Formularz Oferty Technicznej nr 2 (Urządzenia firewall) Część II
Transkrypt
Formularz Oferty Technicznej nr 2 (Urządzenia firewall) Część II
Sygnatura postępowania: BZP/86/DI/2015 Załącznik nr 8a do SIWZ (Załącznik nr 2 do OPZ) ….......................................................... Nazwa (firma) wykonawcy albo wykonawców ubiegających się wspólnie o udzielenie zamówienia Formularz Oferty Technicznej nr 2 (Urządzenia firewall) Część II zamówienia 1. Wymagania techniczne Nazwa/typ/model/ oferowanego urządzenia wraz z kartami rozszerzeń: ..................................................................................................................................................... ..................................................................................................................................................... 1.1. Parametry i funkcjonalności wymagane dla urządzeń firewall Lp. 1. 2. 3. 4. 5. 6. Nazwa parametru Urządzenie musi realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji. Urządzenie musi zapewniać obsługę dla IPv6. Urządzenie musi zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6. Urządzenie nie może posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej. Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Urządzenie musi zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. System Typ wymagania* Potwierdzenie spełniania wymagania** Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK 1 Sygnatura postępowania: BZP/86/DI/2015 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i any-spyware), filtracja plików, danych i URL. Urządzenie musi zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków. Urządzenie musi zapewnić możliwość skanowania całości ruchu pod kątem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu. Urządzenie musi identyfikować co najmniej 1000 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent, eMule. Urządzenie musi zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta. Urządzenie musi zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL. Urządzenie musi posiadać możliwość rozbudowy o funkcjonalność podmieniania adresów domen uznanych za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania DNS w celu wykrycia hostów z sieci wewnętrznej które próbują nawiązać komunikacje ze złośliwymi domenami. Urządzenie musi umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN. Urządzenie musi posiadać możliwość uruchomienia modułu wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. Urządzenie musi posiadać możliwość uruchomienia modułu inspekcji antywirusowej, kontrolującego przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Baza AV musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W ramach zamówienia Zamawiający wymaga subskrypcji tej usługi na okres 36 miesięcy. Urządzenie musi posiadać możliwość uruchomienia w przyszłości modułu filtrowania stron WWW w zależności Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK 2 Sygnatura postępowania: BZP/86/DI/2015 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek komponentów, poza subskrypcją. Baza kategorii stron musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. Urządzenie musi transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie. Urządzenie musi wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet. Urządzenie musi działać w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) oraz trybie pasywnego nasłuchu (tzn. TAP). Funkcjonując w trybie transparentnym urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych. W architekturze rozwiązania musi występować moduł zarządzania i moduł przetwarzania danych. Urządzenie musi posiadać możliwość pracy w konfiguracji odpornej na awarie w trybie Active-Passive i Active-Active. Urządzenie musi umożliwiać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenia muszą umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego. Urządzenie musi być fabrycznie nowe, aktualnie obecne w linii produktowej producenta. Urządzenie musi pochodzić z autoryzowanego kanału sprzedażowego producenta na terenie Unii Europejskiej. Urządzenie musi być monitorowane przez posiadany przez Zamawiającego system Tufin Secure Track oraz Tufin Secure Change. Wykonawca dostarczy wymagane licencje do systemu Tufin. Interfejs administracyjny urządzenia musi być w języku Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK 3 Sygnatura postępowania: BZP/86/DI/2015 27. 28. 29. 30. 31. 32. 33. 34. 35. polskim lub angielskim. Urządzenie musi być dostarczone jako dedykowane urządzenie zabezpieczeń sieciowych (appliance). Urządzenie musi być urządzeniem o uznanej na rynku pozycji i muszą znajdować się w kwadracie „Leaders” lub „Chellengers” raportu Gartnera pt. „Magic Quadrant of Network Enterprise Firewalls - Kwiecień 2014” lub „Magic Quadrant of Network Enterprise Firewalls – Kwiecień 2015”. Urządzenie nie może znajdować się na liście „end-ofsale” oraz „end-of-support” producenta. Urządzenie musi być w obudowie typu rack W lokalizacji Warszawa - DC1 – zostanie zainstalowane minimum jedno urządzenie W lokalizacji Warszawa - DC2 - zostanie zainstalowane minimum jedno urządzenie Urządzenie musi mieć budowę modularną umożliwiającą instalację minimum 1 karty zarządzającej oraz minimum 6 kart z interfejsami liniowymi Przepustowość matrycy przełączającej (backplane) urządzenia musi wynosić minimum 1 Tbps. Urządzenie musi być dostarczone w konfiguracji z minimum 12 portami 1000 BaseT, 8 portami Gigabit SFP, 4 portami 10 Gigabit SFP+ oraz 2 portami 40Gb. Wymagane jest dostarczenie następujących typów wkładek do każdego z urządzeń: Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK Bezwzględne TAK a) SFP+10Gb-LR – 2 szt. b) SFP+10Gb-SR – 4 szt. 36. 37. 38. System zabezpieczeń firewall musi mieć możliwość zwiększenia liczby interfejsów poprzez dodanie dodatkowych modułów bądź kart rozszerzeń o dodatkowo (w stosunku do konfiguracji minimalnej opisanej w punkcie poprzednim): minimum 4 interfejsy optyczne 1Gb (SFP) oraz minimum 20 interfejsów optycznych 10Gb (SFP+). Dopuszcza się użycie kabli rozszywających 40Gb QSFP na 10Gb SFP+. Każde urządzenie musi zapewniać wydajność przynajmniej 8 Gbps dla ruchu IPSec VPN. Każde urządzenie musi posiadać przepustowość w ruchu nie mniej niż 20 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż 110 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 10 Gbps. 4 Sygnatura postępowania: BZP/86/DI/2015 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. Każde urządzenie musi posiadać możliwość rozbudowy przepustowości w ruchu do nie mniej niż 100 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji Bezwzględne oraz akceptować nie mniej niż 600 000 nowych połączeń na sekundę i obsługiwać min. 20 000 000 jednoczesnych sesji. Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach Bezwzględne sieciowych pracujących w trybie L2 i L3. Urządzenie musi obsługiwać protokoły routingu dynamicznego, nie mniej niż BGP i OSPF. Rozwiązanie musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system Bezwzględne zarządzania. Zarządzanie systemu zabezpieczeń musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). Bezwzględne System zabezpieczeń musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Dopuszcza się, aby polityki mogły być tworzone tylko z graficznej konsoli GUI. Urządzenie firewall musi posiadać koncept konfiguracji kandydackiej którą można dowolnie edytować na urządzeniu bez automatycznego zatwierdzania Bezwzględne wprowadzonych zmian w konfiguracji urządzenia do momentu gdy zmiany zostaną zaakceptowane i sprawdzone przez administratora systemu. Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i ewentualne licencje/subskrypcje na Bezwzględne aktualizajcę bazy aplikacji muszą być ważne przynajmniej przez okres trzech lat. Urządzenie musi być wyposażone w dedykowany port Bezwzględne zarządzania out-of-band. Urządzenie musi umożliwiać stworzenie i konfigurację min. 25 wirtualnych firewalli. Musi istnieć możliwość Bezwzględne rozbudowy urządzenia dla osiągnięcia możliwości definicji min. 200 wirtualnych firewalli. W przypadku gdy urządzenie pozwala na jednoczesną pracę dwu lub więcej administratorów musi istnieć wbudowany w system mechanizm umożliwiający jednemu z administratorów uzyskanie wyłączności na Bezwzględne wprowadzanie zmian. W tym czasie pozostali zalogowani użytkownicy nie mogą być w stanie dokonać żadnych zmian w konfiguracji. Urządzenie musi umożliwiać przesyłanie logów do kilku Bezwzględne TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK 5 Sygnatura postępowania: BZP/86/DI/2015 49. 50. 51. 52. 53. 54. zdefiniowanych serwerów Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej reguły bezpieczeństwa, innego serwera Syslog. Administrator urządzenia musi mieć możliwość przeglądania z poziomu urządzenia informacji o plikach które zostały wysłane do analizy w systemie "Sand-Box", informacji jak przesłane pliki zachowywały się w Bezwzględne środowisku testowym, które z nich i z jakiego powodu zostały uznane za złośliwe, jak również sprawdzić którzy użytkownicy te pliki przesyłali. Urządzenie musi mieć możliwość czytania oryginalnych adresów IP stacji końcowych z nagłówka X-ForwardedFor i wykrywania na tej podstawie użytkowników Bezwzględne generujących daną sesje w przypadku gdy ruch przechodzi przez serwer Proxy zanim dojdzie do urządzenia. Pomoc techniczna oraz szkolenia z produktu muszą Bezwzględne być dostępne w Polsce. Usługi te muszą być świadczone w języku polskim w autoryzowanym ośrodku edukacyjnym Wraz z system zabezpieczeń firewall musi zostać Bezwzględne dostarczona fizyczna platforma w postaci urządzenia sieciowego (lub urządzeń sieciowych) pozwalająca na centralne zarządzanie, logowanie i raportowanie zdarzeń z 25 urządzeń fizycznych i logicznych instancji systemów bezpieczeństwa o pojemności dysku nie mniejszej niż 1 TB w RAID 1 (2 x 1 TB). Musi istnieć możliwość rozbudowy systemu zarządzania do obsługi minimum 150 urządzeń fizycznych bez konieczności wymiany platformy sprzętowej. Konsola zarządzająca, logująca i raportująca musi mieć Bezwzględne możliwość korelowania zbieranych zdarzeń i informacji oraz budowania na ich podstawie wielu, dostosowanych do potrzeb Zamawiającego raportów. Zbierane dane powinny zawierać informacje co najmniej o: ruchu sieciowym, użytkownikach, aplikacjach, zagrożeniach i filtrowaniu stron WWW. Musi istnieć możliwość zapisania stworzonych raportów i uruchamianie ich w sposób ręczny lub automatyczny w określonych przedziałach czasu oraz wysyłania ich w postaci wiadomości e-mail do wybranych osób. Konsola zarządzająca, logująca i raportująca musi móc Bezwzględne pracować w trybie kolektora logów zbierającego jedynie dane z systemów bezpieczeństwa lub w trybie pełnej analizy w celu optymalizacji procesu zbierania logów. Powinna istnieć możliwość rozbudowy systemu zarządzającego, logującego i raportującego o kolejne TAK TAK TAK TAK TAK TAK 6 Sygnatura postępowania: BZP/86/DI/2015 55. urządzenia tak aby umożliwić zwiększenie pojemności lub/i wydajności całego systemu w przyszłości. Nie dopuszcza się systemu w którym występuje konieczność rozdzielenia funkcji raportowania i logowania oraz funkcji zarządzania na dwa rózne systemy fizyczne lub logiczne. Konsola zarządzająca, logująca i raportująca musi umożliwiać centralne budowanie i dystrybucję polityk bezpieczeństwa, aktualizację oprogramowania i sygnatur oraz funkcje audytu i backupu konfiguracji. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa. Bezwzględne TAK 7 Sygnatura postępowania: BZP/86/DI/2015 1.2. Parametry i funkcjonalności dodatkowe Lp 1. 2. 3. 4. 5. 6. 7. 8. Nazwa parametru Pojedyncza, logiczna instancja systemu musi pozwalać na pracę w trybie routera (tzn. w warstwie 3 modelu OSI), w trybie transparentnym (tzn. w warstwie 2 modelu OSI) lub trybie pasywnego nasłuchu (tzn. TAP) w tym samym czasie. Tryb pracy zabezpieczeń musi być ustalany w konfiguracji interfejsów inspekcyjnych. Urządzenie musi umożliwiać definiowanie i przydzielanie innych profili ochrony (AV, IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP. Urządzenie musi umożliwiać definiowanie i przydzielanie odmiennych profili kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym samym porcie UDP lub TCP. Urządzenie musi posiadać funkcjonalność odczytywania informacji o adresie IP hosta i korzystającym z tego hosta użytkowniku na podstawie komunikacji Syslog wysyłanej do firewalla. Urządzenie musi mieć możliwość uruchomienia kilku, odrębnych tablic routingu w pojedynczej, logicznej instancji systemu. Urządzenie musi posiadać funkcjonalność pozwalającą administratorowi urządzenia na konfigurację rodzaju pliku (exe, dll), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”. Musi istnieć możliwość rozbudowy funkcjonalności o analizę plikó pdf, msoffice. Urządzenie musi mieć możliwość przekierowania ruchu (PBR - policy base routing) dla wybranych aplikacji i konkretnych użytkowników z pominięciem tablicy routingu. Urządzenie musi posiadać interfejs API który musi być jego integralną częścią i umożliwiać Potwierdzenie spełniania wymagania** Opcjonalne Liczba punktów za spełnienie wymagania 3 Opcjonalne 2 TAK/NIE Opcjonalne 1 TAK/NIE Opcjonalne 1 TAK/NIE Opcjonalne 1 TAK/NIE Opcjonalne 3 TAK/NIE Opcjonalne 2 TAK/NIE Opcjonalne 3 TAK/NIE Typ wymagania* TAK/NIE 8 Sygnatura postępowania: BZP/86/DI/2015 9. 10. 11. konfigurowanie i sprawdzanie stanu urządzenia bez użycia konsoli do zarządzania lub linii poleceń (CLI). Urządzenie musi mieć możliwość tworzenia dynamicznych obiektów adresowych do których, na podstawie zdefiniowanych etykiet, można w automatyczny sposób przypisywać adresy IP. Powinna istnieć możliwość ręcznego tworzenia etykiet bezpośrednio na urządzeniu lub automatycznego pobierania ich z zewnętrznych systemów np. VMware vCenter lub ESX(i) oraz skojarzonych z tymi etykietami adresów IP. Powinna istnieć możliwość wykorzystania tak zbudowanych obiektów adresowych w politykach bezpieczeństwa. Urządzenie musi mieć możliwość wyboru sposobu blokowania ruchu w politykach bezpieczeństwa. Powinna istnieć możliwość ustawienia cichego blokowania ruchu bez wysyłania RST, blokowanie z wysłaniem RST tylko do klienta, blokowanie z wysłaniem RST tylko do serwera, blokowanie z wysłaniem RST do klienta i serwera jednocześnie. System zarządzania urządzeniami dostarczony w ramach Zamówienia musi zarządzać posiadanymi przez Zamawiającego firewallami Palo Alto PA3050 (2 sztuki) - w zakresie nie mniejszym niż wymagany dla zarządzania nowo dostarczanymi urządzeniami. 12. Wydajność Maksymalna przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji, AntiBot). Minimalna wymagana przepustowość: 15 Gbps. Opcjonalne 1 TAK/NIE Opcjonalne 3 TAK/NIE Opcjonalne 5 TAK/NIE Opcjonalne Za przepustow ość powyżej 15 Gbps lecz nie więcej niż 30 Gbps zostaną przyznane dodatkowe punkty: TAK/NIE Deklarowana przepustowość: .......................... Za każdy 1 Gbps – 1 pkt 9 Sygnatura postępowania: BZP/86/DI/2015 max 15 pkt * – Wymaganie „Bezwzględne” oznacza, że w przypadku niespełniania dowolnego wymagania oznaczonego jako bezwzględne, Oferta będzie odrzucana. Wymaganie „Opcjonalne” oznacza, że oferent może ale nie musi zaoferować wyższe parametry. Wyższe parametry będą dodatkowo punktowane na etapie oceny Oferty. ** – Potwierdzić spełnianie wymagania, poprzez pozostawienia „Tak” dla wymagań „Bezwzględnych” lub skreślić niepotrzebne dla wymagań „Opcjonalnych”. UWAGA: Zamawiający w kryteriach oceny ofert punktować będzie udzielone przez oferenta odpowiedzi w zakresie tabeli 1.2 „Parametry i funkcjonalności dodatkowe“:. Szczegółowe zasady przyznawania punktacji zostały określone w cz. XVII SIWZ. UWAGA: Zamawiający w celu dokonania weryfikacji spełniania przez oferowane urządzenia wymaganych parametrów, wezwie każdego z oferentów do dostarczenia testowego urządzenia o konfiguracji zgodnej z ofertą oraz wykazania podczas testu, że parametry te są spełniane. Zamawiający wymaga gotowości oferenta do przeprowadzenia testów w terminie nie dłuższym niż 14 dni kalendarzowych liczonym od dnia otwarcia ofert. Zamawiający oddzielnym pismem wyznaczy każdemu z oferentów dokładny termin przeprowadzenia testów. 10