51_Příloha č. 2A - Specifikace FW

Zabezpečení datové sítě ČZU
Dodání a implementace centrálního firewallu
Předmět zakázky:
Předmětem zakázky je dodání a implementace clusteru firewallů (dále též jen „FW“) pro připojení
počítačové sítě České zemědělské univerzity k síti Internet/Cesnet.
Firewall cluster musí podporovat protokol IPv4 a IPv6, zajistit dostatečný výkon, přepojení stávajících
VPN. Řešení nesmí být žádným způsobem licencováno na počet klientů/uživatelů. Firewall musí
podporovat připojení přes 2x10G Ethernet. Firewall musí být možné rozšířit o inspekci paketů IPS,
Antivir a inspekci aplikačním firewallem na L3. Dále musí být rozšiřitelný o kontrolu AntiSpam a
WebContentFilter.
Součástí dodávky je kompletní přenos konfigurace a její úpravy ze stávajících firewallů. Součástí
předmětu plnění je také rekonfigurace stávajícího systému IPS HP TippingPoint pro spolupráci
s novým firewallem, včetně konfigurace společného filtrování a ochrany proti útokům DDoS a šíření
škodlivého software. Dále je nutné provést rekonfiguraci celého systému směrování na aktivních
prvcích HP/3Com pro zajištění správné funkce firewallu v počítačové síti.
Minimální technické požadavky na firewall cluster:
Total Network Interfaces
SFP optické moduly
SFP metalické moduly
Total Storage Capacity
Antivirus Throughput (Flow)
Firewall Max Concurrent Session
Firewall New Sessions per second
Firewall Throughput 1518 Bytes
Firewall Throughput 512 Bytes
Firewall Throughput 64 Bytes
IPS Throughput (HTTP)
Antivirus Throughput (Proxy)
IPSec Throughput 512 Byte Packet
2 x 10GbE SFP+
12 x 10/100/1000 RJ45
8 x shared 10/100/1000 RJ45 or SFP
2 x GbE RJ45 with Bypass Protection
4x LX 1310nm HP compatible
10x TX HP compatible
128 GB (64Gx2)
2.1 Gbps
7M
190 K
20 Gbps
20 Gbps
20 Gbps
3.6 Gbps
1.7 Gbps
8 Gbps
Minimální technické požadavky Virtual Privat Network (dále jen “VPN“)
•
•
•
•
•
VPN nesmí být licencována na počet současně připojených klientů
Možnost rozšíření na ověřování pomocí tokenů s časovým kódem
Ověřování klientů VPN na AD
Šifrování VPN tunelu AES/SHA2 256bit
IPv6 ready
•
•
Celková propustnost VPN na FW 8Gbps
Minimální počet VPN uživatelů 500
Minimální technické požadavky na FW
•
•
•
•
•
Minimální počet současných připojení 7.000.000
Minimální počet nových připojení/s 190.000
IPv6 ready
Celková propustnost FW 20Gbps
Zajištění vysoké dostupnosti funkcí cluster
Převedení VPN
•
•
•
Převedení stávajících VPN připojení
Zaškolení pracovníků zadavatele na vytváření a rušení VPN včetně instalace koncových
klientů
Vytvoření VPN profilů
Další požadavky:
•
•
•
•
•
•
•
•
HW appliance
HW akcelerace
nezávislost výkonu firewallu na velikosti paketu
virtualizace (plná virtualizace systému na daném HW, samostatný management každého
virtuálního systému včetně administrátora, samostatná konfigurace včetně firewallové
tabulky a routovací tabulky)
navržené řešení musí obsahovat licenci na 10 virtualních systémů s plnou funkcionalitou
licencování nezávislé na počtu chráněných uživatelů/ip adres
navržené řešení musí obsahovat podporu dynamických routovacích protokolů
podpora režimu vysoké dostupnosti v režimech A-P i A-A (navržené řešení musí umožňovat
přepnutí z režimu A-P do režimu A-A bez změn v licencování)
Ostatní prováděné práce
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Rekonfigurace systému IPS HP TippingPoint pro spolupráci s FW
Konfigurace společného filtrování IPS a FW
Nastavení společné ochrany proti útokům DDoS
Konfigurace společné ochrany před šířením škodlivého software.
Rekonfigurace směrování na aktivních prvcích HP/3Com
Aktualizace dokumentace zapojení FW v infrastruktuře
Vytvoření příruček pro vytváření/rušení VPN a FW pravidel
Analytické a konfigurační práce, dohled
Analýza konfigurace stávajících firewallů
Analýza internetového provozu
Fyzická instalace zařízení
Konfigurace zařízení + Update na poslední verzi firmware
Konfigurace firewallových pravidel
Konfigurace VPN
Nastavení syslog
Nastavení reportů
Zaškolení správců sítě 2 dny
Zkušební provoz 3 měsíce
Vyhodnocení reportů a logů
Rekonfigurace pravidel
•
Služba podpory a dohledu SLA – 1 rok
Školení
•
Dodavatel zajistí dvoudenní školení pro dva technické pracovníky vedené školitelem
s certifikací „Certified Network & Security Professional“.
Realizace podpory implementovaného řešení bude prováděna po dobu 1 roku od akceptace