimum 1 GB pamięci
operacyjnej (DRAM).
System zabezpieczeń musi działać w trybie rutera (tzn.
w warstwie 3 modelu OSI) oraz w trybie transparentnym
(tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie
transparentnym
urządzenie
nie
posiada
skonfigurowanych adresów IP na interfejsach
sieciowych. Tryb pracy zabezpieczeń musi być ustalany
w konfiguracji.
Sieci VPN tworzone przez system zabezpieczeń muszą
działać poprawnie w środowiskach sieciowych, gdzie na
drodze VPN wykonywana jest translacja adresów NAT.
System
zabezpieczeń
musi
posiadać
zaimplementowany mechanizm IPSec NAT Traversal
dla konfiguracji VPN client-to-site oraz site-to-site.
System zabezpieczeń musi posiadać
zaimplementowane mechanizmy monitorowania stanu
tuneli VPN i stałego utrzymywania ich aktywności (tzn.
po wykryciu nieaktywności tunelu automatycznie
następuje negocjacja IKE).
Konfiguracja VPN musi odbywać się w oparciu o reguły
polityki bezpieczeństwa (Policy-based VPN) oraz
ustawienia rutingu (Routing-based VPN).
Urządzenie musi obsługiwać protokoły dostępowe
warstwy 2 OSI: co najmniej: Frame Relay, Ethernet
18.
19.
20.
21.
22.
23.
(z obsługą co najmniej 150 sieci VLAN poprzez
tagowanie zgodne z IEEE 802.1q) oraz Point-toPoint Protocol/High Level Data Link Control (PPP/
HDLC). Urządzenie musi obsługiwać nie mniej niŜ 8
wirtualnych ruterów posiadających odrębne tabele
rutingu, umoŜliwiające podłączenie do urządzenia
sieci o tej samej adresacji IP. Urządzenie musi
obsługiwać protokoły rutingu RIP, OSPF i BGP.
Polityka bezpieczeństwa systemu zabezpieczeń musi
uwzględniać strefy bezpieczeństwa, adresy IP klientów i
serwerów, protokoły i usługi sieciowe, uŜytkowników
aplikacji, reakcje zabezpieczeń, rejestrowanie zdarzeń i
alarmowanie oraz zarządzanie pasma sieci (m.in.
pasma gwarantowane i maksymalne, priorytety,
oznaczenia DiffServ).
System zabezpieczeń musi posiadać mechanizmy
wykrywania i blokowania technik i ataków stosowanych
przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP
Flood, UDP Flood, Port Scan), blokowania URL i
niebezpiecznych komponentów (m.in. Java/ActiveX/
zip/exe), ochrony sieci VPN przed atakami powtórzeniowymi (Replay Attack) oraz limitowania maksymalnej
liczby otwartych sesji z jednego adresu IP.
Zarządzanie funkcjami zabezpieczeń w pełnym
zakresie musi odbywać się z linii poleceń (CLI),
graficznej konsoli GUI, oraz scentralizowanego systemu
zarządzania. Dostęp do urządzenia i zarządzanie z
sieci muszą być zabezpieczone kryptograficznie
(poprzez szyfrowanie komunikacji). System
zabezpieczeń musi pozwalać na zdefiniowanie wielu
administratorów o róŜnych uprawnieniach.
Administratorzy mogą być uwierzytelniani za pomocą
haseł statycznych oraz haseł dynamicznych (RADIUS,
RSA SecurID).
System zabezpieczeń musi posiadać mechanizmy
uwierzytelniania toŜsamości uŜytkowników za pomocą
haseł statycznych i dynamicznych. UŜytkownicy
definiowani są w bazie lokalnej (tzn. bazie
utrzymywanej na urządzeniu) oraz na zewnętrznych
serwerach LDAP, RADIUS lub SecurID (ACE/Server).
System zabezpieczeń musi współpracować z
wiodącymi urzędami certyfikacji (m.in. Verisign, Entrust,
Microsoft) i musi wspierać standardy PKI (PKCS 7,
PKCS 10) oraz protokoły SCEP i OCSP.
System zabezpieczeń musi wykonywać statyczną i
dynamiczną translację adresów NAT. Mechanizmy NAT
umoŜliwiają
m.in.
dostęp
wielu
komputerów
posiadających adresy prywatne do Internetu z
wykorzystaniem jednego publicznego adresu IP oraz
udostępnianie usług serwerów o adresacji prywatnej w
sieci Internet. Udostępnianie w Internecie usług wielu
serwerów musi odbywać się z uŜyciem tylko jednego
publicznego adresu IP.
24.
25.
26.
27.
28.
System zabezpieczeń musi posiadać moŜliwość pracy
w konfiguracji odpornej na awarie. Moduł ochrony przed
awariami musi monitorować i wykrywać uszkodzenia
elementów sprzętowych i programowych systemu
zabezpieczeń oraz łączy sieciowych. Urządzenia
zabezpieczeń w klastrze muszą funkcjonować w trybie
Active-Active.
Pomoc techniczna oraz szkolenia z produktu muszą
być dostępne w Polsce. Usługi te muszą być
świadczone w języku polskim.
Urządzenie powinno być wyposaŜone w dodatkowe 3
interfejsy światłowodowe jednodomowe, umoŜliwiające
zainstalowanie wkładek GBIC typu SFP.
Urządzenie powinno zawierać dodatkowo 3 moduły
GBIC jednodomowe typu SFP LC o zasięgu transmisji
do 10 km
Nazwa/ typ/ model
Załącznik nr 3B do SIWZ
DZP-0431-1620/2007
WYMAGANE PRZEZ ZAMAWIAJĄCEGO PRACE INSTALACYJNE
Lp.
Zakres wymaganych prac instalacyjnych
1.
Rekonfiguracja szkieletowej sieci światłowodowej
pomiędzy budynkami Uniwersytetu Rolniczego przy ul.
Balickiej 116.
2.
Konfiguracja routingu na dostarczonym urządzeniu
ochrony danych w warstwie 3 modelu OSI dla
wybranych V-Lanów ul. Balickiej 116.
3.
Konfiguracja routingu na urządzeniach typu firewall
firmy Watchguard Firebox X1000 dla wybranych
Vlanów do pracy z dostarczonym urządzeniem
4.
Rekonfiguracja firewalli firmy Watchguard instytutowych
i wydziałowych do pracy z dostarczonym urządzeniem
5.
Konfiguracja routingu związanego z dostępem do sieci
Internet za pośrednictwem ACK Cyfronet.