APRESENTAÇÃO
ATA DE REGISTRO DE PREÇOS DE
SOLUÇÃO DE SEGURANÇA DE DADOS
– SECTTI
EDITAL DO PREGÃO ELETRÔNICO
PARA REGISTRO DE PREÇOS Nº
0008/2014
Ref.: Apresentação de Sistema de Registro de Preços para fornecimento de solução de segurança de
dados.
Prezado Senhor,
As atuais organizações reconhecem o grande valor contido nas soluções de Tecnologia da Informação e
Comunicações. Grandes benefícios podem ser ressaltados: maior eficácia e controle, processos mais ágeis
e flexíveis, redução de custos, otimização de investimentos e criação de sinergias corporativas.
A Mahvla Telecomm trabalha para promover o rápido avanço tecnológico e competitivo de seus clientes,
garantindo excelentes resultado com as soluções fornecidas, e assim assegurar uma relação de
credibilidade e parceria.
Alinhada às necessidades do mercado e com foco na competitividade, a Mahvla investe continuamente
no treinamento de seus colaboradores e nos processos e métodos de gestão empresarial. A soma de
todos esses esforços é refletida nos ótimos resultados dos projetos que a Mahvla tem executado em todo
Brasil.
Não medimos esforços para oferecer a solução mais inteligente e adequada. Assim, a Mahvla Telecomm
vem, respeitosamente, apresentar esta proposta comercial de forma a atender as necessidades de sua
empresa.
Colocamo-nos a disposição de V.Sª. a fim de sanar quaisquer outras dúvidas ainda existentes.
Sem mais para o momento, subscrevemo-nos.
Atenciosamente,
Marcelo de Almeida
Diretor Executivo
Fone: (61) 2191-4900
1. O QUE É REGISTRO DE PREÇOS
Conjunto de procedimentos para registro formal de preços relativos à prestação de serviços,
aquisição e locação de bens, para contratações futuras, realizado por meio de uma única licitação,
na modalidade de concorrência ou pregão, em que as empresas disponibilizam os bens e serviços
a preços e prazos registrados em ata específica e que a aquisição ou contratação é feita quando
melhor convier aos órgãos/entidades que integram a Ata.
2. AS NORMAS QUE REGULAMENTAM O SISTEMA DE REGISTRO DE PREÇOS - SRP
Os procedimentos licitatórios obedecerão à Lei nº 10.520, de 17 de julho de 2002, ao Decreto nº
5.450, de 31 de maio de 2005, à Lei Complementar nº 123, de 14 de dezembro de 2006, ao
Decreto 7.892, de 23 de janeiro de 2013 e, subsidiariamente, à Lei nº 8.666, de 21 de junho de
1993 que prevê:
Lei Federal 8666/93
"Art. 15 As compras, sempre que possível, deverão:
(...).
II - ser processadas através de sistema de registro de preços;
(...)
§4º A existência de preços registrados não obriga a Administração a firmar as contratações que
deles poderão advir, ficando-lhe facultada a utilização de outros meios, respeitada a legislação
relativa às licitações, sendo assegurado ao beneficiário do registro preferência em igualdade de
condições.
DECRETO Nº 7.892, DE 23 DE JANEIRO DE 2013
Art. 22. Desde que devidamente justificada a vantagem, a ata de registro de preços, durante sua
vigência, poderá ser utilizada por qualquer órgão ou entidade da administração pública federal
que não tenha participado do certame licitatório, mediante anuência do órgão gerenciador.
§ 1º Os órgãos e entidades que não participaram do registro de preços, quando desejarem fazer
uso da ata de registro de preços, deverão consultar o órgão gerenciador da ata para manifestação
sobre a possibilidade de adesão.
§ 2º Caberá ao fornecedor beneficiário da ata de registro de preços, observadas as condições
nela estabelecidas, optar pela aceitação ou não do fornecimento decorrente de adesão, desde
que não prejudique as obrigações presentes e futuras decorrentes da ata, assumidas com o órgão
gerenciador e órgãos participantes.
§ 3º As aquisições ou contratações adicionais a que se refere este artigo não poderão exceder,
por órgão ou entidade, a cem por cento dos quantitativos dos itens do instrumento convocatório
e registrados na ata de registro de preços para o órgão gerenciador e órgãos participantes.
§ 4º O instrumento convocatório deverá prever que o quantitativo decorrente das adesões à ata
de registro de preços não poderá exceder, na totalidade, ao quíntuplo do quantitativo de cada
item registrado na ata de registro de preços para o órgão gerenciador e órgãos participantes,
independente do número de órgãos não participantes que aderirem.
§ 5 º O órgão gerenciador somente poderá autorizar adesão à ata após a primeira aquisição ou
contratação por órgão integrante da ata, exceto quando, justificadamente, não houver previsão
no edital para aquisição ou contratação pelo órgão gerenciador.
§ 6º Após a autorização do órgão gerenciador, o órgão não participante deverá efetivar a
aquisição ou contratação solicitada em até noventa dias, observado o prazo de vigência da ata.
§ 7º Compete ao órgão não participante os atos relativos à cobrança do cumprimento pelo
fornecedor das obrigações contratualmente assumidas e a aplicação, observada a ampla defesa e
o contraditório, de eventuais penalidades decorrentes do descumprimento de cláusulas
contratuais, em relação às suas próprias contratações, informando as ocorrências ao órgão
gerenciador.
§ 8º É vedada aos órgãos e entidades da administração pública federal a adesão a ata de registro
de preços gerenciada por órgão ou entidade municipal, distrital ou estadual.
§ 9º É facultada aos órgãos ou entidades municipais, distritais ou estaduais a adesão a ata de
registro de preços da Administração Pública Federal.
3. O SISTEMA DE REGISTRO DE PREÇOS DA SECRETARIA DE ESTADO DA CIÊNCIA, TECNOLOGIA,
INOVAÇÃO, EDUCAÇÃO PROFISSIONAL E TRABALHO - SECTTI
O Sistema de Registro de Preços – SRP da SECCTI ocorreu através da Licitação PREGÃO
ELETRÔNICO PARA REGISTRO DE PREÇOS Nº 0008/2014, processo interno nº 64157644/2013,
através do Sítio do Portal de Compras Governamentais - ES http://www.compras.es.gov.br em
08/05/2014 e foi homologado em 21/08/2014, com vigência de 21/08/2014 até 21/08/2015.
O objeto licitado pelo órgão, descrito no projeto básico foi a contratação de empresa através do
sistema de Registro de Preços com o objetivo de fornecimento de Solução de segurança de dados,
incluindo os serviços de instalação e configuração, transferência de conhecimento da tecnologia,
garantia com suporte técnico e manutenção para um período de 36 (trinta e seis) meses, cuja ata
possui prazo de vigência de 12 (doze) meses, de acordo com as especificações técnicas,
quantidades e exigências constantes no Termo de Referência, Anexo I do Edital.
4. QUEM PODE UTILIZAR O SISTEMA DE REGISTRO DE PREÇOS DA SECTTI
O SRP da SECCTI pode ser utilizado por todos os Órgãos da Administração Pública Federal,
Estadual e Municipal que tenham autonomia de gestão e disponibilidade orçamentária para
contratar os serviços previstos neste SRP.
5. COMO UTILIZAR O SISTEMA DE REGISTRO DE PREÇOS DA SECTTI
O projeto básico que originou a Ata de Registro de Preços do Pregão Eletrônico 0008/2014 da
SECTTI tem como referência 03 itens agrupados em 01 lote.
Para adequar os itens previstos no SRP às realidades do Órgão, basta multiplicar a quantidade
necessária de cada um dos itens, de acordo com as necessidades do projeto.
Se necessário, o Órgão poderá solicitar auxílio para a realização do levantamento para elaboração
de projeto que atenda as necessidades, relacionando as quantidades dos itens.
6. PROCEDIMENTOS E ROTINAS PARA A ADESÃO AO SRP DA SECTTI
6.1.
O Órgão interessado em aderir o SRP encaminha um Ofício a SECTTI conforme modelo
apresentado no Anexo C, manifestando o interesse na adesão;
6.2.
A SECTTI, responde ao ofício, autorizando a adesão, com cópia da Ata do Registro de Preços e,
se necessário, outros documentos pertinentes;
6.3.
O Órgão interessado apresenta internamente justificativa técnica e de preços, através de
ofício, demonstrando os benefícios e vantagens em aderir ao Sistema de Registro de Preços;
6.4.
O Órgão interessado encaminha ofício à Mahvla Telecomm Ltda, conforme modelo
apresentado no Anexo D, sobre a possibilidade e interesse no fornecimento dos serviços.
6.5.
A Mahvla Telecomm responde ao Órgão interessado confirmando o interesse no fornecimento
encaminhando proposta comercial, referente aos quantitativos e valores demandados pelo
Órgão;
6.6.
O Órgão interessado executa os procedimentos internos necessários para emitir o empenho,
contrato de fornecimento e demais providências normais ao processo de contratação dos
equipamentos e serviços previstos.
ANEXO A – PROPOSTA DE PREÇOS CONSTANTE NO
REGISTRO DE PREÇOS 0008/2014 DA SECTTI
Item
Descrição
Tipo
Marca/
Fabricante
Modelo
Qtde
Valor Unitário
Valor Total
1
Firewall Tipo 1
HW
DELL/Sonicwall TZ 215
343
R$ 12.501,43
R$ 4.287.990,49
2
Firewall Tipo 2
HW
DELL/Sonicwall SM 9200
10
R$ 179.999,90
R$ 1.799.999,90
3
Software de
Gerenciamento
SW DELL/Sonicwall
GMS – Global
Management System
12
R$ 56.000,07
R$ 672.000,84
VALOR GLOBAL
R$ 6.759.991,23
(seis milhões setecentos e cinquenta e nove mil novecentos e noventa e um reais e vinte e três
centavos)
ANEXO B – DESCRITIVO RESUMIDO DOS PRODUTOS DO REGISTRO DE PREÇO
Abaixo segue uma breve descrição dos produtos ofertados nesta proposta em conformidade com o Edital
do pregão eletrônico no. 0008/2014, em atendimento às especificações do Termo de Referência:
LOTE ÚNICO
Item 1: Firewall Tipo 1
Fabricante: Dell Sonicwall
Modelo: TZ215
Em appliance (hardware com propósito específico) com mínimo de 1U de altura, com kit de montagem em rack de 19”, ou formato desktop;
Ser fornecido com fonte de alimentação interna ou externa com chaveamento automático para as tensões de entrada 110/220 Volts AC;
Possuir leds frontais indicativos de status tais como equipamento ativo e alarme;
Possuir no mínimo 07 (sete) interfaces 10/100/1000Base TX. Para aferição dos números de performance (throughput) descritos neste termo, deverá ser considerada a RFC 2544. Não serão aceitas interfaces do tipo Switch ou Combo (compartilhadas) para atendimento ao número de interfaces exigido.
Possuir Sistema Operacional (firmware) armazenado em memória flash ou similar. A memória flash ou similar dever ser capaz de armazenar pelo menos 02 versões distintas e completas do sistema operacional (Firmware).
O Stateful Firewall Performance deve ser de, no mínimo 500 Mbps;
Implementar as funcionalidades de firewall UTM em modo router – layer 3 (com endereçamento IP das interfaces e em layer 2 (Bridge).
Suporte a no mínimo 45.000 de conexões simultâneas;
Possibilitar o controle do tráfego para os protocolos GRE, H323, SIP e IGMP baseados nos endereços de origem e destino da comunicação;
Prover através da interface gráfica, configuração dos parâmetros de timeout SIP e H323;
Prover matriz de horários que possibilite o bloqueio de serviços em horários específicos, tendo o início e fim das conexões vinculadas com a matriz de horários;
Possuir a definição de valores distintos para timeout de conexões TCP e sessões UDP, possibilitando desta forma que cada regra de filtragem tenha seu set de Timers TCP e UDP independente das demais regras. Não serão aceitas as definições dos valores de time-out TCP e UDP por serviço;
Prover mecanismo contra ataques de falsificação de endereços (IP Spoofing) através da especificação da interface de rede pela qual uma comunicação deve se originar;
Prover servidor DHCP Interno suportando múltiplos escopos de endereçamento para a mesma interface e a funcionalidade de DHCP Relay;
Prover a capacidade de encaminhamento de pacotes UDPs multicast/broadcast entre diferentes interfaces e zonas de segurança;
Implementar mecanismo de sincronismo de horário através do protocolo NTP. Para tanto o appliance deve realizar a pesquisa em pelo menos 02 servidores NTP distintos, com a configuração do tempo do intervalo de pesquisa;
Permitir o controle e a priorização do tráfego, priorizando e garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (Shaping), garantia de banda mínima e máxima e prioridade, criação de filas de prioridade, gerência de congestionamento e QoS;
Permitir modificação de valores DSCP para o DiffServ;
Prover manipulação da tabela ARP, com as opções de remover entrada ARP e adicionar entrada ARP estática; Possuir mecanismo de forma a possibilitar o funcionamento transparente dos protocolos FTP, Real Áudio, Real Vídeo, SIP, RTSP e H323, mesmo quando acessados por máquinas através de conversão de endereços. Este suporte deve funcionar tanto para acessos de dentro para fora (outbound) quanto de fora para dentro (inbound);
Prover mecanismo de conversão de endereços (NAT), de forma a possibilitar que uma rede com endereços reservados acesse a Internet a partir de um único endereço IP e possibilitar também um mapeamento 1-1 de forma a permitir com que servidores internos com endereços reservados sejam acessados externamente através de endereços válidos; Possuir mecanismo que permita que a conversão de endereços (NAT) seja feita de forma dependente do protocolo e destino de uma comunicação, possibilitando que uma máquina, ou grupo de máquinas, tenham seus endereços convertidos para endereços diferentes de acordo com o endereço destino e protocolo utilizado;
Possuir mecanismo que permita conversão de portas (PAT);
Implementar mecanismo interno de balanceamento de tráfego para no mínimo 04 links de comunicação externos, com a utilização de no mínimo 04 (quatro) algoritmos distintos para a realização do balanceamento;
Suportar funcionalidades de gateway anti-virus e anti-spyware, sem a necessidade de servidor externo para os seguintes protocolos: HTTP, FTP (passivo e ativo), POP3, CIFS, IMAP e SMTP, com o throughput de no mínimo 70 Mbps, sem limite de tamanho de arquivo a ser verificado. A verificação deve ser configurável de acordo com a direção do tráfego (inbound e/ou outbound). A atualização das assinaturas para esta funcionalidade deve ser realizada de forma automática e sob demanda, sendo a verificação de seu status realizada através de entradas de log ou informação constante na interface gráfica;
Deve permitir a criação de, no mínimo, 20 (vinte) VLANs, segundo o protocolo IEEE 802.1Q.
Implementar no mínimo 08 classes de serviço distintas, com configuração do mapeamento e marcação para códigos DSCP através da interface gráfica;
Possuir roteamento RIPv1, RIPv2 e OSPF, com configuração pela interface gráfica;
Permitir a criação de perfis de administração distintos, de forma a possibilitar a definição de diversos administradores para o firewall, cada um responsável por determinadas tarefas da administração;
Possuir no mínimo as seguintes autenticações: externo RADIUS, LDAP, RADIUS e banco de dados interno;
Integrar-se ao serviço de diretório padrão LDAP, inclusive o Microsoft Active Directory, reconhecendo contas e grupos de usuários cadastrados;
Prover funcionalidade de identificação transparente de usuários cadastrados no Microsoft Active Directory, através de mecanismo de Single Sign On, sem a necessidade de instalação de agentes/softwares nas estações de trabalho. A pesquisa deve ser implementada através de WMI e Netapi, podendo ser configurável o método de pesquisa desejado; Possuir mecanismo que permita a realização de cópias de segurança (backups) e sua posterior restauração
Implementar os seguintes mecanismos de troca de chave: Manual Key, IKEv2 e PKI (X.509).
Possuir mecanismo para possibilitar a aplicação de correções e atualizações para o firewall remotamente através da interface gráfica;
Permitir a visualização em tempo real de todas as conexões TCP e sessões UDP que se encontrem ativas através do firewall, com a possibilidade de remoção da conexão/sessão desejada;
Permitir a visualização de estatísticas do uso de CPU e memória da máquina onde o firewall está rodando através da interface gráfica remota em tempo real;
Possuir mecanismo de Alta Disponibilidade, com as implementações de Fail Over e/ou Load Balance, através de porta de comunicação dedicada ou interface de rede 10/100/1000BaseTX;
Suportar Mecanismo Interno de IPS, com suporte a pelo menos 3.000 assinaturas de ataques, completamente integrado ao Firewall, com performance mínima de 100 Mbps. A performance de verificação do IPS não deve possuir limitação do tamanho do stream de dados a serem verificados;
Capacidade de resposta/logs ativa a ataques: Terminação de sessões via TCP resets;
Atualizar automaticamente as assinaturas para o sistema de detecção de intrusos; Possuir filtros de ataques;
O recurso de detecção de intrusão deve ser atualizado automaticamente;
Possuir interface orientada a linha de comando para a administração do firewall a partir do console, com suporte a SSH (múltiplas conexões);
Implementar proxy transparente para o protocolo HTTP, de forma a dispensar a configuração dos browsers das máquinas clientes;
Possibilitar o redirecionamento do protocolo HTTP de forma transparente para um sistema de cache web externo; Possibilitar a filtragem da linguagem Javascript e de applets Java e Active-X em páginas WWW, para o protocolo HTTP; Prover autenticação de usuários para os serviços HTTP e HTTPS utilizando as bases de dados de usuários e grupos de servidores 2000/2003 com Active Directory ou bases LDAP. Para esta autenticação, não deverá ser instalado nenhum tipo de software cliente nas estações de trabalho;
Implementar funcionalidade de análise de sites e filtragem de conteúdo HTTP e HTTPS, com no mínimo 50 categorias distintas sem a necessidade de servidor externo, com a possibilidade de criação de listas de exclusão por
endereçamento IP ou domínio; A Atualização das assinaturas para esta funcionalidade deve ser realizada de forma automática e sob demanda, sendo a verificação de seu status através de entradas de log ou informação constante na interface gráfica;
Implementar L2TP server com criptografia IPSec e MPPE;
Suportar padrão IPSEC, de acordo com as RFCs 2401 a 2412, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão;
Implementar NAT-T versão 03 para funcionamento através de túneis IPSEC;
Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), do tipo Site to Site, de modo a possibilitar que duas redes com endereço inválido possam se comunicar através da Internet;
Implementar VPN com criptografia através dos protocolos 3DES(168 bits) e AES(256 bits), utilizando diffie-hellman com grupos 1, 2, 5 e 14 com performance mínima de 120 Mbps para ambos os protocolos;
Implementar VPN SSL, com suporte a clientes Windows, Linux e MacOSX; Deve ainda possibilitar a customização do portal de login (mensagem e logo de exibição), assim como a definição de servidores de DNS e WINS, e timer para desconexão de clientes inativos;
Possuir a visualização gráfica através da interface gráfica de gerenciamento dos canais de criptografia ativos; Possuir suporte ao protocolo SNMP, através de MIB2;
Possui suporte a log via syslog, com a definição de pelo menos 01 servidor para envio de log do tipo syslog, sendo possível a configuração de outra(s) porta(s) de comunicação além da porta padrão do protocolo syslog;
Deve implementar nativamento mecanismo de relatório do tráfego de dados (inbound e outbound) com suporte a envio e análise de fluxos netflow (versões 5 e 9) e IPFIX; Deve ser possível a configuração do tipo de fluxo a ser exportado; Possui interface de gerenciamento via Web (HTTPS) ou Software local, de forma a gerenciar completamente a solução adquirida, incluindo criação e distribuição de regras de filtragem e VPN, Backups dos Firewalls e atualização de versão do Sistema operacional;
Possuir 01 (uma) interface de rede dedicada para gerenciamento;
Implementar políticas de segurança baseadas em endereço IP de origem, endereço IP de destino, endereço de rede de origem, endereço de rede de destino e portas TCP e/ou UDP.
Implementar políticas de segurança baseada em interfaces (físicas e túneis); Implementar políticas de rate limiting;
Implementar políticas de segurança com, no mínimo, os seguintes tipos de ações: ALLOW – permite o encaminhamento do tráfego;
DROP – Permite apenas não encaminhar o tráfego;
RESET – Permite responder com RESET da conexão e não encaminhar o tráfego; LOG – Permite gravação de registro de tráfego;
Possuir capacidade de detectar ataques com SYN attack/fragments, ICMP flood, UDP flood, Port scan, ICMP extendido, IP de origem e ataques baseados em opções do IP Security (timestamp/badstamp);
Implementar suporte a IPv4 (RFC 791) e IPv6 (RFC 2460);
Implementar suporte a ICMPv6 (RFC4890) de forma a permitir a criação de políticas baseadas no ICMP Type.
Item 2: Firewall Tipo 2
Fabricante: Dell Sonicwall
Modelo: SM 9200
Em appliance (hardware com propósito específico) com mínimo de 1U de altura, com kit de montagem em rack de 19”; Ser fornecido com fonte de alimentação interna redundante e hot swappable com chaveamento automático para as tensões de entrada 110/220 Volts AC;
Ser fornecido com sistema de arrefecimento interno redundante e hot-swappable, com no mínimo 02 (duas) fans em funcionamento simultâneo;
Possuir leds frontais indicativos de status tais como equipamento ativo e alarme;
Possuir no mínimo 08 (oito) interfaces 10/100/1000BaseTX, 08 (oito) interfaces 1000Base-X utilizando portas SPF, e 04 (quatro) interfaces 10Gbase-X utilizando portas SFP+, totalizando 20 (vinte) interfaces de rede disponíveis. Para aferição dos números de performance (throughput) descritos neste termo, deverá ser considerada a RFC 2544. Não serão aceitas interfaces do tipo Switch ou Combo (compartilhadas) para atendimento ao número de interfaces exigido.
Possuir no mínimo 01 (uma) porta 10/100/1000BaseTX adicional dedicada para funções de gerenciamento;
Possuir Sistema Operacional (firmware) armazenado em memória flash ou similar. A memória flash ou similar dever ser capaz de armazenar pelo menos 02 versões distintas e completas do sistema operacional (Firmware).
Implementar as funcionalidades de firewall UTM em modo router – layer 3 (com endereçamento IP das interfaces e em layer 2 (Bridge).
Suporte a no mínimo 1.000.000 de conexões simultâneas;
Possibilitar o controle do tráfego para os protocolos GRE, H323, SIP e IGMP baseados nos endereços de origem e destino da comunicação;
Prover através da interface gráfica, configuração dos parâmetros de timeout SIP e H323;
Prover matriz de horários que possibilite o bloqueio de serviços em horários específicos, tendo o início e fim das conexões vinculadas com a matriz de horários;
Possuir a definição de valores distintos para timeout de conexões TCP e sessões UDP, possibilitando desta forma que cada regra de filtragem tenha seu set de Timers TCP e UDP independente das demais regras. Não serão aceitas as definições dos valores de time-out TCP e UDP por serviço;
Prover mecanismo contra ataques de falsificação de endereços (IP Spoofing) através da especificação da interface de rede pela qual uma comunicação deve se originar;
Prover servidor DHCP Interno suportando múltiplos escopos de endereçamento para a mesma interface e a funcionalidade de DHCP Relay;
Prover a capacidade de encaminhamento de pacotes UDPs multicast/broadcast entre diferentes interfaces e zonas de segurança;
Implementar mecanismo de sincronismo de horário através do protocolo NTP. Para tanto o appliance deve realizar a pesquisa em pelo menos 02 servidores NTP distintos, com a configuração do tempo do intervalo de pesquisa;
Permitir o controle e a priorização do tráfego, priorizando e garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (Shaping), garantia de banda mínima e máxima e prioridade, criação de filas de prioridade, gerência de congestionamento e QoS;
Permitir modificação de valores DSCP para o DiffServ;
Prover manipulação da tabela ARP, com as opções de remover entrada ARP e adicionar entrada ARP estática; Possuir mecanismo de forma a possibilitar o funcionamento transparente dos protocolos FTP, Real Áudio, Real Vídeo, SIP, RTSP e H323, mesmo quando acessados por máquinas através de conversão de endereços. Este suporte deve funcionar tanto para acessos de dentro para fora (outbound) quanto de fora para dentro (inbound);
Prover mecanismo de conversão de endereços (NAT), de forma a possibilitar que uma rede com endereços reservados acesse a Internet a partir de um único endereço IP e possibilitar também um mapeamento 1-1 de forma a permitir com que servidores internos com endereços reservados sejam acessados externamente através de endereços válidos; Possuir mecanismo que permita que a conversão de endereços (NAT) seja feita de forma dependente do protocolo e destino de uma comunicação, possibilitando que uma máquina, ou grupo de máquinas, tenham seus endereços convertidos para endereços diferentes de acordo com o endereço destino e protocolo utilizado;
Possuir mecanismo que permita conversão de portas (PAT);
Implementar mecanismo interno de balanceamento de tráfego para no mínimo 04 links de comunicação externos, com a utilização de no mínimo 04 (quatro) algoritmos distintos para a realização do balanceamento;
Suportar funcionalidades de gateway anti-virus e anti-spyware, sem a necessidade de servidor externo para os seguintes protocolos: HTTP, FTP (passivo e ativo), POP3, CIFS, IMAP e SMTP, com o throughput de no mínimo 3.0 Gbps, sem limite de tamanho de arquivo a ser verificado. A verificação deve ser configurável de acordo com a direção do tráfego (inbound e/ou outbound). A atualização das assinaturas para esta funcionalidade deve ser realizada de forma automática e sob demanda, sendo a verificação de seu status realizada através de entradas de log ou informação constante na interface gráfica;
Deve permitir a criação de, no mínimo, 512 (quinhentas e doze) VLANs, segundo o protocolo IEEE 802.1Q.
Implementar no mínimo 08 classes de serviço distintas, com configuração do mapeamento e marcação para códigos DSCP através da interface gráfica;
Permitir a criação de perfis de administração distintos, de forma a possibilitar a definição de diversos administradores para o firewall, cada um responsável por determinadas tarefas da administração;
Possuir no mínimo as seguintes autenticações: externo RADIUS, LDAP, RADIUS e banco de dados interno;
Integrar-se ao serviço de diretório padrão LDAP, inclusive o Microsoft Active Directory, reconhecendo contas e grupos de usuários cadastrados;
Prover funcionalidade de identificação transparente de usuários cadastrados no Microsoft Active Directory, através de mecanismo de Single Sign On, sem a necessidade de instalação de agentes/softwares nas estações de trabalho. A pesquisa deve ser implementada através de WMI e Netapi, podendo ser configurável o método de pesquisa desejado; Possuir mecanismo que permita a realização de cópias de segurança (backups) e sua posterior restauração
remotamente, através da interface gráfica ou linha de comando;
Implementar os seguintes mecanismos de troca de chave: Manual Key, IKEv2 e PKI (X.509).
Possuir mecanismo para possibilitar a aplicação de correções e atualizações para o firewall remotamente através da interface gráfica;
Permitir a visualização em tempo real de todas as conexões TCP e sessões UDP que se encontrem ativas através do firewall, com a possibilidade de remoção da conexão/sessão desejada;
Permitir a visualização de estatísticas do uso de CPU e memória da máquina onde o firewall está rodando através da interface gráfica remota em tempo real;
Possuir mecanismo de Alta Disponibilidade, com as implementações de Fail Over e/ou Load Balance, através de porta de comunicação dedicada ou interface de rede 10/100/1000BaseTX;
Suportar Mecanismo Interno de IPS, com suporte a pelo menos 3.000 assinaturas de ataques, completamente integrado ao Firewall, com performance mínima de 4.5 Gbps. A performance de verificação do IPS não deve possuir limitação do tamanho do stream de dados a serem verificados;
Capacidade de resposta/logs ativa a ataques: Terminação de sessões via TCP resets;
Atualizar automaticamente as assinaturas para o sistema de detecção de intrusos; Possuir filtros de ataques;
O recurso de detecção de intrusão deve ser atualizado automaticamente;
Possuir interface orientada a linha de comando para a administração do firewall a partir do console, com suporte a SSH (múltiplas conexões);
Implementar proxy transparente para o protocolo HTTP, de forma a dispensar a configuração dos browsers das máquinas clientes;
Possibilitar o redirecionamento do protocolo HTTP de forma transparente para um sistema de cache web externo; Possibilitar a filtragem da linguagem Javascript e de applets Java e Active-X em páginas WWW, para o protocolo HTTP; Prover autenticação de usuários para os serviços HTTP e HTTPS utilizando as bases de dados de usuários e grupos de servidores 2000/2003 com Active Directory ou bases LDAP. Para esta autenticação, não deverá ser instalado nenhum tipo de software cliente nas estações de trabalho;
Implementar funcionalidade de análise de sites e filtragem de conteúdo HTTP e HTTPS, com no mínimo 50 categorias distintas sem a necessidade de servidor externo, com a possibilidade de criação de listas de exclusão por
endereçamento IP ou domínio; A Atualização das assinaturas para esta funcionalidade deve ser realizada de forma automática e sob demanda, sendo a verificação de seu status através de entradas de log ou informação constante na interface gráfica;
Implementar L2TP server com criptografia IPSec e MPPE;
Suportar padrão IPSEC, de acordo com as RFCs 2401 a 2412, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão;
Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), do tipo Site to Site, de modo a possibilitar que duas redes com endereço inválido possam se comunicar através da Internet;
Implementar VPN com criptografia através dos protocolos 3DES(168 bits) e AES(256 bits), utilizando diffie-hellman com grupos 1, 2, 5 e 14 com performance mínima de 5.0 Gbps para ambos os protocolos;
Implementar VPN SSL, com suporte a clientes Windows, Linux e MacOSX; Deve ainda possibilitar a customização do portal de login (mensagem e logo de exibição), assim como a definição de servidores de DNS e WINS, e timer para desconexão de clientes inativos;
Possuir a visualização gráfica através da interface gráfica de gerenciamento dos canais de criptografia ativos; Possuir suporte ao protocolo SNMP, através de MIB2;
Possui suporte a log via syslog, com a definição de pelo menos 01 servidor para envio de log do tipo syslog, sendo possível a configuração de outra(s) porta(s) de comunicação além da porta padrão do protocolo syslog;
Deve implementar nativamento mecanismo de relatório do tráfego de dados (inbound e outbound) com suporte a envio e análise de fluxos netflow (versões 5 e 9) e IPFIX; Deve ser possível a configuração do tipo de fluxo a ser exportado; Possui interface de gerenciamento via Web (HTTPS) ou Software local, de forma a gerenciar completamente a solução adquirida, incluindo criação e distribuição de regras de filtragem e VPN, Backups dos Firewalls e atualização de versão do Sistema operacional;
Implementar políticas de segurança baseadas em endereço IP de origem, endereço IP de destino, endereço de rede de origem, endereço de rede de destino e portas TCP e/ou UDP.
Implementar políticas de segurança baseada em interfaces (físicas e túneis); Implementar políticas de rate limiting;
Implementar políticas de segurança com, no mínimo, os seguintes tipos de ações: ALLOW – permite o encaminhamento do tráfego;
DROP – Permite apenas não encaminhar o tráfego;
RESET – Permite responder com RESET da conexão e não encaminhar o tráfego; LOG – Permite gravação de registro de tráfego;
Possuir capacidade de detectar ataques com SYN attack/fragments, ICMP flood, UDP flood, Port scan, ICMP extendido, IP de origem e ataques baseados em opções do IP Security (timestamp/badstamp);
Implementar suporte a IPv4 (RFC 791) e IPv6 (RFC 2460);
Implementar suporte a ICMPv6 (RFC4890) de forma a permitir a criação de políticas baseadas no ICMP Type.
Item 3: Software de Gerenciamento
Fabricante: Dell Sonicwall
Modelo: GMS – Global Management System
Permitir a criação de perfis de administração distintos, de forma a possibilitar a definição de diversos administradores para o firewall, cada um responsável por determinadas tarefas da administração;
Fornecer gerência remota, com interface gráfica nativa, através do aplicativo ActiveX ou Java; Fornecer interface gráfica para no mínimo 10 usuários;
A interface gráfica deverá possuir mecanismo que permita a gerência remota de múltiplos firewalls sem a necessidade de se executar várias interfaces;
A interface gráfica deverá possuir assistentes para facilitar a configuração inicial e a realização das tarefas mais comuns na administração do firewall, incluindo a configuração de VPNs, NAT, perfis de acesso e regras de filtragem;
Possuir mecanismo que permita a realização de cópias de segurança (backups) e sua posterior restauração remotamente, através da interface gráfica, sem necessidade de se reinicializar o sistema;
Possuir mecanismo para possibilitar a aplicação de correções e atualizações para o firewall remotamente através da interface gráfica;
Permitir a visualização em tempo real de todas as conexões TCP e sessões UDP que se encontrem ativas através do firewall e a remoção de qualquer uma destas sessões ou conexões;
Permitir a geração de gráficos em tempo real, representando os serviços mais utilizados e as máquinas mais acessadas em um dado momento;
Permitir a visualização de estatísticas do uso de CPU, memória da máquina onde o firewall está rodando e tráfego de rede em todas as interfaces do Firewall através da interface gráfica remota, em tempo real e em forma tabular e gráfica; Permitir a conexão simultânea de vários administradores, sendo um deles com poderes de alteração de configurações e os demais apenas de visualização das mesmas. Permitir que o segundo ao se conectar possa enviar uma mensagem ao primeiro através da interface de administração;
Possibilitar a geração de pelo menos os seguintes tipos de relatório, mostrados em formato HTML e PDF: máquinas mais acessadas, serviços mais utilizados, usuários que mais utilizaram serviços, URLs mais visualizadas, ou categorias Web mais acessadas (em caso de existência de um filtro de conteúdo Web), maiores emissores e receptores de e-mail;
Possibilitar a geração de pelo menos os seguintes tipos de relatório com cruzamento de informações, mostrados em formato HTML: máquinas acessadas X serviços bloqueados, usuários X URLs acessadas, usuários X categorias Web bloqueadas (em caso de utilização de um filtro de conteúdo Web);
Possibilitar a geração dos relatórios sob demanda e através de agendamento diário, semanal e mensal. No caso de agendamento, os relatórios deverão ser publicados de forma automática em pelo menos três servidores web diferentes, através do protocolo FTP;
Possibilitar o registro de toda a comunicação realizada através do firewall, e de todas as tentativas de abertura de sessões ou conexões que forem recusadas pelo mesmo;
Prover mecanismo de consulta às informações registradas integrado à interface de administração;
Possibilitar a recuperação dos registros de log e/ou eventos armazenados em máquina remota, através de protocolo criptografado, de forma transparente através da interface gráfica;
Possibilitar a análise dos seus registros (log e/ou eventos) por pelo menos um programa analisador de log disponível no mercado;
Possuir sistema de respostas automáticas que possibilite alertar imediatamente o administrador através de e-mails, janelas de alerta na interface gráfica, execução de programas e envio de Traps SNMP;
Possuir mecanismo que permita inspecionar o tráfego de rede em tempo real (sniffer) via interface gráfica, podendo opcionalmente exportar os dados visualizados para arquivo formato PCAP e permitindo a filtragem dos pacotes por protocolo, endereço IP origem e/ou destino e porta IP origem e/ou destino, usando uma linguagem textual;
Permitir a visualização do tráfego de rede em tempo real tanto nas interfaces de rede do Firewall quando nos pontos internos do mesmo: anterior e posterior à filtragem de pacotes, onde o efeito do NAT (tradução de endereços) é eliminado;
