ANEXO VIII Referente ao Edital de Pregão Presencial nº. 020/2014 ESPECIFICAÇÕES TÉCNICAS Página 1 de 6 Página 1 de 6
1. OBJETO: 1.1. Constitui objeto deste pregão a AQUISIÇÃO DE SISTEMA FIREWALL, conforme especificações abaixo. 1.1. 1. A solução deve ser composta por dois appliances em alta disponibilidade, sendo possível configurá-los a qualquer momento nos modelos ativo/passivo e ativo/ativo com balanceamento de carga; 1.1.2. A solução deve ser uma plataforma UTM; 1.1.3. Os equipamentos que compõem a solução devem ser novos e sem uso; 2. ESPECIFICAÇÕES GERAIS DE HARDWARE: 2.1. Deve permitir a instalação em rack padrão de 19", devendo estar acompanhado de todos os adaptadores, suportes e guias necessários para instalação em racks padrão 19''; 2.2. Solução appliance - Não deve possuir disco, mouse, vídeo e teclado; 2.3. Deve possuir, no mínimo, seis (6) portas padrão Ethernet (10/100/1000); 2.4. Deve possuir porta console para configuração; 2.5. Deve operar em 100 a 220 VAC e 60Hz; 3. CAPACIDADE E DESEMPENHO: 3.1. Deve possuir eficiência de transferência (throughput) de no mínimo: 3.1.2. Firewall: 2,5 Gbps 3.1.3. VPN: 350 Mbps 3.1.4. IPS: 2,0 Gbps 3.1.5. AV: 1,7 Gbps 3.1.6. UTM: 1,0 Gbps 3.2. Deve suportar no mínimo: 3.2.2. VLANs: 200 3.2.3. Usuários autenticados: 500 3.2.4. Conexões simultâneas (bi-direcional): 50.000 3.2.5. Novas conexões por segundo: 24.000 3.2.6. Túneis VPN IPSec site to site: 75 3.2.7. Túneis VPN SLL/L2TP client to site: 75 3.2.8. Túneis VPN IPSec client to site: 100 3.3. Deve possuir encriptação baseada em Hardware suportando DES, 3DES, AES 128-192-256- bit; 3.4. Deve possuir encriptação para IPSec utilizando SHA-1, SHA-2, MD5, IKE pre-shared key e certificados de terceiros; 4. GERENCIAMENTO: 4.1. Deve permitir o gerenciamento centralizado de vários equipamentos Firewall através de interface única de acesso com licença para pelo menos 4 equipamentos; 4.2. Deve ser possível o gerenciamento via WEB UI; Página 2 de 6 Página 2 de 6
4.3. Deve possuir granularidade de acesso à ferramenta de gerenciamento, possibilitando a criação de perfis de acesso; 4.4. Deve permitir a realização de backup e restore de configurações; 4.5. Deve permitir atualização centralizada de políticas e firmware; 4.6. Deve permitir monitoramento em tempo real das conexões e do estado geral dos appliance (health monitoring) através de aplicativo próprio (fornecimento incluso); 4.7. Deve permitir monitoramento vis Syslog e via SNMP v2/v3; 4.8. Deve suportar o protocolo NTP para atualização interna de horário; 4.9. Deve permitir a geração de relatórios de acesso através de aplicativo próprio (fornecimento incluso); 5. FUNCIONALIDADES: 5.1. Deve ter licença ilimitada de uso; 5.2. Deve suportar os seguintes modos de endereçamento IP: 5.2.2. Estático 5.2.3. Cliente PPoE 5.2.4. Cliente DHCP 5.2.5. Servidor DHCP 5.2.6. Relay DHCP 5.2.7. DNS em modo cliente dinâmico - DNS Dinâmico 5.3. Deve operar em modo StateFull Inspection, Deep Inspection e proxy firewall; 5.4. Deve suportar os seguintes modos de roteamento: 5.4.2. Estático 5.4.3. OSPF 5.4.4. RIP V1 e V2 5.4.5. BGP4 5.5. Deve possuir roteamento baseada em política VPN (policy-based VPN); 5.6. Deve possuir timeout por regra; 5.7. Deve suportar os seguintes modos de Network Address Translation: 5.7.2. NAT Dinâmico 5.7.3. NAT IPSec traversal 5.7.4. NAT Estático 5.7.5. NAT 1 para1 5.7.6. NAT Server Load Balancing 5.7.7. NAT Por regra 5.8. Deve ter suporte a VLAN, padrão IEEE 802.1q; 5.9. Deve possuir suporte à DMZ; 5.10. Deve possuir suporte à WAN FailOver com balanceamento de carga; 5.11. Deve possuir suporte à Balanceamento de Serviço; 5.12. Deve possuir suporte à QoS com 8 filas de prioridade; 5.13. Deve possuir suporte à DiffServ; 5.14. Deve permitir agregação de link no padrão 802.3ad dinâmico, estático e ativo/backup; 5.15. Permitir criar regras de firewall por horário, por Usuário ou Grupo, endereços IPS ou Ranges IPS, Redes e Interfaces; 5.16. Deve permitir a visualização de logs e geração de relatórios com as seguintes características: 5.16.2. Permitir centralização de logs 5.16.3. Fornecer relatórios em formato HTML ou PDF 5.16.4. Permitir filtro por data e horário, usuário, IP de origem, IP de destino 5.16.5. Possibilitar o armazenamento de log de em banco de dados 5.16.6. Permitir o envio em padrão SYSLOG, SNMP V2 e V3 5.16.7. Permitir comunicação criptografada para estas tarefas 5.17. Deve possuir suporte VoIP (SIP, H323); Página 3 de 6 Página 3 de 6
5.18. Deve permitir a adição de novas funcionalidades (Controle de aplicações, AntiSpam, Antivírus, filtro de URL utlizando assinaturas atualizáveis, IPS, DLP) - tornando-se uma solução UTM - através da aquisição de licenças sem a necessidade de qualquer alteração no hardware ofertado. Devem ser inclusas as licenças pelo período de 01 (um) ano; 6. ESPECIALIZAÇÃO PARA OS PROTOCOLOS: 6.1. HTTP 6.1.2. Verificação de cabeçalhos 6.1.3. Filtro por expressão regular 6.1.4. Filtro de downloads por extensão e/ou MIME e/ou corpo do arquivo 6.1.5. Filtro de cookies 6.1.6. Filtro de Autorização (Basic, Digest, NTLM) 6.1.7. Filtro de Controle de Requisição (webdav RFC 2518) 6.1.8. Customização de mensagens de erro de retorno 6.2. SMTP 6.2.2. Filtro por expressão regular 6.2.3. Filtro de anexos por extensão e/ou MIME 6.2.4. Regras por endereço de origem e/ou destinos 6.2.5. Regras por conteúdo de headers 6.2.6. Controle para número máximo de recipientes 6.2.7. Controle para tamanho máximo de mensagem 6.2.8. Customização de mensagens de erro de retorno 6.3. POP3 6.3.2. Filtro de anexos por extensão e/ou MIME 6.3.3. Regras por conteúdo de headers 6.3.4. Customização de mensagens de erro de retorno 6.4. HTTPS 6.4.2. Filtro por inspeção profunda 6.5. DNS 6.5.2. Filtro por tipo de registro 6.5.3. Filtro por expressão regular 6.6. FTP 6.6.2. Filtro de download por extensão de arquivo 6.6.3. Filtro de upload por extensão de arquivo 6.6.4. Filtro por comando 7. PROTEÇÃO CONTRA AMEAÇAS: 7.1. Deve permitir bloqueio a: 7.1.2. IP Spoofing 7.1.3. SYN Flood e ICMP Flood 7.1.4. Proteção em SSL (ex. Man-in-the-Middle) 7.1.5. Cross-site Scripting 7.1.6. DDoS 7.1.7. Detecção de anomalia de protocolo 7.1.8. Reconhecimento de padrões de protocolo 7.1.9. Proteção contra pacotes mal formados 7.1.10. Permitir detecção PortScanning 7.1.11. Permitir bloqueio automático 7.1.12. Possuir atualização automática de assinaturas Página 4 de 6 Página 4 de 6
7.1.13. Permitir configuração de whitelist 7.1.14. IPSec Flood 7.1.15. IKE Flood 7.1.16. UDP Flood 8. AUTENTICAÇÃO: 8.1. Autenticação baseado em Web e Programa Cliente; 8.2. Integração a LDAP, Radius, Windows Active Directory, RSA SecureID, Suporte a VASCO e base Local de usuários; 8.3. Permitir criar regras de acesso para qualquer protocolo baseado no nome do usuário sem a necessidade de autenticação manual (através de cliente de autenticação); 8.4. A autenticação deve permanecer válida por tempo determinado conforme configuração; 8.5. Permitir o controle de duplicidade de acesso por usuário. Apenas um login por usuário e endereço IP deve ser válido. Caso haja um segundo acesso do mesmo login o firewall deverá bloquear a segunda autenticação válida ou a primeiro conforme configuração; 8.6. Características do cliente de autenticação: 8.6.2. Ao iniciar a sessão do Windows o cliente de autenticação deve informar o usuário ao Firewall e dar início a sessão daquele usuário de forma automática; 8.6.3. Ao terminar a sessão do Windows o cliente de autenticação deve finalizar a sessão no Firewall de forma automática. O mesmo deve acontecer no desligamento do Windows, espera do Windows ou stand-by do Windows; 8.6.4. Caso a sessão seja perdida de forma inesperada o Firewall deve respeitar os parâmetros de tempo máximo de sessão ou sessão ociosa; 8.6.5. O cliente de autenticação deve permitir o início e o termino da sessão de forma manual; 8.6.6. O cliente de autenticação deve permitir configuração estática de usuário e senha e sincronização automática de usuário e senha com LDAP; 8.6.7. O cliente de autenticação deve suportar distribuição automática (instalação automatizada); 8.6.8. O cliente de autenticação deve suportar as seguintes plataformas: 8.6.8.1. Microsoft Windows XP (todas edições, 32bits) 8.6.8.2. Microsoft Windows 7 (todas edições, 32bits e 64 bits) 9. ALTA DISPONIBILIDADE: 9.1. A solução deve ser ofertada em alta disponibilidade (redundante), com as seguintes características: 9.1.2. High Availability (HA) com opção de ativo/passivo e ativo/ativo com balanceamento de carga 9.1.3. Sincronização de configuração 9.1.4. Sincronização de Sessões 9.1.5. Sincronização de VPN 10. CERTIFICAÇÕES: 10.1. Deve possuir certificação ICSA IPSec VPN, ICSA Firewall; 10.2. Deve possuir certificação FIPS 140-2; 10.3. Deve possuir certificação Common Criteria EAL4+; 10.4. Deve possuir certificação IPv6; 10.5. Deve possuir certificação RoHS; Página 5 de 6 Página 5 de 6
11. TRADE-UP: 11.1. A DME Distribuição S/A - DMED possui atualmente dois firewall Watchguard X1250e, que poderão ser utilizados em um processo de Trade-up, desde que não haja necessidade de devolução dos mesmos; 12. MIGRAÇÃO DAS POLÍTICAS: 12.1. Todas as políticas em uso atualmente pela DME Distribuição S/A DMED devem ser reaplicadas à nova solução. A DMED usará pessoal próprio para fazer a reconfiguração caso seja possível importar as políticas a partir de um arquivo de backup gerado pelo firewall WatchGuard X1250e. Caso esse procedimento não seja possível a contratada deverá disponibilizar pessoal para reaplicar as políticas, sem custo de qualquer espécie para a DMED; 12.2. Caso seja necessário prestar o serviço de migração das políticas, ele deverá ser realizado presencialmente na sede da DMED, em horário comercial, com acompanhamento de um profissional indicado pela contratante; 12.3. O serviço de migração só será considerado concluído após testes e validação por parte da DMED; 13. GARANTIAS E SUPORTE: 13.1. Deve possuir 01 (um) ano de garantia do fabricante com cobertura à:[ 13.1.2. Defeitos em qualquer parte física da unidade incluindo fonte de alimentação e ventiladores, salvo quando o defeito for provocado por uso inadequado dos equipamentos; 13.1.3. Sistema operacional devendo ser disponibilizado acesso direto ao site do fabricante para download de novas versões que contenham correções e/ou atualizações de versão. Em caso de defeitos (bugs, mal funcionamento) decorrentes da atualização ou de qualquer anormalidade no comportamento do produto, hardware e/ou software deve ser disponibilizado assistência on-site; 13.1.4. Deve possuir prazo de reposição de peças para o próximo dia útil (NBD - Next business day). 13.2. A garantia (tanto do software quanto do hardware) deve ser disponibilizada de forma que possa ser renovada por períodos determinados. Página 6 de 6 Página 6 de 6