Prefeitura do município de valinhos



Baixar 368.11 Kb.
Página2/3
Encontro18.09.2019
Tamanho368.11 Kb.
1   2   3
VLADIMIR PIAIA JÚNIOR

Secretário de Licitações, Compras e Suprimentos

ANEXO 01 – Características do Objeto

PROCESSO DE COMPRAS Nº 251/2017

MODALIDADE: PREGÃO PRESENCIAL Nº 101/2017

CRITÉRIO DE JULGAMENTO: MENOR PREÇO GLOBAL

1 – DO OBJETO

1.1 OBJETO:Lote único: Contratação de empresa especializada para fornecimento de LICENÇA DE FIREWALL do tipo UTM com SUPORTE TÉCNICO REMOTO e ATUALIZAÇÃO por período de 12 (meses), para uso da PREFEITURA do Município de Valinhos-SP, em conformidade com o estabelecido neste anexo.
2 - Das Especificações técnicas do objeto
O serviço engloba licença e atualização de firewall do tipo UTM, suporte técnico remoto pelo período de 12 (doze) meses, conforme o descritivo técnico das funcionalidades, ferramentas do software e suporte técnico, abaixo:
2.1. Solução de Firewall composta de Software de segurança da informação do tipo UTM (Unified Threat Management) entendendo-se como tais o conjunto de serviços e recursos de: Filtro de pacotes com controle de estado, Filtro de conteúdo web, Interceptação SSL, Filtro de aplicações, Controle da web 2.0, Inspeção com proteção contra ataques de Malwares, vírus, worm, e aplicativos maliciosos, integrar soluções do tipo (IPS, ATP, QoS, Balanceamento de serviços, Redundância de links, VPN, DHCP e DNS) e Firewall de E-mail com os recursos de segurança, disponibilidade e produtividade necessários, capaz de implementar alto nível de desempenho, proteção, alta disponibilidade, gerenciamento de todas mensagens trafegadas com total controle sobre as mensagens recebidas e enviadas entre os usuários e seus contatos, deve contemplar um serviço de firewall interno capaz de filtrar o acesso aos serviços e protocolos de e-mail, SMTP, SMTPS, IMAP, IMAPS, POP3, POP3S, e gerenciamento total do tráfego da rede no acesso ao sistema. A Solução de Firewall de E-mail integrada com tecnologia de proteção Mail Compliance deve prover serviços e recursos modulares de MTA (Mail Transfer Agent) e MRA (Mail Retrieval Agent), AntiSpam, Antivírus, capaz de proteger o ambiente computacional contra ameaças de e-mails indesejados, vírus, malwares, ações ilícitas dos usuários, incluindo a proteção contra o furto de informações. Consolidando os níveis de segurança propostos.

2.2. Todos os produtos e serviços deverão ser orçados para um período mínimo de contrato de 12 meses.

3. DOS REQUISITOS COMUNS PARA TODOS OS ITENS

3.1. Os produtos que compõe a Solução de Segurança devem todos ser produzidos pelo mesmo fabricante;

3.2. A LICITANTE deve informar na proposta comercial e na tabela de formação de preços, marca e modelo do(s) produto(s) ofertado(s);

3.3. A LICITANTE deverá realizar a instalação dos produtos de segurança contratados pelo presente certame;

3.4. A LICITANTE deverá apresentar carta do fabricante quanto ao fornecimento, garantia e funcionalidade dos produtos ofertados.

3.5. A LICITANTE deverá apresentar declaração emitida pelo fabricante específica para este certame comprovando que a empresa faz parte do programa de parcerias e que possui autorização para comercializar os seus produtos e serviços.

3.6. A LICITANTE deverá emitir declaração que cumpre todos os requisitos técnicos do edital se responsabilizando por isso, sendo que os requisitos técnicos serão validados pela equipe técnica de homologação.

3.7. A mesma deve fornecer atestado comprovando a existência de equipe técnica com pessoas capacitadas pelo fabricante em todas as soluções adquiridas. O atestado/diploma deverá ser fornecido pelo fabricante;

4.LICENÇA PARA FIREWALL DO TIPO UTM COM CAPACIDADE DE ATÉ 400 USUÁRIOS, INSTALAÇÃO E CONFIGURAÇÃO, GERENCIAMENTO E SUPORTE TÉCNICO PARA 12 MESES.

4.1. O Software de Firewall UTM “Unified Threat Management” Gerenciador Unificado de ameaças, integrada com os demais recursos e serviços, deve ser capaz de instalar todos os recursos e serviços em um mesmo equipamento do tipo virtual ou x86.

5. ESPECIFICAÇÕES GERAIS DE SOFTWARE UTM

5.1. A Solução deve ser uma solução UTM “Unified Threat Management” Gerenciador Unificado de ameaças, integrada com os demais recursos e serviços, deve ser capaz de instalar todos os recursos e serviços em um mesmo equipamento do tipo virtual ou x86.

6. RECURSOS E SERVIÇOS GERAIS

6.1. Deve suportar tecnologia de Firewall Stateful Packet Inspection;

6.2. Possuir conexão entre a estação de gerência e Appliance no modo criptografado tanto em interface gráfica, quanto em CLI (linha de comando). O Acesso a interface de administração deve ser via WEB sob o protocolo HTTPS com ergonomia voltada a usabilidade;

6.3. Gerenciamento do tráfego e estatísticas sumarizadas através de um painel de controle;

6.4. Possuir sistemas de alertas e notificações do sistema em tempo real na interface WEB e envios automáticos por e-mail;

6.5. Interface responsiva compatível com dispositivos móveis;

6.6. Interface em português e inglês;

6.7. O sistema deve permitir o acesso à interface de gerenciamento WEB por qualquer interface de rede configurada;

6.8. Permitir a criação de perfis de administração baseado em ACL (Acess List), de forma a possibilitar a definição de diversos administradores para o dispositivo, cada um responsável por determinada tarefa da administração;

6.9. Permitir a conexão simultânea de vários administradores, com poderes de alteração de configurações e/ou apenas de visualização das mesmas;

6.10. Permitir criar as definições de ACL (Acess List) completa por administrador, sendo possível especificar os direitos, como: somente Visualizar ou Editar ”Alterar, Excluir, Cadastrar”;

6.11. Permitir auditoria do sistema com log das ações dos administradores por tipo de recurso e período;

6.12. Possuir porta console para possíveis manutenções no produto;

6.13. Acesso via WEB a console shell para gerenciamento através de interface de linha de comando CLI (Command Line Interface). Configurações básicas via interface CLI como suporte a comandos para debug deverão ser suportadas por esta interface;

6.14. A interface CLI deve suportar a configuração de roteamento dinâmico no mínimo para os protocolos BGP, OSPF, RIP1 e RIP2 com suporte a interface Vty;

6.15. Possuir um Certificado digital (CA – Certificado de Autoridade) padrão X.509, nativo com chaves de 2048 bits, para os processos de autenticação do usuário, utilização do proxy SSL e em todas as conexões de serviços com o Appliance.

6.16. A solução deve manter um canal de comunicação segura, com criptografia baseada em certificados entre todos os componentes que fazem parte da solução de firewall, gerência, armazenamento de logs e emissão de relatórios;

6.17. Permitir a integração com qualquer autoridade certificadora válida emissora de certificados X509 que deve seguir os padrões descritos na RFC 2459.

6.18. Capacidade para criação de objetos com a finalidade de facilitar a administração e configuração do sistema, deve atender no mínimo os seguintes tipos de objetos: endereço IP, endereço MAC, Portas de serviços e protocolos, atendendo no mínimo os seguintes protocolos (TCP, UDP, ICMP, IGMP, AH, EGP, ESP, GRE, RSVP, e SCTP), tabela de horário, período com especificação de data/hora inicial e final, tabela de palavras chaves com a possibilidade de especificar expressões regulares, tipos de conteúdo de arquivos (content types);

6.19. Possuir um sistema de armazenamento remoto com suporte a conexões do tipo SMB, NFS e Disco (USB-HDD);

6.20. Possuir mecanismo que permita a realização de cópias de segurança (backups) do sistema e restauração remota, através da interface gráfica, a solução deve permitir o agendamento diário ou semanal;

6.21. As cópias de segurança (backups) devem ser armazenadas em dispositivos remotos do tipo NFS (Network File System) ou Disco externo (USB-HDD);

6.22. O sistema deve permitir configurar o período ou número de cópias que deseja manter no repositório remoto e executar a manutenção de período automaticamente.

6.23. As cópias de segurança devem ser salvas compactadas e criptografadas de forma a garantir segurança, confiabilidade e confidencialidade dos arquivos de backup;

6.24. O sistema ainda deve contemplar um recurso de cópia de segurança do tipo snapshot, que contemple a cópia completa das configurações dos serviços e recursos do sistema;

6.25. Deve possibilitar a restauração do snapshot através da interface web de qualquer ponto remoto, de modo a contribuir para uma restauração imediata sem a necessidade de reinicialização do sistema;

6.26. Suporte e integração com servidores de Network Time Protocol (NTP) para atualização de data e hora do sistema, o que padroniza e evita problemas com o horário de verão;

6.27. Atualização automática do sistema para correções e releases. O sistema de atualização deve permitir agendamento para verificação diária da base de atualizações do fabricante.

6.28. As atualizações devem ser disponibilizadas no intervalo máximo de 15 dias. Não podendo ultrapassar este período;

6.29. Permitir desabilitar update automático;

6.30. Efetuar controle de tráfego e monitor por estado de conexão no mínimo para os seguintes protocolos (TCP, UDP, ICMP, IGMP, AH, EGP, ESP, GRE, RSVP e SCTP) baseados nos endereços de origem, destino e porta;

6.31. Suportar o Internet Protocol Versões 4 (IPv4);

6.32. Suporte à Interfaces Ethernet;

6.33. Suportar o protocolo 802.1q, para uso e segmentação da rede com VLANs;

6.34. Suportar o protocolo 802.1x, para autenticação RADIUS;

6.35. Suporte a interfaces do tipo MACVLAN;

6.36. Suportar o protocolo 802,1ax e 802.3ad (LACP), Link Aggregation Control Protocol;

6.37. Suporte à interfaces DSL;

6.38. Suporte à roteamento estático;

6.39. Suporte ao protocolo SNMP;

6.40. A solução deve suportar no mínimo o funcionamento com 2 (dois) equipamentos idênticos, de forma que funcione com tolerância a falhas (ativo/passivo);

7. AUTENTICAÇÃO

7.1. Suporte à múltiplos domínios de autenticação, mínimo 3(três) domínios;

7.2. Permitir o cadastro dos usuários e grupos em base de dados própria por meio da interface de administração WEB do dispositivo;

7.3. Suporte à sincronismo de usuários e grupos com servidores Windows AD® e Servidores LDAP;

7.4. Permitir a utilização de LDAP, LDAP/SSL para a autenticação de usuários;

7.5. Permitir a utilização de autenticação RADIUS para sincronismo de contas e sessões;

7.6. Permitir o login de usuários de forma transparente ao efetuar logon na rede para plataformas Windows 2008 e 2012 Servers (sem a necessidade de o usuário digitar novamente a senha), para todos os serviços suportados, considerando assim a autenticação do usuário, como uma autenticação unificada entre a plataforma Windows e o Appliance Firewall NG UTM;

7.7. Permitir o controle de acesso por usuário, para todas as plataformas com browser através de autenticação via portal WEB para todos os serviços suportados, de forma que um determinado usuário tenha seu perfil de acesso automaticamente carregado;

7.8. Possuir suporte a um sistema de autenticação do tipo Captive Portal capaz de redirecionar de forma automática a autenticação, deve ser compatível com autenticação Windows AD®, LDAP, RADIUS e LOCAL;

7.9. O Captive Portal deve suportar o protocolo HTTPS para a tela de autenticação do usuário e para administração dos serviços de Captive Portal para o usuário;

7.10. A solução deve permitir em seu portal de autenticação o cadastro de novos usuários, permitindo controle por área, para usuários convidados o Captive Portal solicitará informações para cadastro no sistema, enquadrando automaticamente à um perfil de acesso previamente configurado;

7.11. O sistema de Captive Portal deve ser capaz de aplicar uma política geral e gerenciar a sessão do usuário autenticado:

7.12. Controlar o número de sessões concorrentes por usuário;

7.13. Controlar o número de tentativas de autenticação não autorizada;

7.14. Bloquear o endereço IP de origem das tentativas de autenticação não autorizada;

7.15. Definir o tempo de bloqueio do endereço IP das tentativas de autenticação não autorizada;

7.16. Definir tempo de sessão por inatividade;

7.17. Identificar endereço IP;

7.18. Identificar endereço MAC;

7.19. Permitir o administrador efetuar logout de sessão de qualquer usuário através da interface de gerenciamento WEB da solução de firewall;

7.20. Os usuários devem ter acesso à alguns recursos tais como: alterar dados pessoais; alterar senha para os casos de usuário do tipo local; fazer o download do Certificado de Autoridade (CA) e acesso ao Termos de Uso;

8. SEGURANÇA

8.1. Prover a condição de configuração de uma Política padrão por agrupamento de devices ou zonas de rede, determinando origem e destino por tipo de agrupamento;

8.2. Possibilitar exigir autenticação para a política padrão;

8.3. Capacidade para trabalhar com conversão de endereços e portas (NAT/NAPT) conforme RFC 3022; ser capaz de aplicar mascaramento de pacotes do tipo: SNAT (source nat) por endereço IP de origem; SNAT (masquerade) por device de origem; DNAT (dnat) mascaramento de destino por endereço IP/porta de destino e Nat-T em VPN IPSec;

8.4. Prover mecanismos de segurança configuráveis, que permita habilitar proteção contra ataques do tipo: “Denied of Service; Portscan; Pacotes inválidos; SYN Flood; ICMP Flood”;

8.5. Possuir mecanismo que permita habilitar e desabilitar recursos do tipo: “ICMP Echo/Request – ping; ICMP Redirect; ICMP Broadcast; Source Routing; Checksum; Log Inválidos; TCP be liberal”;

8.6. Possuir mecanismo de configuração para o controle de tipos de conexão possibilitando definir limites máximos para cada tipo de controle das conexões do protocolo TCP;

8.7. Possuir mecanismo de configuração para o controle de conexão possibilitando definir limites de timeout para as conexões genéricas;

8.8. Possuir mecanismo de configuração para o controle de conexão do protocolo ICMP possibilitando definir limites de timeout;

8.9. Possuir mecanismo de configuração para o controle de conexão do protocolo UDP possibilitando definir limites de timeout;

8.10. Detectar automaticamente e inserir regras de bloqueio temporárias para varreduras de portas efetuadas contra o dispositivo ou contra qualquer máquina protegida por esse, mesmo que realizados em períodos maiores que 1 (um) dia;

8.11. Possuir politicas padrões de entrada para os serviços nativos do firewall, por agrupamento de device ou zonas de rede, podendo exigir ou não autenticação, com possibilidade de aplicar ações de bloqueio, permissão, inspeção IPS ou inspeção ATP;

8.12. Permitir definir as políticas de entrada para os serviços nativos do firewall, podendo aplicar filtros no acesso por: usuário, grupos, endereço IP de origem, endereço IP de destino e horário;

9. PROXY


9.1. Possuir Proxy nativo para tráfego HTTP, HTTPS, versões 1.0 e 1.1, FTP;

9.2. Deve possibilitar a conexão de tráfego para outros serviços e que contemplem a conexão em proxys HTTP, tais como: XMPP, SIP, H323, SMTP, POP3, IMAP, RTSP, TELNET e outros;

9.3. Deve permitir a configuração para outras portas de serviços;

9.4. Deve permitir implementar proxy transparente para os protocolos HTTP e HTTPS, de forma a dispensar a configuração dos browsers dos dispositivos clientes para a utilização das características o serviço;

9.5. Deve permitir implementar proxy configurado para os protocolos HTTP, HTTPS, FTP e SOCKS;

9.6. Deve permitir o armazenamento em cache de conteúdo trafegado pelo protocolo HTTP e HTTPS;

9.7. Possuir sistema de cache interno, armazenando requisições WEB em disco local e memória;

9.8. Deve permitir a definição do tamanho mínimo dos objetos salvos em cache no disco;

9.9. Deve permitir a definição do tamanho máximo dos objetos salvos em cache em memória;

9.10. Deve atender a estrutura de navegação através de hierarquia de proxy com e sem autenticação;

9.11. Deve permitir operar sem interceptação SSL.

9.12. Possibilitar a integração com servidores de cache WEB externos;

9.13. Deve ser capaz de armazenar cache dinâmicos para as atualizações Microsoft Windows Update®;

9.14. Deve ser capaz de armazenar cache dinâmicos de streaming no mínimo para endereços do Youtube® e MSN Vídeos®;

9.15. Deve ter capacidade de armazenar em cache dinâmicos conteúdo do Facebook®, Google Maps® e Sourceforge Downloads®;

9.16. Deve possuir a capacidade de excluir URL’s específicas do cache web, configurável por listas de palavras chaves com suporte inclusive a expressões regulares;

9.17. Deve ter suporte à integração com antivírus HTTP através de hierarquia de proxy;

9.18. Possuir mecanismos de integração à interceptação SSL com suporte a conexões de proxy transparente ou proxy configurado;

9.19. Ter a capacidade de análise de HTTP e HTTPS, pelo Antimalware se determinados tipos de arquivos baseados na extensão contém vírus antes de entregá-lo ao usuário e suportar ao menos 2 scanners;

9.20. Ter a capacidade de trabalhar como Anti-Virus de Gateway permitindo a análise de arquivos específicos por extensão;

9.21. Permitir o gerenciamento de quarentena de Malware;

9.22. Permitir realizar Filtro de Conteúdo por Autoridade Certificadora;

9.23. Permitir desabilitar interceptação de SSL por domínio;

10. SISTEMA DE PROTEÇÃO AVANÇADA CONTRA AMEAÇAS

10.1. Possuir sistema de proteção avançada contra ameaças (ATP) nativo;

10.2. O sistema de ATP deve monitorar e analisar o tráfego da rede, identificar aplicativos e ameaças de ataques direcionados e persistentes e efetuar os respectivos bloqueios.

10.3. Deve ser baseado em uma lista de assinaturas eletrônicas que atue em tempo real analisando a camada de aplicação, capaz de identificar o conteúdo dos pacotes, fazer log (registros) das assinaturas trafegadas, inspecionar os pacotes e efetuar o descarte automático do pacote quando identificado assinaturas de pacotes maliciosos, inapropriados para o uso no ambiente corporativo;

10.4. A base de assinaturas do sistema de ATP nativo deverá ser fornecida pelo período do contrato;

10.5. A base de assinaturas deve possuir mínimo de 2(duas) modalidades de assinaturas, atendendo a identificação de ameaças e aplicativos;

10.6. Possuir um mínimo de 31 mil (trinta e um mil) assinaturas;

10.7. O fabricante deve garantir o fornecimento de atualizações regulares dentro do período de assinatura contratado;

10.8. Deve permitir a atualização automática das assinaturas por meio de agendamento diário;

10.9. Possuir capacidade de inspecionar e bloquear em tempo real, ameaças do tipo: activex, malware, malware-backdoors, ataques P2P, trojans, worms, user_agents, pua (adware, p2p, toolbars) malwares para mobile, blacklist, botcc, exploits-kits, file-executable, file-flash, file-identify, file-image, file-java, file-multimedia, file-office, file-other, file-pdf, games, inappropriate e vulnerabilidades conhecidas;

10.10. Possuir uma ferramenta de bloqueio de execução de aplicativos, integrado a base de Antivírus e Antimalware;

10.11. Possuir capacidade de inspecionar e bloquear em tempo real, aplicativos do tipo: ads, cloud, colaboração, download, e-mail, games, mobile, p2p, proxy, remote, redes sociais; storage, streaming, update, voip e web.

10.12. Possuir capacidade de inspecionar e bloquear em tempo real, aplicativos de VoIP tais como: Hotline, Asterisk, Linphone, SIP, Skype, Xlite SIP, X-Pro SIP, Cisco SIP, OpenSIP, Bria, ClearSea e Nero SIP;

10.13. Possuir capacidade de inspecionar e bloquear em tempo real, aplicativos de Redes Sociais tais como: Aol Instant Messenger, Badoo, BaiduHi, Airtime, Blogger, BoldChat, ChatON, China.com, Facebook, Flickr, FC2, Fring, Google Analytics, Google App, ICQ, Linkdin, Meetup, MSM Messenger, Netlog, Skype, Tinder, Tuenti, Twitter, WhatssApp, WeChat e Zoho Chat;

10.14. Possuir capacidade de inspecionar e bloquear em tempo real, aplicativos e transferências de arquivos do tipo P2P (peer to peer) tais como: BitTorrent, Gnutella, FastTrack, IceShare, Napster, Shareman e de Storages, tais como: Dropbox, Easy-share, Google Drive, Megashare, MegaUpload, Rapidshare, OneDrive, Yahoo Box, SoundCloud e Filemail, DivShare;

10.15. Possuir mecanismo de bloqueio para listas de reputação de endereço IP catalogadas no mínimo para 6(seis) categorias, capaz de permitir seleção por categorização, elas devem atender as seguintes classificações: spam, reputation, malware, attacks, anonymous e abuse;

10.16. Possuir mecanismo de bloqueio e proteção por localização GeoIP para uma lista mínima de 250 Países e Repúblicas;

10.17. Deve possuir mecanismos de integração nas conexões via proxy, a partir da interceptação SSL. Possuir capacidade de inspeção profunda de pacotes (Deep Package Inspection - DPI), conseguir inspecionar aplicações criptografadas incluindo todo o payload;

10.18. Suportar exceção de ameaças por assinatura; IP de origem ou IP de destino;

10.19. Suportar exceção de aplicativos por assinatura; IP de origem ou IP de destino;

10.20. Suportar exceção para base de reputação IP por endereço IP;

10.21. Suportar exceção para a base de localização GeoIp por endereço IP;

10.22. Ação de Bloqueio do pacote ou reset da conexão em tempo real;

10.23. Deve possuir mecanismos para gerar gráfico do histórico da relação de eventos entre as “ameaças detectadas” e as “ameaças bloqueadas”;

10.24. Deve possuir mecanismos para gerar gráfico do histórico da relação de eventos entre os “aplicativos detectados” e os “aplicativos bloqueados”;

10.25. Deve possuir mecanismos para gerar log dos registros das incidências, classificados em pelo menos 3 (três) níveis de impacto: “baixo; médio e alto”;

10.26. Gerar registro do tipo Top Level, dos 10(dez) mais, inclusive da relação de eventos entre usuários e ameaças, usuário e aplicativos, aplicativos e ameaças identificados e bloqueados;

10.27. Todos os logs e registros devem permitir ser gerados por período: “diário ou mensal”;

10.28. Possuir mecanismos para inspecionar, identificar e detectar os aplicativos e sub aplicativos trafegados via proxy e classificá-los de acordo com a base de assinaturas;

10.29. Possuir mecanismos para inspecionar, identificar e detectar as ameaças e ataques do tráfego geral, incluindo o trafego via proxy e classificá-los de acordo com a base de assinaturas;

10.30. Deve permitir o bloqueio em caso de detecção dos aplicativos e ou ameaças e atacantes, com base nas políticas de cada assinatura;

11. SISTEMA DE PREVENÇÃO CONTRA INTRUSÃO

11.1. Possuir sistema de prevenção contra intrusão de atacantes (IPS) nativo;

11.2. O Sistema de IPS deve monitorar, analisar o trafego e proteger a rede contra ataques internos e externos e utilizar técnicas de varredura e identificação que filtrem e bloqueie os pacotes atacantes e descarte o pacote com conteúdo de código malicioso;

11.3. Deve ser baseado na identificação de assinaturas de tipos de ataques e aplicações com vulnerabilidades conhecidas. O IPS deve contemplar uma base de assinaturas capaz de identificar o método de ataque com base em modelos de comportamento, características dos protocolos de rede, sistemas operacionais, inclusive comandos executados e esse conjunto de informações deve permitir que o pacote malicioso seja identificado e bloqueado em tempo real pelo IPS.

11.4. Possuir pelo menos 18000 mil (dezoito mil) assinaturas;

11.5. O fabricante deve garantir o fornecimento de atualizações regulares dentro do período de assinatura contratado;

11.6. Deve permitir a atualização automática das assinaturas por meio de agendamento diário;

11.7. A base de assinaturas deve contemplar um mínimo de 65 (sessenta e cinco) categorias, atendendo a identificação de ameaças e atacantes;

11.8. A solução deve ser capaz de detectar e prevenir as seguintes ameaças: Exploits e vulnerabilidades específicas de clientes e servidores, mau uso de protocolos, comunicação outbound de malware, tentativas de tunneling, e ataques genéricos;

11.9. A solução deve prover mecanismos de proteção contra ataques dos serviços de rede e aplicações, protegendo pelo menos os seguintes serviços: aplicações web, serviços de, DNS, FTP, SNMP, Telnet, TFTP, serviços Windows (Microsoft Networking) e VoIP.

11.10. A solução deve prover mecanismos de proteção contra ataques as assinaturas relacionadas a web-server, IIS, Apache, MSSql, MySql para que seja usado para proteção específica de Servidores Web;

11.11. Deve possuir capacidade de análise de tráfego para a detecção e bloqueio de anomalias como Denial of Service (DoS), Exploits, Attack Response;

11.12. Detecção de ataques de RPC (Remote Procedure Call);

11.13. Deve prover mecanismos de Proteção contra ataques de SMTP (Simple Message Transfer Protocol) IMAP (Internet Message Access Protocol, Sendmail ou POP (Post Office Protocol);

11.14. Deve prover mecanismos de Proteção contra ataques de ICMP (Internet Control Message Protocol);

11.15. Deve possuir mecanismos de integração nas conexões via proxy, a partir da interceptação SSL. Possuir capacidade de inspeção profunda de pacotes (Deep Package Inspection - DPI), conseguir inspecionar pacotes criptografados incluindo todo o payload;

11.16. Suportar exceção de ameaças por assinatura; IP de origem ou IP de destino;

11.17. Ação de Bloqueio do pacote ou reset da conexão em tempo real;

11.18. Deve possuir mecanismo para gerar log dos registros das incidências, classificados em pelo menos 3 (três) níveis de impacto: “baixo; médio e alto”;

11.19. Deve possuir mecanismos para gerar gráfico do histórico da relação de eventos entre os “ataques detectados” e os “ataques bloqueados”;

11.20. Gerar registro do tipo Top Level, dos 10(dez) mais, inclusive da relação de eventos entre os tipos de ataques e usuários, os graus de impacto e usuários, ataques identificados e bloqueados;

11.21. Todos os logs e registros devem permitir ser gerados por período: “diário ou mensal”;

11.22. Possuir mecanismos para inspecionar, identificar e detectar as ameaças e ataques do tráfego geral, incluindo o trafego via proxy, e classificá-lo de acordo a base de assinaturas;

11.23. Deve permitir o bloqueio em caso de detecção de ameaças e atacantes, com base nas políticas de cada assinatura;

12. QOS

12.1. Deve permitir especializar as redes de forma a melhorar sensivelmente a qualidade de conexão, tratando de forma diferenciada e especifica as transmissões que exijam maior e melhor qualidade da rede;



12.2. Deve possuir mecanismo que permita criar controles por fila de prioridade, mínima de 5(cinco) níveis;

12.3. Deve ser capaz de alterar a velocidade dos acessos por nível de prioridade;

12.4. Deve ser capaz de criar limites de banda máxima por fila de prioridade;

12.5. Deve ser capaz de criar garantia de banda mínima por fila de prioridade;

12.6. Deve permitir a habilitação do controle de velocidade permitindo especificar a largura de banda ou velocidade Downstream e Upstream de cada barramento ou device;

12.7. Priorização de pacotes com suporte às tecnologias de tratamento ToS (Type of Service) e DSCP (DiffServ Code Point);

12.8. Permitir modificação de valores ToS para a priorização de roteamento dos pacotes;

12.9. Implementar no mínimo 5(cinco) níveis de roteamento e tipos de serviços, com configuração e marcação para códigos ToS através da interface gráfica;

12.10. Permitir modificação de valores DSCP dos pacotes para o DiffServ;

12.11. Implementar no mínimo 20 (vinte) classes de serviço distintas, com configuração do mapeamento e marcação para códigos DSCP através da interface gráfica;

13. BALANCEAMENTO DE LINK

13.1. Deve ser capaz de segmentar e priorizar o tráfego através das interfaces de rede;

13.2. Deve contemplar a função de roteamento por prioridade de links;

13.3. Deve ser “tolerante à falhas”, ou seja, possuir recurso de FailOver;

13.4. Deve possuir mecanismos de controle de falhas de link, capaz de aplicar testes da disponibilidade em tempo real. Estes testes devem retornar para o sistema o status atual de cada link e em caso de falhas do link principal, este recurso deverá alterar o “gateway padrão” do sistema para o próximo link da lista de prioridades de links;

13.5. O serviço de FailOver de links deve possibilitar que os testes e monitoramento sejam realizados através do protocolo ICMP para endereços de hosts externos;

13.6. O monitoramento no protocolo ICMP deve permitir inserir múltiplos endereços para verificação e o link principal somente será marcado como inativo se todos os hosts externos pararem de responder;

13.7. Deve possuir as seguintes opções de configurações para o monitoramento do link que fazem parte do FailOver e Balanceamento de link:

13.8. Intervalo de monitoramento;

13.9. Quantidade tentativas de testes por host ou número de falhas necessárias antes de marcar o link como inativo;

13.10. Permitir utilizar um link como principal e outro como secundário. O tráfego apenas será redirecionado (FailOver) quando o principal ficar indisponível, retornado ao estado anterior quando o principal ficar ativo novamente;

13.11. Deve suportar regras de roteamento dos serviços de saída do próprio dispositivo de firewall, podendo selecionar entre os links, inclusive definindo prioridade do tráfego;

13.12. Suportar o uso simultâneo de múltiplos links em um mesmo firewall, de provedores distintos ou não.

13.13. Permitir o balanceamento de links, inclusive com IPs dinâmicos para ADSL ou outra tecnologia de banda larga que não utilize IP Fixo;

13.14. Deve contemplar o recurso de balanceamento de links por políticas de segurança; podendo ser aplicadas por: origem, destino, conteúdo web, horário ou período de data e hora inicial e final, controles de tipo de conteúdo, tipo de pacote; políticas de mascaramento; políticas de proxy; usuário e grupos;

14. CONTROLE DE APLICATIVOS WEB

14.1. O controle de aplicativos web deve possuir mecanismos de detecção capaz de tomar medidas contra o tráfego de rede indesejado por tipo de aplicativo e sub aplicativos em uso, deve ser baseado em decodificadores de assinaturas e protocolos.

14.2. O controle desses aplicativos devem permitir inspecionar, permitir ou bloquear estes acessos nas conexões HTTP e HTTPS através de proxy transparente ou proxy configurado, inclusive a definição de quais usuários, grupos de usuários, redes, devices ou agrupamentos de devices podem utilizar ou não estes recursos, definindo inclusive dentro das suas características quais recursos de cada aplicativo poderão ser utilizados.

14.3. A base deve contemplar um número mínimo de 790 aplicativos e sub aplicativos diferentes, catalogados e classificados em categorias, mínima de 24 categorias;

14.4. Possuir mecanismos de criação de regras que possibilite definir políticas de segurança de maneira simplificada, sem a necessidade de especificar endereço de origem ou destino das aplicações, para as tomadas de ação;

14.5. Reconhecer no mínimo aplicações do tipo redes sociais, aplicativos peer to peer, acesso remoto, games, streamings, aplicativos de lojas on line, mensageiros instantâneos, colaboração, vídeo conferência, e-mails, fóruns, bloggers, storage, proxy anônimos, antivírus entre outras;

14.6. Deve contemplar assinaturas que identifique pelo menos os aplicativos e sub aplicativos tais como: Youtube®, Facebook®, Twitter®, Linkedin®, Tumblr®, Bittorrent®, Gnutella®, AIM®, Baidu®, Syflex®, Logmein®, Join.me®, DropBox®, Onedrive®, Apple iCloud®, Amazon®, Ebay®, ITunnes®, Blospot®, Instagram®, Flickr®, Photoshop®, Picasso®, Myspace®, Netflix®, Justin TV®, Megavideo®, Skype®, Viber®, Whatsapp®, Yahoo Messenger®, Spotify®, Wunderlist®, Webex®, Gismodo®, Google News®, Google Docs®, Google Earth®, Google Translator®, Google Finance®, Money Control®, Morningstar®, Playstation®, Wii®, Xbox Live®;

14.7. Ser capaz de identificar assinaturas de aplicações de uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações de proxys que utilizam táticas evasivas via comunicações criptografadas, tais como Ultrasurf, Vtunnel, Zenguard, Privax, Proxydotorg;

14.8. O recurso deve de forma objetiva controlar aplicativos web 2.0 com a finalidade de melhorar o desempenho da rede e evitar improdutividade do grupo de usuários da rede;

15. FILTRO DE CONTEÚDO WEB

15.1. O filtro de conteúdo web deve possuir mecanismos de detecção capaz de tomar medidas contra o tráfego de rede indesejado dependendo da URL ou categoria web, deve ser baseado em uma lista de URL’s classificadas por tipo de conteúdo;

15.2. O filtro de conteúdo web deve permitir inspecionar, permitir ou bloquear estes acessos nas conexões HTTP e HTTPS através de proxy transparente ou proxy configurado, inclusive a definição de quais usuários, grupos de usuários, redes, devices ou agrupamento de devices, podem acessar ou não as diversas categorias identificadas;

15.3. O filtro de conteúdo web deve possuir base de dados catalogada com mínimo de 40 milhões de URL’s e classificada em no mínimo 80 categorias;

15.4. A solução deve possuir mecanismos de criação de regras que possibilite definir políticas de segurança de maneira simplificada, sem a necessidade de correlacionar endereços de origem e destino das URL’s ou categorias web para as tomadas de ação;

15.5. A solução de filtro de conteúdo deve suportar a ação de forçar a pesquisa segura independente da configuração do navegador (browser) da estação de trabalho do usuário. Esta funcionalidade não permitirá que os sites de busca retornem resultados considerados inapropriados. Esta funcionalidade deve ser suportada no mínimo para os buscadores “Google®”, “Bing®” e “Yahoo®”;

15.6. Deve possuir mecanismos de filtragem de métodos HTTP a fim de otimizar e melhorar a eficiência do tráfego web, deve comtemplar filtros do tipo: put, get, checkout, connect, delete, head, link, post, search e trace;

15.7. Deve permitir criar base de categorias personalizadas a partir de listas de URL’s com suporte a lista de palavras chaves e expressões regulares;

15.8. Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;

15.9. Permitir a criação de filtros para arquivos e dados pré-definidos;

15.10. Os arquivos devem ser identificados por extensão e assinaturas;

15.11. Suporte a identificação de arquivos compactados, executáveis, imagens e multimídias, a aplicação de políticas sobre o conteúdo desses tipos de arquivos;

15.12. Deve oferecer a opção de bloquear controles ActiveX e Java Scripts que possam comprometer o acesso web dos usuários;

15.13. Deve oferecer a opção de cota de tempo em horas ou minutos de navegação web por dia;

15.14. Deve oferecer a opção de cota de tráfego em MB de navegação web por dia;

15.15. Permitir identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, Compactados, Executáveis, ISOs e etc) identificados sobre aplicações (HTTP, HTTPS e FTP) inclusive oferecendo a opção de controle de tamanho máximo de download por navegação;

15.16. Permitir identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, Compactados, Executáveis, ISOs, etc) identificados sobre aplicações (HTTP, HTTPS e FTP) inclusive oferecendo a opção de controle de tamanho máximo de upload por navegação;

15.17. Deve suportar mecanismos de filtro e controle de login no Google® por domínio, permitindo ao administrador especificar os domínios permitidos;

15.18. O sistema de filtro de conteúdo poderá ser aplicado por definição de horário ou período de validade do filtro; podendo ou não especificar usuários, grupos de usuários, rede ou agrupamento de device para todos os recursos de filtragem e controles estabelecidos;

16. POLÍTICAS DE SEGURANÇA DO FIREWALL

16.1. O sistema deve integrar os respectivos recursos e serviços de integração com o firewall: NAT, proxy; filtro de conteúdo web, filtro de aplicações web, QoS, FailOver e balanceamento de links, de acordo as especificações técnicas descritas a fim de propiciar um sistema capaz de tratar o tráfego da rede em camadas, garantindo a segurança dos dados;

16.2. Estes recursos integrados devem permitir o tratamento do tráfego em camadas, de modo granular com o suporte a interceptar o tráfego SSL, identificar malwares e ações mal-intencionadas que utilizam o protocolo HTTPS para burlar firewalls, o sistema deve interceptar estas conexões, analisar e enviar os pacotes para tomadas de ações;

16.3. Deve também permitir a inspeção destes pacotes, detectar e prevenir dos ataques de intrusos, operando em conjunto com o firewall, impedir que acessos externos e/ou remotos executem rotinas de invasão. Executando ação pró ativa de bloqueio dos ataques;

16.4. Deve permitir gerar políticas de segurança capaz de filtrar os pacotes, integrar aos recursos de tratamento de filtro de conteúdo, filtro de aplicações, gerenciamento e controle dos pacotes definindo controle de banda por níveis de velocidade e garantia de banda por prioridade.

16.5. Deve permitir o roteamento estático por device, por endereço IP, serviços, usuários, grupos de usuários, para cada link de internet podendo distribuir o balanceamento de carga entre múltiplos links de internet ou ainda definir um roteamento exclusivo sem a opção de redundância ou FailOver;

16.6. As políticas de segurança devem permitir integrar em uma mesma interface interativa a definição de uma única política que atenda todos os recursos integrados com o firewall;

16.7. As políticas de segurança devem tomar ações do tipo: permitir, bloquear e inspecionar para o tráfego IPS ou Inspecionar para o tráfego ATP;

16.8. As políticas de segurança devem atender as especificações por prioridade, se o conteúdo do tráfego se enquadrar as definições da política, a mesma deve ser aplicada ignorando as políticas de menor prioridade;

16.9. Deve permitir o agrupamento de políticas respeitando as regras de negócio;

16.10. Deve permitir reordenação sempre que necessário;

16.11. Deve suportar mecanismos de balanceamento de links por política, inclusive com devices do tipo VLAN ou MACVLAN (endereços virtuais);

16.12. Deve ser permitido desabilitar uma política de segurança sem que seja necessário remove-la da lista;

16.13. A interação da interface ainda deve prover um recurso ou mecanismo para expandir a política, ou seja, permitir a visualização com as informações de filtros e a ação que compõe a regra;

17. VPN IPSEC

17.1. A solução deve prover comunicação através de túneis VPN “Virtual Private Network” ou “Rede virtual Privada”. Ter como principal finalidade utilizar os recursos da rede pública “Internet” para conectar redes remotas.

17.2. Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), de modo a possibilitar que duas redes com endereços inválidos possam se comunicar através da Internet;

17.3. Deve suportar VPN IPSEC Túnel site to site ou site to client;

17.4. Deve suportar VPN IPSEC RAS - Acesso remoto IPSEC;

17.5. Deve suportar os protocolos padrões de VPN: IPSEC, ESP, IKE e IKE versão 2;

17.6. A solução de VPN deve operar o padrão IPSEC, de acordo com as RFCs 2401 a 2412, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão;

17.7. O suporte aos protocolos e algoritmos de autenticação e integridade IKEv1 e IKEv2 de acordo a RFC 7296, de modo a estabelecer canais de autenticação e criptografia com outros produtos que suportem tal padrão;

17.8. Deve possuir suporte a algoritmos de criptografia IKE: 3DES, AES, Blowfish;

17.9. Deve possuir suporte a algoritmos de integridade IKE: md5, sha1, sha256, sha384 e sha512;

17.10. Deve possuir suporte a algoritmos de criptografia ESP: DES, AES, Blowfish e Camélia;

17.11. Deve possuir suporte a algoritmos de integridade ESP: md5, sha1, sha256, sha384, sha512, aesxcbc e aescmac;

17.12. Suporte ao menos à 5 Diffie-Hellman distintos;

17.13. A solução deve atender a suporte IKEv2 com suporte a fragmentação, de acordo a RFC 7383;

17.14. Deve possuir funcionalidade que permita estabelecer túneis de VPN com Appliances da mesma solução ou outras soluções de VPN implementadas atrás de firewalls, através de encapsulamento UDP, de acordo a RFC 3947;

17.15. Implementar os esquemas de troca de chaves manual, para os protocolos IKE e IKEv2 através de chave compartilhada (Pré-Shared Key);

17.16. Suportar Main Mode e Aggressive mode em IKE v1;

17.17. Possuir funcionalidade Dead Peer Detection (DPD) ou similar;

17.18. Suportar VPN Redundante (Failover) reestabelecimento automático da VPN IPSEC sobre um segundo enlace caso haja falha no enlace principal);

17.19. Suporte a conexão por FQDN “Full Quality Domain Name”;

17.20. Deve permitir habilitar, desabilitar os túneis de VPN IPSEC

17.21. A solução deve prover recursos de controle de conexão no tratamento do protocolo IKE que possibilite definir parâmetros dos tempos de vida das conexões e retransmissão e da autenticação IKE;

17.22. O sistema de VPN IPSEC RAS deve funcionar como um provedor de VPN para clientes, de modo a atribuir aos clientes endereços IPs não válidos, colocando-os, virtualmente, em uma rede local estendida;

17.23. No modo VPN IPSEC RAS deve ser possível configurar o endereço/range IP a ser atribuída a interface de rede virtual do cliente de VPN, bem como sua máscara de rede, endereços dos servidores DNS, endereço dos servidores WINS, rota default e rotas para sub-redes;

17.24. O modo VPN IPSEC RAS deve suportar autenticação integrada X-Auth (Integração Windows AD, PAM LDAP e base de autenticação local) para usuários do firewall;

17.25. Deve possuir mecanismos de autenticação com suporte a EAP (MSCHAP2) para clientes VPN IPSEC Windows;

17.26. Compatibilidade com clientes VPN nativos para os sistemas operacionais iOS 7 ou superior, Android 4.4.4 ou superior, MacOS X 10.6 ou superior, Linux 2.6.36 ou superior, Windows 7 ou superior;

18. VPN SSL

18.1. A solução deve prover comunicação através de VPN SSL que permita um usuário remoto devidamente autorizado a utilizar um navegador WEB moderno para acessar com segurança diversos serviços da rede privada;

18.2. A solução deve suportar acesso com chaves de criptografia com tamanho igual ou superior a 128 bits, de forma a possibilitar a criação de canais seguros ou VPNs através da Internet;

18.3. A VPN SSL deve possibilitar o acesso a toda infraestrutura de acordo com a política de segurança, através de um plug-in ActiveX e/ou Java;

18.4. O acesso deve oferecer versatilidade, facilidade de uso, e controles específicos de grupos e usuários em cada modalidade de aplicação e deve estar disponível através de um portal WEB.

18.5. Deve prover acesso via túnel SSL utilizando um navegador sem a necessidade de um cliente instalado na estação remota, e ser compatível com o navegador Mozilla Firefox versão 47;

18.6. Deve ser compatível com as plataformas operacionais: MS-Windows, Linux, MacOS;

18.7. Deve possuir mecanismos de tunelamento de aplicações através de um portal web, com suporte a desvio de porta (Port Forward) para as aplicações internas;

18.8. Permitir acesso interno e externo ao portal web;

18.9. Deve suportar as seguintes modalidades de aplicações: Aplicações Túnel do tipo cliente-servidor, Aplicações de acesso remoto tais como: VNC, SSH, Terminal Service, Aplicações web do tipo HTTP e HTTPS, Compartilhamento de rede do tipo SMB;

18.10. Deve possuir suporte a autenticação integrada X-Auth (Integração Windows AD, PAM LDAP e base de autenticação local) para usuários do firewall;

19. SERVIÇOS DE REDE (DDNS, DNS E DHCP)

19.1. A solução de UTM integrada deve permitir integração à serviços do tipo DDNS (Dynamic DNS);

19.2. Possuir suporte à publicação de hosts dinâmicos para os provedores de serviços: NO-IP e Dyndns;

19.3. Deve contemplar um mecanismo de atualização automática do DDNS por agendamento (update);

19.4. O serviço de DDNS deve ser compatível com Interface DSL ou PPOE;

19.5. O sistema também deve prover um recurso de redirecionamento DNS para provedores de DNS recursivo a fim de disponibilizar acesso a serviços de resolução de nomes remotos; permitir a consulta recursiva a partir dos redirecionamentos de DNS;

19.6. Permitir a configuração de acesso e redirecionamento por device de rede;

19.7. Suporte a cache de DNS;

19.8. Possuir mecanismos de proteção capaz de identificar ataques que disponibilizem servidores DNS válidos com autoridades sobre domínios configurados para responder um TTL (Time to live) muito baixo, inibindo a ação de guardar cache, o sistema deve possibilitar a proteção contra ataques que alteram a resposta a pesquisa de DNS para um endereço IP dinâmico de servidores com códigos maliciosos;

19.9. O sistema de proteção a este tipo de resposta (pesquisa de domínios com TTL muito baixo) deve possuir a opção de exceção para endereços de hosts locais e por domínios possibilitando especificar hosts e domínios confiáveis que não queira guardar cache;

19.10. Deve permitir DNS Redirect por listas de hosts;

19.11. A solução de UTM integrada deve fornecer um serviço de DHCP (Dynamic Host Configuration Protocol) Server e DHCP Relay;

19.12. Deve possuir mecanismo de configuração e distribuição de pool de endereços IPs por device de rede, com suporte a interfaces do tipo ethernet, VLAN, inclusive interface MACVLAN (Virtuais);

19.13. Deve permitir a distribuição do pool de endereços IPs por filtro de grupo ou objeto de endereço MAC; permitir a distribuição de endereço IP fixado ao endereço MAC.

19.14. A distribuição dos dados de configurações de serviços de rede deve contemplar a distribuição de Gateway ou roteamento, a definição de um sufixo de DNS; lista de endereço de servidores de DNS e servidores Wins;

19.15. Deve permitir a definição do tempo de vida do DHCP para a renovação do endereço IP entregue;

20. ALTA DISPONIBILIDADE

20.1. A solução deve suportar funcionamento com 2 (dois) ou mais equipamentos idênticos, de forma que funcione com tolerância a falhas (ativo/passivo);

20.2. Os dois dispositivos devem ser ligados em paralelo, com réplicas das configurações entre eles. O dispositivo secundário não estará tratando o tráfego, ele entrará em funcionamento para tratamento de tráfego somente quando o dispositivo principal ficar inoperante;

20.3. Deverão ser capazes de manter o sincronismo de todos os itens de configuração e serviços, exemplo: Políticas de segurança, Configurações de segurança do firewall, Certificado de autoridade, Contas administrativas, Configuração de VPN, Configurações de rede, Roteamento estático, Roteamento dinâmico, Perfis, bases de antivírus, filtros web, IPS e ATP;

20.4. A alta disponibilidade deve ter persistência de sessão e detecção de falhas por protocolo VRRP;

20.5. O Sincronismo dos servidores deve ser por interface exclusiva;

21. RELATÓRIOS

21.1. A geração de relatórios deve ser centralizada e disponibilizada através da interface WEB da solução e disposta em um painel de controle de gerenciamento.

21.2. A geração dos relatórios detalhados deve ser opcional e configurável por tipo de relatório: proxy, ataques e ameaças, aplicativos e firewall;

21.3. A solução deve disponibilizar a geração de relatórios acessíveis, fáceis de usar e baseados na web que ofereça visão em tempo real, relatórios sumarizados, gráficos e históricos detalhados.

21.4. Os relatórios devem propiciar ao administrador base concreta de análise fornecendo uma visão profunda de como a rede e os computadores estão sendo utilizados, permitindo-se entender e reforçar quando necessário as regras de conformidade.

21.5. A solução também deve através da interface de administração web, permitir administradores visualizar os relatórios dos usuários.

21.6. Acesso centralizado e consistente a todos os logs sumarizados e eventos do sistema com a opção de verificação “Diária” e “Mensal” dos registros e ainda com a opção de extração no formato “PDF” e “CSV”.

21.7. Suporte à geração em PDF para os relatórios estatísticos;

21.8. Deve ser capaz de gerar e manter os relatórios detalhados no mínimo por 7(sete) dias;

21.9. Deve suportar exportação dos relatórios detalhados no formato CSV;

21.10. Possuir um mecanismo de arquivamento dos relatórios gerados para download, o arquivamento deve ser mantido pelo período mínimo de 1(hum) mês;

21.11. Possuir um serviço de manutenção de limpeza dos registros de estatísticas e relatórios extraídos nos formatos CSV e PDF, mantendo os registros por um período mínimo de 30(trinta) dias;

21.12. A manutenção dos relatórios detalhados deve ser rotacional, automático e deve manter um período mínimo de 7 dias;

21.13. O sistema deve possuir um mecanismo de log que permita enviar os arquivos de log para outro servidor do tipo SYSLOG, especificando IP e porta;

21.14. Deve ser capaz de gerar relatório Online com (B.I) Business Intelligence para filtro na busca de relatórios;

21.15. Deve contemplar relação de eventos entre os itens de relatórios do proxy;

21.16. Deve contemplar relação de eventos entre os itens de relatórios das ameaças e aplicativos;

21.17. Deve contemplar os eventos de detecção do AntiMalware;

21.18. Deve contemplar relação de eventos entre os itens de relatórios dos atacantes;

21.19. A empresa fabricante da solução deve garantir que todos os relatórios detalhados devem ser assinados através de uma chave de integridade (key) que garanta a confiabilidade dos dados, atendendo ao Marco Civil nº 12.965/2014;

22. REGISTROS E LOGS DO SISTEMA

22.1. Deve atender os registros e logs do sistema das respectivas informações de gerenciamento por dispositivo: relatórios e gráficos gerais do sistema;

22.2. Gerar gráfico estatístico do sistema contendo informações do total de tráfego de rede e histórico diário por hora em (KB/ MB/ GB/ TB);

22.3. Gerar gráfico estatístico do sistema contendo informações do total de tráfego web via proxy e histórico diário por hora em (KB/ MB/ GB/ TB);

22.4. Gerar gráfico estatístico do sistema contendo informações do total de ameaças e aplicativos detectados pelo sistema de proteção de ameaças persistentes, tipo ATP e contemplar inclusive um histórico diário por hora em (KB/ MB/ GB/ TB);

22.5. Gerar gráfico estatístico do sistema contendo informações do total de ataques detectados pelo sistema de prevenção de intrusos, tipo IPS (Inspection Prevention System) e contemplar inclusive um histórico diário por hora em (KB/ MB/ GB/ TB);

22.6. Gerar gráfico estatístico do sistema contendo informações do total de tráfego de rede e histórico mensal por dia em (KB/ MB/ GB/ TB);

22.7. Gerar gráfico estatístico do sistema contendo informações do total de tráfego web via proxy e histórico mensal por dia em (KB/ MB/ GB/ TB);

22.8. Gerar gráfico estatístico do sistema contendo informações do total de ameaças e aplicativos detectados pelo ATP (Advanced Threats Protection) e histórico mensal por dia em (KB/ MB/ GB/ TB);

22.9. Gerar gráfico estatístico do sistema contendo informações do total de ataques detectados pelo IPS (Inspection Prevention System) e histórico mensal por dia em (KB/ MB/ GB/ TB);

22.10. Gerar histórico dos top 10 (dez) com o total do tráfego de rede em (KB/ MB/ GB/ TB) por: usuários, grupos, serviços/protocolos; regras de conformidade e categorias web;

22.11. Gerar histórico dos top 10 (dez) alertas de segurança dos ataques detectados pelo firewall com o total de hits;

22.12. Gerar histórico dos top 10 (dez) aplicativos web (ATP) com o total de hits;

22.13. Gerar histórico das top 10 (dez) ameaças APT (Advanced Persistent Threats) detectados pelo ATP com o total de hits e classificação do tipo de impacto na rede;

22.14. Gerar histórico dos top 10 (dez) ataques detectados pelo (IPS) com o total de hits e classificação do tipo de impacto na rede;

22.15. Gerar gráfico estatístico do sistema contendo informações de desempenho como: (%) percentual de uso de processamento (CPU), (%) percentual de entrada/saída (I/O), (%) percentual de carga média (LOAD), (%) percentual de utilização de disco e (%) percentual de consumo de memória (RAM);

22.16. Gráfico estatístico do consumo de banda, mínimo de 5 (cinco) níveis de prioridade em (B/ KB/ MB/ GB/ TB/);

22.17. Gráfico estatístico em tempo real do tráfego total da rede (RX/ TX);

22.18. Gráfico estatístico do sistema contendo histórico sobre o tráfego dos devices de rede (RX/ TX) e um serviço de monitoração em tempo real para cada device de rede;

22.19. A solução deve possuir um sistema de monitoração de tráfego para as novas conexões, podendo aplicar filtros por: endereço IP de origem, endereço IP de destino, serviços com a especificação de porta e protocolo. O serviço de monitoração deve retornar os dados especificados nos filtros e a respectiva regra de conformidade;

22.20. A solução deve possuir um sistema de monitoração de tráfego para as conexões estabelecidas, podendo aplicar filtros por: endereço IP de origem, endereço IP de destino, serviços com a especificação de porta e protocolo, inclusive limitando o quadro de respostas até 10 (dez) conexões estabelecidas. O serviço de monitoração deve retornar os dados especificados nos filtros, o total de tráfego em (KB/ MB/ GB/ TB), a velocidade em (bps/ kbps/ Mbps/ Gbps/ Tbps) e o número de pacotes trafegados;

23. RELATÓRIOS E GRÁFICOS GERAIS DO TRÁFEGO WEB VIA PROXY

23.1. Gerar gráficos estatísticos do tráfego WEB via Proxy contendo as seguintes informações: total das requisições, total das requisições bloqueadas;

23.2. Gerar gráfico, histórico ou resumo diário, da relação de eventos entre o total de trafego web via proxy dos acessos permitidos e os acessos bloqueados no intervalo de tempo de 1 (uma) hora;

23.3. Gerar gráfico, histórico ou resumo mensal, da relação de eventos entre o total de tráfego web via proxy dos acessos permitidos e os acessos bloqueados no intervalo de tempo de 1 (uma) hora;

23.4. Gerar gráfico, histórico ou resumo diário, da relação de eventos entre o total de trafego web via proxy dos acessos direto e os acessos ao cache no intervalo de tempo de 1 (uma) hora;

23.5. Gerar gráfico ou resumo mensal do total da relação de eventos entre o tráfego web via proxy dos acessos direto e os acessos ao cache no intervalo de tempo de 1 (hum) dia;

23.6. Gerar histórico dos Top Level 10 (dez) com o total do tráfego em (KB/ MB/ GB/ TB) e o total dos acessos, com a opção de ordenação por tráfego e por acessos, das regras de conformidade permitidas e tipos de conteúdo permitidos;

23.7. Gerar histórico dos Top Level 10 (dez) com o total do tráfego em (KB/ MB/ GB/ TB), tempo em (horas/ minutos) e total de acessos, com a opção de ordenação por tráfego, por tempo, e por acessos, das categorias permitidas e aplicativos permitidos;

23.8. Gerar histórico dos Top Level 10 (dez) “usuários” com o total do tráfego em (KB/ MB/ GB/ TB), tempo em (horas/ minutos), velocidade em (bps, Kbps/ Mbps/ Gbps/ Tbps), total de acessos permitidos e total de acessos bloqueados, com a opção de ordenação por tráfego, por tempo, permitidos e bloqueados;

23.9. Gerar histórico dos Top Level dos 10 (dez), inclusive a relação de eventos entre “usuários” e as “categorias web” com o total do tráfego em (KB/ MB/ GB/ TB), tempo em (horas/ minutos), Velocidade em (bps, Kbps/ Mbps/ Gbps/ Tbps), total de acessos permitidos e total de acessos bloqueados, com a opção de ordenação por tráfego, por tempo, permitidos e bloqueados;

23.10. Gerar histórico dos Top Level 10 (dez), inclusive a relação de eventos entre os “usuários” e os “aplicativos web” com o total do tráfego em (KB/ MB/ GB/ TB), tempo em (horas/ minutos), Velocidade em (bps, Kbps/ Mbps/ Gbps/ Tbps), total de acessos permitidos e total de acessos bloqueados, com a opção de ordenação por tráfego, por tempo, permitidos e bloqueados;

23.11. Gerar histórico dos Top Level 10 (dez), dos “bloqueados” com o total das tentativas de acesso, das regras de conformidade bloqueadas, categorias bloqueadas, aplicativos web bloqueados e tipos de conteúdo bloqueados;

23.12. A solução deve possuir um sistema de monitoração da navegação WEB via Proxy em tempo real por filtro do tipo: servidor, origem (endereço IP ou usuário), URL de destino e porta de serviço. O serviço de monitoração deve retornar o tempo de tráfego em (hora/ minuto/ segundo), a origem (endereço IP ou usuário), o total de tráfego em (B/ KB/ MB/ GB/ TB), a velocidade em (bps/ Kbps/ Mbps/ Gbps/ Tbps) e a URL de destino;

24. RELATÓRIOS E GRÁFICOS GERAIS DO TRÁFEGO ATP

24.1. Gerar gráficos estatísticos do tráfego ATP contendo as seguintes informações: total de ameaças detectadas, total de ameaças bloqueadas, total de aplicativos detectados, total de aplicativos bloqueados;

24.2. Gerar gráfico, histórico ou resumo diário, da relação de eventos entre o total de trafego ATP das ameaças detectadas a as ameaças bloqueadas no intervalo de tempo de 1 (uma) hora;

24.3. Gerar gráfico, histórico ou resumo diário, da relação de eventos entre o total de trafego ATP dos aplicativos detectados e os aplicativos bloqueados no intervalo de tempo de 1 (uma) hora;

24.4. Gerar gráfico, histórico ou resumo mensal, da relação de eventos entre o total de trafego ATP das ameaças detectadas e as ameaças bloqueadas no intervalo de tempo de 1 (hum) dia;

24.5. Gerar gráfico, histórico ou resumo mensal, da relação de eventos entre o total de trafego ATP dos aplicativos detectados e os aplicativos bloqueados no intervalo de tempo de 1 (hum) dia;

24.6. Gerar gráficos estatísticos do tráfego ATP contendo as informações do total de ameaças e aplicativos detectados por grau de risco e impacto na rede, mínimo de 3 (três) tipos de graus de risco ou impacto;

24.7. Gerar históricos ou resumos diários do total de tráfego ATP das ameaças e aplicativos detectados por grau de risco e impacto na rede, mínimo de 3 (três) tipos de graus de impacto no intervalo de tempo de 1 (uma) hora;

24.8. Gerar históricos ou resumos mensais do total de tráfego ATP das ameaças e aplicativos detectados por grau de risco e impacto na rede, mínimo de 3 (três) tipos de graus de impacto no intervalo de tempo de 1 (hum) dia;

24.9. Gerar histórico do Top Level 10 (dez) “detectados”, com o total de detecções e o tipo de impacto das ameaças e aplicativos;

24.10. Gerar histórico dos Top Level 10 (dez), inclusive a relação de eventos entre as “ameaças” e os “usuários” com o tipo de impacto, total de detecções e o total de bloqueados, com a opção de ordenação por detecções e bloqueados;

24.11. Gerar histórico dos Top Level 10 (dez), inclusive a relação de eventos entre os “aplicativos” e os “usuários” com o total de detecções e o total de bloqueados, com a opção de ordenação por detecção e bloqueados;

24.12. Gerar histórico dos Top Level 10 (dez) “bloqueados” com o total das detecções, das ameaças e aplicativos;

25. RELATÓRIO E GRÁFICOS GERIAS DO TRÁFEGO IPS

25.1. Gerar gráficos estatísticos do tráfego IPS contendo as seguintes informações: total de ataques detectados, total de ataques bloqueados;

25.2. Gerar gráfico, histórico ou resumo diário, do total de trafego IPS da relação de eventos entre os “ataques detectados” e os “ataques bloqueados” no intervalo de tempo de 1 (uma) hora;

25.3. Gerar gráfico, histórico ou resumo mensal, do total de trafego IPS da relação de eventos entre os “ataques detectados” e dos “ataques bloqueados” no intervalo de tempo de 1 (hum) dia;

25.4. Gerar gráficos estatísticos do tráfego IPS contendo as informações do total dos ataques detectados por grau de risco e impacto na rede, mínimo de 3 (três) tipos de graus de risco ou impacto;

25.5. Gerar gráficos, históricos ou resumos diários, do total de tráfego IPS dos ataques detectados por grau de risco e impacto na rede, mínimo de 3 (três) tipos de graus de impacto no intervalo de tempo de 1 (uma) hora;

25.6. Gerar gráficos, históricos ou resumos mensais, do total de tráfego IPS dos ataques detectados por grau de risco e impacto na rede, mínimo de 3 (três) tipos de graus de impacto no intervalo de tempo de 1 (hum) dia;

25.7. Gerar histórico dos Tops 10 (dez) “ataques detectados”, com o total de detecções e o tipo de risco ou impacto na rede;

25.8. Gerar histórico dos Top Level 10 (dez), inclusive a relação de eventos entre os “ataques” e os “endereços IP ou usuários” com o tipo de risco ou impacto na rede, total de detecções e o total de bloqueados, com a opção de ordenação por detecções e bloqueados;

25.9. Gerar histórico dos Top Level 10 (dez), inclusive a relação de eventos entre o “grau de risco” e os “endereços IP ou usuários” com o total de detecções e o total de bloqueados, com a opção de ordenação por detecção e bloqueados;

25.10. Gerar histórico dos Tops Level 10 (dez), “categorias de ataques” com o total das detecções e total de bloqueados, com a opção de detalhar a categoria e identificar os endereços IPs ou usuários atacantes;

26. SERVIÇOS DE PRESTAÇÃO DE SUPORTE TÉCNICO REMOTO

26.1. Serviço de suporte REMOTO para os equipamentos de segurança de borda contratados, no horário comercial (Segunda-feira a Sábado de 08h às 22h), pelo tempo de contrato, com as seguintes características: A contratada deve possuir serviço de abertura de chamados remoto capaz de abrir chamados de forma centralizada, em caso de ocorrências de defeitos e/ou falhas na rede relativos aos equipamentos e/ou produtos fornecidos;

26.2. A contratada deverá iniciar o atendimento de suporte em no máximo 8 horas úteis após a abertura do chamado;

26.3. A CONTRATADA será eximida da aplicação das sanções administrativas para os respectivos chamados em que sejam descumpridos os tempos de solução, desde que comprovadas as seguintes situações: Quando constatado que o problema está relacionado a “bug” no produto e que o fabricante não possui uma correção imediata para tal, sendo este fato declarado pelo próprio;




1   2   3


©aneste.org 2017
enviar mensagem

    Página principal