Технические требования на закупку программно-аппаратного комплекса DNS

Требование

Описание

Предлагаемая система должна быть выполнена в виде программно-аппаратного комплекса(ПАК).

Полное решение по обеспечению потребностей компании в кэширующих серверах DNS должно включать в себя надежную аппаратную платформу и программное обеспечение, отвечающее современным требованиям и поддерживающее возможность дальнейшей модернизации и расширения.

Программно-аппаратный комплекс должен иметь примеры практических внедрений у операторов связи, предоставляющих услуги ШПД для частных пользователей и корпоративных клиентов.

Поставщик программно-аппаратного комплекса должен иметь в России квалифицированных специалистов, развитую партнерскую сеть (как минимум три партнера, предлагающих решения поставщика), обширную базу знаний и на этой основе предоставлять услуги по локализации сложных, нетиповых проблем, требующих глубокой экспертной проработки, а так же осуществлять техническую поддержку решения на русском языке.

Решение должно занимать лидирующие позиции в области предоставления сервисов DNS. Эта  должно подтверждаться независимыми исследовательскими компаниями на протяжении нескольких лет.

Поставщик программно-аппаратного комплекса должен обеспечить географическое резервирование системы.

Поставщик должен предоставить 3 программно-аппаратных географически зарезервированных комплекса, решающих след. задачи:

- Кэширующий DNS.

-Авторитативный DNS.

-Локальный DNS, совмещающий функции кэширующего и авторитативного.

Предлагаемая система должна быть построена на специализированной аппаратной платформе.

Предлагаемое решение должно иметь возможность построения отказоустойчивой системы с полным резервированием HA (high availability) для всего набора функций.

Программно-аппаратный комплекс должен иметь встроенный аппаратный ускоритель обработки кэшированных DNS-записей (cache acceleration card), позволяющий обеспечить очень высокую скорость и малую задержку обработки DNS-запросов.

Программно-аппаратный комплекс должен быть выполнен с резервированием по блокам питания, вентиляторам и дискам.

Аппаратная платформа программно-аппаратного комплекса должна быть укомплектована резервным блоком питания. Блоки питания должны работать от источника переменного напряжения 220В.

Программно-аппаратный комплекс должен обеспечивать возможность монтажа в коммуникационной 19-ти дюймовой стойке

Высота программно-аппаратного комплекса должна быть не более 2RU

Должна быть предусмотрена возможность работы блоков питания программно-аппаратного комплекса от источников постоянного тока

Программно-аппаратный кэширующий комплекс должен иметь возможность одновременно открывать и поддерживать не менее 64-х тысяч сокетов для установления соединений с внешними узлами. При этом должна поддерживаться возможность динамической настройки данного параметра.

Программно-аппаратный кэширующий комплекс должен иметь не менее двух 10G интерфейсов с возможностью объединения их в Etherchannel.

Все ПАК должны иметь отдельные интерфейсы управления.

Система должна обеспечивать минимальное время ответа на клиентские dns запросы (не более 5мс для данных из кэша, не более 200 мс, для запросов, требующих recursion) в равной степени как и минимальное время трансфера зон.

Программно-аппаратный комплекс должен поддерживать Anycast для BGPv6, BGPv4,VLAN, работа в VPN окружении.

Система должна поддерживать протокол DNSSEC

Система должна поддерживать динамически настраиваемый размер кэша.

Программно-аппаратный кэширующий комплекс  должен быть в состоянии обрабатывать не менее 1 000 000 DNS-запросов в секунду на одном сервере.

Авторитативный и локальный ПАК  должен обеспечивать скорость обработки не менее 50000 запросов в секунду.

Программно-аппаратный комплекс должен предоставлять статистику по следующим параметрам:

DNS Cache Hit Ratio (CHR) DNS query rate Типам запросов (query type A, MX, SOA …) Типам ответов (answer type) Времени ответа (reply time) Установленным флагам (query flags) Очереди (DNS Queue) Кол-ву открытых/закрытых сокетов Используемой памяти, процессорному времени, размеру кэша, температуры (системы, cpu).

Вся предоставляемая статистика должна быть доступна по snmp (v2/v3), через web-интерфейс и в виде текстовых файлов.

Программно-аппаратный кэширующий и локальний комплекс должен поддерживать не менее 6-ти экземпляров зоны DNS (DNS View) и не менее 6 DNS ZONE

Для авторитативных ПАК не менее десяти тысяч  прямых и обратных зон и не менее 100 view.

Система должна поддерживать все, существующие типы записей DNS:

A Record AAAA Record TXT Record

И другие

Программно-апаратный комплекс должен поддерживать протоколы snmp версии 2 и snmp версии 3, с возможностью получения по этим протоколам максимального количества рабочих характеристик и значений по элементам запущенных на системе сервисов.

Программно-аппаратный комплекс должен поддерживать следующую функциональность IPv6:

DNS через IPv6 IPv6 address на loopback интерфейсе Доступ к CLI (SSH) через IPv6 Доступ к GUI через IPv6 Отсылка SNMP traps/info через IPv6 Работа с запросами SNMP через IPv6 Отсылка сообщений на внешний сервер syslog через IPv6 Email relay через IPv6 BGPv6 Статические IPv6 маршруты

Программно-аппаратный комплекс должен поддерживать NXDOMAIN Redirection

Программно-аппаратный комплекс должен поддерживать следующую функциональность IPv4:

DNS через Ipv4 IPv4 address на loopback интерфейсе Доступ к CLI (SSH) через IPv4 Доступ к GUI через IPv4 Отсылка SNMP traps/info через IPv4 Работа с запросами SNMP через IPv4 Отсылка сообщений на внешний сервер syslog через IPv4 Email relay через Ipv4 Статические Ipv4 маршруты BGPv4

Программно-аппаратный кэширующий и авторитативный комплекс должен иметь защиту от следующих атак:

“Man-in-the-Middle” “Cache Poisoning” Distributed Denial of Service (DDoS) DNS amplification Reflection attack Reconnaissance attack Protocol anomalies DNS tunnel attack DNS hijacking Phantom domain

Программно-аппаратный комплекс должен иметь защиту, реализованную на аппаратном уровне, от следующих DDOS атак:

TCP-SYN Flood UDP Flood Spoofed Source Addresses (Land Attack)

Программно-аппаратный комплекс должен позволять добавлять доменные имена в черный список (blacklist).

Система должна иметь простой web/cli интерфейс для реализации данного функционала.

Программно-аппаратный комплекс должен поддерживать блокировку доступа к сервису DNS для определенных IP-адресов(ACL)

Программно-аппаратный комплекс должен обеспечивать обнаружение вредоносного ПО и, по необходимости, ограничение доступа по скомпрометированным DNS-именам и IP-адресам. Список скомпрометированных узлов должен обновляться автоматически из публичных источников или источников предлагаемых поставщиком решения.

Программно-аппаратный комплекс должен иметь возможность отслеживать аномалии в поведении отдельных пользователей и реагировать на них, частично или полностью ограничивая доступ к DNS

Программно-аппаратный комплекс должен вести логирование клиентских DNS запросов, с возможностью настройки параметров логирования (более подробно/ менее подробно), настройки ротации логов, должен иметь достаточный запас дискового пространства для хранения логов без сжатия.

Система должна поддерживать кириллические домены. Администрирование кириллических зон должно осуществляться с использованием символов кириллицы, а не в формате Punycode.

Система должна уметь функционировать в multi-vpn окружении с пересекающимися адресными пространствами.

Система должна уметь осуществлять форвардинг зон.

ПАК должен уметь поддерживать отнешение Master Slave между Name Серверами, осуществлять трансфер зон, накладывать ограничения на трансфер как в IPv4 так и в IPv6 адресном пространствах.

Система должна поддерживать следующие типы зон: прямые, обратные; следующие виды зон: master, slave, forwarding

Система должна иметь систему автоматической миграцию зон с существующих DNS серверов (BIND, INFOBLOX), а так же иметь удобный пользовательский интерфейс для автоматического заведения прямых и обратных зон по маске.

Система должна поддерживать скриптовые языки языки программирования (shell, awk, sed, python, tcl, expect) для обеспечения возможности автоматизации управления и настройки, в частности заведения прямых и обратных зон.

Управление данными и сервисами ПАК всех видов должно осуществляться через одинаковый графический интерфейс.

Также должна быть возможность управления и конфигурации системы через cli по протоколу ssh версии 2, с возможностью просмотра и редактирования конфигурационных файлов, вывода на дисплей всех текущих настроек, рабочих параметров и параметров запущенных на системе сервисов.

Система должна поддерживать передачу логов на несколько внешних серверов хранения.

Передача логов должна поддерживаться не только по UDP, но и по TCP протоколу.

Система должна уметь осуществлять контроль за действиями администратора с записью событий в логах.

Система не должна допускать наличия обезличенного суперпользователя с неограниченными правами

Удаленное управление системой и обмен данными между разными элементами системы должно осуществляться по шифрованному каналу.

Система должна иметь парольную защиту.

Система должна позволять создание пользователей с различными правами доступа.

Управление правами доступа должно быть ограничено только для авторизованных пользователей. Только пользователи с правами администратора должны иметь доступ к управлению правами.

Система должна фиксировать в журнале все действия пользователей, связанные с изменением конфигурации.

Графический интерфейс должен обеспечивать разные уровни доступа, в том числе для пользователей с правами создавать/модифицировать учетные записи пользователей Системы

Система должна активно развиваться, периодичность выхода новых версий (минорных или мажорных) должна быть не менее 2 раз в год. Производитель должен предоставить планы по развитию системы на 2016-2017 год.

Система должна поставляться вместе с API, чтобы системные администраторы могли производить необходимые настройки системы для интеграции с существующим оборудованием.

API должен быть хорошо документирован и содержать примеры работы. Поставщик должен продемонстрировать возможности API.

Система должна иметь возможность расширения функционала при помощи установки дополнительных лицензий.