Leírás
:
A közbeszerzés célja a MAVIR Zrt. (AK) adatközponti (DC) jellegű forgalmait ellátó virtuális tűzfalak migrációja egy új fizikai tűzfalra történő áthelyezésével, így növelve a teljes IT hálózat biztonsági szintjét és a hosszú távú üzembiztos működtetést, a túlterheltség elkerülését. Elvárás, hogy az AK-ban kialakított és már széles körben használt borderless (vagyis felhasználói jogosultság alapú) hozzáférésvezérlés ezeken az új tűzfalakon is megvalósíthatónak kell lenniük. A beszerzésre kerülő tűzfalaknak mind funkcionális, mind szolgáltatás minőség szempontjából teljes mértékben illeszkednie kell az AK meglévő, IDM integrált felhasználói jogosultság alapú tűzfalszabályozási, és hozzá kapcsolódó 802.1x alapú hálózathozzáférés szabályozási rendszeréhez. Követelmény, hogy az AK meglévő gyártói konfiguráció és eseménynaplózási funkcionalitást biztosító tűzfalmenedzsment rendszeréhez való integrálhatóság. Elvárt, hogy ezen központi felügyelet esetleges meghibásodása, vagy elérhetetlenné válása esetén a tűzfalrendszer teljeskörűen menedzselhető maradjon - annak minden védelmi funkciójára kiterjedően. AK biztonsági irányelvei és üzemeltetési szempontok alapján a meglévő heterogén tűzfal és hozzájuk tartozó redundáns gyártói menedzsment megoldásait nem kívánja további gyártóval bővíteni. AK a beszerezni kívánt eszközökkel szemben a következőben leírt műszaki követelményeket fogalmazza meg, amelyek egyben az egyenértékűség feltételei is. Amennyiben az ajánlattevő a megadott referencia konfigurációktól eltérő eszközöket, vagy megoldást ajánl, azoknak műszakilag a következőkben megadott követelményrendszernek kell megfelelni. A szállítandó tűzfalakkal szemben egységesen támasztott közös műszaki követelmények: Követelmény Elvárt funkció / műszaki követelmény MK-FW-1 Redundáns AC tápegység; MK-FW-2 Támogatott hálózat illesztési módok: L3, TAP, L2 (VLAN alapú), L2 transzparens (pont-pont); MK-FW-3 Támogatott magas rendelkezésre (HA) állási módok: aktív-aktív, aktív-passzív; MK-FW-4 Magas rendelkezésreállású telepítés során a tagok közti szinkron és állapot kommunikáció külön interfészeken történő kezelése; MK-FW-5 Magas rendelkezésre állású telepítés során a tagok közti kommunikációs csatornák (szinkron és állapot) redundáns módon (funkciónkét külön tartalék HA kapcsolat) történő kezelése; MK-FW-6 Az eszközön belül a produktív síktól elválasztott, önálló forgalomirányítási táblával rendelkező menedzsment sík; MK-FW-7 Dedikált menedzsment interfész: 10 /100 Mbps, 1Gbps sebesség támogatással; MK-FW-8 Teljes körű lokális menedzsment lehetőség - az eszköz által biztosított minden szolgáltatás paraméterezhető és monitorozható legyen lokálisan; MK-FW-9 Eszközön belüli eseménynaplózási képesség, belső tárhelyre; MK-FW-10 Lokális menedzsment SSHv2 CLI és SSL titkosított GUI felületen; MK-FW-11 Központi gyártói menedzsment támogatása – paraméterezési, monitorozási és eseménynaplózási képességgel; MK-FW-12 Támogatott felhasználó azonosság (user identity) beszerzési források: Captive portal, Active Directory, Terminal server agent, Syslog forrás; MK-FW-13 Külső naplózó rendszer felé történő eseménynaplózási képesség: BSD, IETF, vagy egyedi (testreszabható) formátumban, TCP, UDP, vagy SSL protokollon; MK-FW-14 Zóna központú logika támogatása. Zóna tag lehet: interfész, interfészek csoportja, ahol az interfészek lehetnek: fizikai interfész, al-interfész, VLAN interfész, Loopback interfész, Tunnel interfész (távoli hozzáféréshez, vagy L2L tunnel-hez), SD-WAN interfész; MK-FW-15 Tunnel protokollok támogatása: IPSEC, GRE; MK-FW-16 virtuális útválasztó tábla támogatás (pl.: virtual router, vrf, stb.); MK-FW-18 Per-VLAN Spanning Tree (PVST+) BPDU újraírás támogatása; MK-FW-19 802.3ad (LACP) szabvány szerinti interfész összefogás támogatása; MK-FW-20 IPv4 és IPv6 támogatás; MK-FW-21 Dinamikus útválasztó protokollok támogatása: RIP, OSPF v2, v3; BGP; MK-FW-22 BFD protokoll támogatás; MK-FW-23 Multicast routing és hozzá kapcsolódó protokollok támogatása: PIM-SM, PIM-SSM, IGMP v1, v2, and v3; MK-FW-24 IPSEC azonosítási módok: MD5, SHA-1, SHA-256, SHA-384, SHA-512; MK-FW-25 IPSEC titkosítási algoritmusok: 3DES, AES (128-bit, 192-bit, 256-bit); MK-FW-26 maximális TCP szegmens méret (MSS) állítási lehetőség; MK-FW-27 lokális DHCP szerver szolgáltatás támogatása; MK-FW-28 DHCP továbbítási (relay) funkció támogatása; MK-FW-29 Külső hitelesítés szolgáltatók: RADIUS, TACACS+, LDAP, SAML, Kerberos; MK-FW-30 Támogatott multi faktor azonosítási források: Duo v2, Okta, RSA SecureID Access; MK-FW-31 Alkalmazás azonosításon (App-ID) alapuló forgalom szabályozási és monitorozási képesség; MK-FW-32 Fenyegetettség és Intrusion Prevention (IPS) képesség a következő védelmekkel: hálózati antivírus; hálózati antispyware, hálózati sérülékenység detektálás, command-and-control védelem, zero day fenyegetettségek elleni védelem in-line módban; MK-FW-33 TLS/SSL vizsgálat, HTTP/2, TLS 1.3; MK-FW-34 SSL bontási képesség; MK-FW-35 NAT szolgáltatások: IPv4 NAT: statikus IP, dinamikus IP, dinamikus IP és port, NAT64, NATv6; MK-FW-36 Netflow. A megajánlásra kerülő eszközöknek kompatibilisnek és támogatottnak kell lenniük a MAVIR Zrt. meglévő Palo Alto Panorama tűzfal menedzsment rendszerével, melynek segítségével a következő szolgáltatásoknak elérhetőnek kell lenni: • teljeskörű, gyártói szintű konfiguráció menedzsment. • teljeskörű, gyártói szintű központi redundáns eseménynapló gyűjtés. Nyertes ajánlattevő fő feladatai: eszközszállítás; tervezés és új eszközpark illesztése; OCP környezet és az adatközponti jellegű tűzfalak migrációja az új eszközökre; Quorum site-on tűzfalak beüzemelése. AK az új beszerzésű eszközökre egységesen (azok minden tartozékával együtt) 5 év gyártói garanciát és támogatást, valamint védelmi előfizetési szolgáltatást kíván vásárolni. A közbeszerzés tárgyának részletes leírását a műszaki leírás tartalmazza.