Załącznik nr 5

Transkrypt

Załącznik nr 5

Załącznik Nr 5 do SIWZ
Cześć II Zamówienia
SPECYFIKACJA TECHNICZNA ZAMAWIANYCH URZĄDZEŃ
1. Szczegółowy Opis przedmiotu zamówienia:
Fabrycznie nowe z autoryzowanego kanału dystrybucji na terenie Polski
Zamawiający wymaga, by dostarczone urządzenia były nowe , wyprodukowane nie
wcześniej niż 1 stycznia 2015 roku oraz by były nieużywane.
Wykonawca przedstawi Zamawiającemu pisemne potwierdzenie, że jest oficjalnym
partnerem producenta i że dostarczony sprzęt pochodzi z legalnego kanału dystrybucji
producenta na rynek polski.
Zamawiający zastrzega sobie prawo sprawdzenia poprzez numery seryjne czy dostarczony
sprzęt spełnia wszystkie wymienione w opisie wymagania i warunki.
Wszystkie dostarczone urządzenia zasilane prądem przemiennym muszą być zasilane
napięciem 230 V/50 Hz.
Lp
Liczba
kompletów
Opis
Nazwa
produktu
w przypadku
systemów
równoważnych
1. Przełącznik sieciowy zgodnie z wymaganiami
określonymi w punkcie 1.1 albo rozwiązanie
równoważne zgodnie z wymaganiami określonymi
w punkcie 1.2
3
2. Punkt dostępowy zgodnie z wymaganiami
w punkcie 2.2
22
3. Zapora sieciowa zgodnie z wymaganiami
w punkcie 3.2
2
1.1 Przełącznik sieciowy CISCO Catalyst 3650:
Wykonawca zobowiązany jest wpisać, zgodnie z tytułem kolumny „TAK/NIE” jedynie w
pustych polach tabeli.
Lp
Ilość
dla Oferowany
Opis / Minimalny wymagany
poszczególnego parametr/Nazwa
parametr
przełącznika
produktu
1.
WS-C3650-48FD-S
1
2.
CAB-TA-EU
2
3.
PWR-C2-1025WAC
2
4.
CAB-CONSOLE-USB
1
TAK/NIE
5.
S3650UK9-33SE
1
6.
C3650-STACK-KIT
1
7.
STACK-T2-1M
1
8.
GLC-SX-MMD
1
9.
CON-SNT-WSC654
1
Uwaga! Wykonawca powinien wybrać, które rozwiązanie zaoferuje Zamawiającemu. W przypadku
zaoferowania jednocześnie przedmiotu zamówienia z pkt 1.1. i 1.2. Oferta Wykonawcy zostanie
odrzucona jako Oferta wariantowa.
1.2 Urządzenie równoważne do przełącznika sieciowego
zdefiniowanego w pkt. 1.1:
Lp
Opis / Minimalny wymagany parametr
Ogólne
Urządzenie musi być wyposażone w 48 portów
10/100/1000 BaseT PoE+ (IEEE 802.3at), 2 porty
uplink 10 Gigabit Ethernet SFP+ oraz 2 porty uplink 1
Gigabit Ethernet SFP.
Porty uplink muszą umożliwiać obsadzenie modułami
Gigabit Ethernet SFP (co najmniej 1000Base-T,
1000Base-SX, 1000Base-LX/LH, 1000Base-FX,
1000Base- ZX, 1000Base-BX-D/U i CWDM) oraz 10
Gigabit Ethernet (co najmniej 10GBase-SR,
10GBase-LR, 10GBase-LRM)
Urządzenie musi być wyposażone w redundantne i
wymienne moduły wentylatorów
Urządzenie musi umożliwiać łączenia w stos z
zapewnieniem następujących parametrów:
a.
Przepustowość w ramach stosu min. 160Gb/s
b.
Min. 9 urządzeń w stosie
c.
Zarządzanie poprzez jeden adres IP
d.
Możliwość tworzenia połączeń cross-stack
Link Aggregation (czyli dla portów należących do
różnych jednostek w stosie) zgodnie z 802.3ad
Zasilanie
Urządzenie musi być wyposażone w zasilacz
podstawowy i redundantny. Zamawiający nie
dopuszcza stosowania zewnętrznych systemów
zasilania redundantnego w celu realizacji tego
Oferowany
parametr/Nazwa
produktu
TAK/NIE
zadania. Zainstalowane
wymienne
zasilacze
muszą
być
Zainstalowane zasilacze muszą zapewniać min.
775W dla PoE
Urządzenie musi posiadać możliwość instalacji
zasilacza prądu stałego. Wymagane jest, aby w
urządzeniu można było jednocześnie instalować
zarówno zasilacze prądu zmiennego, jak i stałego. W
momencie dostawy urządzenie ma być wyposażone
w zasilacz prądu zmiennego 230V
Urządzenie musi wspierać Energy-Efficient Ethernet
(EEE) zgodnie z IEEE 802.3az
Wydajność
Urządzenie
musi
zapewniać
przetwarzanie/przełączania danych (tzn. Forwarding
Rate) na poziomie nie mniejszym niż 100 Mpps
Urządzenie musi zapewniać zdolność przełączania
(tzn. Switching capacity) nie mniejszą niż 176 Gbps
Szybkość przełączania zapewniająca pracę z pełną
wydajnością wszystkich interfejsów - również dla
pakietów 64-bąjtowych
Minimum 4GB pamięci DRAM i 2GB pamięci flash
Urządzenie musi posiadać możliwość używania 4000
różnych VLAN ID
W trybie pracy jako router urządzenie musi wspierać
min. 24 000 tras IPv4
W trybie pracy w warstwie 2 (VLAN) urządzenie musi
wspierać min. 32 000 adresów MAC
Urządzenie musi obsługiwać minimum 128 instancji
protokołu STP
Funkcjonalność
Urządzenie umożliwia konfigurację funkcjonalności
RSPAN lub równoważnej
Urządzenie wspiera Jumbo Frames (9K)
Urządzenie wspiera protokoły 802.1w oraz 802.1s
Urządzenie zapewnia możliwość ograniczenia (rate
limit) na podstawie źródłowego i docelowego adresu
IP, źródłowego i docelowego adresu MAC oraz
informacji TCP/UDP warstwy 4
Urządzenie zapewnia obsługę mechanizmu Weighted
Tail Drop
Urządzenie musi posiadać zintegrowany kontroler
sieci bezprzewodowej
Obsługa protokołu NTP
Obsługa IGMPv1/2/3 i MLDv1/2 Snooping
Urządzenie musi wspierać następujące mechanizmy
związane z zapewnieniem ciągłości pracy sieci:
a.
IEEE 802.1 w Rapid Spanning Tree
b.
IEEE 802.1s Multi-lnstance Spanning Tree
Urządzenie musi wspierać funkcjonalność Layer 2
traceroute umożliwiająca śledzenie fizycznej trasy
pakietu o zadanym źródłowym i docelowym adresie
MAC
Urządzenie musi umożliwiać funkcję Voice VLAN
umożliwiającej odseparowanie ruchu danych i ruchu
głosowego
Urządzenie musi posiadać możliwość uruchomienia
funkcji serwera DHC
Urządzenie musi zapewniać możliwość routingu
statycznego i dynamicznego dla !Pv4 i IPv6 (minimum
protokół RIP). Urządzenie musi zapewniać możliwość
rozszerzenia funkcjonalności o wsparcie dla
zaawansowanych protokołów routingu IPv4 (OSPF,
BGP) i IPv6 (OPSFv3), funkcjonalności Policy-based
routingu i routingu multicast (PIM-SM, PIM-SSM)
poprzez zakup odpowiedniej licencji lub wersji
oprogramowania - bez konieczności dokonywania
zmian sprzętowych
Obsługa protokołu HSRP/VRRP lub mechanizmu
równoważnego dla usług redundancji bramy dla IPv4
i IPv6
Urządzenie musi zapewniać możliwość tworzenia
statystyk ruchu w oparciu o NetFlow/J-Flow lub
podobny mechanizm, przy czym wielkość tablicy
monitorowanych strumieni nie może być mniejsza niż
48.000. Wymagane jest sprzętowe wsparcie dla
gromadzenia statystyk NetFlow/J-Flow
Minimum jeden port USB umożliwiający podłączenie
zewnętrznego nośnika danych. Urządzenie musi mieć
możliwość uruchomienia z nośnika danych
umieszczonego w porcie USB
Urządzenie musi być wyposażone w port konsoli USB
Urządzenie musi umożliwiać tworzenie skryptów
celem obsługi zdarzeń, które mogą pojawić się w
systemie
Bezpieczeństwo
Urządzenie zapewnia uzyskanie
urządzenia przez SNMPv3 i SSH
dostępu
do
Minimum 5 poziomów dostępu administracyjnego
poprzez konsolę. Przełącznik musi umożliwiać
zalogowanie się administratora z konkretnym
poziomem dostępu zgodnie z odpowiedzą serwera
autoryzacji (privilege-level)
Urządzenie
zapewnia
autoryzację
użytkowników/portów przez 802.1x, w tym min.
przypisanie do właściwego VLAN, dynamiczne
przypisanie filtru do portu, dostęp gościnny,
Możliwość obsługi żądań Change of Authorization
(CoA) zgodnie z RFC 5176
Możliwość uwierzytelniania użytkowników w oparciu o
portal www dla klientów bez suplikanta 802.1X
Możliwość uwierzytelniania urządzeń na porcie w
oparciu o adres MAC
Funkcjonalność flexible authentication (możliwość
wyboru
kolejności
uwierzytelniania
802.1X/uwierzytelnianie
w
oparciu
o
MAC
adres/uwierzytelnianie oparciu o portal www)
Możliwość wdrożenia uwierzytelniania w oparciu o
802.1X w trybie monitor (niezależnie od tego czy
uwierzytelnianie się powiedzie, czy nie użytkownik ma
prawo dostępu do sieci) - jako element sprawdzenia
gotowości instalacji na pełne wdrożenie 802.1X
Obsługa funkcji Port Security, DHCP Snooping,
Dynamie ARP Inspection i IP Source Guard
Możliwość autoryzacji prób logowania do urządzenia
(dostęp administracyjny) do serwerów RADIUS
Obsługa list kontroli dostępu (ACL), możliwość
konfiguracji tzw. czasowych list ACL (aktywnych w
określonych godzinach i dniach tygodnia)
Zapewnienie
podstawowych
mechanizmów
bezpieczeństwa IPv6 na brzegu sieci (IPv6 FHS) - w
tym minimum ochronę przed rozgłaszaniem
fałszywych komunikatów Router Advertisement (RA
Guard), ochronę przed dołączeniem nieuprawnionych
serwerów DHCPv6 do sieci (DHCPv6 Guard)
Możliwość blokowania ruchu pomiędzy portami w
obrębie jednego VLANu (tzw. porty izolowane) z
pozostawieniem możliwości komunikacji z portem
nadrzędnym
Wyposażenie
Kabel konsoli szeregowej USB do konfiguracji
urządzenia
Kabel o długości 1m do realizacji funkcjonalności
łączenia w stos
Urządzenie musi być dostarczone z 1 wkładką
1000Base-SX
SFP
spełniającą
następujące
wymagania:
a.
Musi pochodzić od producenta oferowanych
urządzeń i z jednego typoszeregu urządzeń. Nie
dopuszcza się stosowania zamienników.
b.
Musi być przeznaczona do współpracy ze
standardowym
światłowodem
wielomodowym
(50um).
c.
Musi być kompatybilna ze standardem IEEE
802.3z 1000BASE-SX.
d.
Musi pracować dla pasma 850 nm i oferować
zasięg co najmniej 500 m.
e.
Musi posiadać podwójny konektor LC/PC.
f.
Musi
posiadać
funkcję
monitoringu
parametrów takich jak wyjściowa moc optyczna,
wejściowa moc optyczna, temperatura, wartość
napięcia zasilania transceivera, prąd polaryzacji
lasera.
Funkcje kontrolera WIFI
Urządzenie musi posiadać możliwość rozszerzenia
funkcjonalności
o
funkcję
kontrolera
sieci
bezprzewodowej WiFi (poprzez zakup odpowiedniej
licencji lub wersji oprogramowania - bez konieczności
dokonywania zmian sprzętowych)
Centralne zarządzanie punktami dostępowymi
zgodnie z protokołem CAPWAP (RFC 5415), w tym
zarządzane politykami bezpieczeństwa i zarządzanie
pasmem radiowym (RRM)
Przepustowość dla sieci WiFi nie mniejsza niż 40Gb/s
Obsługa minimim 25 punktów dostępowych
Obsługa minimum 1000 klientów sieci WiFi
Elastyczne mechanizmy QoS dla sieci WiFi w tym
możliwość definiowania parametrów usług per punkt
dostępowy/SSID/klient sieci WiFi
Możliwość terminowania tuneli CAPWAP
urządzeniu
Integracja z istniejącą infrastrukturą Zamawiającego
na
Urządzenie zapewnia możliwość grupowania portów
zgodnie z 802.3ad (LACP)
Urządzenie obsługuje protokół VTP w wersji 3
Urządzenie obsługuje protokół CDPv2
Urządzenie jest w stanie wysyłać SNMP Trapy
przynajmniej w zakresie: uszkodzenia komponentów
urządzania (zasilacz, wentylator), zmiana statusu
portu
Jakoś usług sieci
Implementacja co najmniej 8 kolejek dla ruchu
wyjściowego na każdym porcie dla obsługi ruchu o
różnej klasie obsługi
Klasyfikacja ruchu do klas różnej jakości obsługi
(QoS)
poprzez
wykorzystanie
następujących
parametrów:
źródłowy/docelowy
adres
MAC,
źródłowy/docelowy adres IP, źródłowy/docelowy port
TCP
Możliwość ograniczania pasma dostępnego na
danym porcie dla ruchu o danej klasie obsługi z
dokładnością do 8 Kbps (polietng, ratę limiting).
Możliwość skonfigurowania do 2000 ograniczeń per
urządzenie
Zarządzanie
Urządzenie posiada możliwość zarządzania poprzez
przeglądarkę WWW jak i linie poleceń
Konfiguracja
Plik konfiguracyjny urządzenia ma możliwość edycji w
trybie off-line. tzn. jest możliwość przeglądania i
zmian konfiguracji w pliku tekstowym na dowolnym
urządzeniu PC. Po zapisaniu konfiguracji w pamięci
nie ulotnej musi być możliwe uruchomienie
urządzenia z nową konfiguracją. W pamięci nie
ulotnej jest przechowywania dowolnej ilości plików
konfiguracyjnych. Zmiany aktywnej konfiguracji są
być widoczne natychmiastowo – nie dopuszcza się
częściowych restartów urządzenia po dokonaniu
zmian
Montaż
Urządzenie przeznaczone do montażu w szafie 19”
Wysokość urządzenia nie może przekraczać 1 RU
Wszelkie elementy montażowe w komplecie
Gwarancja/Serwis
Dostarczane urządzenie jest objęte minimum. 12miesięcznym (dwunastomiesięcznym) serwisem
licząc od daty wygenerowania serwisu.
Urządzenie jest objęte serwisem opartym na serwisie
producenta urządzenia, świadczonym w reżimie
8x5xNBD
Dostęp do wsparcia technicznego producenta/tów
poszczególnych części urządzenia w trybie 24
godziny, 7 dni w tygodniu. Udostępnione wsparcie
techniczne zapewnia co najmniej przeglądanie baz
wiedzy producenta oferowanego urządzenia.
Dostęp do aktualizacji oprogramowania wdrożonego
Urządzenia
Zaoferowane
pakiety
serwisowe
zapewniają
bezpośrednie zgłoszenie awarii sprzętu do
producenta urządzenia przez cały okres trwania
gwarancji
Nazwa producenta i model oferowanego urządzenia spełniającego powyższe wymagania:
…………………………………………………………………………………………………………..……
UWAGA:
Wszystkie puste i wykropkowane pola należy bezwzględnie wypełnić.
Miejsce i data
_____________________________________________________________________________
(podpis/y osoby lub osób uprawnionych do reprezentowania Wykonawcy na podstawie właściwego rejestru
lub pełnomocnictwa)
2.1 Przełącznik sieciowy CISCO AIR-CAP3702I:
Lp
Ilość
dla Oferowany
parametr
urządzenia
produktu
1.
AIR-CAP3702I-E-K9
1
2.
CON-SNT-AP3702IE
1
TAK/NIE
2.2 Urządzenie równoważne do punktu dostępowego
zdefiniowanego w pkt. 2.1:
Lp
Praca
pod
kontrolą
posiadanego
przez
Zamawiającego urządzenia CISCO WLC 55xx
Punkt dostępu bezprzewodowego (access point)
Obsługa standardów 802.11a/b/g/n/ac:









obsługa MIMO – min. 4x4:3
Obsługa Maximal ratio combining (MRC)
obsługa kanałów 20 i 40MHz dla 802.11n
obsługa kanałów 20, 40 i 80 MHz dla
802.11ac
obsługa prędkości PHY do 1,3 Gbps
obsługa agregacji ramek A-MPDU (Tx/Rx), AMSDU (Tx/Rx)
obsługa TxBF (transmitbeamforming) dla
klientów 802.11a/g/n/ac
obsługa 802.11 dynamic frequency selection
(DFS)
obsługa Cyclic shift diversity (CSD)
obsługa szerokiego zakresu kanałów radiowych:



dla zakresu 2.4 GHz: min. 13 kanałów
dla zakresu 5GHz: min. 8 kanałów (UNII-1 i
UNII-2)
dla zakresu 5GHz: min. 8 kanałów (extended
UNII-2)
konfigurowalna moc nadajnika



dla zakresu 2.4 GHz: do 100mW
dla zakresu 5GHz: do 200mW (UNII-1 i UNII2)
dla zakresu 5GHz: do 200mW (extended UNII2)
zgodność z protokołem CAPWAP (RFC 5415),
zarządzanie
przez
kontroler
WLAN
z
funkcjonalnościami:


automatyczne wykrywanie kontrolera i
konfiguracja poprzez sieć LAN
optymalizacja
wykorzystania
pasma
radiowego (ograniczanie wpływu zakłóceń,
Oferowany
parametr/Nazwa
produktu
TAK/NIE












kontrola mocy, dobór kanałów, reakcja na
zmiany)
obsługa min. 16 BSSID
definiowanie polityk bezpieczeństwa (per
SSID) z możliwością rozgłaszania lub ukrycia
poszczególnych SSID
współpraca z systemami IDS/IPS
uwierzytelnianie ruchu kontrolnego 802.11 (z
możliwością
wykrywania
użytkowników
podszywających się pod punkty dostępowe) –
funkcjonalność 802.11w lub równoważna
obsługa trybów pracy Split-MAC (tunelowanie
ruchu klientów do kontrolera i centralne
terminowanie do sieci LAN) oraz Local-MAC
(lokalne terminowanie ruchu do sieci LAN)
możliwość pracy po utracie połączenia z
kontrolerem, z lokalnym przełączaniem ruchu
do sieci LAN i lokalną autoryzacją
użytkowników (lokalny serwer RADIUS,
skrócona baza danych użytkowników na
poziomie AP) – przełączenie nie może
powodować zerwania sesji użytkowników
jednoczesna obsługa transferu danych
użytkowników końcowych oraz monitorowania
pasma radiowego (wykrywanie obcych
punktów dostępowych i klientów WLAN,
wireless IPS)
obsługa Dynamic Frequency Selection (DFS)
i Transmit Power Control (TPC) zgodnie z
802.11h
obsługa szybkiego roamingu użytkowników
pomiędzy punktami dostępowymi
funkcjonalność 802.11r lub równoważna
obsługa mechanizmów QoS:
o shaping/ ograniczanie ruchu do
użytkownika,
z
możliwością
konfiguracji per użytkownik
o obsługa WMM, TSPEC, U-APSD
współpraca
z
urządzeniami
o
oprogramowaniem
realizującym
usługi
lokalizacyjne
wbudowany suplikant 802.1x – możliwość
uwierzytelnienia AP do infrastruktury sieciowej
Możliwość rozbudowy urządzenia o:

Dedykowany moduł radiowy pozwalający na
monitorowanie pasma radiowego pod kątem
bezpieczeństwa
(Wireless
IPS)
oraz
interferencji
na
wszystkich
kanałach
radiowych w paśmie 2,4GHz oraz 5GHz.
zintegrowany
moduł
analizatora
widma
częstotliwościowego (dotyczy zakresów 2.4GHz i
5GHz):





dokładność analizy (kwant próbkowania) max.
200 kHz
zakres częstotliwościowy zgodny z zakresem
pracy modułów radiowych
automatyczne wykrywanie i klasyfikacja źródeł
interferencji (bluetooth, DECT, urządzenia
mikrofalowe, urządzenia transmisji audio
wideo, urządzenia zakłócające itp.)
możliwość wizualizacji wyników analizy na
stacji roboczej klasy PC (FFT, gęstość widma,
spektrogram, zajętość kanałów, poziom mocy
sygnałów) w czasie rzeczywistym
współpraca z mechanizmami optymalizacji
wykorzystania pasma radiowego
możliwość pracy
oprogramowania
autonomicznej
po
wymianie
interfejs Gigabit Ethernet (10/100/1000)
zróżnicowane możliwości zasilania:
zasilacz sieciowy 230V AC
zasilanie PoE+ (802.3af) w sposób zapewniający
pełną wydajność
zasilanie PoE (802.3af) w sposób automatycznie
redukujący układ antenowy do wartości 3x3 (gdy punk
dostępowy nie jest wyposażony w dodatkowy
dedykowany moduł radiowy)
anteny zintegrowane:


o minimalnym zysku 4dBi dla pasma 2,4 GHz
o minimalnym zysku 6dBi dla pasma 5 GHz
obudowa o niskim profilu (nie więcej niż 6 cm)
diodowa sygnalizacja stanu urządzenia z możliwością
deaktywacji
certyfikat WiFi Alliance
zgodność z dyrektywą 1999/5/EC i 93/42/ECC
Gwarancja/Serwis
8x5xNBD
poszczególnych części urządzenia równoważnego w
trybie 24 godziny, 7 dni w tygodniu. Udostępnione
wsparcie techniczne zapewnia co najmniej
przeglądanie baz wiedzy producenta oferowanego
urządzenia.
Urządzenia
Zaoferowane
pakiety
serwisowe
zapewniają
gwarancji
…………………………………………………………………………………………………………..……
UWAGA:
Miejsce i data
_____________________________________________________________________________
3.1 Zapora sieciowa CISCO ASA5525-K9:
Lp
Ilość
dla Oferowany
parametr
urządzenia
produktu
1.
ASA5525-FPWR-BUN
1
2.
ASA5525-FPWR-K9
1
3.
CON-SNT-A25FPK9
1
4.
SF-ASA-X-9.2.2-K8
1
5.
ASA5525-CTRL-LIC
1
6.
ASA-RAILS
1
7.
SF-ASA-FP5.4-K9
1
8.
CAB-ACE
1
TAK/NIE
9.
ASA-IC-B-BLANK
1
10.
ASA5500X-SSD120INC
1
11.
ASA5525-MB
1
12.
ASA5500-ENCR-K9
1
13.
L-ASA5525-TA=
1
14.
L-ASA5525-TA-1Y
1
15.
FS-VMW-2-SW-K9
1
16.
CON-SAU-VMWSW2
1
17.
L-AC-PLS-LIC=
25
18.
L-AC-PLS-1Y-S1
25
3.2 Urządzenie równoważne do zapory sieciowej zdefiniowanej w
pkt. 3.1:
Lp
Ogólne
Urządzenie musi pełnić funkcje bramy VPN i zapory
sieciowej (firewall) typu Statefull inspection.
Urządzenie musi mieć możliwość rozbudowy o
dodatkowe moduły sprzętowe.
Urządzenie musi być wyposażone w co najmniej:

Minimum osiem interfejsów Gigabit Ethernet
10/100/1000 (RJ45)
 Minimum jeden, dedykowany interfejs Gigabit
Ethernet 10/100/1000 (RJ45) do zarządzania
Urządzenie musi obsługiwać interfejsy VLAN-IEEE
802.1q na interfejsach fizycznych, nie mniej niż 200
interfejsów 802.1q sumarycznie
Wydajność
Urządzenie musi posiadać pamięć DRAM o
pojemności nie mniejszej niż 8GB, umożliwiającej
uruchomienie wszystkich dostępnych dla urządzenia
funkcjonalności
Oferowany
parametr/Nazwa
produktu
TAK/NIE
Urządzenie
musi
umożliwiać
zestawianie
równocześnie min. 750 tuneli SSL VPN w trybie clientbased i clientless VPN zrealizowane poprzez zakup
odpowiedniej licencji lub oprogramowania bez
konieczności dokonywania zmian sprzętowych.
Urządzenie powinno obsługiwać co najmniej 500 000
jednoczesnych sesji/połączeń.
Urządzenie powinno obsługiwać minimum 20 000
nowych połączeń/sekundę.
Maksymalna przepustowość obsługiwana przez
urządzenie nie powinna być mniejsza niż 2 Gbit/s, a
dla ruchu wieloprotokołowego z analizą aplikacji 1
Gbit/s. Wydajność dla ruchu szyfrowanego
symetrycznymi algorytmami 3DES/AES powinna
wynosić 300 Mbit/s.
Funkcjonalność
Urządzenie musi pełnić funkcję ściany ogniowej
śledzącej stan połączeń (tzw. stateful inspection) z
funkcją weryfikacji informacji charakterystycznych dla
warstwy aplikacji
Urządzenie musi zapewniać konfiguracjię reguł
filtrowania ruchu w oparciu o tożsamość użytkownika
(Identity Firewall), integrując się ściśle z usługą
katalogową
Microsoft
Active
Directory
wykorzystywanej przez Zamawiającego
Urządzenie
musi
posiadać
możliwość
uwierzytelnienia z wykorzystaniem LDAP, NTLM oraz
Kerberos
Urządzenie nie może posiadać ograniczenia na ilość
jednocześnie pracujących użytkowników w sieci
chronionej
Urządzenie musi zapewniać funkcję koncentratora
VPN umożliwiającego zestawianie połączeń IPSec
VPN (zarówno site-to-site, jak i remote access)
Urządzenie musi mieć możliwość pracy jako
transparent zapora sieciowa warstwy drugiej ISO OSI
Urządzenie musi obsługiwać protokół NTP
Urządzenie musi współpracować z serwerami CA
Urządzenie musi obsługiwać funkcjonalność Network
Address Translation (NAT oraz PAT) – zarówno dla
ruchu wchodzącego, jak i wychodzącego. Urządzenie
wspiera translację adresów (NAT) dla ruchu
multicastowego. Funkcja NAT musi być również
dostępna w trybie „transparent”
Urządzenie musi zapewniać mechanizmy redundancji
w tym możliwość konfiguracji urządzeń w układ
zapasowy (failover) działający w trybie wysokiej
dostępności (HA) active/standy, active/active
Urządzenie musi realizować synchronizację tablicy
połączeń pomiędzy węzłami pracującymi w trybie
wysokiej dostępności HA
Urządzenie musi zapewniać możliwość konfiguracji
redundancji na poziomie interfejsów fizycznych
urządzenia
Urządzenie musi zapewniać funkcjonalność stateful
failover dla ruchu VPN
Urządzenie musi obsługiwać routing statyczny i
dynamiczny (min. dla protokołów RIP, EIGRP, OSPF
i BGP) z replikacją tablic routingu do urządzenia
zapasowego
Urządzenie musi wspierać Proxy dla protokołu SCEP
i umożliwia zautomatyzowany proces pozyskiwania
certyfikatów przez użytkowników zdalnych dla
dostępu VPN
Urządzenie
musi
wspierać
użytkownika
korzystającego z trybu klienta VPN (IPSec oraz SSL)
oraz clientless SSL VPN, w zakresie obsługi haseł w
systemie Microsoft AD, bezpośrednio, co najmniej dla
obsługi sytuacji wygaśnięcia terminu ważności hasła
w systemie Microsoft AD, umożliwiając zmianę
przeterminowanego hasła.
Urządzenie musi obsługiwać IKE, IKE Extended
Authentication (Xauth) oraz IKE Aggressive Mode.
Ponadto urządzenie musi wspierać protokół IKEv2
(Internet Key Exchange w wersji 2) dla połączeń
zdalnego dostępu VPN oraz site-to-site VPN opartych
o protokół IPSec
Urządzenie musi zapewniać możliwość uruchomienia
funkcjonalności tzw, Next-Generation Firewall,
zrealizowane poprzez zakup odpowiedniej licencji lub
oprogramowania bez konieczności dokonywania
zmian sprzętowych w zakresie nie mniejszym niż:




Bezpieczeństwo
System automatycznego wykrywania i
klasyfikacji aplikacji (Application Visibility and
Control)
System IPS
System ochrony przed malware
System filtracji ruchu w oparciu o URL
Urządzenie musi być wyposażone w moduł
sprzętowego wsparcia szyfrowania 3DES i AES oraz
wszelkie niezbędne licencje na szyfrowanie
3DES/AES
Urządzenie musi zapewniać w zakresie SSL VPN
weryfikację uprawnień stacji do zestawiania sesji,
poprzez weryfikację jej cech, co najmniej:
 System operacyjny
 adres z jakiego następuje połączenie
 zainstalowane certyfikaty
Oprogramowanie klienta VPN musi zapewniać
protokoły szyfrowania 3DES/AES
Oprogramowanie klienta VPN musi zapewniać
funkcjonalność blokowania lokalnego dostępu do
Internetu podczas aktywnego połączenia klientem
VPN (wyłączanie tzw. split-tunnelingu)
Urządzenie musi posiadać mechanizmy inspekcji
aplikacyjnej i kontroli co najmniej następujących
usług:



Hypertext Transfer Protocol (HTTP),
File Transfer Protocol (FTP),
Extended Simple Mail Transfer Protocol
(ESMTP),
 Domain Name System (DNS),
 Simple Network Management Protocol v 1/2/3
(SNMP),
 Internet Control Message Protocol (ICMP),
Urządzenie umożliwia zaawansowaną normalizację
ruchu TCP:


poprawność pola TCP ACK(invalid-ack )
poprawność sekwencjonowania segmentów
TCP (seq-past-window)
 poprawność ustanawiania sesji TCP z danymi
(synack-data)
 limitowanie czasu oczekiwania na segmenty
nie w kolejności
 poprawność pola MSS (exceed-mss).
 poprawność pola długości TCP
 poprawność skali okna segmentów TCP nonSYN
 poprawność wielkości okna TCP
Urządzenie musi zapewniać możliwość inspekcji
protokołów HTTP oraz FTP na portach innych niż
standardowe
Wyposażenie
Urządzenie musi być wyposażone w min. dwa porty
USB 2.0 (z obsługą tzw. „hot plug” i pamięci
masowych w formacie FAT32)
Urządzenie musi być wyposażone min. w jeden
wymienny dysk twardy typu SSD o pojemności min.
120GB
Urządzenie musi posiadać, zapewnianego przez
producenta urządzenia i objętego jednolitym
wsparciem technicznym, klienta VPN dla technologii
IPSec VPN i SSL VPN
Oprogramowanie klienta VPN (IPSec oraz SSL) ma
zapewniać możliwość instalacji na stacjach roboczych
pracujących pod kontrolą systemów operacyjnych
Windows (8, 7 – wersje 32 i 64-bitowe), Linux i
umożliwia zestawienie do urządzenia połączeń VPN z
komputerów osobistych PC.
System IPS
Działający na urządzeniu system IPS musi posiadać
możliwość wykrywania i uniemożliwiać szeroką gamę
zagrożeń (np.: złośliwe oprogramowanie, skanowanie
sieci, ataki na usługę VoIP, próby przepełnienia
bufora, ataki na aplikacje P2P, zagrożenia dnia
zerowego, itp.)
Działający na urządzeniu system IPS musi
zapewniać co najmniej poniższe sposoby wykrywania
zagrożeń



sygnatury ataków opartych na exploitach,
reguły oparte na zagrożeniach,
mechanizm
wykrywania
anomalii
w
protokołach
Działający na urządzeniu system IPS musi mieć
możliwość detekcji ataków/zagrożeń złożonych z
wielu elementów i korelacji wielu, pozornie
niepowiązanych zdarzeń
wiele możliwości reakcji na zdarzenia takie jak: tylko
monitorowanie, blokowanie ruchu zawierającego
zagrożenia oraz mieć możliwość zapisywania
Pakietów
Działający na urządzeniu system IPS musi zapewniać
możliwość pasywnej detekcji predefiniowanych
serwisów takich jak FTP, HTTP, POP3,Telnet, itp.
Działający na urządzeniu system IPS musi
zapewniać mechanizm bezpiecznej aktualizacji
sygnatur. Zestawy sygnatur/reguł muszą być
pobierane z serwera w sposób uniemożliwiający ich
modyfikację przez osoby postronne
Działający na urządzeniu system IPS musi być
zarządzany tylko poprzez system centralnego
zarzadzania za pomocą szyfrowanego połączenia
możliwość pracy zarówno w trybie pasywnym (IDS)
jak i aktywnym (z możliwością blokowania ruchu)
Urządzenie musi zostać dostarczone wraz z
licencjami umożliwiającymi działanie funkcjonalności
IPS (w wypadku licencjonowania okresowego
dostarczone licencje powinny obejmować okres nie
mniejszy niż gwarancja urządzenia).
Integracja z istniejącą infrastrukturą Zamawiającego
Urządzenie musi umożliwiać wgranie i uruchomienie
aktualnej
konfiguracji
Zamawiającego
wykorzystywanej na urządzeniach CISCO ASA 5540
9.1, ASDM 7.4. W przypadku braku możliwości
bezpośredniego wgrana takiej konfiguracji, musi być
zapewniona możliwość przeniesienia aktualnej
konfiguracji Zamawiającego z wykorzystaniem
narzędzi konwersji.
Zarządzanie
Urządzenie musi posiadać
zarządzania port konsoli
dedykowany
dla
Urządzenie musi posiadać pamięć Flash o
pojemności
umożliwiającej
przechowanie,
co
najmniej 3 obrazów systemu operacyjnego (w
najnowszej
dostępnej
wersji)
i
3
plików
konfiguracyjnych
Urządzenie musi umożliwiać konfigurację globalnych
reguł filtrowania ruchu, które aplikowane są na
wszystkie interfejsy urządzenia jednocześnie
Urządzenie musi umożliwiać konfigurację reguł NAT i
ACL w oparciu o obiekty i grupy obiektów. Do grupy
obiektów może należeć host, podsieć lub zakres
adresów, protokół lub numer portu
Urządzenie musi posiadać możliwość eksportu
informacji przez syslog
Urządzenie musi wspierać eksport zdarzeń opartych
o przepływy za pomocą protokołu NetFlow lub
analogiczny
Urządzenie musi być konfigurowalne przez CLI oraz
interfejs graficzny
Dostęp do urządzenia ma być możliwy przez SSH v2
Urządzenie musi obsługiwać protokół SNMP v 1/2/3
Urządzenie musi zapewniać możliwość edycja pliku
konfiguracyjnego urządzenia w trybie off-line. Tzn.
istnieje możliwość przeglądania i zmian konfiguracji w
pliku tekstowym na dowolnym urządzeniu PC. Po
zapisaniu konfiguracji w pamięci nieulotnej musi być
możliwe
uruchomienie
urządzenia
z
nową
konfiguracją.
Urządzenie musi posiadać wsparcie dla mechanizmu
TCP Ping, który pozwala na wysyłanie wiadomości
TCP dla rozwiązywania problemów związanych z
łącznością w sieciach IP
Montaż
Urządzenie ma możliwość instalacji w szafie typu rack
19”.
Wysokość urządzenia nie większa niż 1 RU elementy
niezbędne do montażu muszą być dostarczone z
urządzeniem
Gwarancja/Serwis
8x5xNBD
poszczególnych części urządzenia
w trybie 24
godziny, 7 dni w tygodniu. Udostępnione wsparcie
techniczne zapewnia co najmniej przeglądanie baz
wiedzy
producenta
oferowanego
urządzenia
równoważnego.
Urządzenia
Zaoferowane
pakiety
serwisowe
zapewniają
gwarancji
…………………………………………………………………………………………………………..……
UWAGA:
Miejsce i data
_____________________________________________________________________________

Załącznik nr 5

Transkrypt

Podobne dokumenty

Załącznik nr 1c do SIWZ

STORMSHIELD Okiem Managera

Zapytanie ofertowe - Powiatowy Urząd Pracy w Wieruszowie

Dostawa zintegrowanego urządzenia sieciowego typu UTM Opis

Załącznik Nr 7 do SIWZ