ANEXO I TERMO DE REFERÊNCIA. DIT/GIE Termo de Referência Firewall 1/23

ANEXO I TERMO DE REFERÊNCIA DIT/GIE Termo de Referência Firewall 1/23

TERMO DE REFERÊNCIA OBJETO / ESPECIFICAÇÕES TÉCNICAS / QUANTIDADE 1. OBJETO: 1.1 Aquisição de Firewalls Appliance (hardware dedicado) com throughput de 300 Mbps, incluindo sistema de segurança do tipo IDS (Intrusion Detection System), IPS (Intrusion Prevention System), bem como suporte instalação e assistência técnica especializada e com opção de licenças de gateway de antivírus e antispyware e filtro de conteúdo. 1.2 Aquisição de Firewalls Appliance (hardware dedicado) com throughput de 1 Gbps, incluindo sistema de segurança do tipo IDS (Intrusion Detection System), IPS (Intrusion Prevention System), bem como suporte instalação e assistência técnica especializada e com opção de licenças de gateway de antivírus e antispyware e filtro de conteúdo. 1.3 Aquisição de Firewalls Appliance (hardware dedicado) com throughput de 5 Gbps, incluindo sistema de segurança do tipo IDS (Intrusion Detection System), IPS (Intrusion Prevention System), bem como suporte instalação e assistência técnica especializada e com opção de licenças de gateway de antivírus e antispyware e filtro de conteúdo. 1.4 Aquisição de licenças de filtro de conteúdo e gateway antivírus/antispyware, compatíveis com os equipamentos descritos nos itens 1.1, 1.2 e 1.3 acima. 1.5 Aquisição de ferramenta de gerenciamento e administração de firewalls compatível com os equipamentos nos itens 1.1, 1.2 e 1.3 acima. 1.6 Aquisição de licenças para ferramenta de gerenciamento e administração de firewall prevista no item 1.5 acima. 2. ESPECIFICAÇÃO TÉCNICA 2.1. FIREWALL 300 Mbps Quantidade: XX (XX) equipamentos 2.1.1. TIPO DE FIREWALL: Firewall appliance (hardware), baseado na tecnologia Stateful Inspection, com funcionalidade de operação em modo de Alta Disponibilidade e licença de IDS/IPS inclusas no fornecimento. 2.1.2. Deverá operar com os protocolos IPv4 e IPv6 simultaneamente. O desempenho deverá ser semelhante para ambos os protocolos em termos de entrada, saída e rendimento do fluxo de dados, transmissão e processamento de pacotes; 2.1.2.1. O firewall deverá permitir a tradução de IPv4 para IPv6 bem como IPv6 para IPv4; DIT/GIE Termo de Referência Firewall 2/23

2.1.2.2. O suporte ao protocolo IPv6 deverá ser evidenciado e comprovado através da certificação IPv6 Ready Logo. 2.1.2.3. Os equipamentos que não foram submetidos aos procedimentos de teste do programa IPv6 Ready, deverão estar em conformidade com as RFCs listadas abaixo: RFC2460 - Internet Protocol, Version 6 (IPv6) Specification RFC4291 - IP Version 6 Addressing Architecture RFC3484 - Default Address Selection for Internet Protocol version 6 (IPv6) RFC4443 - Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification RFC4862 - IPv6 Stateless Address Autoconfiguration RFC1981 - Path MTU Discovery for IP version 6 RFC4861 - Neighbor Discovery for IP version 6 (IPv6) RFC4213 - Basic Transition Mechanisms for IPv6 Hosts and Routers RFC4301, RFC4303, RFC4302, RFC5996 IPSEC/IKEv2 IPv6 RFC4891 - Using IPsec to Secure IPv6-in-IPv4 Tunnels. 2.1.3. Deve possuir no mínimo 03 segmentos de redes distintas, para atender as funções de: 2.1.3.1. Segmento WAN, com 01 porta padrão, Ethernet, 10/100/1000BaseT Auto-Sense; 2.1.3.1. Segmento LAN, com no mínimo 01 porta padrão, Ethernet, Lan-Switch 10/100/1000BaseT Auto-Sense; 2.1.3.2. Segmento de LAN secundária ou DMZ com no mínimo 01 porta padrão, Ethernet, 10/100/1000BaseT Auto-Sense. 2.1.4. Possuir suporte a número ilimitado de endereços IP nas redes internas. 2.1.5. Permitir a implementação de no mínimo 1000 polices. 2.1.6. Deverá suportar a criação de túneis VPN (Virtual Private Network) Site to Site e Client to Site sob o protocolo IPSec. Deverão ser inclusas gratuitamente no mínimo 20 licenças para VPN Client to Site e 10 licenças Site to Site 2.1.6.1. Os equipamentos deverão estar em conformidade com as RFCs: 6379, 5996, 5998, 6989. 2.1.6.2. Implementar "Suite-B-GCM-256" e "Suite-B-GCM-128" conforme descrito no RFC 6379 e todos os RFCs por ele referenciados. 2.1.6.3. Suporte a IKEv2 com PFS (perfect forward secrecy), conforme RFC 5996. 2.1.6.4. Implementar RFC 6311 (IKEv2 secure HA clustering). DIT/GIE Termo de Referência Firewall 3/23

2.1.7. Possuir performance de firewall Statefull Inspection de no mínimo 300Mbps, operando tanto em IPv4 como em IPv6; 2.1.8. Possuir recurso habilitado incluso de IDS e IPS interno, capaz de detectar e evitar automaticamente (no mínimo), IP Source Spoofing, IP Source Routing, Tunel IPsec e ataques tipo DoS (Denial-of-Service) como Ping of Death, SYN Flood, LAND Attack, IP Spoofing, com a possibilidade de se atualizar as assinaturas automaticamente e carregar as novas sem interrupção, através da atualização do software de sistema operacional do equipamento (appliance); 2.1.9. Implementar recurso de NAT (network address translation) do tipo um-paraum (one-to-one), muitos-para-um (many-to-one) e muitos-para-muitos (manyto-many) e tradução simultânea de endereço IP e porta TCP de conexão (NAPT). 2.1.10. Possuir DHCP Server e cliente interno. 2.1.11. Possibilitar o acesso via interface WEB, nos modos HTTP e/ou HTTPS, inclusive via interface WAN, para a configuração e administração remota, com total capacidade de administração sobre o sistema, utilizando somente navegadores WEB (Internet Explorer, Firefox, Opera, Chrome etc), sem a necessidade de instalação ou utilização de módulos de extensão (plug-ins, add-ons, applets Java etc) ou outros componentes. 2.1.12. Suportar protocolo NTP para sincronismo de relógio do equipamento. 2.1.13. Suportar o protocolo SNMP, para checagem de status e TRAP para envio e notificação de alarmes. 2.1.14. Possibilitar a especificação de política por tempo, ou seja, permitir a definição de regras para determinado horário ou período (dia da semana e hora). 2.1.15. Suportar NAT nos dois segmentos internos. 2.1.16. Deve possuir suporte a protocolo de roteamento dinâmico OSPF e permitir a configuração de rotas estáticas. 2.1.17. Permitir a definição de rotas de tráfego baseadas em regras definidas por: port de serviço (TCP/UDP), endereço IP de origem ou destino e interface de saída; 2.1.18. Deve possuir fonte de alimentação operando nas tensões 110/220 V, com seleção automática de voltagem e freqüência de 50/60 Hz. 2.1.19. Possuir suporte a NAT simétrico.; 2.1.20. Possuir estatística de utilização de CPU e memória do firewall. DIT/GIE Termo de Referência Firewall 4/23

2.1.21. Possuir capacidade de criar entradas ARP estáticas para fixação de endereço IP com um número MAC específico. 2.1.22. Deverá permitir backup remoto de configuração. 2.1.23. Capacidade de enviar e armazenar logs e eventos em um servidor remoto via protocolo syslog ou SNMP. 2.1.24. Deverá possuir a função de TOLERANCIA A FALHAS (Alta Disponibilidade, no modo Ativo/Passivo e/ou Ativo/Ativo) entre equipamentos do mesmo modelo, de forma a garantir que, se um dos firewalls parar de funcionar, o outro deverá assumir automaticamente, suportando todo o tráfego. 2.1.25. Suporte a ativação de filtro de conteúdo por URL (com atualização automática da base de dados, por palavra, categorias e no minimo 40 categorias e filtro por grupos de usuários, que podem ser definidos por: 2.1.25.1. Contas de usuários em ambiente Active Directory; 2.1.25.2. Registros em base de dados LDAP, acessíveis sobre canal plaintext ou sobre camada criptografada (SSL, TLS ou equivalente); 2.1.25.3. Endereços IP; 2.1.25.4. Os recursos de filtro de conteúdo serão opcionais, habilitados mediante a aquisição de licenças descritas no item 2.1.28; 2.1.26. Deverá suportar recursos de gateway de antivirus/antispyware atuando no tráfego da interface, no mínimo para os protocolos HTTP, SMTP, POP3, IMAP e FTP, com atualização automática e gratuita da base de dados Vírus. 2.1.26.1. Os recursos de gateway de antivírus/antispyware serão opcionais, habilitados mediante a aquisição de licenças descritas no item 2.1.31; 2.1.27. AntiSpyware: 2.1.27.1. Proíbir downloads de spywares (incluindo downloads indesejados); 2.1.27.2. Bloquear acesso a sites de spywares ; 2.1.27.3. Detectar acessos de spywares a Internet ; 2.1.27.4. Facilitar a remoção de spywares ; 2.1.27.5. Inspeção de conteúdo; 2.1.27.6. Atualização automática e gratuita da base de dados. 2.1.28. O firewall não deve possuir nenhum dispositivo de hardware ou software que permita acesso remoto não autorizado, que comprometa o funcionamento do gerador de números aleatórios, que exponha material secreto (como chaves privadas), ou que de alguma forma reduza a segurança ou a privacidade de conexões cifradas; 2.1.29. O Firewall não deve, sob nenhuma hipótese, utilizar gerador de números aleatórios baseado apenas em funções matemáticas e processos determinísticos, sendo obrigatória a utilização de gerador de números DIT/GIE Termo de Referência Firewall 5/23

aleatórios constantemente ou periodicamente realimentado por processos físicos inerentemente não determinísticos, devidamente submetidos a processo de debiasing e whitening; 2.1.30. O firewall não deve, sob nenhuma hipótese, utilizar o gerador de números aleatórios Dual_EC_DRBG (NIST SP 800-90); 2.1.31. LICENÇAS DE FILTRO DE CONTEÚDO E GATEWAY ANITIVIRUS/ANTISPYWARE. Quantidade: xxx (xxx) licenças 2.1.31.1. As licenças devem ser capazes de habilitar os recursos de filtro de conteúdo e gateway antivírus/antispyware descritas nos itens 2.1.25, 2.1.26 e 2.1.27; 2.1.31.2. Deverão permitir atualização gratuita e automática; 2.1.31.3. Deverão permitir a utilização por número indefinido de usuários ou endereços IP; 2.1.31.4. Estão inclusos os serviços de instalação e configuração dos equipamentos, bem como serviços de suporte constante no edital; 2.1.31.5. As licenças deverão ser auto-suficientes para cada aquisição, isto é, devem permitir a habilitação dos recursos sem que haja necessidade de novas aquisições; 2.1.31.6. As licenças deverão ser válidas por um prazo mínimo de 36 meses, com renovação automática ou por intermédio do fornecimento gratuito de novas licenças quando da expiração das mesmas; 2.1.32. FERRAMENTA DE GERENCIAMENTO E ADMINISTRAÇÃO DE FIREWALL. Quantidade: 1 (Uma) unidade A aquisição da ferramenta de gerenciamento e administração de firewall é opcional, não estando diretamente ligada à aquisição de firewalls e deve atender as seguintes demandas: 2.1.32.1. Permitir configuração, acompanhamento e implementação centralizados, capaz de possibilitar aos administradores, definir, distribuir e implementar um amplo número de serviços, atualizações e política de segurança para os firewall gerenciados pela solução; 2.1.32.2. Permiter backup de configuração de sistemas (regras), aplicação de Patches e novas atualizações de softwares, gerenciamento de modificações e análise de logs; 2.1.32.3. Permitir a visão do status atual dos firewall, relatórios gráficos e atividades de rede por firewall; DIT/GIE Termo de Referência Firewall 6/23

2.1.32.4. Possibilitar monitoramento por análise de dados ou por falhas, incluindo status do firewall e dos túneis VPN em tempo real; 2.1.32.5. Permitir a visualização do gerenciamento e dos relatórios através de interfaces gráficas; 2.1.32.6. Possibilitar o envio de alertas e notificações por e-mail; 2.1.32.7. Possibilitar notificação e Log das tentativas de ataques; 2.1.32.8. Permitir a configuração de mais de um perfil de administrador e suas respectivas permissões; 2.1.32.9. Caso a solução seja composta somente por software, deve ser compatível, no mínimo, com Windows 2008 Server R2 Standard. Caso a solução seja compatível com outro sistema operacional, a licença deverá ser fornecida. 2.1.33. LICENÇA PARA USO DA FERRAMENTA DE GERENCIAMENTO E ADMINISTRAÇÃO DE FIREWALL. Quantidade: xxx (xxx) licenças 2.1.33.1. As licenças devem ser capazes de habilitar os recursos de gerenciamento e administração de firewall descrito nos itens 2.1.29; 2.1.33.2. Para cada compra de firewall, poderá ser contratada 1 licença para uso da ferramenta de gerenciamento e administração de firewall; 2.1.33.3. Deverão permitir atualização gratuita e automática; 2.1.33.4. Estão inclusos os serviços de instalação e configuração dos equipamentos, bem como serviços de suporte constante no edital; 2.1.33.5. As licenças deverão ser auto-suficientes para cada aquisição, isto é, devem permitir a habilitação dos recursos sem que haja necessidade de novas aquisições; 2.1.33.6. As licenças deverão ser válidas por um prazo mínimo de 36 meses, com renovação automática ou por intermédio do fornecimento gratuito de novas licenças quando da expiração das mesmas; 2.1.34. DOCUMENTAÇÃO TÉCNICA: 2.1.34.1. Deverão ser fornecidos juntamente com os produtos e licenças os manuais técnicos de referência, contendo todas as informações sobre os produtos com as instruções para instalação, configuração e operação, preferencialmente em Português (Brasil), ou, na DIT/GIE Termo de Referência Firewall 7/23

2.1.35. ITENS GERAIS: inexistência de tradução em Português, podem ser escritos em Língua Inglesa. Kit para montagem em RACK de 19 (caso necessário); Deverão ser fornecidos cabos de interconexão elétrica e rede. 2.1.36. TREINAMENTO: 2.1.36.1. Para cada compra de firewall, poderá ser contratado treinamento para 2 empregados, e deverá ser ministrado por empresa certificada e autorizada pelo fabricante. 2.1.36.2. O treinamento deverá ser ministrado dentro do município de São Paulo em ambiente próprio e dedicado para este fim, caso o treinamento seja realizado fora do município de São Paulo, a CONTRATADA será responsável pelas despesas de transporte, hospedagem e alimentação. 2.1.36.3. A carga horária mínima deverá ser de 24 horas, o treinamento deverá abranger todas as facilidades do equipamento adquirido, incluindo os recursos de filtro de conteúdo e ferramenta de gerenciamento e administração de firewall. Quantidade : xx (xx) treinamentos 2.2. FIREWALL 1 Gbps Quantidade: xx (xx) equipamentos 2.2.1. Firewall appliance (hardware), baseado na tecnologia Stateful Packet Inspection com capacidade de Deep Packet Inspection para filtragem de tráfego IP, com funcionalidade de operação em modo de Alta Disponibilidade e licença de IDS/IPS inclusas no fornecimento.; 2.2.2. Deve possuir no mínimo 06 (seis) interfaces de redes distintas, com velocidade de 10/100/1000 Mbps, autosense, compatíveis com os padrões IEEE 802.3i, IEEE 802.3u e IEEE 802.3ab; 2.2.3. Permitir a criação de, no mínimo, 50 (cinquenta) VLANs, padrão IEEE 802.1Q, definindo interfaces virtuais por identificadores de VLAN (VLAN ID tag). As interfaces virtuais devem permitir as mesmas funcionalidades das interfaces físicas, incluindo designação de zona de segurança, servidores DHCP, NAT, VPN e regras de controle de acesso 2.2.4. Deverá operar com os protocolos IPv4 e IPv6 simultaneamente. O desempenho deverá ser semelhante para ambos os protocolos em termos de entrada, saída e rendimento do fluxo de dados, transmissão e processamento de pacotes; DIT/GIE Termo de Referência Firewall 8/23

2.2.4.1. O firewall deverá permitir a tradução de IPv4 para IPv6 bem como IPv6 para IPv4; 2.2.4.2. O suporte ao protocolo IPv6 deverá ser evidenciado e comprovado através da certificação IPv6 Ready Logo. 2.2.4.3. Os equipamentos que não foram submetidos aos procedimentos de teste do programa IPv6 Ready, deverão estar em conformidade com as RFCs listadas abaixo: RFC2460 - Internet Protocol, Version 6 (IPv6) Specification RFC4291 - IP Version 6 Addressing Architecture RFC3484 - Default Address Selection for Internet Protocol version 6 (IPv6) RFC4443 - Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification RFC4862 - IPv6 Stateless Address Autoconfiguration RFC1981 - Path MTU Discovery for IP version 6 RFC4861 - Neighbor Discovery for IP version 6 (IPv6) RFC4213 - Basic Transition Mechanisms for IPv6 Hosts and Routers RFC4301, RFC4303, RFC4302, RFC5996 IPSEC/IKEv2 IPv6 RFC4891 - Using IPsec to Secure IPv6-in-IPv4 Tunnels. 2.2.5. Possuir performance de firewall Stateful Inspection de, no mínimo, 1 Gbps, operando tanto em IPv4 como em IPv6; 2.2.6. Possuir suporte a número ilimitado de endereços IP nas redes internas; 2.2.7. Permitir a implementação de no mínimo 2.000 policies; 2.2.8. Possuir capacidade para um mínimo de 100.000 conexões TCP/IP concorrentes e simultâneas; 2.2.9. Deverá permitir a configuração dos seguintes modos de operação: transparent mode, NAT mode e routing mode; 2.2.10. Permitir a criação de túneis VPN (Virtual Private Network) Site to Site e Client to Site sob o protocolo IPSec. Deverão ser inclusas gratuitamente no mínimo 200 licenças para VPN Client to Site e 100 licenças Site to Site. Deverá ser fornecido software cliente VPN IPSec, do mesmo fabricante, compatível com o modelo ofertado e compatível com sistema operacional Windows XP, Windows 7, Windows 8 ou superior; 2.2.11. Possuir performance de VPN IPsec, por appliance, de no mínimo 600 Mbps (throughput) bidirecional; DIT/GIE Termo de Referência Firewall 9/23

2.2.11.1. Os equipamentos deverão estar em conformidade com as RFCs: 6379, 5996, 5998, 6989.I 2.2.11.2. Implementar "Suite-B-GCM-256" e "Suite-B-GCM-128" conforme descrito no RFC 6379 e todos os RFCs por ele referenciados. 2.2.11.3. Suporte a IKEv2 com PFS (perfect forward secrecy), conforme RFC 5996. 2.2.11.4. Implementar RFC 6311 (IKEv2 secure HA clustering).. 2.2.12. Implementar recurso de NAT (network address translation) do tipo um-para-um (one-to-one), muitos-para-um (many-to-one) e muitos-para-muitos (many-to-many) e tradução simultânea de endereço IP e porta TCP de conexão (NAPT); 2.2.13. Possuir suporte a NAT simétrico; 2.2.14. Suportar NAT em todas as interfaces; 2.2.15. Deverá possuir a função de TOLERANCIA A FALHAS (Alta Disponibilidade), nos modos Ativo/Passivo e/ou Ativo/Ativo, com todas as licenças de software habilitadas para tal, de forma a garantir que, se um dos firewalls parar de funcionar, o outro deverá assumir automaticamente, suportando todo o tráfego e processamento; 2.2.16. Possuir recurso habilitado incluso de IDS e IPS interno, capaz de detectar e evitar automaticamente (no mínimo), IP Source Spoofing, IP Source Routing, Tunel IPsec e ataques tipo DoS (Denial-of-Service) como Ping of Death, SYN Flood, LAND Attack, IP Spoofing, com a possibilidade de se atualizar as assinaturas e carregar as novas, sem interrupção, através de atualização automática do software de sistema operacional do equipamento (appliance); 2.2.17. Deverão ser fornecidas licenças de IPS/IDS, incluindo licenças para up-dates, com atualização automática para o período contratado; 2.2.18. Possuir performance de IPS de, no mínimo, 750 Mbps (throughput); 2.2.19. Possibilitar o acesso via interface WEB, nos modos HTTP e/ou HTTPS, inclusive via interface WAN, para a configuração e administração remota, com total capacidade de administração sobre o sistema, utilizando somente navegadores WEB (Internet Explorer, Firefox, Opera, Chrome etc), sem a necessidade de instalação ou utilização de módulos de extensão (plug-ins, add-ons, applets Java etc) ou outros componentes; 2.2.20. Suportar protocolo NTP para sincronismo de relógio do equipamento; 2.2.21. Suportar o protocolo SNMP, para checagem de status e TRAP para envio e notificação de alarmes; 2.2.22. Deve possuir suporte completo a protocolos de roteamento (rotas estáticas e dinâmicas OSPF e BGP); DIT/GIE Termo de Referência Firewall 10/23

2.2.23. Permitir a definição de rotas de tráfego baseadas em regras definidas por: port de serviço (TCP/UDP), endereço IP de origem ou destino e interface de saída; 2.2.24. Possibilitar a especificação de política por tempo, ou seja, permitir a definição de regras para determinado horário ou período (dia da semana e hora); 2.2.25. Deve possuir fonte de alimentação operando nas tensões 110/220 V, com seleção automática de voltagem e freqüência de 50/60 Hz; 2.2.26. Possuir estatística de utilização de CPU e memória do firewall; 2.2.27. Possibilitar a criação de entradas ARP estáticas para fixação de endereço IP com um número MAC específico; 2.2.28. Deverá permitir backup remoto de configuração; 2.2.29. Possuir função de DHCP Server e Client interno; 2.2.30. Capacidade de enviar e armazenar logs em um servidor remoto via protocolo syslog; 2.2.31. Deverá possuir função de debug on-line, com pesquisa por endereço IP (origem/destino) identificando no mínimo, informações do cabeçalho, porta e protocolo do pacote capturado; 2.2.32. Deverá ser fornecida a versão mais recente para todos os softwares internos dos equipamentos; 2.2.33. Suporte a ativação de filtro de conteúdo por URL (com atualização automática da base de dados, por palavra, categorias e no minimo 40 categorias e filtro por grupos de usuários, que podem ser definidos por: 2.2.33.1. Contas de usuários em ambiente Active Directory; 2.2.33.2. Registros em base de dados LDAP, acessíveis sobre canal plain text ou sobre camada criptografada (SSL, TLS ou equivalente); 2.2.33.3. Endereços IP; 2.2.33.4. Os recursos de filtro de conteúdo serão opcionais, habilitados mediante a aquisição de licenças descritas no item 2.2.36; 2.2.34. Deverá suportar recursos de gateway de antivírus/antispyware atuando no tráfego da interface, no mínimo para os protocolos HTTP, SMTP, POP3, IMAP e FTP, com atualização automática e gratuita da base de dados Vírus. 2.2.34.1. Os recursos de gateway de antivírus/antispyware serão opcionais, habilitados mediante a aquisição de licenças descritas no item 2.2.39; 2.2.35. AntiSpyware: DIT/GIE Termo de Referência Firewall 11/23

2.2.35.1. Proibir downloads de spywares (incluindo downloads indesejados); 2.2.35.2. Bloquear acesso a sites de spywares ; 2.2.35.3. Detectar acessos de spywares a Internet ; 2.2.35.4. Facilitar a remoção de spywares ; 2.2.35.5. Inspeção de conteúdo; 2.2.35.6. Atualização automática e gratuita da base de dados. 2.2.36. O firewall não deve possuir nenhum dispositivo de hardware ou software que permita acesso remoto não autorizado, que comprometa o funcionamento do gerador de números aleatórios, que exponha material secreto (como chaves privadas), ou que de alguma forma reduza a segurança ou a privacidade de conexões cifradas; 2.2.37. O Firewall não deve, sob nenhuma hipótese, utilizar gerador de números aleatórios baseado apenas em funções matemáticas e processos determinísticos, sendo obrigatória a utilização de gerador de números aleatórios constantemente ou periodicamente realimentado por processos físicos inerentemente não determinísticos, devidamente submetidos a processo de debiasing e whitening; 2.2.38. O firewall não deve, sob nenhuma hipótese, utilizar o gerador de números aleatórios Dual_EC_DRBG (NIST SP 800-90); 2.2.39. LICENÇAS DE FILTRO DE CONTEÚDO E GATEWAY ANITIVIRUS/ANTISPYWARE. Quantidade: XX (XX) licenças 2.2.39.1. As licenças devem ser capazes de habilitar os recursos de filtro de conteúdo e gateway antivírus/antispyware descritas nos itens 2.2.33, 2.2.34 e 2.2.35; 2.2.39.2. Deverão permitir atualização gratuita e automática; 2.2.39.3. Deverão permitir a utilização por número indefinido de usuários ou endereços IP; 2.2.39.4. Estão inclusos os serviços de instalação e configuração dos equipamentos, bem como serviços de suporte constante no edital; 2.2.39.5. As licenças deverão ser auto-suficientes para cada aquisição, isto é, devem permitir a habilitação dos recursos sem que haja necessidade de novas aquisições; 2.2.39.6. As licenças deverão ser válidas por um prazo mínimo de 36 meses, com renovação automática ou por intermédio do fornecimento gratuito de novas licenças quando da expiração das mesmas. DIT/GIE Termo de Referência Firewall 12/23

2.2.40. FERRAMENTA DE GERENCIAMENTO E ADMINISTRAÇÃO DE FIREWALL. 2.2.41. Quantidade: 1 (Uma) unidade A aquisição da ferramenta de gerenciamento e administração de firewall é opcional, não estando diretamente ligada à aquisição de firewalls e deve atender as seguintes demandas: 2.2.41.1. Permitir configuração, acompanhamento e implementação centralizados, capaz de possibilitar aos administradores, definir, distribuir e implementar um amplo número de serviços, atualizações e política de segurança para os firewall gerenciados pela solução; 2.2.41.2. Permitir backup de configuração de sistemas (regras), aplicação de Patches e novas atualizações de softwares, gerenciamento de modificações e análise de logs; 2.2.41.3. Permitir a visão do status atual dos firewall, relatórios gráficos e atividades de rede por firewall; 2.2.41.4. Possibilitar monitoramento por análise de dados ou por falhas, incluindo status do firewall e dos túneis VPN em tempo real; 2.2.41.5. Permitir a visualização do gerenciamento e dos relatórios através de interfaces gráficas; 2.2.41.6. Possibilitar o envio de alertas e notificações por e-mail; 2.2.41.7. Possibilitar notificação e Log das tentativas de ataques; 2.2.41.8. Permitir a configuração de mais de um perfil de administrador e suas respectivas permissões; 2.2.41.9. Caso a solução seja composta somente por software, deve ser compatível, no mínimo, com Windows 2008 Server R2 Standard. Caso a solução seja compatível com outro sistema operacional, a licença deverá ser fornecida. 2.2.42. LICENÇA PARA USO DA FERRAMENTA DE GERENCIAMENTO E ADMINISTRAÇÃO DE FIREWALL. DIT/GIE Termo de Referência Firewall 13/23

Quantidade: XX (XX) licenças 2.2.42.1. As licenças devem ser capazes de habilitar os recursos de gerenciamento e administração de firewall descrito nos itens 2.2.40; 2.2.42.2. Para cada compra de firewall, poderá ser contratada 1 licença para uso da ferramenta de gerenciamento e administração de firewall; 2.2.42.3. Deverão permitir atualização gratuita e automática; 2.2.42.4. Estão inclusos os serviços de instalação e configuração dos equipamentos, bem como serviços de suporte constante no edital; 2.2.42.5. As licenças deverão ser auto-suficientes para cada aquisição, isto é, devem permitir a habilitação dos recursos sem que haja necessidade de novas aquisições; 2.2.42.6. As licenças deverão ser válidas por um prazo mínimo de 36 meses, com renovação automática ou por intermédio do fornecimento gratuito de novas licenças quando da expiração das mesmas; 2.2.43. DOCUMENTAÇÃO TÉCNICA: 2.2.43.1. Deverão ser fornecidos juntamente com os produtos e licenças os manuais técnicos de referência, contendo todas as informações sobre os produtos com as instruções para instalação, configuração e operação, preferencialmente em Português (Brasil), ou, na inexistência de tradução em Português, podem ser escritos em Língua Inglesa. 2.2.44. ITENS GERAIS: Kit para montagem em RACK de 19 (caso necessário); Deverão ser fornecidos cabos de interconexão elétrica e rede. 2.2.45. TREINAMENTO: 2.2.45.1. Para cada compra de firewall, poderá ser contratado treinamento para 2 empregados, e deverá ser ministrado por empresa certificada e autorizada pelo fabricante. 2.2.45.2. O treinamento deverá ser ministrado dentro do município de São Paulo em ambiente próprio e dedicado para este fim, caso o treinamento seja realizado fora do município de São Paulo, a CONTRATADA será responsável pelas despesas de transporte, hospedagem e alimentação. DIT/GIE Termo de Referência Firewall 14/23

2.2.45.3. A carga horária mínima deverá ser de 24 horas, o treinamento deverá abranger todas as facilidades do equipamento adquirido, incluindo os recursos de filtro de conteúdo e ferramenta de gerenciamento e administração de firewall. Quantidade: XX (XX) treinamentos para 02 (duas) pessoas. 2.3. FIREWALL 5 Gbps Quantidade: xx (xx) equipamentos 2.3.1. Firewall appliance (hardware), baseado na tecnologia Stateful Packet Inspection com capacidade de Deep Packet Inspection para filtragem de tráfego IP, com funcionalidade de operação em modo de Alta Disponibilidade e licença de IDS/IPS inclusas no fornecimento.; 2.3.2. Deve possuir no mínimo 08 (oito) interfaces de redes distintas, com velocidade de 10/100/1000 Mbps, autosense, compatíveis com os padrões IEEE 802.3i, IEEE 802.3u e IEEE 802.3ab; 2.3.3. Permitir a criação de, no mínimo, 500 (quinhentas) VLANs, padrão IEEE 802.1Q, definindo interfaces virtuais por identificadores de VLAN (VLAN ID tag). As interfaces virtuais devem permitir as mesmas funcionalidades das interfaces físicas, incluindo designação de zona de segurança, servidores DHCP, NAT, VPN e regras de controle de acesso 2.3.4. Deverá operar com os protocolos IPv4 e IPv6 simultaneamente. O desempenho deverá ser semelhante para ambos os protocolos em termos de entrada, saída e rendimento do fluxo de dados, transmissão e processamento de pacotes; 2.3.4.1. O firewall deverá permitir a tradução de IPv4 para IPv6 bem como IPv6 para IPv4; 2.3.4.2. O suporte ao protocolo IPv6 deverá ser evidenciado e comprovado através da certificação IPv6 Ready Logo; 2.3.4.3. Os equipamentos que não foram submetidos aos procedimentos de teste do programa IPv6 Ready, deverão estar em conformidade com as RFCs listadas abaixo: RFC2460 - Internet Protocol, Version 6 (IPv6) Specification RFC4291 - IP Version 6 Addressing Architecture RFC3484 - Default Address Selection for Internet Protocol version 6 (IPv6) RFC4443 - Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification DIT/GIE Termo de Referência Firewall 15/23

RFC4862 - IPv6 Stateless Address Autoconfiguration RFC1981 - Path MTU Discovery for IP version 6 RFC4861 - Neighbor Discovery for IP version 6 (IPv6) RFC4213 - Basic Transition Mechanisms for IPv6 Hosts and Routers RFC4301, RFC4303, RFC4302, RFC5996 IPSEC/IKEv2 IPv6 RFC4891 - Using IPsec to Secure IPv6-in-IPv4 Tunnels. 2.3.5. Possuir performance de firewall Stateful Inspection de, no mínimo, 5 Gbps, operando tanto em IPv4 como em IPv6; 2.3.6. Possuir suporte a número ilimitado de endereços IP nas redes internas; 2.3.7. Permitir a implementação de no mínimo 10.000 policies; 2.3.8. Possuir capacidade para um mínimo de 750.000 conexões TCP/IP concorrentes e simultâneas; 2.3.9. Deverá permitir a configuração dos seguintes modos de operação: transparent mode, NAT mode e routing mode; 2.3.10. Permitir a criação de túneis VPN (Virtual Private Network) Site to Site e Client to Site sob o protocolo IPSec. Deverão ser inclusas gratuitamente no mínimo 200 licenças para VPN Client to Site e 100 licenças Site to Site. Deverá ser fornecido software cliente VPN IPSec, do mesmo fabricante, compatível com o modelo ofertado e compatível com sistema operacional Windows XP, Windows 7, Windows 8 ou superior; 2.3.11. Possuir performance de VPN IPsec, por appliance, de no mínimo 800 Mbps (throughput) bidirecional; 2.3.11.1. Os equipamentos deverão estar em conformidade com as RFCs: 6379, 5996, 5998, 6989.I 2.3.11.2. Implementar "Suite-B-GCM-256" e "Suite-B-GCM-128" conforme descrito no RFC 6379 e todos os RFCs por ele referenciados. 2.3.11.3. Suporte a IKEv2 com PFS (perfect forward secrecy), conforme RFC 5996. 2.3.11.4. Implementar RFC 6311 (IKEv2 secure HA clustering).. 2.3.12. Implementar recurso de NAT (network address translation) do tipo um-para-um (one-to-one), muitos-para-um (many-to-one) e muitos-para-muitos (many-to-many) e tradução simultânea de endereço IP e porta TCP de conexão (NAPT); 2.3.13. Possuir suporte a NAT simétrico; 2.3.14. Suportar NAT em todas as interfaces; DIT/GIE Termo de Referência Firewall 16/23

2.3.15. Deverá possuir a função de TOLERANCIA A FALHAS (Alta Disponibilidade), nos modos Ativo/Passivo e/ou Ativo/Ativo, com todas as licenças de software habilitadas para tal, de forma a garantir que, se um dos firewalls parar de funcionar, o outro deverá assumir automaticamente, suportando todo o tráfego e processamento; 2.3.16. Possuir recurso habilitado incluso de IDS e IPS interno, capaz de detectar e evitar automaticamente (no mínimo), IP Source Spoofing, IP Source Routing, Tunel IPsec e ataques tipo DoS (Denial-of-Service) como Ping of Death, SYN Flood, LAND Attack, IP Spoofing, com a possibilidade de se atualizar as assinaturas e carregar as novas, sem interrupção, através de atualização automática do software de sistema operacional do equipamento (appliance); 2.3.17. Deverão ser fornecidas licenças de IPS/IDS, incluindo licenças para up-dates, com atualização automática para o período contratado; 2.3.18. Possuir performance de IPS de, no mínimo, 2 Gbps (throughput); 2.3.19. Possibilitar o acesso via interface Web, nos modos HTTP e/ou HTTPS, inclusive via interface WAN, para a configuração e administração remota, com total capacidade de administração sobre o sistema, utilizando somente navegadores WEB (Internet Explorer, Firefox, Opera, Chrome etc), sem a necessidade de instalação ou utilização de módulos de extensão (plug-ins, add-ons, applets Java etc) ou outros componentes; 2.3.20. Suportar protocolo NTP para sincronismo de relógio do equipamento; 2.3.21. Suportar o protocolo SNMP, para checagem de status e TRAP para envio e notificação de alarmes; 2.3.22. Deve possuir suporte completo a protocolos de roteamento (rotas estáticas e dinâmicas OSPF e BGP); 2.3.23. Permitir a definição de rotas de tráfego baseadas em regras definidas por: port de serviço (TCP/UDP), endereço IP de origem ou destino e interface de saída; 2.3.24. Possibilitar a especificação de política por tempo, ou seja, permitir a definição de regras para determinado horário ou período (dia da semana e hora); 2.3.25. Deve possuir fonte de alimentação operando nas tensões 110/220 V, com seleção automática de voltagem e freqüência de 50/60 Hz; 2.3.26. Possuir estatística de utilização de CPU e memória do firewall; 2.3.27. Possibilitar a criação de entradas ARP estáticas para fixação de endereço IP com um número MAC específico; DIT/GIE Termo de Referência Firewall 17/23

2.3.28. Deverá permitir backup remoto de configuração; 2.3.29. Possuir função de DHCP Server e Client interno; 2.3.30. Capacidade de enviar e armazenar logs em um servidor remoto via protocolo syslog; 2.3.31. Deverá possuir função de debug on-line, com pesquisa por endereço IP (origem/destino) identificando no mínimo, informações do cabeçalho, porta e protocolo do pacote capturado; 2.3.32. Deverá ser fornecida a versão mais recente para todos os softwares internos dos equipamentos; 2.3.33. Suporte a ativação de filtro de conteúdo por URL (com atualização automática da base de dados, por palavra, categorias e no minimo 40 categorias e filtro por grupos de usuários, que podem ser definidos por: 2.3.33.1. Contas de usuários em ambiente Active Directory; 2.3.33.2. Registros em base de dados LDAP, acessíveis sobre canal plain text ou sobre camada criptografada (SSL, TLS ou equivalente); 2.3.33.3. Endereços IP; 2.3.33.4. Os recursos de filtro de conteúdo serão opcionais, habilitados mediante a aquisição de licenças descritas no item 2.3; 2.3.34. Deverá suportar recursos de gateway de antivírus/antispyware atuando no tráfego da interface, no mínimo para os protocolos HTTP, SMTP, POP3, IMAP e FTP, com atualização automática e gratuita da base de dados Vírus. 2.3.34.1. Os recursos de gateway de antivírus/antispyware serão opcionais, habilitados mediante a aquisição de licenças descritas no item 2.3.39; 2.3.35. AntiSpyware: 2.3.35.1. Proibir downloads de spywares (incluindo downloads indesejados); 2.3.35.2. Bloquear acesso a sites de spywares ; 2.3.35.3. Detectar acessos de spywares a Internet ; 2.3.35.4. Facilitar a remoção de spywares ; 2.3.35.5. Inspeção de conteúdo; 2.3.35.6. Atualização automática e gratuita da base de dados. 2.3.36. O firewall não deve possuir nenhum dispositivo de hardware ou software que permita acesso remoto não autorizado, que comprometa o funcionamento do gerador de números aleatórios, que exponha material secreto (como chaves privadas), ou que de alguma forma reduza a segurança ou a privacidade de conexões cifradas; DIT/GIE Termo de Referência Firewall 18/23

2.3.37. O Firewall não deve, sob nenhuma hipótese, utilizar gerador de números aleatórios baseado apenas em funções matemáticas e processos determinísticos, sendo obrigatória a utilização de gerador de números aleatórios constantemente ou periodicamente realimentado por processos físicos inerentemente não determinísticos, devidamente submetidos a processo de debiasing e whitening; 2.3.38. O firewall não deve, sob nenhuma hipótese, utilizar o gerador de números aleatórios Dual_EC_DRBG (NIST SP 800-90); 2.3.39. LICENÇAS DE FILTRO DE CONTEÚDO E GATEWAY ANITIVIRUS/ANTISPYWARE. Quantidade: XX (XX) licenças 2.3.39.1. As licenças devem ser capazes de habilitar os recursos de filtro de conteúdo e gateway antivírus/antispyware descritas nos itens 2.3.33, 2.3.34 e 2.3.35; 2.3.39.2. Deverão permitir atualização gratuita e automática; 2.3.39.3. Deverão permitir a utilização por número indefinido de usuários ou endereços IP; 2.3.39.4. Estão inclusos os serviços de instalação e configuração dos equipamentos, bem como serviços de suporte constante no edital; 2.3.39.5. As licenças deverão ser auto-suficientes para cada aquisição, isto é, devem permitir a habilitação dos recursos sem que haja necessidade de novas aquisições; 2.3.39.6. As licenças deverão ser válidas por um prazo mínimo de 36 meses, com renovação automática ou por intermédio do fornecimento gratuito de novas licenças quando da expiração das mesmas. 2.3.40. FERRAMENTA DE GERENCIAMENTO E ADMINISTRAÇÃO DE FIREWALL. 2.3.41. Quantidade: 1 (Uma) unidade A aquisição da ferramenta de gerenciamento e administração de firewall é opcional, não estando diretamente ligada à aquisição de firewalls e deve atender as seguintes demandas: 2.3.41.1. Permitir configuração, acompanhamento e implementação centralizados, capaz de possibilitar aos administradores, definir, distribuir e implementar um amplo número de serviços, atualizações e política de segurança para os firewall gerenciados pela solução; DIT/GIE Termo de Referência Firewall 19/23

2.3.41.2. Permitir backup de configuração de sistemas (regras), aplicação de Patches e novas atualizações de softwares, gerenciamento de modificações e análise de logs; 2.3.41.3. Permitir a visão do status atual dos firewall, relatórios gráficos e atividades de rede por firewall; 2.3.41.4. Possibilitar monitoramento por análise de dados ou por falhas, incluindo status do firewall e dos túneis VPN em tempo real; 2.3.41.5. Permitir a visualização do gerenciamento e dos relatórios através de interfaces gráficas; 2.3.41.6. Possibilitar o envio de alertas e notificações por e-mail; 2.3.41.7. Possibilitar notificação e Log das tentativas de ataques; 2.3.41.8. Permitir a configuração de mais de um perfil de administrador e suas respectivas permissões; 2.3.41.9. Caso a solução seja composta somente por software, deve ser compatível, no mínimo, com Windows 2008 Server R2 Standard. Caso a solução seja compatível com outro sistema operacional, a licença deverá ser fornecida. 2.3.42. LICENÇA PARA USO DA FERRAMENTA DE GERENCIAMENTO E ADMINISTRAÇÃO DE FIREWALL. Quantidade: XX (XX) licenças 2.3.42.1. As licenças devem ser capazes de habilitar os recursos de gerenciamento e administração de firewall descrito nos itens 2.3.37; 2.3.42.2. Para cada compra de firewall, poderá ser contratada 1 licença para uso da ferramenta de gerenciamento e administração de firewall; 2.3.42.3. Deverão permitir atualização gratuita e automática; 2.3.42.4. Estão inclusos os serviços de instalação e configuração dos equipamentos, bem como serviços de suporte constante no edital; 2.3.42.5. As licenças deverão ser auto-suficientes para cada aquisição, isto é, devem permitir a habilitação dos recursos sem que haja necessidade de novas aquisições; 2.3.42.6. As licenças deverão ser válidas por um prazo mínimo de 36 meses, com renovação automática ou por intermédio do DIT/GIE Termo de Referência Firewall 20/23

fornecimento gratuito de novas licenças quando da expiração das mesmas; 2.3.43. DOCUMENTAÇÃO TÉCNICA: 2.3.43.1. Deverão ser fornecidos juntamente com os produtos e licenças os manuais técnicos de referência, contendo todas as informações sobre os produtos com as instruções para instalação, configuração e operação, preferencialmente em Português (Brasil), ou, na inexistência de tradução em Português, podem ser escritos em Língua Inglesa. 2.3.44. ITENS GERAIS: Kit para montagem em RACK de 19 (caso necessário); Deverão ser fornecidos cabos de interconexão elétrica e rede. 2.3.45. TREINAMENTO: 2.3.45.1. Para cada compra de firewall, poderá ser contratado treinamento para 2 empregados, e deverá ser ministrado por empresa certificada e autorizada pelo fabricante. 2.3.45.2. O treinamento deverá ser ministrado dentro do município de São Paulo em ambiente próprio e dedicado para este fim, caso o treinamento seja realizado fora do município de São Paulo, a CONTRATADA será responsável pelas despesas de transporte, hospedagem e alimentação. 2.3.45.3. A carga horária mínima deverá ser de 24 horas, o treinamento deverá abranger todas as facilidades do equipamento adquirido, incluindo os recursos de filtro de conteúdo e ferramenta de gerenciamento e administração de firewall. Quantidade: XX (XX) treinamentos para 02 (duas) pessoas. 3 DAS OBRIGAÇÕES DA CONTRATADA 3.1. O prazo máximo de entrega dos equipamentos, instalação, configuração. licenças de filtro de conteúdo e gateway antivírus/antispyware será de 40 (Quarenta) dias corridos, contados a partir da data de assinatura do Instrumento Contratual. 3.2. O prazo máximo para entrega da ferramenta de gerenciamento e administração de firewall e Treinamento será de 60 (Sessenta) dias a partir da data de assinatura do Instrumento Contratual; 3.3. Disponibilizar profissional certificado pelo fabricante para implantação e ativação dos produtos contratados. 3.4. Instalar, configurar e acompanhar os testes de funcionamento antes da entrada de produção dos equipamentos. DIT/GIE Termo de Referência Firewall 21/23

3.5. Orientar tecnicamente os responsáveis pela operação dos equipamentos, fornecendo os esclarecimentos necessários ao seu perfeito funcionamento. 3.6. Disponibilizar número de telefone (local ou DDG) para suporte telefônico (24x7x365) e abertura de chamados técnicos. 3.7. Proceder à entrega dos equipamentos, devidamente embalados, de forma a não serem danificados durante a operação de transporte e de carga e descarga, com as especificações detalhadas para conferência. 3.8. O modelo do equipamento ofertado deverá estar em linha normal de produção. 3.9. Caso o produto não corresponda ao exigido no Edital, ao ofertado na proposta e ao estabelecido no Contrato, a Contratada deverá providenciar, no prazo máximo de 03 (três) dias úteis, contados da data da notificação expedida pelo órgão contratante, a sua substituição, interrompendo-se nesse período, o prazo de pagamento correspondente. 3.10. Local de entrega :. 3.11. O prazo para assinatura do Instrumento Contratual será de 03 (três) dias úteis após a convocação nesse sentido, podendo ser prorrogado dentro dos limites legais em caso de situação justificável e aceita pelo órgão contratante. 4 DO ACEITE, GARANTIA E SUPORTE TÉCNICO 4.1. Após a entrega, o Contratante disporá de um período de até 20 (vinte) dias úteis para análise e testes, quando, então, verificará se os equipamentos atendem completamente todos os quesitos e condições do Contrato, compreendendo a comprovação do seu perfeito funcionamento e verificação, bem como se a marca e modelo correspondem àquelas discriminadas no Contrato emitindo, dessa forma, o respectivo Termo de Aceite. Durante os testes poderão ser avaliados a compatibilidade entre os equipamentos ofertados com os demais dispositivos (firewall) operados pela Prodam incluindo várias marcas e modelos. 4.2. A Contratada deverá oferecer garantia e suporte de todas as funcionalidades contratadas por um prazo mínimo de 36 (trinta e seis) meses, a contar da data de sua efetiva instalação; durante o período de cobertura, a CONTRATADA deverá prestar Serviços de Manutenção On Site, para todos os componentes do objeto deste edital, incluindo configuração técnica do produto. 4.3. O tempo máximo de atendimento para os chamados de defeitos deverá ser de 4 h (quatro horas) e de solução em até 6 h (seis horas) a contar do registro de abertura do chamado no Centro de Atendimento Técnico da Contratada, realizando testes e corrigir defeitos, inclusive com a sua substituição quando necessário, sem ônus para a CONTRATANTE, durante o período de garantia. 4.4. Caso a Contratada não consiga recuperar o equipamento em até 72 horas após a abertura do chamado, o appliance com problema deverá ser substituído por outro novo. DIT/GIE Termo de Referência Firewall 22/23

5. VIGÊNCIA: 5.1.O contrato terá a vigência de 36 (trinta e seis) meses a partir da assinatura, podendo ser renovado até o limite legal. 5.2.Durante este período estarão inclusas todas as atualizações necessárias, incluindo as de versões de firmware, atualizações de assinaturas de IPS, Gateway Antivírus/Antispyware e filtro de conteúdo. São Paulo, 04 de Novembro de 2013. Gerente de Estratégia e Desenho do Serviço GIE DIT/GIE Termo de Referência Firewall 23/23