Техническое требование

Высокопроизводительный межсетевой экран следующего поколения с функциональностью UTM.


Наименование

Требования

Свойства и функции к требуемому функционалу предоставляемого оборудования

Должен обеспечивать многофункциональные, аппаратно ускоренные платформы (asic, application-specific integrated circuit, «интегральная схема для специфического применения») — интегральная схема, специализированная для решения конкретной задачи).

Аппаратное UTM устройство, с подпиской на сервисы: 

  - AntiVirus

  - IPS/IDS

  - AntiSpam

  - Web-фильтрация

  - Контроль приложений

  - Botnet IP/Domain.

Должен обеспечивать объединение в кластер от 2 до 4 устройств. Кластер должен функционировать в режиме активный-пассивный или активный-активный.

Должен иметь функцию сетевой экран.

Должен обеспечивать VPN соединения.

Должен иметь функцию балансировки нагрузки.

Должен обеспечивать управление трафиком traffic shaping.

Должен иметь функцию контроллера WLAN точек доступа.

Должен обеспечивать инспекцию SSL.

Должен обеспечивать динамическую маршрутизацию IPv4, IPv6.

Должен обеспечивать оптимизацию WAN-соединений

Должен обеспечивать защиту данных от утечек DLP.

Должен обеспечивать антивирусную защиту с аппаратным ускорением.

Должен обеспечивать защиту от спама (антиспам).

Должен иметь функцию предотвращения вторжений IPS с аппаратным ускорением.

Должен обеспечивать WEB фильтрацию.

Должен обеспечивать контроль приложений.

Должен поддерживать интеграцию с контроллером домена.

Должен иметь функцию Web-Proxy

Должно обеспечиваться наличие не менее 10 виртуальных доменов (полнофункциональных виртуальных utm внутри одного устройства) доступных по умолчанию.

Аппаратные характеристики

Интерфейсы должны быть не менее:

  - 8x аппаратно ускоренных GE RJ45 ports

  - 8x аппаратно ускоренных GE SFP slots

  - 2x аппаратно ускоренных 10 GE SFP+ slots

  - 2х GE RJ45 выделенный интерфейс для управления

  - 1х RJ45 консольный интерфейс

  - USB интерфейсы (режим сервер / клиент): 2 / 1

  - 2х SFP-трансивера 1000Base-SX LC
  - 2х блоков питания

Производительность
    Пропускная способность сетевого экрана Firewall(1518 byte, UDP) не менее 36 Гбит/сек. Пропускная способность не менее 33 млн пакетов в секунду IPSec VPN не менее 20 Гбит/сек. IPS не менее 11 Гбит/сек. Одновременных сессий не менее 8 млн. Новых сессий не менее 300 000 сессий/сек. Количество политик Firewall не менее 10 000. Задержка сетевого экрана Firewall (для udp пакета 64 байта) не более 2 микросекунд. Возможность управления в качестве WIFI контроллера не менее чем 512 точки доступа. Неограниченная пользовательская лицензия.

Описание модулей

Модуль антивирусной защиты/обнаружения и уничтожения червей должен имеет следующие возможности:

- Проверка HTTP, SMTP, POP3, IMAP, FTP-протоколов и 

  IM-службы, проверка зашифрованных VPN-туннелей.

- Автоматическая “оперативная доставка” обновлений 

  антивирусный баз.

- Помещение инфицированных сообщений на карантин.

- Блокирование в зависимости от размера файла.

- Блокирование в зависимости от типа файла.

Сетевые функции

-  Должен поддерживать соединений множества WAN-сетей.

-  Должен поддерживать PPPoE-протокола.

-  Должен поддерживать DHCP-протокола в конфигурации Клиент/Сервер.

-  Должен поддерживать маршрутизацию на основе политик.

-  Должен поддерживать Динамическую маршрутизацию (RIP v1 и v2, OSPF, BGP, Multicast).

-  Должен поддерживать множества зон.

-  Должен поддерживать маршрутизацию между зонами.

-  Должен поддерживать маршрутизацию между виртуальными сетями.

Администрирование/управление

-  Должен поддерживать управление на основе ролей.

-  Должен поддерживать несколько уровней администраторов и пользователей.

-  Должен поддерживать обновление и изменение через TFTP-протокол и web-интерфейс пользователя.

-  Должен поддерживать возврат к предыдущему состоянию в системном программном обеспечении.

Аутентификация пользователей

-  Должен имеет встроенную база данных.

-  Должен поддерживать внешнюю базу данных RADIUS/LDAP.

-  Должен поддерживать привязку по IP/MAC-адресу.

- Xauth через RADIUS для IPSEC VPN-протокола.

Межсетевой экран должен имеет следующие функционалы:

- NAT, PAT, «прозрачный» (мост).

- Режим маршрутизатора (RIP v1 и v2, OSPF, BGP,

  Multicast).

- NAT на основе политик.

- Виртуальные домены (NAT/«прозрачный режим»)

- VLAN Tagging (802.1Q).

- Аутентификация на основе групп пользователей

- SIP/H.323 NAT Traversal.

- Поддержка WINS.

- Настраиваемые профили защиты.

VPN

- Должен поддерживать PPTP, IPSec и SSL.

- Должен поддерживать шифрование (DES, 3DES, AES).

- Должен поддерживать аутентификацию SHA-1 / MD5.

- Должен поддерживать сквозной VPN-клиент PPTP, L2TP.

- Должен поддерживать иерархических (hub and spoke) VPN-

  соединений.

- Должен поддерживать аутентификация по IKE сертификату.

- Должен поддерживать протокол IPSec NAT Traversal.

- Должен поддерживать механизм Dead Peer Detection.

Фильтрация web-содержимого

-  Должен поддерживать блокирование по URL/Ключевому слову/Фразе.

-  Должен поддерживать «белые» списки URL.

-  Должен поддерживать профили содержимого.

-  Должен поддерживать блокирование аплетов Java, Cookies, элементов.

- Должен поддерживать управления ActiveX.

- Должен поддерживать службы - фильтрации web-

  содержимого, интернет фильтр, файрвол и прокси.

Система предотвращения вторжений (IPS/IDS)

-  Должен поддерживать настраиваемый список сигнатур динамического обнаружения.

-  Должен поддерживать автоматическое обновление базы атак.

Модуль защиты от спама

-  Должен поддерживать «черных» списков в режиме реального

  времени/Сервер базы данных «открытых 

  ретрансляторов».

-  Должен поддерживать проверку заголовков MIME.

-  Должен поддерживать фильтрацию по ключевым словам/фразам.

-  Должен поддерживать «черных»/«белых» списков IP-адресов.

-  Должен поддерживать автоматическое, в режиме реального времени, получение обновлений из сети служб обновлений.

Протоколирование/мониторинг

-  Должен поддерживать внутреннее протоколирование.

-  Должен поддерживать отсылка протоколов на удаленный Syslog/WELF-сервер.

-  Должен поддерживать графические средства для мониторинга в реальном времени и просмотра истории.

-  Должен поддерживать уведомление о вирусах и атаках по электронной почте.

-  Должен поддерживать мониторинг VPN-туннелей.

-  Должен поддерживать опциональное протоколирование с использованием дополнительного аппаратного решения.

-  Должен поддерживать возможность хранения и обработки логов в облаке.

Формирование трафика

-  Должен поддерживать формирование трафика на основе политик.

-  Должен поддерживать настройку различных видов обслуживания разнотипного трафика.

-  Должен поддерживать режимы гарантированной/максимальной/приоритетной пропускной способности.

Proxy-server

-  Должен поддерживать функцию локального хранения Web-контента запрашиваемого пользователями для оптимизации работы полосы пропускания.

Гарантия и сервисная поддержка
    Оборудование должно обеспечиваться гарантией от производителя сроком не меньше 12 месяцев. Условия гарантии должны включать в себя возможность обращения запросов в техническую поддержку производителя с помощью веб-портала, системы онлайн чата и по телефону, регистрации сервисных случаев, замены оборудования в случае его выхода из строя, обновления микрокода системы и версии установленного ПО. Сервисная поддержка должна включать в себя возможность получения актуальных репутационных баз данных, баз данных антивирусных сигнатур и сигнатур для системы предотвращения вторжений

Дополнительные условия для участника поставки оборудования.

Доставка, монтаж, инсталлирование и настройка системы в рабочую среду банка «под ключ».

Обучение двух сотрудников по администрированию файрвола на уровне учебного заведения с выдачой сертификата обучающему.

Предоставляемая международная стандартная гарантия 3 года.

Сервисное обслуживание в период гарантии в сервисном центре г. Ташкента.

Сертификация в УзГостандарте.

Официальное письмо от производителя с датой выпуска товара с указанием серийных номеров, предоставляется копия в момент поставки.

Авторизация от производителя поставляемого межсетевого экрана.

Цены указать в Национальной валюте Республики Узбекистан – СУМ

Предоплата не более 50% от суммы договора

Срок поставки до 30 банковских дней с момента дня предоплаты.