APPLIANCE FIREWALL
EMPRESARIAL
APPLIANCE FIREWALL EMPRESARIAL
|
Característica Solicitada
|
Característica Ofertada
|
Cumple
|
Excede
|
Especificaciones de Hardware
|
Marca : (ESPECIFICAR)
|
|
|
|
Modelo : (ESPECIFICAR)
|
|
|
|
Fecha de Fabricación : No antes a Junio de 2010
|
|
|
|
Cantidad : Uno (1)
|
|
|
|
Rackeable : SI
|
|
|
|
Tamaño : De 1U a 2U de altura
|
|
|
|
Conexiones de Red : maximo de 8 interfaces o Ethernet de Cobre 10/100/1000 con velocidad no menor a 1Gb/s sobre el mismo hardware.
|
|
|
|
Procesador : Procesador Quad-Core
|
|
|
|
Aceleración ASIC : SI
|
|
|
|
Fuente de Poder : Fuente de poder redundante. Maximo de 450w c/u.
|
|
|
|
Características de Filtrado y de Comunicaciones de Red
|
Filtrado de Aplicaciones:
Filtrado e inspección de paquetes, estados y filtrado completo de aplicaciones (Packet, stateful, full application filtering).
Incluyendo como mínimo las siguientes categorías de aplicaciones:
Anonymizers/Proxies, Servicios de Autentificación, Aplicaciones Web de Negocio, Administración de Contenido, Monitoreo Comercial, Base de Datos, Servicios de Directorio, Correo electrónico, Túneles encriptados, Sistemas ERP/CRM, Compartir Archivos, Video Juegos, Mensajería Instantánea, Servicios de Infraestructura, utilidades de IT, Software Móvil, P2P, Fotos y Videos, Administración Remota, Escritorio Remoto y Terminal Services, Redes Sociales, Actualizaciones de Software, Almacenamiento, Multimedia, Utilidades de PC, Voz sobre IP (VoIP), VPN, Web mail, Navegación Web, Conferencias Web.
|
|
|
|
NAT:
Capacidad de realizar NAT (Network address translation)
|
|
|
|
Métodos de autentificación de usuarios:
Local, Directorio Activo, LDAP (iPlanet, Open LDAP, Custom LDAP), Radius, Windows Domain Authentication, Windows NTLM Authentication, Passport (Single Sign-On).
|
|
|
|
Alta disponibilidad:
Activo/Activo, Activo/Pasivo, Monitoreo IP remoto
|
|
|
|
Filtrado de Amenazas:
Filtrado de amenazas a nivel global basado en reputación del origen de la conexión.
|
|
|
|
Soporte:
Esquemas de alta disponibilidad: Activo-Activo, Activo-Pasivo, Stateful Session Failover, Remote IP Monitoring.
|
|
|
|
Filtrado de aplicaciones encriptadas:
SSH, SFTP, SCP, Des encriptación y Encriptación Bidireccional de HTTPS
|
|
|
|
Habilidades IPS:
Análisis por medio de firmas digitales, actualización automática de firmas digitales, creación de firmas digitales a la medida, grupos pre configurados de firmas digitales
|
|
|
|
Anti-virus y anti-spyware a nivel de perímetro:
Protección contra spyware, Trojanos y gusanos a nivel de perímetro. Algoritmo heurístico de detección de amenazas sin firma digital. Actualización automática de firmas digitales de amenazas conocidas.
|
|
|
|
Funcionalidad de DHCP:
Como Cliente DHCP y reenvío (Relay) de solicitudes DHCP.
|
|
|
|
Filtrado de contenido Web:
Filtrado inteligente y administrable de contenido. Bloqueo de contenido Java, Active-X, JavaScript y SOAP malicioso.
|
|
|
|
Capacidad VPN:
Permitir protocolos IKEv1 y IKEv2. Encriptación DES, 3DES,
AES-128 y AES-256. Autentificación SHA-1 y MD5. Grupos
Diffie-Hellmann 1, 2 y 5. Túneles restringidos por política.
NAT-T. Xauth.
|
|
|
|
Redes y Ruteo:
Cumplir con protocolos IPv4 y IPv6, Protocolos de enrutamiento dinámico (RIP v1, RIP v2, OSPF, BGP y PIM-SM), Capacidad de enrutamiento estático, Soporte de 802.1Q VLAN, Cliente DHCP, Capacidad de enrutamiento por defecto en caso de fallas, manejo de calidad de servicio (QoS).
|
|
|
|
Autenticación: SafeWord y SecurID.
|
|
|
|
Manejo: de Jumbo Frames
|
|
|
|
Soporte: Soporte ruteo de multicast.
|
|
|
|
Servidores seguros:
Servidor DNS seguro (único o dividido), Servidor de envío de correo seguro (único o dividido).
|
|
|
|
Rendimiento
|
Rendimiento de Firewall:
Rendimiento mínimo de 4.0 Gbps
|
|
|
|
Rendimiento de Prevención de Amenazas:
Rendimiento mínimo de 2.0 Gbps
|
|
|
|
Rendimiento de Filtrado de Aplicaciones:
Rendimiento mínimo de 2.0 Gbps
|
|
|
|
Sesiones Concurrentes: Mínimo 750,000
|
|
|
|
Throughput: de al menos 2.0 Gbps
|
|
|
|
Nuevas sesiones por segundo: 20,000
|
|
|
|
VPN: Posibilidad de crear VPN’s entre gateways y clientes con IPSec. Esto es, VPNs IPSec site-to-site y VPNs IPSec client-to-site.
|
|
|
|
Longitudes de llave: para AES de 128 y 256 bits
|
|
|
|
Paso IPSec VPN (AES)2: 350 Mbps
|
|
|
|
Número maximo de túneles VPN: con algoritmos de cifrado: AES, DES, 3DES, CAST, debe soportar un numero maximo de 1000 Tuneles IPSec.
|
|
|
|
Número de usuarios maximo: 600
|
|
|
|
Administración y Facilidades de Uso
|
Métodos de Administración:
Interfaz gráfica de usuario, uso de consola local, línea de comando completa.
|
|
|
|
Respaldo y Recuperación de Desastres:
Capacidad de respaldo y restauración de configuración por medio de USB.
|
|
|
|
Herramienta de Depuración de Errores:
Herramienta para analizar reglas y errores de conexión.
|
|
|
|
Configuración por medio de reglas:
Permitir el filtrado de trafico mediante la creación de reglas.
|
|
|
|
Bitácoras, Reportes y Monitoreo:
Soporte de bitácoras internas a nivel de caja (Appliance), exportación y almacenamiento según un horario en formatos de exportación de bitácoras en: XML, W3C, WebTrends. Bitácoras Syslog, SNMP v1, v2c y v3.
|
|
|
|
Soporte
|
Soporte Local:
Contar con soporte a nivel local y con personal certificado en la administración del equipo de firewall.
|
|
|
|
Acuerdo de Nivel de Soporte o SLA por sus siglas en ingles:
Contrato de Nivel de Soporte en el cual el proveedor se compromete a: En caso de falla garantizar la respuesta en no mas de 2 horas tras el reporte de la misma ya sea por correo electrónico o llamada telefónica, El proveedor se compromete a tener una solución a la falla dentro de las primeras 6 horas después del reporte de la misma, En caso que la falla sea irreparable el proveedor se compromete a reemplazar el equipo dentro de las siguientes 24 horas tras el reporte de la misma.
|
|
|
|
Instalación
|
Instalación:
Instalación y configuración inicial por parte del proveedor en coordinación con el personal del área de TI del Instituto.
|
|
|
|
Capacitación
|
Capacitación:
Incluir en la oferta la capacitación de la administración y configuración del firewall ya sea por el proveedor o a través de un centro de capacitación especializado, para dos (2) personas (40 horas).
|
|
|
|
Suscripción y Actualización
|
Suscripción:
Suscripción de acceso a las actualizaciones del firewall por cuatro (4) años, donde se incluya además el derecho a actualización una versión superior del sistema operativo del firewall así como a cualquier otro componente de software que sea necesario para su correcto funcionamiento.
|
|
|
|
Elegibilidad
|
La compañía que produce el firewall debe cotizar sus acciones en las bolsas de valores NYSE o NASDAQ. Adicionalmente su producto debe estar listado en el "Gartner Magic Quadrant for Enterprise Network Firewalls" del 2011 en la categorías de "Challengers" o "Leaders".
|
|
|
|
APPLIANCE IPS
APPLIANCE IPS
|
Característica Solicitada
|
Característica Ofertada
|
Cumple
|
Excede
|
Especificaciones de Hardware
|
Marca : (ESPECIFICAR)
|
|
|
|
Modelo : (ESPECIFICAR)
|
|
|
|
Fecha de Fabricación : No antes a Junio de 2010
|
|
|
|
Cantidad : Uno (1)
|
|
|
|
Rackeable : SI
|
|
|
|
Tamaño : De 1U a 2U de altura
|
|
|
|
Conexiones de Red : Mínimo de 8 Interfaces de 1GB sobre
conexión de cobre (Cable UTP)
|
|
|
|
Fuente de Poder : Fuentes de poder redundantes. Maximo de 450w c/u.
|
|
|
|
Hardware
|
Equipo:
Basado en Tecnologia ASIC & FPGA , de proposito especifico o appliance.
|
|
|
|
Segmentación:
Definir Cantidad de Segmentos fisicos de red a Filtrar, especificando el tipo de conector o medio de conexión (Fibra Optica: Tipo de Fibra y Tipo de Conetor) Cobre (Gigabit Ethernet o Ethernet 10/100) Por ejemplo 8 puertos Fast Ethernet 10/100 Base TX (para filtrar 4 Segmentos)
|
|
|
|
Características de Filtrado y de Comunicaciones de Red
|
Decodificación de encapsulación de paquetes:
Soporte para decodificar paquetes encapsulados en los siguientes protocolos:
IPv6, túneles V4-in-V4, V4-in-V6, V6-in V4 y V6-inV6. MPLS, GRE, Q-in-Q Double VLAN
|
|
|
|
Cumplimiento regulatorio y de politicas:
Protección en tiempo real de vulnerabilidades conocidas con reportes sobre cumplimiento, Cuarentena basado en comportamiento de clientes en la red, forzar cumplimiento de politicas internas y de un marco regulatorio.
|
|
|
|
Inspección de tráfico en base a estados (Stateful traffic inspection):
Defragmentación de IP y reasemblaje de flujos TCP. Analisis detallado por protocolo. Monitoreo asimetrico de trafico. Normalización de protocolos. Protección avanzada de evación. Recolección de datos para analisis forenses sobre trafico. Analisis de túneles por protocolo. Descrubimiento de protocolos en trafico. Analisis sobre una pila de VLAN.
|
|
|
|
Detección por firmas digitales:
Permitir la detección basado en firmas digitales de amenazas definidas por el usuario y basado en actualización de firmas en tiempo real por medio de suscripción.
|
|
|
|
Detección de Anomalias:
Detección de anomalias basado en estadistica, anomalias en los protocolos de comunicación, anomalias a nivel de applicaciones.
|
|
|
|
Detección de ataque DoS:
Detección de ataques basado en un lumbral maximo establecido de conexiones, detección basado en auto-aprendizaje de perfiles, almacenamiento de hasta 300 perfiles de ataques de DoS en un momento dado.
|
|
|
|
Prevensión contra Intrusos:
Detección y bloqueo del progreso de ataques detectados en tiempo real. Botar paquetes/sesiones de ataques detectados. Poner clientes de la red en cuarentena en caso de detectarse un ataque. Reinicio automatico de protocolo TCP y de bloqueo de ICMP (ICMP unreachable) para proteger contra un ataque en curso. Prevensión automática y inicializada por el usuario final.
|
|
|
|
Firewall interno:
Bloqueo de trafico indeseado o de conexiónes problematicas. Forzar politicas de seguridad a un nivel granular.
|
|
|
|
Modo de operación:
Monitoreo a tráves de puertos especificos. Configuración en modo de intervención (Tap Mode). Configuración en linea (In-Line Mode). Por agrupamiento de puertos (Port Clustering). Monitoreo de conexiones
Activo-Activo y Activo-Pasivo. En modo de monitoreo de trafico asimetrico.
|
|
|
|
Alta disponibilidad:
Apertura en caso de fallas a nivel de hardware (Hardware fail-open). Apertura en caso de fallas a nivel de capa dos (Layer two fail-open). Rutas por defecto en caso de fallas generales en el analisis por estados (Stateful failover).
|
|
|
|
Protección a nivel de red:
Bloqueo o limitación de flujo en base a una tasa adaptiva maxima de transferencia (Adaptive rate limiting).
|
|
|
|
Ubicación en la red: Perimetro
|
|
|
|
Modalidad de Trabajo
|
Modalidades:
El equipo debe poder trabajar en las siguientes Modalidades SPAN - TAP - IPS
|
|
|
|
El equipo debera dejar pasar el trafico si este se encuentra apagado o sin corriente electrica.
|
|
|
|
Flexibilidad: El equipo debe tener la flexibilidad de poder trabajar en modo IDS (SPAN) para un segmento y en IPS (En Linea) para otros Segmentos.
|
|
|
|
Integración:
Integracion con herramienta de correlacion de Amenazas de Administracion de Vulnerabilidades.
|
|
|
|
Rendimiento
|
Rendimiento de la tasa de transferencia (Throughput): Hasta 1.0 Gbps
|
|
|
|
Sesiones Concurrentes: Maximo de 750,000
|
|
|
|
Administración y Facilidades de Uso
|
Métodos de Administración:
Interfaz gráfica de usuario o consola, línea de comando completa.
|
|
|
|
La consola debe poder instalarse sobre Windows 2003 / 2008 Server
|
|
|
|
Respaldo y Recuperación de Desastres:
Capacidad de respaldo y restauración de configuración por medio de USB.
|
|
|
|
Bitácoras, Reportes y Monitoreo:
Soporte de bitácoras internas a nivel de caja (Appliance), exportación y almacenamiento de bitácoras.
|
|
|
|
Compatibilidad de Instalación:
La consola debe poder instalarse sobre Windows 2003 / 2008 Server.
|
|
|
|
Ambientes:
Debe ser una consola Grafica. Amigable y disponible via WEB.
|
|
|
|
Navegador:
Deberá utilizar Tomcat para el despliegue de las paginas web. no IIS.
|
|
|
|
Acceso por puertos:
Debe Permitir Ser Accesada de Forma Remota utilizando Puerto 443.
|
|
|
|
Througput:
Debera Proporcionar el througput en entrada por cada una de las interfaces.
|
|
|
|
Ethereal:
Integracion con Ethereal. Los Paquetes detectados deben poder abrirse en Ethereal.
|
|
|
|
Base de datos:
Debe Manejar una Base de Datos de Preferencia MySQL.
|
|
|
|
Sensores:
La consola debe poder administrar varios sensores.
|
|
|
|
Usuarios:
Debera poder crear varios usuarios para el ingreso de la consola con niveles de privilegios.
|
|
|
|
Integridad con Microsoft Cluster:
Integrar las consolas con Microsoft Cluster para proveer alta disponibilidad.
|
|
|
|
Actualización:
La consola debera descargar los signatures o firmwares disponibles y poder dar la opción de hacer una actualizacion Manual o Automática.
|
|
|
|
Puertos:
1 puerto de administración Fast Ethernet dedicado y uno serial.
|
|
|
|
Alertas
|
Alerta de Ataques:
Deberá poder enviar alerta via SNMP Forwared - Sys log Forwared - E-mail - Script sobre los ataques detectados.
|
|
|
|
Alerta de Eventos:
Deberá poder enviar alerta via SNMP Forwared - Sys log Forwared - E-mail - Script sobre eventos de que ocurran de comunicacion en el sensor.
|
|
|
|
Detección y Prevensión
|
Debe Detectar & Bloquear Ataques de Dos(Denial of Service), (Distributed Denial of Service), Host Sweep.
|
|
|
|
Debe efectuar un Drop de los Paquetes y TCP Reset en ambas VIAS tanto (Source, Destination). Todo en tiempo Real.
|
|
|
|
Deberá Poder Crear Reglas de Detección y Bloqueo por VLAN o CDIR.
|
|
|
|
El equipo debe tener un método para la detección de ataques desconocidos.
|
|
|
|
Deberá poder configurarle los umbrales de deteccion de trafico como TCP, UDP, ICMP .
|
|
|
|
El sensor debe tener la habilidad de responder a los ataques utilizando ICMP Unreachable message.
|
|
|
|
Habilidad para detectar trafico Peer to Peer selectivamente o completo y bloquear el trafico o attachments.
|
|
|
|
Habilidad para detectar y bloquear ataques en tráfico asimétrico.
|
|
|
|
Habilidad para decodificar como mínimo 131 Protocolos.
|
|
|
|
La cantidad de signatures para ataques a detectar debe ser como mínimo 3000.
|
|
|
|
El equipo debera permitir la creación como mínimo 300 Perfiles diferentes para DOS (Denial of Services).
|
|
|
|
Habilidad para detectar y bloquear exploits.
|
|
|
|
Debera detectar y bloquear WORMS.
|
|
|
|
Resistencia a las técnicas de Evasión de IDS/IPS ejemplo(Sidestep, Whisker, Fragroute, Nikto, etc).
|
|
|
|
Habilidad para distinguir entre si un ataque es saliente o entrante (inbound & outbound).
|
|
|
|
Capacidad de poder editar o construir nuevas signaturas para su búsqueda o inspección.
|
|
|
|
Habilidad para detectar en puertos no standards. Ej. Http sobre 8080.
|
|
|
|
Habilidad para decodificar trafico SSL.
|
|
|
|
Prevención de Ataques de DoS/DDoS por la técnica SYN Cookie .
|
|
|
|
Detección y prevención en el protocolo peer to peer.
|
|
|
|
Detección y Prevención de ataques de tipo SYN Floods .
|
|
|
|
Flexibilidad
|
Deberá permitir que el administrador pueda crear sus propias Firmas o Signatures para detección de ataques.
|
|
|
|
El equipo debe poder Integrarse con otros aplicativos de seguridad de la información ejemplo Sistemas Antivirus corporativo, Firewall, etc.
|
|
|
|
El Sensor de IPS no debe ser visto en la red que monitorea. La Interfaces deben ser Promiscuas (No tener Dirección IP como tampoco Mac Address).
|
|
|
|
Habilidad de poder aplicar políticas diferentes por cada segmento que se Monitorea.
|
|
|
|
Deber poder definir los umbrales (parámetros) para las políticas de forma manual para el control de DOS DDOS.
|
|
|
|
El sensor deberá aprender del trafico que pasa a travez de el por un lapso no mayor de 48 horas y generar automáticamente sus propios Umbrales.
|
|
|
|
Poder efectuar Actualizaciones de los signatures sin necesidad de re-iniciar el Sensor y poder hacerlo a cualquier momento.
|
|
|
|
El sensor debe poder actualizarse automáticamente desde la consola.
|
|
|
|
BackUp
|
La herramienta de Backup debera permitir especificar los parámetros de backup como: Full Backup (inlcuye tablas, configuración de la consola, alertas). All Tables , Configuration, Alerts.
|
|
|
|
Debera posser herramienta de backup y restore en caso de no poder hacerlo desde la consola de administración.
|
|
|
|
Reportería
|
Deberá poder generar reportes en HTML, PDF, CSV.
|
|
|
|
Deberá enviar de forma automática los reportes en PDF por dia, semana, mes.
|
|
|
|
Permitir generar reportes customizados por el usuario.
|
|
|
|
Soporte
|
Soporte Local:
Contar con soporte a nivel local y con personal certificado en la administración del equipo de firewall.
|
|
|
|
Acuerdo de Nivel de Soporte o SLA por sus siglas en ingles:
Contrato de Nivel de Soporte en el cual el proveedor se compromete a: En caso de falla garantizar la respuesta en no mas de 2 horas tras el reporte de la misma ya sea por correo electrónico o llamada telefónica, El proveedor se compromete a tener una solución a la falla dentro de las primeras 6 horas después del reporte de la misma, En caso que la falla sea irreparable el proveedor se compromete a reemplazar el equipo dentro de las siguientes 24 horas tras el reporte de la misma.
|
|
|
|
Instalación
|
Instalación:
Instalación y configuración inicial por parte del proveedor en coordinación con el personal del área de TI del Instituto.
|
|
|
|
Capacitación
|
Capacitación:
Incluir en la oferta la capacitación de la administración y configuración del IPS ya sea por el proveedor o a través de un centro de capacitación especializado, para dos (2) personas (40 horas).
|
|
|
|
Suscripción y Actualización
|
Suscripción:
Suscripción de acceso a las actualizaciones del IPS por cuatro (4) años, donde se incluya además el derecho a actualización una versión superior del sistema operativo del IPS así como a cualquier otro componente de software que sea necesario para su correcto funcionamiento.
|
|
|
|
Elegibilidad
|
La compañía que produce el firewall debe cotizar sus acciones en las bolsas de valores NYSE o NASDAQ. Adicionalmente su producto debe estar listado en el "Gartner Magic Quadrant for Network Intrusión Prevention System" del 2010 en la categorías de "Challengers" o "Leaders".
|
|
|
|
ANEXOS
CARTA PROPUESTA
SEÑOR GERENTE
INSTITUTO DE PREVENSION MILITAR
CORONEL DE INFANTERIA D.E.M.
DON JORGE FEDERICO CENTENO SARMIENTO
SU OFICINA
REF. LICITACION PÚBLICA No.05-2012
BASES DE LA LICITACIÓN PÚBLICA No.05-2012 “COMPRA DE PRODUCTOS DE SEGURIDAD INFORMATICA (FIREWALL, SISTEMA DE PREVENCION DE INTRUSOS IPS, SISTEMA DE PREVENCIÓN DE PERDIDA DE DATOS DLP), PARA SER UTILIZADOS EN EL INSTITUTO DE PREVISION MILITAR”
SEÑOR GERENTE:
Actuando en mi condición de representante de la Empresa Mercantil denominada________________
Por este medio DECLARO: haber obtenido y examinado las bases administrativas y especificaciones técnicas de la licitación en referencia, mediante la cual se pretende contratar COMPRA DE PRODUCTOS DE SEGURIDAD INFORMATICA (FIREWALL, SISTEMA DE PREVENCION DE INTRUSOS IPS, SISTEMA DE PREVENCIÓN DE PERDIDA DE DATOS DLP), PARA SER UTILIZADOS EN EL INSTITUTO DE PREVISION MILITAR”, de conformidad con la misma, ofrezco ejecutar dichos servicios en los términos solicitados y que detallo a continuación:
Valor Total de la Oferta
(Letras y números por los meses de servicio)
Acepto que la forma de pago será en moneda nacional (Lempiras) y me obligo a cumplir todas y cada una de las condiciones generales y técnicas que rigen el proceso de licitación pública de que se hace merito, cuya documentación solicitada estoy acompañando.
Asimismo declaro que de resultar mi oferta como la más conveniente a los intereses del Instituto de Previsión Militar, me comprometo a suscribir el contrato y a rendir la garantía de cumplimiento correspondiente por el_______del valor todo adjudicado, la cual estará vigente hasta tres meses después del plazo previsto para la ejecución del servicio.
Se adjunta garantía del sostenimiento de oferta por el 2% del valor ofertado que equivale a un monto de ______________ cuya vigencia es desde el día ________de _______del año_______.
Expresamente declaro que esta oferta permanecerá en absoluta vigencia por un periodo de 90 días hábiles contados a partir del día de apertura de ofertas.
Finalmente designo el nombre, cargo, dirección, y teléfono de la persona que tiene plena autoridad para solventar cualquier reclamación que pueda dirigir en relación a la oferta presentada como lo detallo a continuación.
NOMBRE______________________________________
CARGO________________________________________
DIRECCION____________________________________
TELEFONO_____________________________________
La presente oferta consta de __________________folios útiles
La presente oferta consta de __________________folios útiles
_______________días del mes _______________del año________
NOMBRE, FIRMA DEL GERENTE O REPRESENTANTE LEGAL DE LA EMPRESA.
AUTORIZACION
El suscrito Gerente General del Instituto de Previsión Militar, por este medio autoriza
A_______________, para que se aboque a ______________a cancelar la cantidad de
__________________y así poder retirar las bases de Licitación _______ sobre la
COMPRA DE PRODUCTOS DE SEGURIDAD INFORMATICA (FIREWALL, SISTEMA DE PREVENCION DE INTRUSOS IPS, SISTEMA DE PREVENCIÓN DE PERDIDA DE DATOS DLP), PARA SER UTILIZADOS EN EL INSTITUTO DE PREVISION MILITAR”
La que se efectuará el día __________________ de _________________del__________________.
Tegucigalpa, M. D .C., ______________ de__________ del____________
CORONEL DE INFANTERIA DEM
JORGE FEDERICO CENTENO SARMIENTO
GERENTE DE I. P. M.
Dostları ilə paylaş: |
