Техническо задание за „Доставка на ddoS защита за нуждите на „Информационно обслужване“ ад“



Дата17.01.2017
Размер102.5 Kb.
Приложение №1
ТЕХНИЧЕСКО ЗАДАНИЕ

за

Доставка на DDoS защита за нуждите на „Информационно обслужване“ АД“



  1. Въведение

Необходимо е всеки Кандидат да предостави една оферта за оборудването и софтуерното решение, включени в предмета на процедурата.

  1. Количествена спецификация



Идентификация

Описание

Кол.

Nexus 2k



N2K-C2248TF-E

Nexus 2248TP-E with 8 FET, choice of airflow/power

1



N2K-F10G-F10G

N2K Uplink option FET-10G to FET-10G

1



FET-10G

10G Line Extender for FEX

8



SFP-10G-SR-S=

10GBASE-SR SFP Module, Enterprise-Class

2



CAB-9K10A-EU

Power Cord, 250VAC 10A CEE 7/7 Plug, EU

2



N2248TP-E-FA-BUN

Standard Airflow pack:N2K-C2248TP-E-1GE, 2 AC PS, 1Fan

1

DDoS Защита



APS-2600-2G-AC

APS 2600 (2G License - AC)

1



APS-NIC-4x10GE-SR

APS 2600/2800 4x10GE SR NIC

1



APS-AIF-ADVANCED

ATLAS Intelligence Feed Advanced Subscription for AP

1



APS-MAINT-T1

APS Maintenance & Support – Tier 1 (19% of List)

1



CLD-EN-DDOS-ESSENTIALS-BGP-100M

Arbor Cloud Essentials BGP DDoS - 100M Clean Traffic

12



CLD-EN-DDOS-BGP-NETBLOCK

Arbor Cloud for Enterprise BGP DDoS - Additional /24 Netblock

24

3. Техническа спецификация



Спецификация – минимални изисквания

Обхват и архитектура



Системата да осигури инспекция и контрол на трафик в реално време с капацитет минимум 2Gbps (входящ + изходящ общо)



Системата да може да осигури посредством допълнителни лицензии (без подмяна на хардуерната платформа) инспекция и контрол на трафик в реално време с капацитет минимум 20 Gbps (входящ + изходящ)



Системата да няма ограничение на броя устройства (хостове), които ще бъдат предпазвани



Системата трябва да разполага с минимум 3 броя слота за мрежови карти



Системата да разполага с минимум 1 брой мрежова карта с 4 х 10Gbps SR портове



Системата да е оборудване с 4 х 10Gbps SR SFP-та



Системата да разполага с механизъм за хардуерен байпас на инспекцията на трафика, като това е приложимо на всички интерфейси за данни (медни и оптични).



Системата да разполага с механизъм за софтуерен байпас на инспекцията на трафика.



Системата да внася време закъснение на преминаващия трафик не по-голямо от 80 микросекунди



Системата да поддържа работа в режим на мониторинг, при който спирането й няма да повлияе на работата на мрежовите услуги.



Системата да поддържа терминирането на GRE тунели базирани на стандартен GRE протокол.



Системата да притежава резервирано захранване за променлив ток (AC).



Системата да разполага с два 10/100/1000 BaseT RJ-45 порта за управление



Системата да не е по-голяма от 2 RU (Rack Unit)

Управление



Системата да поддържа упътвания в реално време, достъпни през графичен интерфейс.



Системата да позволява конфигурирането на локални потребителски акаунти.



Интерфейсът на системата да поддържа нива на достъп, в това число административно, оперативно и за мониторинг.



Системата да разполага с CLI, чрез който да има функции за управление и наблюдение.



Системата да предлага избор между SYSLOG, SNMP или SMTP оповестявания за системни известия, промени в режима на работа(активен/пасивен) и в нивата на защита.



Системата да поддържа наблюдение на общия статус чрез SNMP версия 2 или 3.



Системата да поддържа създаване и управление на минимум 50 групи за защита



Управлението на системата да има възможност за възможност за генериране на доклади спрямо зададени критерии

Сигурност



Достъпът до командния ред да се осъществява чрез SSH.



Достъпът до графичния интерфейс да се осъществява през HTTPS. Незащитените протоколи да бъдат забранени.



Системата да предоставя пълна AAA функционалност на потребителите чрез локална потребителска база от данни или RADIUS или TACACS.

Потребителски интерфейс



Системата да поддържа конфигуриране през стандартен интернет браузер.



Системата да осигурява достъп до команден ред по мрежови и/или конзолен път.



Системата да показва статистики в реално време за отхвърления и пропуснатия трафик в байтове (bytes) и пакети, както и статистика за скоростта в bps и pps.



Системата да разполага с филтри за показване на пропуснати, отхвърлени или всички пакети.



Системата да има възможност за задаване на статус (активен/неактивен) за отделните групи за защита.



Системата да поддържа генериране на доклади във формат pdf, съдържащи детайлна статистика и графики за всяка защитена група.

Функционалност



Системата да може да инспектира и контролира както входящ трафик, така и изходящ с цел да се ограничи вредата, която могат да нанесат заразени вътрешни хостове



Системата да може да предотвратява IPv4 и IPv6 базирани атаки



Системата да може да поддържа блокиране на DDoS атака с интензивност на пакетите минимум 15 Mpps



Системата да предоставя бъдеща възможност за интеграция (с добавяне на модул/лиценз в системата, без ново хардуерно устройство) със SSL с цел да осигури възможност за инспекция на криптиран с помощта на SSL трафик



При евентуална бъдеща интеграция системата да може да поддържа минимум 150 000 едновременни SSL сесии



Системата да може да поддържа минимум 600 000 HTTP(S) връзки на секунда на база филтриращи списъци



Системата да блокира невалидни IP пакети и да предоставя статистика за това



Системата да може да блокира TCP, UDP и HTTP(s) атаки



Системата да може да осигури защита на база анализ на поведението на хостове



Системата да поддържа защита чрез лимитиране на трафика, който е класифициран като:



Системата да поддържа защита чрез лимитиране и контрол на следните протоколи:

  • HTTP

  • DNS

  • SIP



Системата да поддържа защита чрез лимитиране и контрол на атаки посредством брой TCP сесии



Системата да позволява конфигурирането на Filter листи



Системата да поддържа блокиране на неправилно формирани DNS заявки



Системата да може да открива и блокира пакети с невалидно HTTP/HTTPS headers, които не отговарят на RFC стандартите



Системата да има възможност да блокира и хостовете източник на атаката



Системата да има възможност периодично да активира нови защитни техники, управлявани и обновявани от производителя чрез 24х7 наблюдение на Интернет с цел разпознаване на най-новите похвати и стратегии за атаки



Системата да има възможност за автоматично обновяване на дефинициите за атаки което да се извършва периодично на конфигурируеми интервали



Системата да има възможност за промяна на нивото на защита, което прилага върху трафика, чрез промяна на ефективните настройки



Системата да разполага с механизъм за специфициране и контрол на индивидуални или всички услуги като такива, които няма да бъдат проверявани(whitelisted) и такива, които ще бъдат блокирани(blacklisted)



Системата да се предостави с абонамент за актуализиране на дефиниции за атаки за най-малко 1 годинa



Системата да се предостави с абонамент за репутационни данни, както и динамична информация за идентифициране на потенциални типове и източници на атаки свързани с:

  • Web Crawlers

  • Malware (Ransomware, RAT, DDoS Bot и т.н.)

  • Command and control

  • TOR

  • Proxies

  • Sinkholes

  • Scanners

  • Spam

  • Phishing

  • Mobile command and control

  • Malicious mobile apps

За срок от 1 година



Системата да може да осигурява идентификация на групови атаки чрез идентификация на характеристиките на атаката



Системата да може да анализира дали атаката е реална и валидна базирайки се на информация (репутации и други) от облачната услуга



Анализирането на атаката от системата да не зависи от количеството трафик, което пристига от даден хост или хостове



Системата да може да предлага историческо следене на ботнети, техните локации и промяната на методите им на атака с течение на времето

Защита от препълване на входящата линия



Да се предвиди защита от препълване на входящата линия (DDoS Volumetric Attacks) с капацитет на изчистване минимум 100 Mbps посредством отклоняване на трафика към облачната инфраструктура на производителя



Scrubbing център (облачна инфраструктура на производителя, използвана за „чистене“ на трафика) с капацитет от минимум 1 Tbps



Трафикът да се отклонява посредством BGP протоколът към облачната инфраструктура на производителя



Изчистеният клиентски трафик да се връща посредством GRE тунел



Да могат да се отклоняват минимум 12 атаки на година, като се счита, че продължителността на всяка атака е минимум 72 часа



Активирането на защитата да може да става автоматично без намеса от човек в рамките на до 5 минути



Да е предвидена възможност за защита на минимум 3 C-клас IPv4 мрежи (/24)

SnS за Nexus 2k



Срок: 1 година 8 часа, 5 дни

SnS за DDoS Защита



Срок:1 година на хардуера и на всички допълнителни лицензи/споразумения



Режим на достъп до поддръжка: 24 часа, 7 дни в седмицата, 365 дни в годината през телефон или по мейл



Да бъде осигурен достъп до портал за поддръжка на устройството на производителят



Устройството да има възможност за софтуерни обновявания на системата по време на поддръжката




База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница