Załącznik nr 1

Załącznik nr 1 do Zaproszenia
PWSZ-III/AG-2901-21/2016
Opis przedmiotu zamówienia
Switch - wymagania podstawowe
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
Przełącznik posiadający 24 porty 10/100/1000BASE-T, 8 portów 1 Gigabit Ethernet SFP
oraz 4 dedykowane porty 10 Gigabit Ethernet SFP+
Możliwość instalacji dodatkowego modułu 2 portów 10 Gigabit Ethernet SFP+
Możliwość instalacji dodatkowego modułu 2 portów 40GBASE-X QSFP+
Wysokość urządzenia 1U
Nieblokująca architektura o wydajności przełączania min. 296 Gb/s
Szybkość przełączania min. 220 Milionów pakietów na sekundę
Możliwość instalacji modułów stakujących zapewniających przepustowość 80 lub 160
Gb/s.
Możliwość stakowania switchy z wykorzystaniem portów 10 Gigabit Ethernet SFP+
Tablica MAC adresów min. 96k
Pamięć operacyjna: min. 1GB pamięci DRAM
Pamięć flash: min. 4GB pamięci Flash
Obsługa sieci wirtualnych IEEE 802.1Q – min. 4094
Obsługa sieci wirtualnych protokołowych IEEE 802.1v
Wsparcie dla ramek Jumbo Frames (min. 9216 bajtów)
Obsługa Q-in-Q IEEE 802.1ad
Obsługa Quality of Service
a.
IEEE 802.1p
b.
DiffServ
c.
8 kolejek priorytetów na każdym porcie wyjściowym
Obsługa Link Layer Discovery Protocol LLDP IEEE 802.1AB
Obsługa LLDP Media Endpoint Discovery (LLDP-MED)
Przełącznik wyposażony w modularny system operacyjny z ochroną pamięci, procesów
oraz zasobów procesora.
Przełącznik wyposażony w redundantny system zasilania. Zasilacze muszą wspierać
możliwość wymiany w czasie działania przełącznika.
Wbudowany DHCP Serwer i klient
Możliwość instalacji min. dwóch wersji oprogramowania
Możliwość przechowywania min. kilkunastu wersji oprogramowania
Obsługa Routingu IPv4
24.
25.
26.
27.
Sprzętowa obsługa routingu IPv4 – forwarding
Pojemność tabeli routingu min. 12 tys. wpisów
Routing statyczny
Obsługa routingu dynamicznego IPv4
1
a.
b.
c.
d.
RIPv1/v2
OSPFv2 – możliwość rozszerzenia przez licencję oprogramowania
BGPv4 – możliwość rozszerzenia przez licencję oprogramowania
IS-IS – możliwość rozszerzenia przez licencję oprogramowania
Obsługa Routingu IPv6
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
Sprzętowa obsługa routingu IPv6 – forwarding
Pojemność tabeli routingu min. 6 tys. wpisów
Routing statyczny
Obsługa routingu dynamicznego dla IPv6
a.
RIPng
b.
OSPF v3 – możliwość rozszerzenia przez licencję oprogramowania
c.
IS-IS
Telnet Server dla IPv6
SSH2 Server dla IPv6
Ping dla IPv6
Tracert dla IPv6
Obsługa 6to4 (RFC 3056)
Obsługa MLDv1 (Multicast Listener Discovery version 1)
Obsługa MLDv2 (Multicast Listener Discovery version 2)
Obsługa Multicastów
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
Statyczne przyłączenie do grupy multicast
Filtrowanie IGMP
Obsługa PIM-SM - możliwość rozszerzenia przez licencję oprogramowania
Obsługa PIM-DM – możliwość rozszerzenia przez licencję oprogramowania
Obsługa PIM-SSM – możliwość rozszerzenia przez licencję oprogramowania
Obsługa Multicast VLAN Registration - MVR
Obsługa IGMP v1 (RFC 1112)
Obsługa IGMP v2 (RFC 2236)
Obsługa IGMP v3 (RFC 3376)
Obsługa IGMP v1/v2/v3 snooping
Możliwość konfiguracji statycznych tras dla Routingu Multicastów
Bezpieczeństwo
50.
51.
52.
53.
54.
55.
Obsługa Network Login
a.
IEEE 802.1x - RFC 3580
b.
Web-based Network Login
c.
MAC based Network Login
Obsługa wielu klientów Network Login na jednym porcie (Multiple supplicants)
Możliwość integracji funkcjonalności Network Login z Microsoft NAP
Przydział sieci VLAN, ACL/QoS podczas logowania Network Login
Obsługa Guest VLAN dla IEEE 802.1x
Obsługa funkcjonalności Kerberos snooping - przechwytywanie autoryzacji użytkowników
z wykorzystaniem protokołu Kerberos
2
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
Możliwość dynamicznego przypisania VLAN, QOS, rate limiting użytkownikowi
zidentyfikowanemu poprzez 802.1x lub MAC authentication
Obsługa Identity Management
Wbudowana obrona procesora urządzenia przed atakami DoS
Obsługa TACACS+ (RFC 1492)
Obsługa RADIUS Authentication (RFC 2138)
Obsługa RADIUS Accounting (RFC 2139)
RADIUS Per-command Authentication
Bezpieczeństwo MAC adresów
a.
ograniczenie liczby MAC adresów na porcie
b.
zatrzaśnięcie MAC adresu na porcie
Możliwość wyłączenia MAC learning
Obsługa SNMPv1/v2/v3
Klient SSH2
Zabezpieczenie przełącznika przed atakami DoS
a.
Networks Ingress Filtering RFC 2267
b.
SYN Attack Protection
c.
Zabezpieczenie CPU przełącznika poprzez ograniczenie ruchu do systemu
zarządzania
Dwukierunkowe (ingress oraz egress) listy kontroli dostępu ACL pracujące na warstwie 2,
3i4
a.
d. Adres MAC źródłowy i docelowy plus maska
b.
Adres IP źródłowy i docelowy plus maska dla IPv4 oraz IPv6
c.
Protokół – np. UDP, TCP, ICMP, IGMP, OSPF, PIM, IPv6 itd.
d.
Numery portów źródłowych i docelowych TCP, UDP
e.
Zakresy portów źródłowych i docelowych TCP, UDP
f.
Identyfikator sieci VLAN – VLAN ID
g.
Flagi TCP
h.
Obsługa fragmentów
Listy kontroli dostępu ACL realizowane w sprzęcie bez zmniejszenia wydajności
przełącznika
Możliwość zliczania pakietów lub bajtów trafiających do konkretnej ACL i w przypadku
przekroczenia skonfigurowanych wartości podejmowania akcji np. blokowanie ruchu,
przekierowanie do kolejki o niższym priorytecie, wysłanie trapu SNMP, wysłanie
informacji do serwera Syslog lub wykonanie komend CLI. – możliwość rozszerzenia przez
licencję oprogramowania
Obsługa bezpiecznego transferu plików SCP/SFTP
Obsługa DHCP Option 82
Obsługa IP Security - Gratuitous ARP Protection
Obsługa IP Security - Trusted DHCP Server
Obsługa IP Security - DHCP Secured ARP/ARP Validation
Ograniczanie przepustowości (rate limiting) na portach wyjściowych z kwantem 8 kb/s
Bezpieczeństwo sieciowe
77.
78.
Możliwość konfiguracji portu głównego i zapasowego
Obsługa redundancji routingu VRRP (RFC 2338) - możliwość rozszerzenia przez licencję
oprogramowania
3
79.
80.
81.
82.
83.
84.
85.
86.
Obsługa STP (Spinning Tree Protocol) IEEE 802.1D
Obsługa RSTP (Rapid Spanning Tree Protocol) IEEE 802.1w
Obsługa MSTP (Multiple Spanning Tree Protocol) IEEE 802.1s
Obsługa PVST+
Obsługa EAPS (Ethernet Automatic Protection Switching) RFC 3619
Obsługa G.8032 v1/v2
Obsługa Link Aggregation IEEE 802.3ad wraz z LACP – 128 grup po 8 portów
Obsługa MLAG - połączenie link aggregation do dwóch niezależnych przełączników.
Zarządzanie
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
Obsługa synchronizacji czasu SNTP v4 (Simple Network Time Protocol)
Obsługa synchronizacji czasu NTP
Zarządzanie przez SNMP v1/v2/v3
Zarządzanie przez przeglądarkę WWW – protokół http i https
Możliwość zarządzania poprzez protokół XML
Telnet Serwer dla IPv4 / IPv6
SSH2 Serwer dla IPv4 / IPv6
Ping dla IPv4 / IPv6
Traceroute dla IPv4 / IPv6
Obsługa SYSLOG z możliwością definiowania wielu serwerów
Sprzętowa obsługa sFlow
Obsługa RMON min. 4 grupy: Status, History, Alarms, Events (RFC 1757)
Obsługa RMON2 (RFC 2021)
Obsługa IPFix
Inne
101.
102.
103.
104.
105.
106.
107.
Obsługa skryptów TCL/Tk
Zakres temperatury pracy 0-50 °C
Obsługa skryptów CLI
Możliwość edycji skyptów i ACL bezpośrednio na urządzeniu (system operacyjny musi
zawierać edytor plików tekstowych)
Obsługa OpenFlow – możliwość rozszerzenia przez licencje
Obsługa AVB (Audio Video Bridging) - możliwość rozszerzenia przez licencje
Możliwość uruchamiania skryptów
a.
Ręcznie
b.
O określonym czasie lub co wskazany okres czasu – możliwość rozszerzenia przez
licencję oprogramowania
c.
Na podstawie wpisów w logu systemowym – możliwość rozszerzenia przez
licencję oprogramowania
4
UTM – wymagania podstawowe
Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje
bezpieczeństwa. Dopuszcza się, aby poszczególne elementy wchodzące w skład systemu ochrony były
zrealizowane w postaci osobnych zamkniętych platform sprzętowych lub w postaci komercyjnych
aplikacji instalowanych na platformach ogólnego przeznaczenia. W przypadku implementacji
programowej dostawca powinien zapewnić niezbędne platformy sprzętowe wraz z odpowiednio
zabezpieczonym systemem operacyjnym.
Dla elementów systemu bezpieczeństwa obsługujących Zamawiającego, Wykonawca zapewni
wszystkie poniższe funkcje i parametry pracy:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
W przypadku systemu pełniącego funkcje: Firewall, IPSec, Kontrola Aplikacji oraz IPS możliwość łączenia w klaster Active-Active lub Active-Passive.
Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemów
zabezpieczeń oraz łączy sieciowych.
Monitoring stanu realizowanych połączeń VPN.
System realizujący funkcję Firewall powinien dawać możliwość pracy w jednym z dwóch
trybów: Routera z funkcją NAT lub transparentnym.
System realizujący funkcję Firewall powinien dysponować minimum 8 portami Ethernet
10/100/1000 Base-TX , 8 gniazdami SFP 1Gbps oraz 2 gniazdami 10G SFP+
System powinien umożliwiać zdefiniowanie co najmniej 254 interfejsów wirtualnych definiowanych jako VLAN’y w oparciu o standard 802.1Q.
W zakresie Firewall’a obsługa nie mniej niż 5 milionów jednoczesnych połączeń oraz 260
tys. nowych połączeń na sekundę
Przepustowość Firewall’a: nie mniej niż 30 Gbps
Wydajność szyfrowania VPN IPSec: nie mniej niż 18 Gbps
System realizujący funkcję Firewall powinien być wyposażony w lokalny dysk o pojemności
minimum 120 GB, który może być wykorzystany do celów logowania i raportowania. W
przypadku braku lokalnego dysku, system powinien mieć możliwość logowania do aplikacji
(logowania i raportowania) udostępnianej w chmurze, lub w ramach postępowania musi
zostać dostarczony komercyjny system logowania i raportowania w postaci odpowiednio
zabezpieczonej platformy sprzętowej lub programowej.
System realizujący funkcję kontroli przed złośliwym oprogramowaniem musi mieć
możliwość współpracy z platformą lub usługą typu Sandbox w celu eliminowania
nieznanych dotąd zagrożeń.
W ramach dostarczonego systemu ochrony muszą być realizowane wszystkie z poniższych
funkcji. Mogą one być realizowane w postaci osobnych platform sprzętowych lub
programowych:
a.
Kontrola dostępu - zapora ogniowa klasy Stateful Inspection
b.
Ochrona przed wirusami – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP,
FTP, HTTPS
c.
Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN
d.
Ochrona przed atakami - Intrusion Prevention System
e.
Kontrola stron internetowych pod kątem rozpoznawania witryn potencjalnie
niebezpiecznych: zawierających złośliwe oprogramowanie, stron szpiegujących
oraz udostępniających treści typu SPAM.
f.
Kontrola zawartości poczty – antyspam dla protokołów SMTP, POP3, IMAP
5
g.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
Kontrola pasma oraz ruchu [QoS, Traffic shaping] – co najmniej określanie
maksymalnej i gwarantowanej ilości pasma
h.
Kontrola aplikacji – system powinien rozpoznawać aplikacje typu: P2P, botnet
(C&C – ta komunikacja może być rozpoznawana z wykorzystaniem również
innych modułów)
i.
Możliwość analizy ruchu szyfrowanego protokołem SSL
j.
Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP)
Wydajność skanowania ruchu w celu ochrony przed atakami (zarówno client side jak i
server side w ramach modułu IPS) - minimum 6,5 Gbps
Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, AC, AV minimum 2,4 Gbps
W zakresie funkcji IPSec VPN, wymagane jest nie mniej niż:
a.
Tworzenie połączeń w topologii Site-to-site oraz Client-to-site
b.
Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności
c.
Praca w topologii Hub and Spoke oraz Mesh
d.
Możliwość wyboru tunelu przez protokół dynamicznego routingu, np. OSPF
e.
Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth
W ramach funkcji IPSec VPN, SSL VPN – producenci powinien dostarczać klienta VPN
współpracującego z oferowanym rozwiązaniem.
Rozwiązanie powinno zapewniać: obsługę Policy Routingu, routing statyczny, dynamiczny
w oparciu o protokoły: RIPv2, OSPF, BGP oraz PIM.
Możliwość budowy minimum 2 oddzielnych (fizycznych lub logicznych) instancji systemów
bezpieczeństwa w zakresie Routingu, Firewall’a, IPSec VPN’a Antywirus’a, IPS’a.
Translacja adresów NAT adresu źródłowego i docelowego.
Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, protokoły,
usługi sieciowe, użytkowników, reakcje zabezpieczeń, rejestrowanie zdarzeń oraz
zarządzanie pasmem sieci.
Możliwość tworzenia wydzielonych stref bezpieczeństwa Firewall np. DMZ
Silnik antywirusowy powinien umożliwiać skanowanie ruchu w obu kierunkach
komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie
2021) oraz powinien umożliwiać skanowanie archiwów typu zip, RAR.
Ochrona IPS powinna opierać się co najmniej na analizie protokołów i sygnatur. Baza
sygnatur ataków powinna zawierać minimum 5500 wpisów. Ponadto administrator
systemu powinien mieć możliwość definiowania własnych wyjątków lub sygnatur.
Dodatkowo powinna być możliwość wykrywania anomalii protokołów i ruchu
stanowiących podstawową ochronę przed atakami typu DoS oraz DDos.
Funkcja Kontroli Aplikacji powinna umożliwiać kontrolę ruchu na podstawie głębokiej
analizy pakietów, nie bazując jedynie na wartościach portów TCP/UDP
Baza filtra WWW o wielkości co najmniej 40 milionów adresów URL pogrupowanych w
kategorie tematyczne. W ramach filtra www powinny być dostępne takie kategorie stron
jak: spyware, malware, spam, proxy. Administrator powinien mieć możliwość
nadpisywania kategorii lub tworzenia wyjątków i reguł omijania filtra WWW.
Automatyczne aktualizacje sygnatur ataków, aplikacji , szczepionek antywirusowych oraz
ciągły dostęp do globalnej bazy zasilającej filtr URL.
System zabezpieczeń musi umożliwiać weryfikację tożsamości użytkowników za pomocą
nie mniej niż:
a.
Haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie
systemu
6
b.
28.
29.
30.
haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych
z LDAP
c.
haseł dynamicznych (RADIUS, RSA SecurID) w oparciu o zewnętrzne bazy danych
d.
Rozwiązanie powinno umożliwiać budowę architektury uwierzytelniania typu
Single Sign On w środowisku Active Directory
Poszczególne elementy oferowanego systemu bezpieczeństwa powinny posiadać
następujące certyfikaty:
a.
ICSA lub EAL4 dla funkcji Firewall
b.
ICSA lub NSS Labs dla funkcji IPS
c.
ICSA dla funkcji: SSL VPN, IPSec VPN
Elementy systemu powinny mieć możliwość zarządzania lokalnego (HTTPS, SSH) jak i mieć
możliwość współpracy z platformami dedykowanymi do centralnego zarządzania i
monitorowania. Komunikacja systemów zabezpieczeń z platformami centralnego
zarządzania musi być realizowana z wykorzystaniem szyfrowanych protokołów.
Serwisy i licencje
W ramach postępowania powinny zostać dostarczone licencje aktywacyjne dla wszystkich
wymaganych funkcji ochronnych, upoważniające do pobierania aktualizacji baz
zabezpieczeń przez okres […] lat.
31.
Gwarancja oraz wsparcie:
System powinien być objęty serwisem gwarancyjnym producenta przez okres 12 miesięcy,
realizowanym na terenie Rzeczpospolitej Polskiej, polegającym na naprawie lub wymianie urządzenia
w przypadku jego wadliwości. W przypadku gdy producent nie posiada na terenie Rzeczpospolitej
Polskiej własnego centrum serwisowego, oferent winien przedłożyć dokument producenta, który
wskazuje podmiot uprawniony do realizowania serwisu gwarancyjnego na terenie Rzeczpospolitej
Polskiej.
System powinien być objęty rozszerzonym serwisem gwarantującym udostępnienie oraz dostarczenie
sprzętu zastępczego na czas naprawy sprzętu w Następnym Dniu Roboczym /w ciągu 8 godzin/,
realizowanym przez producenta rozwiązania lub autoryzowanego przedstawiciela producenta, w
zakresie serwisu gwarancyjnego, mającego swoją siedzibę na terenie Polski.
Dla zapewnienia wysokiego poziomu usług podmiot serwisujący powinien posiadać certyfikat ISO
9001 w zakresie świadczenia usług serwisowych. Zgłoszenia serwisowe będą przyjmowane w trybie
8x5 przez dedykowany serwisowy moduł internetowy oraz infolinię 8x5
Oferent winien przedłożyć dokumenty:
- oświadczenie producenta wskazujące podmiot uprawniony do realizowania serwisu gwarancyjnego
na terenie Rzeczpospolitej Polskiej
- oświadczanie Producenta lub Autoryzowanego Partnera Serwisowego o gotowości świadczenia na
rzecz Zamawiającego wymaganego serwisu (zawierające numer modułu internetowego i infolinii
telefonicznej)
- certyfikat ISO 9001 podmiotu serwisującego
7
Oferent winien przedłożyć oświadczenie producenta lub autoryzowanego dystrybutora producenta
na terenie Polski, iż oferent posiada autoryzację producenta w zakresie sprzedaży oferowanych
rozwiązań oraz świadczenia usług z nimi związanych.
Warunki dodatkowe
1.
Wykonawca przeprowadzi wdrożenie oferowanych urządzeń w siedzibie Zamawiającego.
Wdrożenie musi być wykonane przez inżyniera posiadającego certyfikaty techniczne wystawione
przez producentów obu oferowanych rozwiązań (muszą być dołączone do oferty).
2.
Wykonawca jest zobowiązany do świadczenia pierwszej linii wsparcia technicznego w
zakresie oferowanych urządzeń. W tym celu wymagane jest:
- posiadanie co najmniej dwóch inżynierów z certyfikatem technicznym wystawionym przez
producenta oferowanego urządzenia UTM (muszą być dołączone do oferty)
- posiadanie co najmniej dwóch inżynierów z certyfikatem technicznym wystawionym przez
producenta oferowanego przełącznika (muszą być dołączone do oferty)
3.
Wykonawca przeprowadzi szkolenie dla 3 osób w zakresie oferowanych urządzeń w formie
dwudniowych warsztatów (8 godzin na urządzenie UTM, 8 godzin na przełącznik sieciowy)
Dostawy:
Warunkiem udziału w postępowaniu jest wykonanie w okresie ostatnich trzech lat przed upływem
terminu składania ofert w tym okresie co najmniej 2 (dwóch) zamówień polegających na dostawie z
wdrożeniem urządzeń sieciowych o wartości nie mniejszej niż 50 000 złotych brutto, przy czym co
najmniej jedno z nich polegające na dostawie zarówno urządzeń typu UTM jak i przełączników
sieciowych wraz z wdrożeniem i szkoleniem. Ocena spełnienia tego warunku nastąpi na podstawie
wykazu wykonanych (a w przypadku świadczeń okresowych lub ciągłych również wykonywanych)
zamówień, z dokumentami potwierdzającymi, że zamówienia te zostały wykonane lub są
wykonywane należycie.
8