bilgiz.org

Şartname işin çeşidi: Yeni nesil 10Gig Destekli Firewall Sistemi ve Merkezi Yönetim Sistemi Alımı İşin niteliği

  • İşin tahmini bedeli
  • İşin başlama ve bitiş tarihleri
  • GENEL İSTEK VE ÖZELLİKLER
  • TEKNİK ÖZELLİKLER Sistem Kapasitesi, Donanım Özellikleri ve Lisanslar
  • Firewall Genel Özellikleri
  • Firewall Sistemi, Yönetim, Log Toplama ve Raporlama Sistemi yazılımı
  • BİLGİ FİRMA



  • Tarih29.12.2017
    Büyüklüğü45.6 Kb.

    Indir 45.6 Kb.

    ŞARTNAME

    İşin çeşidi: Yeni nesil 10Gig Destekli Firewall Sistemi ve Merkezi Yönetim Sistemi Alımı

    İşin niteliği: Mevcut PaloAlto Firewall Sisteminin 10Gig destekli yeni nesil PaloAlto Firewall Sistemi ile Değiştirilmesi Panorama Merkezi Yönetim Uygulamasının Alımı

    İşin tahmini bedeli: 60.000$ (AltmışBinAmerikanDoları)

    Alınması planlanan ürünler:

    PAN-PA-5050-ssd2

    Palo Alto Networks PA-5050 with redundant AC power supplies and single 240GB SSD drive

    PAN-SFP-PLUS-SR

    SFP+ SR 10GigE transceiver (PA-7000 series, PA- 5060, PA-5050, PA-3060)

    PAN-PRA-25

    Panorama central management software, 25 devices

    PAN-SVC-BKLN-PRA-25-

    Partner enabled premium support 3 year prepaid, Panorama 25 devices

    İşin başlama ve bitiş tarihleri: 25.10.2016 – 18.11.2016

    Şartnamede;

    Bilgi Üniversitesi – BİLGİ,

    Bilgi Üniversitesi, Santral İstanbul Kampüsü, Bilgi Teknolojileri Departmanı – BT Dept.

    Teklif veren kuruluş, (FİRMA),



    ÖN KOŞULLAR

    • ÜRÜN teslim yeri, BİLGİ’ nin Santral Kampusu – BT Departmanıdır. ÜRÜN; üzerinde adı, tipi, modeli, seri numaraları ve üretici firma adını taşıyan orijinal ambalajlarda teslim edilecektir. ÜRÜN le birlikte gelen her türlü tanıtıcı doküman, fatura ve garanti belgesi, irsaliyesi, kullanım kılavuzu ve aksesuarları tam ve eksiksiz olarak BİLGİ yetkilisine teslim tutanağı ile teslim edilecektir.

    • Firmanın teslim edeceği ürün fiyatları, BİLGİ’nin göstereceği adrese teslim fiyatlarıdır. Her türlü nakliye, navlun, sigorta, gümrük ve benzeri maliyetler dâhil fiyatlardır ve FİRMA tarafından karşılanacaktır. FİRMA, resmi teklifinde belirtmiş olduğu ürün fiyatları haricinde başka hiçbir koşul veya isim altında bedel talep etmeyecektir.

    • Teslimat, ürünlerin indirilip BİLGİ yetkilileri tarafından sayılıp ön kalite kontrolu(ambalaj, dıştan görsel kontrol, irsaliye ile eşleme sayılıp) yapıldıktan sonra ön kabül ile gerçekleşecektir.

    • ÜRÜN teslim süresi, sipariş tarihinden itibaren 6 haftadır. Ancak kanunlarda belirtilen mücbir sebeplerden dolayı teslim süresinin uzaması durumunda taraflar yeni teslim tarihi belirleyecektir. Mücbir sebep halleri dışındaki gecikmeler, cezaya tabidir.

    • Teklif edilen ve onaylanan ÜRÜN’ den farklı model/ nitelikte getirilmesi durumunda, oluşacak zarardan dolayı üniversitenin uğrayacağı maddi ve manevi tazminatlar FİRMA tarafından kayıtsız şartsız kabul edilecektir.

    • ÜRÜN tesliminde gecikme olduğu takdirde, FİRMA gecikilen her gün için sipariş edilen ÜRÜN toplam bedelinin %1’ i(yüzdebir) oranında ceza ödemeyi kabul ve taahhüt eder. Bu meblağ, BİLGİ tarafından bildirilen bir hesaba en geç 1 hafta içerisinde ihtara gerek kalmadan FİRMA tarafından yatırılacaktır.

    • Tazmin edilecek toplam tutar ürün bedelinin %150 sini geçmeyecektir.

    • Mücbir sebep halleri dışında ürün teslimindeki gecikme 15 günü geçtiği takdirde BİLGİ, sözleşmeyi kısmen veya tamamen tek taraflı olarak iptal etme, siparişi kısmen veya tamamen 3. şahıslara ihale etmeye ve cezai işlemleri başlatma hakkına sahiptir. FİRMA, işbu iptallerden dolayı doğacak 3. şahıs tazminatlarını üstlenecek ve BİLGİ’ ye rücu etmeyecektir.

    • Fatura, ürünlerin teslimiyle birlikte TC. Merkez Bankası Döviz Satış Kuru üzerinden TL olarak kesilip, açıklama kısmında döviz karşılığı belirtilecektir. Faturanın kesildiği tarihteki kur, ödeme tarihindeki kurdan farklıysa karşılıklı olarak kur farkı bedeli faturalanacaktır.

    • Vergi, harç ve benzeri giderler ilgili firma tarafından karşılanacaktır. (KDV Hariç)

    • Ödeme; ÜRÜN tesliminden sonra düzenlenen fatura tarihinden itibaren 30 (Otuz) gün sonra yapılacaktır.

    • Yedek parça ihtiyacı gerektiğinde, bedeli BİLGİ tarafından ödenmek kaydıyla veya Bakım Sözleşmesi koşulları dâhilinde BİLGİ tarafından temin edilecektir

    GENEL İSTEK VE ÖZELLİKLER

    • Satın alınacak her bir mal ve hizmete ait orijinal belge ve döküman (İngilizce ve/veya Türkçe) tam olarak kullanıcıya teslim edilecektir. FİRMA, ürünlerle ilgili tüm sertifikasyonları ıslak imzalı teklifle birlikte teslim edecektir.

    • ÜRÜN’ ü oluşturan tüm parçalar yeni ve hiç kullanılmamış olmalıdır. Aksi takdirde BİLGİ’ un onaylayacağı muadili model ürün sağlanmalıdır.

    • ÜRÜN’ ü oluşturan tüm parçalar, 2 yıl yerinde garanti güvencesine sahip olmalıdır. BİLGİ, resmi olarak ürünleri teslim aldıktan sonra 1 ay içerisinde arızalanan ürünleri iade etme hakkına sahiptir. FİRMA, arızalanan ürünü birebir aynısı veya belirtilen standartları karşılayacak olan muadiliyle bilabedel değiştirmekle, kurmakla ve çalışır şekilde teslim etmekle yükümlüdür. Cihaz değişikliğinden dolayı doğabilecek her türlü ek aksesuara veya parçaların temini ve maliyeti, kurulması FİRMA ya aittir.

    • Garanti süresinin başlangıç tarihi, ürünlerin kurulum ve kontrol işlemlerinin bittiği
      son kabul tarihidir. Garanti süresi içinde meydana gelebilecek arızada kalma ve arıza giderme süresi garanti süresine ilave edilecektir. Garanti süresinde veya sonrasında son kabul yapılmış olmasına rağmen ortaya çıkabilecek veya tespit edlecek gizli ayıplar için ilgili Tüketici Hakları Kanunu maddeleri uygulanacaktır.

    TEKNİK ÖZELLİKLER

    Sistem Kapasitesi, Donanım Özellikleri ve Lisanslar

    • Güvenlik duvarı ürünleri bu iş için özel olarak üretilmiş donanım ve yazılım bütünü (appliance) ürünler olacaktır. Teklif, iki adet yedekli ve 3 yıllık lisanslı olarak verilecektir.

    • Cihaz üzerinde en az 4 adet 10 Gbps SFP+, 8 adet 1 Gbps fiber SFP, 12 adet 10/100/1000 ethernet data portu bulunmalıdır. Yedekli çalışma, HA konfigrasyonu için ek olarak dedike en az 2 port olmaldır. Portlar link aggregation özelliğini desteklemeli, bu sayede sağlanan port yedekliliği herhangi bir portun arızalanması durumunda trafik akışı etkilenmemelidir.

    • Teklif içinde 4 adet SFP+ SR modül dahil olacaktır.

    • Güvenlik duvarı cihazının güç kaynakları ve harddiskleri (her biri en az 240 GB SSD kapasiteye sahip olacak 2 adet disk ve RAID yapıda) hot-swap (sistem çalışırken çıkarılabilme ve takılabilme) özelliğini desteklemelidir.

    • Cihazlar gerçek trafik altında iken, Next Generation Firewall (Uygulama kontrol, User kontrol) özellikleri açık iken 10 Gbps olmalı, NGFW ve Threat Prevention (IPS, AV, Antispyware) özellikleri beraber açık iken de 5 Gbps firewall performansını sağlamalıdır. Cihazlar aynı zamanda, 4 milyon Layer 7 eş zamanlı toplam oturumu desteklemelidir. Bu değerler üreticinin herkese açık olan web sitesinden yayınlanmış olmalıdır.

    • Cihazlar, saniyede en az 120.000 yeni oturum açabilmelidir.

    • Cihazlar, en az 225 adet sanal yönlendirici kapasitesinde olacak ve routing tabloları ayrı ayrı tanımlanabilecektir.

    • Cihaz üzerinde 25 adet sanal güvenlik duvarı lisansı olmalı, bu sayı 225’e kadar artırılabilmelidir.

    • Cihazlar, kural tabanlı uygulama yönlendirme özelliği sağlamalı ve en az 300 uygulamayı desteklemelidir.

    Firewall Genel Özellikleri

    • Cihaz yönetim trafiği ile veri işleme trafiği için ayrı ayrı management plane ve data plane mimarisine sahip olmalıdır.

    • Cihazların yüksek devamlılık desteği ve Aktif/Aktif veya Aktif/Pasif çalışma modlarına sahip olmalıdır. Güvenlik duvarı cihazlarından herhangi birisinin arızalanması durumunda kesinti olmadan trafik otomatik olarak diğer güvenlik duvarı cihazına yönlendirilebilmelidir.

    • Cihaz bileşenleri (güç kaynağı, fan, disk) dahili aktif parça yedeklilik özelliğine sahip olacaktır.

    • Sistem, mimari açıdan stateful inspection ve Uygulama Tanıma özelliği bulundurmalı ve aşağıdaki güvenlik servislerine sahip olmalıdır.

    • Yeni Nesil Firewall

    • IPSEC VPN, SSL VPN

    • Uygulama kontrolü (Application control)

    • İçerik Filtreleme

    • Atak Engelleme (IPS)

    • Anti-Virus

    • Anti-Botnet




    • AD (active directory) entegrasyon özelliği olmalıdır. MS Active Directory ve kullanıcı makinaları üzerine herhangi bir yazılım kurmadan kişi, bilgisayar ve AD grup bazında firewall kuralı yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi ve o anki IP bilgisi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile takibinin yapılabilmesine olanak sağlayacaktır.

    • Saat, gün, tarih, periyot bazında erişim kontrolü yapabilmelidir.

    • Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP’yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır.

    • IPv6 desteği olacaktır.

    • En az 4094 adet VLAN desteği olmalıdır.

    • Sistem Statik ve Dinamik (OSPF, BGP, RIP) Yönlendirme protokollerini desteklemelidir, lisans gerekiyorsa teklife dahil edilmelidir.

    • Site to site ve client to site VPN desteği olmalıdır ve gerekli lisanslara sahip olmalıdır.

    • SSL VPN, IPSEC VPN özelliği, Windows, MAC tabanlı istemcileri desteklemelidir.

    • Sistem, IPSec VPN standardını desteklemelidir. IKE şifreleme şemalarını desteklemelidir. 3DES , AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward secrecy) desteği olmalıdır.

    • Sistem, ağ içinde görünmeden Layer-1, Layer-2 modlarında transparan olarak ve Layer-3 Routing/NAT modunda konumlandırılabilmelidir. Aynı anda farklı port veya port grupları için farklı çalışma modlarını destekleyebilmelidir.

    • Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda iletilen uygulama kontrol özelliği olacaktır.

    • Uygulama kontrol özelliği active directory ile entegre çalışabilecek bu sayede active directory’de tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol kuralları tanımlanabilecektir.

    • Veritabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve alt kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web sayfasında yayınlanacaktır.

    • Uygulama bloklama ve uyarı portalı değiştirilebilecek ve Türkçe desteği olacaktır.

    • Yönetici tarafından özel uygulamaların sisteme tanıtılması özel imza oluşturmak suretiyle mümkün olmalıdır.

    • Bilinmeyen uygulamaları, Unknown-TCP ve Unknown-UDP olarak tanımlayabilmeli ve wireshark gibi araçlarla içeriğini gösterebilecek şekilde yakalayabilmelidir.

    • Cihaz üzerinde bulut mimarisi temelli çalışan ve bulut veritabanında URL adresini içeren detayları aşağıda iletilen URL filtreleme özelliği olmalıdır.

    • Kategorize edilmemiş sitelere yapılan erişimler paralelinde sistem yöneticilerinin müdahalesi ile kategorizasyon yapabilme özelliği olmalıdır. Sistem yöneticisi, özel kara liste ve beyaz liste kategorileri oluşturabilmeldir.

    • Bulut mimarisi sayesinde bulut veritabanı üzerinde yapılan tüm güncellemelerden kurumun anında faydalanması mümkün olmalıdır.

    • İçerik filtreleme özelliği active directory ile entegre çalışabilecek bu sayede active directory’de tanımlı olan kullanıcı ve kullanıcı grupları bazında url filtreleme kuralları tanımlanabilecektir.

    • URL bloklama ve uyarı portalı tamamen değiştirilebilecek ve Türkçe desteği olacaktır.

    • SOME ve benzeri harici kaynaklardan elde edilecek yasaklı ya da tehlikeli IP, Domain ve URL listelerini harici bir kaynaktan çekip bloklayabilmelidir.

    • Güncel zararlı yazılımların eriştiği C&C ve Malware Download URL listelerini dinamik olarak güncelleyebilmelidir.

    • URL filtreleme özelliğinde XFF (X-forwarded-for) özelliği bulunmalıdır.

    • Cihaz üzerinde detayları aşağıda iletilen IPS özelliği olmalıdır.

    • Farklı ülkelerden gelebilecek trafiği tehdit anında kesebilmelidir. Coğrafi koruma sağlayabilmelidir.

    • IPS sisteminin saldırıları karşılama biçimi, sistem yöneticisi tarafından her bir imza icin ayrı ayrı ayarlanabilmelidir.

    • IPS özelliğinde saldırılara karşı kullanılan filtreler, güncelleme dosyasından ya da internet üzerinden güncellenebilmelidir. Ayrıca eğer istenirse, imza güncellemeleri kullanıcı müdahalesi olmadan otomatik olarak da yapılabilmelidir

    • Önerilecek IPS fonksiyonunda saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen Protokol Anormallik Tespiti (Protocol Anomaly Detection) teknolojisine sahip olacaktır.

    • IPS fonksiyonu aşağıdaki saldırı tiplerine karşı koyabilmelidir;

    • Backdoors

    • Botnets

    • Application Based DoS

    • Anlık mesajlaşma (MSN, ICQ vb.)

    • İşletim sistemlerine dönük saldırılar

    • Peer-to-peer (Emule, Edonkey vb.)

    • Protocol tunneling

    • Traffic Anomaly

    • Protocol Anomaly




    • Cihaz üzerinde detayları aşağıda iletilen Botnet tespit ve engelleme özelliği olmalıdır.

    • Port ve protokolden bağımsız çalışmalı, internete doğru yapılan tüm ip trafiğini inceleyebilmelidir.

    • Botnet komuta kontrol merkezlerine erişim için yapılan adres çözümleme isteklerini tespit ve dns sorgusu esnasında trafiği bloklayabilme ve özelliğine sahip olmalıdır.

    • Bilinmeyen komuta kontrol merkezleriyle yapılan iletişimler için davranışsal analiz yapabilmeli bu sayede şüpheli trafiği engelleyebilmelidir.

    • Bilinen botnet’ler için imza temelli bloklama yapabilmelidir. Her bir botnet imzası için alınabilecek aksiyonlar sistem yöneticileri tarafından konfigüre edilebilmelidir.

    • Farklı kullanıcı veya kullanıcı grupları için farklı botnet politikaları oluşturulabilmelidir.

    • Botnet tespit ve engelleme mimarisi active directory ile entegre çalışabilecek bu sayede active directory’de tanımlı olan kullanıcı ve kullanıcı grupları bazında botnet filtreleme kuralları tanımlanabilecektir.

    • Cihaz üzerinde bulut mimarisi temelli, 0 day file ataklarına karşı koruma özelliği olmalıdır. 0 day file analiz modulu en az .exe, .dll, uzantılı dosyaların analizini desteklemelidir.

    • Cihazın dosya analiz özelliği, normal trafik akışını yavaşlatmamalı, dosyaları bekletmemeli ve performans kaybına sebep olmamalıdır.

    • Cihazın dosya analiz özelliği, analiz ile tespit ettiği 0 gün zararlı dosyaları tespit edebilen ve engelleyen IPS imzalarını ayrıca yaratabilmeli ve entegre IPS sistemini otomatik güncelleyebilmelidir.

    • Cihaz üzerinde bulut mimarisi temelli çalışan ve detayları aşağıda iletilen Anti-Virus tespit ve engelleme sistemi olmalıdır.

    • Bilinen virüsler için imza temelli bloklama yapabilmelidir.

    • Akan dosya trafiğini tarayabilmelidir. Hangi dosya tiplerinin taranıp taranmayacağı sistem yöneticileri tarafından belirlenebilmelidir. Arşivlenmiş dosyaları tarayabilmelidir.

    • Anti-virüs mimarisi active directory ile entegre çalışabilecek bu sayede active directory’de tanımlı olan kullanıcı ve kullanıcı grupları bazında Anti-virüs kuralları tanımlanabilecektir.

    • Farklı kullanıcı veya kullanıcı grupları için farklı Anti-virüs politikaları oluşturulabilmelidir.

    • Cihazın içerik filtreleme özelliği olacak ve kural tabanlı çalışacaktır. Dosya adı, dosya türü, keyword, kredi kartı numarası, regex özelliklerini sağlamalıdır. Bunun için gerekli lisanslar teklife dahil edilecektir.

    • Cihazlar, SSL web tabanlı trafiği decyrpt edebilmeli ve decrypt ettiği bu trafiğinin bir kopyasını port mirror özelliği ile bir kopyasını gönderebilmelidir. Bunun için gerekli lisanlar teklife dahil olacaktır.

    • Sistemin, Kural kontrol özelliği olacaktır. Mevcut kuralları geçersiz kılan bir kural yazılması durumunda uyarı verecektir.

    • Cihazlar, daha önceden kayıt edilen konfigürasyonlara geri dönüş yapılabilicek ve konfigrasyon geri dönüş işlemlerinde restart gerekmemelidir. Geçmişe dönük en az 10 konfigurasyonu kendi üzerinde tutabilecektir.

    • Ürünlerin konfigürasyon yönetimi, logların kayıt altına alınması ve arşivlenmesi, olay analiz ve raporlama işlemleri bu şartnamede belirtilen “Merkezi Yönetim, Log saklama, Olay Analiz ve Raporlama Yazılımı” aracılığıyla yapılacaktır.

    • Cihazın loglama özelliği formatı kolay anlaşılır bilgilendirici olacaktır. Tek bir log satırında, ip, protokol, uygulama, decryption, trafik yönü (Client to Server, Server to Client), varsa packet capture, varsa url, varsa dosya adı, kural ismi detaylarını kapsamalıdır.

    • Cihaz loglarında, hedefli saldırı, kurum için önceliği yüksek ve kritik logların oluşması durumunda sistem yöneticisini bilgilendiren ve global tehdit istihbarat zekası ile entegre olan bir yapı olmalıdır. Bu sayede sistem yöneticileri günlük olağan trafik loglarının arasında, kritik aktivitelerin loglarını kolayca görebilmelidir.

    • Cihaz loglarında, sistem yöneticinin görmüş olduğu hedefli saldırı ve kritik activite loglarında, üreticinin global istihbarat servisi sayasinde, saldırının karekteristiğini ve etkisini görebilmelidir.

    • Cihaz kural setinde, sistem yöneticisi için, allow, drop, deny, reset server, reset client, reset both gibi birden fazla aksiyon seçeneklerini sunmalıdır.

    • Önerilecek güvenlik duvarı sistemi üreticisinin, bir veya birden fazla ürünü, “NSS Labs Network IPS” ve “NSS Labs Next Generation Firewall” testlerine girmiş olması gereklidir. Teklif edilen Ağ Güvenlik Duvarı Sistemi üreticisi, güncel “Enterprise Firewall” için “Gartner Magic Quadrant” 2016 yılı tablosunda liderler bölümünde yer almalıdır.

    Firewall Sistemi, Yönetim, Log Toplama ve Raporlama Sistemi yazılımı

    • Teklif edilecek merkezi yönetim sistemi bu şartnamede belirtilen güvenlik duvarı ve ürünlerinin merkezi konfigürasyon yönetimini yapabilmelidir. Teklif edilecek yazılım, sanallaştırma platformu olan Vmware platformunu destekleyecektir. Teklif en az 25 adet cihazı yönetebilen lisans kapasitesi ile olmalıdır.

    • Cihazlar üreticinin kendi ürünü olmalı ve OEM bir çözüm sunulmamalıdır.

    • Merkezi yönetim sistemi sayesinde güvenlik duvarı üzerinde herhangi bir arıza yaşanması durumunda konfigürasyon (kurallar, objeler v.b.) verisinde herhangi bir kayıp yaşanmamalı, tanımlı konfigürasyon güncel haliyle korunmalıdır.

    • Merkezi yönetim sistemi aracılığıyla güvenlik duvarı üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere göre (En az IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı izlenebilmesi sağlanacaktır.

    • Teklif edilecek log arşivleme sistemi bu şartnamede belirtilen güvenlik duvarı, Bu işlemlerin tek bir donanım üzerinde yapılamaması durumunda aşağıda belirtilen teknik özellikler karşılanmak kaydıyla birden fazla cihaz teklif edilebilir.

    • Log arşivleme sistemi (veya sistemleri) günlük en az 10 GB log kaydı yapabilmelidir.

    • Teklif edilecek, yönetim, analiz ve raporlama sistemi bu şartnamede belirtilen güvenlik duvarı, sistemlerinin olay analiz ve trafik raporlamasını yapabilmelidir.

    BİLGİ FİRMA

    İSTANBUL BİLGİ ÜNİVERSİTESİ

    Melike BEYKOZ

    Bilişim Teknolojileri Direktörü









        Ana sayfa


    Şartname işin çeşidi: Yeni nesil 10Gig Destekli Firewall Sistemi ve Merkezi Yönetim Sistemi Alımı İşin niteliği

    Indir 45.6 Kb.