Postępowanie ID: 510704 : Dostawa i wdrożenie Firewalli NGFW PaloAlto

Przedmiotem postępowania jest zakup, i wdrożenie urządzeń klasy Next Generation Firewall

A) Palo Alto Networks  450                                  

B) Palo Alto Networks 410

Wymagania:
1)    Urządzenie musi realizować zadania kontroli dostępu (filtracji ruchu sieciowego), wykonując kontrolę na poziomie warstwy sieciowej, transportowej oraz aplikacji.
2)    Urządzenie musi zapewniać obsługę dla IPv6.
3)    Urządzenie musi zapewnić możliwość statycznej i dynamicznej translacji adresów NAT między IPv4 i IPv6.
4)    Urządzenie nie może posiadać ograniczeń licencyjnych dotyczących liczby chronionych komputerów w sieci wewnętrznej.
5)    Reguły zabezpieczeń firewall zgodnie z ustaloną polityką opartą o profile oraz obiekty. Polityki muszą być definiowane pomiędzy określonymi strefami bezpieczeństwa. Konsola zarządzania posiada możliwości automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa.
6)    Urządzenia muszą zapewniać inspekcję komunikacji szyfrowanej HTTPS (HTTP szyfrowane protokołem SSL) dla ruchu wychodzącego do serwerów zewnętrznych (np. komunikacji użytkowników surfujących w Internecie) oraz ruchu przychodzącego do serwerów firmy. Oferowany System musi mieć możliwość deszyfracji niezaufanego ruchu HTTPS i poddania go właściwej inspekcji nie mniej niż: wykrywanie i blokowanie ataków typu exploit (ochrona Intrusion Prevention), wirusy i inny złośliwy kod (ochrona anty-wirus i anty-spyware), filtracja plików, danych i URL.
7)    Urządzenia muszą zapewnić możliwość wykluczenia z inspekcji komunikacji szyfrowanej ruchu wrażliwego na bazie co najmniej: kategoryzacji stron URL, dodania własnych wyjątków.
8)    Urządzenia muszą zapewnić możliwość skanowania całości ruchu pod kontem zaistnienia podatności, a nie wyłącznie wybranych próbek ruchu.
9)    Urządzenia muszą identyfikować co najmniej 2500 różnych aplikacji, w tym aplikacji tunelowanych w protokołach HTTP i HTTPS m.in.: Skype, Gadu-Gadu, Tor, BitTorrent.
10)    Urządzenia muszą zapewnić możliwość definiowania własnych wzorców aplikacji poprzez zaimplementowane mechanizmy lub z wykorzystaniem serwisu producenta.
11)    Urządzenia muszą zapewnić możliwość dodania własnej lub zmiany predefiniowanej kategoryzacji URL.
12)    Zamawiający wymaga dostarczenia urządzenia z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności podmieniania adresów domen uznanych za złośliwe na zdefiniowany adres lokalny w odpowiedziach na zapytania DNS w celu wykrycia hostów z sieci wewnętrznej które próbują nawiązać komunikacje ze złośliwymi domenami. W przypadku, gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 36 miesięcy.
13)    Urządzenia muszą umożliwiać zestawianie zabezpieczonych kryptograficznie tuneli VPN w oparciu o standardy IPSec i IKE w konfiguracji site-to-site. Dostęp VPN dla użytkowników mobilnych musi odbywać się na bazie technologii SSL VPN.
14)    Zamawiający wymaga dostarczenia urządzeń z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności wykrywania i blokowania ataków intruzów w warstwie 7 modelu OSI (IPS). W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 36 miesięcy.
15)    Zamawiający wymaga dostarczenia urządzeń z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności inspekcji antywirusowej, kontrolującej przynajmniej protokoły: SMTP, HTTP i HTTPS oraz podstawowe rodzaje plików. Baza AV musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 36  miesięcy.
16)    Zamawiający wymaga dostarczenia urządzeń z licencjami/subskrypcjami pozwalającymi na realizację funkcjonalności filtrowania stron WWW w zależności od kategorii treści stron HTTP bez konieczności dokupywania jakichkolwiek komponentów, poza subskrypcją. Baza kategorii stron musi być przechowywana na urządzeniu i regularnie aktualizowana w sposób automatyczny. W przypadku gdy funkcjonalność jest oferowana jako subskrypcja czasowa, Zamawiający wymaga dostarczenia subskrypcji na min. 36 miesięcy.
17)    Urządzenia muszą umożliwiać definiowanie i przydzielanie innych profili ochrony (AV, IPS, AS, URL) dla aplikacji pracujących na tym samym porcie UDP lub TCP.
18)    Urządzenia muszą umożliwiać definiowanie i przydzielanie odmiennych profili kontrolujących transfer różnych rodzajów plików dla aplikacji pracujących na tym samym porcie UDP lub TCP.
19)    Urządzenia muszą transparentnie ustalać tożsamość użytkowników sieci w oparciu o Active Directory. Polityka kontroli dostępu (firewall) musi precyzyjnie definiować prawa dostępu użytkowników do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni lokalizację i adres IP. W przypadku użytkowników pracujących w środowisku terminalowym, tym samym mających wspólny adres IP, ustalanie tożsamości musi odbywać się również transparentnie.
20)    Urządzenia muszą wykonywać statyczną i dynamiczną translację adresów NAT. Mechanizmy NAT muszą umożliwiać co najmniej dostęp wielu komputerów posiadających adresy prywatne do Internetu z wykorzystaniem jednego publicznego adresu IP oraz udostępnianie usług serwerów o adresacji prywatnej w sieci Internet.
21)    Urządzenia muszą działać w trybie routera (tzn. w warstwie 3 modelu OSI) oraz w trybie transparentnym (tzn. w warstwie 2 modelu OSI). Funkcjonując w trybie transparentnym urządzenie nie może posiadać skonfigurowanych adresów IP na interfejsach sieciowych.
22)    W architekturze rozwiązania musi występować moduł zarządzania i moduł przetwarzania danych.
23)    System musi mieć możliwość pracy w konfiguracji odpornej na awarie (HA) w trybie Active-Passive i Active-Active w przypadku zastosowania drugiego takiego samego urządzenia.
24)    Urządzenie musi umożliwiać zarządzanie pasmem sieci (QoS) w zakresie oznaczania pakietów znacznikami DiffServ, a także ustawiania dla dowolnych aplikacji priorytetu, pasma maksymalnego i gwarantowanego. Urządzenia muszą umożliwiać stworzenie co najmniej 8 klas dla różnego rodzaju ruchu sieciowego.
25)    Urządzenie musi pochodzić z autoryzowanego kanału sprzedażowego producenta na terenie Unii Europejskiej.
26)    Interfejs administracyjny urządzeń musi być w języku polskim lub angielskim.
27)    Urządzenie musi być dostarczone jako dedykowane urządzenia zabezpieczeń sieciowych (appliance).
28)    Urządzenie nie może znajdować się na liście „end-of-sale” oraz „end-of-support” producenta.
29)    Urządzenie musi posiadać: wbudowane co najmniej 8 portów Ethernet 10M/100M/1G.
30)    Urządzenie musi posiadać: wbudowany co najmniej: 1 port 10M/100M/1G Ethernet out-of-band management, 1 port konsoli RJ45, 1 port USB
31)    Urządzenie musi zapewniać wydajność przynajmniej 2,2 Gbps dla ruchu IPSec VPN.
32)    Urządzenie musi posiadać przepustowość w ruchu nie mniej niż 3,2 Gbps dla kontroli firewall z włączoną funkcją kontroli aplikacji oraz akceptować nie mniej niż 52 000 połączeń na sekundę. Przepustowość dla ruchu rzeczywistego z włączoną pełną funkcjonalnością (ochrona Intrusion Prevention, antywirus, filtracja aplikacji i kategoryzacja URL) nie może być mniejsza niż 1,6 Gbps.
33)    Urządzenie musi obsługiwać protokół Ethernet z obsługą sieci VLAN poprzez tagowanie zgodne z IEEE 802.1q. Subinterfejsy VLAN mogą być tworzone na interfejsach sieciowych pracujących w trybie L2 i L3. Urządzenia muszą obsługiwać protokoły routingu dynamicznego, nie mniej niż BGP i OSPF.
34)    System musi posiadać możliwość podłączenia urządzeń firewall w klastrze pod scentralizowany system zarządzania
35)    Zarządzanie Systemu musi odbywać się z linii poleceń (CLI) oraz z graficznej konsoli GUI. Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone kryptograficznie (poprzez szyfrowanie komunikacji). System musi pozwalać na zdefiniowanie wielu administratorów o różnych uprawnieniach. Dopuszcza się, aby polityki mogły być tworzone tylko z graficznej konsoli GUI.
36)    Urządzenie musi być wyposażone w dedykowany port zarządzania out-of-band.
37)    Urządzenie musi posiadać funkcjonalność pozwalającą administratorowi urządzenia na konfigurację rodzaju pliku (min. exe, dll), użytej aplikacji oraz kierunku przesyłania (wysyłanie, odbieranie, oba) do określenia ruchu poddanego analizie typu „Sand-Box”.
38)    W przypadku gdy urządzenie pozwala na jednoczesną pracę dwu lub więcej administratorów musi istnieć wbudowany w system mechanizm umożliwiający jednemu z administratorów uzyskanie wyłączności na wprowadzanie zmian. W tym czasie pozostali zalogowani użytkownicy nie mogą być w stanie dokonać żadnych zmian w konfiguracji.
39)    Urządzenie musi umożliwiać przesyłanie logów do kilku zdefiniowanych serwerów Syslog. Administrator urządzenia musi mieć możliwość zdefiniowania, dla każdej reguły bezpieczeństwa, innego serwera Syslog.
40)    Urządzenie musi mieć możliwość czytania oryginalnych adresów IP stacji końcowych z nagłówka X-Forwarded-For i wykrywania na tej podstawie użytkowników generujących daną sesje w przypadku, gdy ruch przechodzi przez serwer Proxy zanim dojdzie do urządzenia.
41)    Urządzenie musi być fabrycznie nowe, aktualnie obecne w linii produktowej producenta.
42)    Pomoc techniczna dla systemu musi być dostępna w Polsce i świadczona w języku polskim.
43)    Serwis dostępu do najnowszej wersji oprogramowania, serwis sprzętowy i ewentualne licencje/subskrypcje na aktualizację bazy aplikacji muszą być ważne przynajmniej przez 36 miesięcy.

. W ramach zamówienia należy wykonać‡ następujące prace:

1. Dostawa urządzenia z supportem 36 mc-nym

2. Konfiguracja i aktualizacja urządzenia

3. Przeszkolenie pracowników

  Wymaga się dołączenia do oferty potwierdzenia ( certyfikatów), iż Wykonawca posiada  minimum   2 inżynierów z certyfikacją na poziomie PCNSE lub równoważnym.

Wymaga się dołączenia do oferty potwierdzenia (certyfikatów), iż Wykonawca posiada minimum 2 inżynierów z certyfikacją na poziomie VMWare Certified Professional dla rozwiązań sieciowych lub równoważny

Uwaga!
Zamawiający informuje, iż w związku z wejściem w życie ustawy z dnia 9 sierpnia 2019 r o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. z 2019 r., poz 1751), od dnia 1 listopada 2019r będzie dokonywać płatności od 15.000,-zł brutto należnego wynagrodzenia Zleceniobiorcy z zastosowaniem mechanizmu podzielonej płatności tzw. "split payment".

Prosimy o podanie ceny za całość zamówienia oraz tylko za  wariant A.

Zamawiający dopuszcza możliwość realizacji całości zamówienia lub tylko wariantu A.

Prosimy o wydzielenie ceny sprzętu i ceny usług (subskrypcka+support)

Zaznaczamy, że oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy. 

Zamawiający zastrzega sobie prawo rezygnacji z zamówienia

Wiadomości z platformy zakupowej mają charakter informacyjny.