Universidade Federal do Rio Grande do Norte Natal, 29 de Março de 2024

PORTAL PÚBLICO > Itens da Ata

Processo de Compra: 23077.094892/2020-65 Licitação: PR 62/2020 - UFRN Validade da Ata: 13/10/2021 a 13/10/2022


Itens da Ata
Item Material Unidade Marca Valor
1 AQUISIÇÃO DE LICENÇA DE USO FIREWALL UTM FORTIGATE-1500D (4005000000025) UNIDADE SEM MARCA R$ 380.000,00
  Aquisição de licença de uso de Firewall UTM FortiGate-1500D Advanced Threat Protection (24x7 FortiCare plus Application Control, IPS and AMP Service) Deve ser Válida por 3 anos. A validade de 3 anos deve ser contada a partir da data de aquisição/Licença FortiAnalyzer-VM com suporte pelo período de 3 anos [License for ilimited GB/Day Logs](Capacidade de armazenamento de logs ilimitada). (CATMAT 27499)
EMPRESA: 05.407.609/0001-01 - ALTAS NETWORKS & TELECOM LTDA
2 FIREWALL UTM TIPO I; (5235000001049) UNIDADE FORTINET R$ 44.200,00
  0. O equipamento deve ser da marca Fortinet;
1. O equipamento deve se encaixar no perfil de Next Generation Firewall (NGFW) - Firewall de próxima geração;
2. Taxa de transferência de Firewall (Para qualquer tamanho de pacote UDP): 7Gbps;
3. Taxa de transferência de IPSec VPN (Com pacotes de 512Bytes): 6Gbps
4. Conexões simultâneas (milhões): 1.4;
5. Novas sessões (TCP) por segundo: 42.000;
6. Capacidade de inspeção SSL – HTTPS: 700Mbps;
7. Capacidade para proteção combinada contra ameaças: 900Mbps;
8. Deve estar com as funcionalidades habilitadas simultaneamente e devidamente atuantes: Controle de Aplicação, IDS/IPS e Controle de Malware (Antivírus), medidas com parâmetros de Throughput considerando tráfego misto. Não serão aceitas medidas baseadas em condições ideais;
9. Quantidade mínima de interfaces 1Gbps com conectores RJ-45, considerando conexão LAN, WAN, DMZ e Gerência: 09 (nove);
10. Quantidade mínima de slots SFP para transceptores 1GbE: 02 (Duas);
11. Deve possuir disco rígido interno para gravação de logs, com tamanho mínimo de 128GB (cento e vinte oito gigabytes).
12. Deve ter tecnologia de firewall do tipo stateful;
13. Deve realizar VLANs com tags padrão 802.1q;
14. Deve possuir suporte a agregação de links 802.3ad e LACP;
15. Deve realizar roteamento multicast (PIM-SM e PIM-DM);
16. Deve realizar DHCP relay e DHCP server;
17. Deve possuir suporte a sub-interfaces Ethernet lógicas;
18. Deve suportar NAT64 e NAT46;
19. Deve realizar, para IPv4, roteamento estático e dinâmico (RIPv2, BGP e OSPFv2);
20. Deve realizar, para IPv6, roteamento estático e dinâmico (OSPFv3);
21. Deve suportar OSPF graceful restart;
22. Deve suportar modo sniffer, para inspeção via porta espelhada do tráfego de dados da rede;
23. Deve suportar configuração de alta disponibilidade ativo/passivo ou ativo/ativo;
24. Deve implementar no mínimo 05 (cinco) sistemas virtuais;
25. Deve permitir a criação de administradores independentes, para cada um dos sistemas virtuais existentes, de maneira a possibilitar a criação de contextos virtuais que podem ser administrados diferentemente;
26. Deve realizar controles por zona de segurança;
27. Deve realizar controles de políticas por porta e protocolo;
28. Deve realizar controle de políticas por aplicações, grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações;
29. Deve realizar controle de políticas por código de país (por exemplo: br, usa, uk, rus);
30. Deve realizar controle, inspeção e de-criptografia de SSL por política, para tráfego de entrada (inbound) e saída (outbound);
31. Deve realizar offload de certificado em inspeção de conexões SSL de entrada (inbound);
32. Deve implementar objetos e regras IPv6;
33. Deve implementar objetos e regras multicast;
34. Deve realizar a atribuição de agendamento das políticas com o objetivo de habilitar e desabilitar políticas em horários pré-definidos automaticamente.

Requisitos mínimos para solução de filtro de conteúdo
35. Deve possibilitar a criação de categorias personalizadas;
36. Deve possibilitar a monitoração do tráfego internet sem bloqueio de acesso aos usuários;
37. Deve possibilitar a categorização e reclassificação de sites web, tanto por URL quanto por endereço IP;
38. Deve possibilitar a criação de listas de URL específicas para serem bloqueadas ou liberadas;
39. Deve possibilitar, nas listas de URL personalizadas, a inserção de novas listas por expressão regular, permitindo adicionar domínios, subdomínios ou caminhos completos de sites;
40. Deve possibilitar o bloqueio de páginas web através da construção de filtros específicos com mecanismo de busca textual;
41. Deve possibilitar a criação de regras para acesso/bloqueio por endereço IP de origem e sub-rede de origem;
42. Deve ser capaz de categorizar a página web tanto pela sua URL como pelo seu endereço IP;
43. Deve possibilitar proxy transparente;
44. Deve possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários;
45. Deve possibilitar a criação de regras de acesso/bloqueio baseadas em usuários ou grupo de usuários do LDAP e do Microsoft Active Directory;
46. Deve possibilitar a criação de quotas de utilização ou limite de banda por usuários e grupos de usuários por aplicação (Facebook, Youtube, etc.);
47. Deve ter a capacidade de exibir mensagens de bloqueio customizável pelos administradores para resposta aos usuários;
48. Deve realizar o bloqueio de páginas web por meio da construção de filtros específicos com mecanismo de busca textual;
49. Deve possibilitar e forçar pesquisas seguras em sistemas de buscas, contemplando no mínimo: Google, Bing e Yahoo!.

Requisitos mínimos para solução de controle de aplicações:
50. Deve possuir a capacidade de reconhecer aplicações, independente de porta e protocolo;
51. Deve realizar a liberação e bloqueio somente de aplicações, sem a necessidade de liberação de portas e protocolos;
52. Deve reconhecer, no mínimo, 1.800 (mil e oitocentas) aplicações diferentes;
53. Deve identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da Deep Web (ex.: rede tor);
54. Deve de-criptografar, para tráfego criptografado SSL, pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
55. Deve atualizar a base de assinaturas de aplicações automaticamente;
56. Deve limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos do LDAP, LDAP/MS AD;
57. Deve possibilitar a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
58. Deve possibilitar a configuração de alertas quando uma aplicação for bloqueada.

Requisitos mínimos para solução de prevenção de ameaças:
59. Deve garantir o funcionamento com módulos de IPS, antivírus e anti-spyware integrados no próprio appliance de firewall;
60. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (antivírus e anti-spyware);
61. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, anti-spyware e antivírus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo;
62. Deve permitir ativar ou desativar as assinaturas, ou ainda, habilitar apenas em modo de monitoração;
63. Deve possibilitar a criação de políticas por usuários, grupos de usuários, endereços IPs, redes ou zonas de segurança;
64. Deve permitir o uso de exceções por IP de origem ou de destino nas regras e assinatura;
65. Deve permitir o bloqueio de vulnerabilidades;
66. Deve permitir o bloqueio de programas exploradores de vulnerabilidades (exploits) conhecidos;
67. Deve incluir proteção contra-ataques de negação de serviços (DoS);
68. Deve possuir assinaturas específicas para a mitigação de ataques negação de serviços (DoS) e negação de serviço distribuído (DDoS);
69. Deve detectar e bloquear a origem de programas de varredura de portas (port scans);
70. Deve bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
71. Deve possuir assinaturas para bloqueio de ataques de buffer overflow;
72. Deve permitir usar operadores de negação na criação de assinaturas ou políticas customizadas de IPS e anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
73. Deve permitir o bloqueio de vírus e spywares em, pelo menos, 02 (dois) dos seguintes protocolos: FTP, SMB, SMTP e POP3 e obrigatoriamente em HTTP;
74. Deve identificar, alertar e bloquear comunicação com botnets;
75. Deve registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
76. Deve identificar nos eventos, o país de onde partiu a ameaça.

Requisitos mínimos para solução de qualidade de serviço (QoS):
77. Deve criar políticas de QoS e Traffic Shaping por endereço de origem e destino;
78. Deve criar políticas de QoS e Traffic Shaping por endereço de destino;
79. Deve realizar a criação de políticas de QoS e Traffic Shaping por porta;
80. Deve realizar pelo QoS a definição de classes por banda garantida, por banda máxima e por fila de prioridade;
81. Deve realizar QoS (Traffic Shaping) em interfaces agregadas ou redundantes;

Requisitos mínimos de filtro de dados:
82. Deve identificar arquivos compactados e aplicar políticas sobre o conteúdo desses tipos de arquivos;
83. Deve identificar arquivos criptografados e aplicar políticas sobre esses tipos de arquivos;
84. Deve criar políticas por geolocalização, permitindo que o tráfego de determinado pais/países seja(m) bloqueados;
85. Deve realizar a visualização dos países de origem e destino nos logs dos acessos.
86. Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;

Requisitos mínimos de geolocalização:
87. Deve criar políticas por geolocalização, permitindo que o tráfego de determinado pais/países seja(m) bloqueados;
88. Deve realizar a visualização dos países de origem e destino nos logs dos acessos.
89. Deve possibilitar a criação de regiões geográficas pela interface gráfica e criar políticas utilizando as mesmas;

Requisitos mínimos de SD-WAN:
90. A solução deve ser capaz de medir o Status de Saúde do Link baseando-se em critérios mínimos de: Latência, Jitter e Packet Loss, onde seja possível configurar um valor de Theshold para cada um destes itens, onde será utilizado como fator de decisão nas regras de
91. SD-WAN
92. A solução deve ser capaz de medir o Status de Saúde com Suporte a múltiplos servidores.
93. A solução deve permitir modificar configuração de tempo de checagem em segundos para cada um dos links
94. A solução deve permitir a configuração de regras onde o Failback (retorno à condição inicial) apenas ocorrerá quando o link principal recuperado seja X% (com X variando de 10 a 50) do seu valor de Saúde melhor que o link atual
95. A solução deve permitir a configuração de regras onde o Failback (retorno à condição inicial) apenas ocorra dentro de um espaço de tempo de X segundos, configurável pelo administrador do sistema;
96. A solução deve possibilitar a distribuição de Peso em cada um dos links que compõe o SD-WAN, a critério do administrador, de forma em que o algoritmo de balanceamento utilizado possa ser baseado em:
97. Número de Sessões,
98. Volume de Tráfego,
99. IP de Origem e Destino e
100. Transbordo de Link (Spillover)

Requisitos mínimos de redes virtuais privadas (VPNs):
101. Deve criar VPN dos tipos: site-to-site e client-to-site;
102. Deve suportar e criar IPsec VPN e SSL VPN;
103. Deve suportar nativamente a criação de VPN IPsec utilizando Triple Data Encryption Standard (3DES);
104. Deve suportar nativamente a criação de VPN IPsec utilizando Advanced Encryption Standard (AES) 128, 192 ou 256 bits;
105. Deve suportar nativamente a autenticação de VPN IPsec utilizando MD5 e SHA-1;
106. Deve suportar nativamente a criação de VPN IPsec utilizando o algoritmo Diffie-Hellman, grupos: 1, 2, 5 e 14;
107. Deve suportar nativamente a criação de VPN IPsec utilizando o algoritmo Internet Key Exchange (IKE) v1 e v2.

Suporte:
108. Garantia conforme ESPECIFICAÇÃO PADRÃO DOS SERVIÇOS DE GARANTIA DO FABRICANTE DO FIREWALL, COM COBERTURA DE ATENDIMENTO 24X7.
109. Serviço de gestão conforme ESPECIFICAÇÃO PADRÃO DOS SERVIÇOS DE ASSISTÊNCIA TÉCNICA;
110. Garantia:
Todos produtos devem incluir Garantia do Fabricante dos produtos, incluindo os serviços e SLA especificados abaixo:
111. As garantias dos itens acessórios e componentes internos como transceptores devem acompanhar a garantia ofertada do equipamento principal onde serão instalados;
112. Recursos online: Acesso a um portal personalizado que inclua fóruns de suporte; envio de chamados de suporte; download de drivers, updates de software e firmware; gerenciamento de patches; principais problemas e soluções guiadas; detalhes de garantia; atualizações de software; acesso à base de conhecimento; ferramentas de diagnóstico; chat para envio de perguntas;
113. Os equipamentos de NGFW devem incluir subscrição para licenças de uso para atualização de firmware e softwares, bem como a subscrição para atualização das bases de dados de Application Control, Internet Service, Client ID, IP Geography, Malicious URL, URL Whitelist, Botnet domain, IP Reputation, Antivírus e IPS, deve incluir também serviços remotos na nuvem do fabricante de Sandbox, Content Disarm & Reconstruct, Virus Outbreak Protection Query, Web Filtering Query, Secure DNS Query e AntiSpam Query;
114. Central de Atendimento: Central com atendimento em português através de ligação local ou gratuita;
115. Recursos Reativos: Atividades sob demanda, sem limite de quantidade de atendimentos, que deve incluir especialistas técnicos, gestores de eventos críticos
116. Suporte técnico remoto para a solução ofertada incluindo hardware e softwares fornecidos;
117. Período de cobertura: 24x7 (vinte quatro horas por dia, sete dias por semana);
118. Registro de chamado: através da Central de Atendimento e portal na web; a Central deverá confirmar o recebimento do chamado informando um identificador para acompanhamento
119. Níveis de Gravidade:
a. (1) paralisação crítica: ex.: ambiente de produção ou sistema paralisado ou com risco grave de paralisação ou de perda de dados;
b. (2) degradação crítica: ex.: ambiente de produção ou sistema seriamente prejudicado, parcialmente interrompido ou comprometido, risco de recorrência;
c. (3) normal: ex.: ambiente não de produção ou sistema fora do ar ou degradado;
d. (4) baixa: ex.: nenhum impacto sobre os sistemas ou usuários;
120. Tempo de Atendimento: em até 1h (uma hora) após registro do chamado para início do atendimento por um especialista técnico para chamados classificados com nível de gravidade (1), e até 2h (duas horas) para os demais;
121. Peças: O Serviço de Suporte deve incluir sem custos adicionais para o cliente, a substituição avançada de módulos ou do equipamento completo quando diagnosticado defeito. Isso significa que quando for diagnosticado defeito do equipamento pelo fabricante, o fabricante deve remeter módulo ou equipamento completo para substituição, e efetuar o recolhimento do módulo ou equipamento completo defeituoso.
122. Gerenciamento de escalação: Para situações de gravidade 1 em que o atendimento precise ser escalado, deverá ser alocado de um gestor de eventos críticos para monitorar e coordenar todo o processo, do chamado até a resolução final, e assegurar o envolvimento imediato e efetivo dos recursos para agilizar a solução do incidente;
123. Resolução remota dos chamados: Mediante autorização prévia do cliente, o fabricante poderá utilizar as ferramentas de software instaladas para monitoramento ou outras para realizar o diagnóstico, isolar e resolver o problema.
124. Garantia de 5 Anos On-site 24x7 e licenciamento pelo mesmo período.

Licença:
Licença de 5 anos (5 Year) FortiGate Unified Threat Protection (UTP) (24x7 FortiCare plus Application Control, IPS, AMP and Web Filtering
EMPRESA: 70.064.316/0001-22 - ARPSIST SERVIÇOS DE ENGENHARIA LTDA
3 FIREWALL UTM TIPO II; (5235000001050) UNIDADE FORTINET R$ 117.600,00
  0. O equipamento deve ser da marca Fortinet;
1. O equipamento deve se encaixar no perfil de Next Generation Firewall (NGFW) - Firewall de próxima geração;
2. Taxa de transferência de Firewall (Para qualquer tamanho de pacote UDP): 10Gbps ou superior;
3. Taxa de transferência de IPSec VPN (Com pacotes de 512Bytes): 11Gbps ou superior;
4. Conexões simultâneas (milhões): 1.5 ou superior;
5. Novas sessões (TCP) por segundo: 56.000 ou superior;
6. Capacidade de inspeção SSL – HTTPS: 1Gbps ou superior;
7. Capacidade para proteção combinada contra ameaças: 1Gbps ou superior;
8. Deve estar com as funcionalidades habilitadas simultaneamente e devidamente atuantes: Controle de Aplicação, IDS/IPS e Controle de Malware (Antivírus), medidas com parâmetros de Throughput considerando tráfego misto. Não serão aceitas medidas baseadas em condições ideais;
9. Quantidade mínima de interfaces 1Gbps com conectores RJ-45, considerando conexão LAN, WAN, DMZ e Gerência: 16 (dezesseis) ou superior;
10. Quantidade mínima de slots SFP para transceptores 1GbE: No mínimo 08 (Oito) e de slots SFP+ para transceptores 10GbE: No mínimo 02 (Dois);
11. Deve possuir disco rígido interno para gravação de logs, com tamanho mínimo de 400GB (cento e vinte oito gigabytes).
12. Deve ter tecnologia de firewall do tipo stateful;
13. Deve realizar VLANs com tags padrão 802.1q;
14. Deve possuir suporte a agregação de links 802.3ad e LACP;
15. Deve realizar roteamento multicast (PIM-SM e PIM-DM);
16. Deve realizar DHCP relay e DHCP server;
17. Deve possuir suporte a sub-interfaces Ethernet lógicas;
18. Deve suportar NAT64 e NAT46;
19. Deve realizar, para IPv4, roteamento estático e dinâmico (RIPv2, BGP e OSPFv2);
20. Deve realizar, para IPv6, roteamento estático e dinâmico (OSPFv3);
21. Deve suportar OSPF graceful restart;
22. Deve suportar modo sniffer, para inspeção via porta espelhada do tráfego de dados da rede;
23. Deve suportar configuração de alta disponibilidade ativo/passivo ou ativo/ativo;
24. Deve implementar no mínimo 05 (cinco) sistemas virtuais;
25. Deve permitir a criação de administradores independentes, para cada um dos sistemas virtuais existentes, de maneira a possibilitar a criação de contextos virtuais que podem ser administrados diferentemente;
26. Deve realizar controles por zona de segurança;
27. Deve realizar controles de políticas por porta e protocolo;
28. Deve realizar controle de políticas por aplicações, grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações;
29. Deve realizar controle de políticas por código de país (por exemplo: br, usa, uk, rus);
30. Deve realizar controle, inspeção e de-criptografia de SSL por política, para tráfego de entrada (inbound) e saída (outbound);
31. Deve realizar offload de certificado em inspeção de conexões SSL de entrada (inbound);
32. Deve implementar objetos e regras IPv6;
33. Deve implementar objetos e regras multicast;
34. Deve realizar a atribuição de agendamento das políticas com o objetivo de habilitar e desabilitar políticas em horários pré-definidos automaticamente.

Requisitos mínimos para solução de filtro de conteúdo
35. Deve possibilitar a criação de categorias personalizadas;
36. Deve possibilitar a monitoração do tráfego internet sem bloqueio de acesso aos usuários;
37. Deve possibilitar a categorização e reclassificação de sites web, tanto por URL quanto por endereço IP;
38. Deve possibilitar a criação de listas de URL específicas para serem bloqueadas ou liberadas;
39. Deve possibilitar, nas listas de URL personalizadas, a inserção de novas listas por expressão regular, permitindo adicionar domínios, subdomínios ou caminhos completos de sites;
40. Deve possibilitar o bloqueio de páginas web através da construção de filtros específicos com mecanismo de busca textual;
41. Deve possibilitar a criação de regras para acesso/bloqueio por endereço IP de origem e sub-rede de origem;
42. Deve ser capaz de categorizar a página web tanto pela sua URL como pelo seu endereço IP;
43. Deve possibilitar proxy transparente;
44. Deve possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários;
45. Deve possibilitar a criação de regras de acesso/bloqueio baseadas em usuários ou grupo de usuários do LDAP e do Microsoft Active Directory;
46. Deve possibilitar a criação de quotas de utilização ou limite de banda por usuários e grupos de usuários por aplicação (Facebook, Youtube, etc.);
47. Deve ter a capacidade de exibir mensagens de bloqueio customizável pelos administradores para resposta aos usuários;
48. Deve realizar o bloqueio de páginas web por meio da construção de filtros específicos com mecanismo de busca textual;
49. Deve possibilitar e forçar pesquisas seguras em sistemas de buscas, contemplando no mínimo: Google, Bing e Yahoo!.

Requisitos mínimos para solução de controle de aplicações:
50. Deve possuir a capacidade de reconhecer aplicações, independente de porta e protocolo;
51. Deve realizar a liberação e bloqueio somente de aplicações, sem a necessidade de liberação de portas e protocolos;
52. Deve reconhecer, no mínimo, 1.800 (mil e oitocentas) aplicações diferentes;
53. Deve identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da Deep Web (ex.: rede tor);
54. Deve de-criptografar, para tráfego criptografado SSL, pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
55. Deve atualizar a base de assinaturas de aplicações automaticamente;
56. Deve limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos do LDAP, LDAP/MS AD;
57. Deve possibilitar a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
58. Deve possibilitar a configuração de alertas quando uma aplicação for bloqueada.

Requisitos mínimos para solução de prevenção de ameaças:
59. Deve garantir o funcionamento com módulos de IPS, antivírus e anti-spyware integrados no próprio appliance de firewall;
60. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (antivírus e anti-spyware);
61. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, anti-spyware e antivírus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo;
62. Deve permitir ativar ou desativar as assinaturas, ou ainda, habilitar apenas em modo de monitoração;
63. Deve possibilitar a criação de políticas por usuários, grupos de usuários, endereços IPs, redes ou zonas de segurança;
64. Deve permitir o uso de exceções por IP de origem ou de destino nas regras e assinatura;
65. Deve permitir o bloqueio de vulnerabilidades;
66. Deve permitir o bloqueio de programas exploradores de vulnerabilidades (exploits) conhecidos;
67. Deve incluir proteção contra-ataques de negação de serviços (DoS);
68. Deve possuir assinaturas específicas para a mitigação de ataques negação de serviços (DoS) e negação de serviço distribuído (DDoS);
69. Deve detectar e bloquear a origem de programas de varredura de portas (port scans);
70. Deve bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
71. Deve possuir assinaturas para bloqueio de ataques de buffer overflow;
72. Deve permitir usar operadores de negação na criação de assinaturas ou políticas customizadas de IPS e anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
73. Deve permitir o bloqueio de vírus e spywares em, pelo menos, 02 (dois) dos seguintes protocolos: FTP, SMB, SMTP e POP3 e obrigatoriamente em HTTP;
74. Deve identificar, alertar e bloquear comunicação com botnets;
75. Deve registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
76. Deve identificar nos eventos, o país de onde partiu a ameaça.

Requisitos mínimos para solução de qualidade de serviço (QoS):
77. Deve criar políticas de QoS e Traffic Shaping por endereço de origem e destino;
78. Deve criar políticas de QoS e Traffic Shaping por endereço de destino;
79. Deve realizar a criação de políticas de QoS e Traffic Shaping por porta;
80. Deve realizar pelo QoS a definição de classes por banda garantida, por banda máxima e por fila de prioridade;
81. Deve realizar QoS (Traffic Shaping) em interfaces agregadas ou redundantes;

Requisitos mínimos de filtro de dados:
82. Deve identificar arquivos compactados e aplicar políticas sobre o conteúdo desses tipos de arquivos;
83. Deve identificar arquivos criptografados e aplicar políticas sobre esses tipos de arquivos;
84. Deve criar políticas por geolocalização, permitindo que o tráfego de determinado pais/países seja(m) bloqueados;
85. Deve realizar a visualização dos países de origem e destino nos logs dos acessos.
86. Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;

Requisitos mínimos de geolocalização:
87. Deve criar políticas por geolocalização, permitindo que o tráfego de determinado pais/países seja(m) bloqueados;
88. Deve realizar a visualização dos países de origem e destino nos logs dos acessos.
89. Deve possibilitar a criação de regiões geográficas pela interface gráfica e criar políticas utilizando as mesmas;

Requisitos mínimos de SD-WAN:
90. A solução deve ser capaz de medir o Status de Saúde do Link baseando-se em critérios mínimos de: Latência, Jitter e Packet Loss, onde seja possível configurar um valor de Theshold para cada um destes itens, onde será utilizado como fator de decisão nas regras de
91. SD-WAN
92. A solução deve ser capaz de medir o Status de Saúde com Suporte a múltiplos servidores.
93. A solução deve permitir modificar configuração de tempo de checagem em segundos para cada um dos links
94. A solução deve permitir a configuração de regras onde o Failback (retorno à condição inicial) apenas ocorrerá quando o link principal recuperado seja X% (com X variando de 10 a 50) do seu valor de Saúde melhor que o link atual
95. A solução deve permitir a configuração de regras onde o Failback (retorno à condição inicial) apenas ocorra dentro de um espaço de tempo de X segundos, configurável pelo administrador do sistema;
96. A solução deve possibilitar a distribuição de Peso em cada um dos links que compõe o SD-WAN, a critério do administrador, de forma em que o algoritmo de balanceamento utilizado possa ser baseado em:
97. Número de Sessões,
98. Volume de Tráfego,
99. IP de Origem e Destino e
100. Transbordo de Link (Spillover)

Requisitos mínimos de redes virtuais privadas (VPNs):
101. Deve criar VPN dos tipos: site-to-site e client-to-site;
102. Deve suportar e criar IPsec VPN e SSL VPN;
103. Deve suportar nativamente a criação de VPN IPsec utilizando Triple Data Encryption Standard (3DES);
104. Deve suportar nativamente a criação de VPN IPsec utilizando Advanced Encryption Standard (AES) 128, 192 ou 256 bits;
105. Deve suportar nativamente a autenticação de VPN IPsec utilizando MD5 e SHA-1;
106. Deve suportar nativamente a criação de VPN IPsec utilizando o algoritmo Diffie-Hellman, grupos: 1, 2, 5 e 14;
107. Deve suportar nativamente a criação de VPN IPsec utilizando o algoritmo Internet Key Exchange (IKE) v1 e v2.

Suporte:
108. Garantia conforme ESPECIFICAÇÃO PADRÃO DOS SERVIÇOS DE GARANTIA DO FABRICANTE DO FIREWALL, COM COBERTURA DE ATENDIMENTO 24X7.
109. Serviço de gestão conforme ESPECIFICAÇÃO PADRÃO DOS SERVIÇOS DE ASSISTÊNCIA TÉCNICA;
110. Garantia:
Todos produtos devem incluir Garantia do Fabricante dos produtos, incluindo os serviços e SLA especificados abaixo:
111. As garantias dos itens acessórios e componentes internos como transceptores devem acompanhar a garantia ofertada do equipamento principal onde serão instalados;
112. Recursos online: Acesso a um portal personalizado que inclua fóruns de suporte; envio de chamados de suporte; download de drivers, updates de software e firmware; gerenciamento de patches; principais problemas e soluções guiadas; detalhes de garantia; atualizações de software; acesso à base de conhecimento; ferramentas de diagnóstico; chat para envio de perguntas;
113. Os equipamentos de NGFW devem incluir subscrição para licenças de uso para atualização de firmware e softwares, bem como a subscrição para atualização das bases de dados de Application Control, Internet Service, Client ID, IP Geography, Malicious URL, URL Whitelist, Botnet domain, IP Reputation, Antivírus e IPS, deve incluir também serviços remotos na nuvem do fabricante de Sandbox, Content Disarm & Reconstruct, Virus Outbreak Protection Query, Web Filtering Query, Secure DNS Query e AntiSpam Query;
114. Central de Atendimento: Central com atendimento em português através de ligação local ou gratuita;
115. Recursos Reativos: Atividades sob demanda, sem limite de quantidade de atendimentos, que deve incluir especialistas técnicos, gestores de eventos críticos
116. Suporte técnico remoto para a solução ofertada incluindo hardware e softwares fornecidos;
117. Período de cobertura: 24x7 (vinte quatro horas por dia, sete dias por semana);
118. Registro de chamado: através da Central de Atendimento e portal na web; a Central deverá confirmar o recebimento do chamado informando um identificador para acompanhamento
119. Níveis de Gravidade:
a. (1) paralisação crítica: ex.: ambiente de produção ou sistema paralisado ou com risco grave de paralisação ou de perda de dados;
b. (2) degradação crítica: ex.: ambiente de produção ou sistema seriamente prejudicado, parcialmente interrompido ou comprometido, risco de recorrência;
c. (3) normal: ex.: ambiente não de produção ou sistema fora do ar ou degradado;
d. (4) baixa: ex.: nenhum impacto sobre os sistemas ou usuários;
120. Tempo de Atendimento: em até 1h (uma hora) após registro do chamado para início do atendimento por um especialista técnico para chamados classificados com nível de gravidade (1), e até 2h (duas horas) para os demais;
121. Peças: O Serviço de Suporte deve incluir sem custos adicionais para o cliente, a substituição avançada de módulos ou do equipamento completo quando diagnosticado defeito. Isso significa que quando for diagnosticado defeito do equipamento pelo fabricante, o fabricante deve remeter módulo ou equipamento completo para substituição, e efetuar o recolhimento do módulo ou equipamento completo defeituoso.
122. Gerenciamento de escalação: Para situações de gravidade 1 em que o atendimento precise ser escalado, deverá ser alocado de um gestor de eventos críticos para monitorar e coordenar todo o processo, do chamado até a resolução final, e assegurar o envolvimento imediato e efetivo dos recursos para agilizar a solução do incidente;
123. Resolução remota dos chamados: Mediante autorização prévia do cliente, o fabricante poderá utilizar as ferramentas de software instaladas para monitoramento ou outras para realizar o diagnóstico, isolar e resolver o problema.
124. Garantia de 5 Anos On-site 24x7 e licenciamento pelo mesmo período.

Licença:
125. Licença de 5 anos (5 Year) FortiGate Unified Threat Protection (UTP) (24x7 FortiCare plus Application Control, IPS, AMP and Web Filtering.
EMPRESA: 70.064.316/0001-22 - ARPSIST SERVIÇOS DE ENGENHARIA LTDA
4 FIREWALL UTM TIPO III; (5235000001041) UNIDADE FORTINET R$ 1.213.500,00
  1. O Equipamento deve ser da marca Fortinet;
1.1. Características de desempenho:
1.1. Throughput de, no mínimo, 140 Gbps com a funcionalidade de firewall habilitada, independentemente do tamanho do pacote
1.2. Suporte a, no mínimo, 12.000.000 conexões simultâneas
1.3. Suporte a, no mínimo, 700.000 novas conexões por segundo
1.4. Throughput de, no mínimo, 50 Gbps de VPN IPSec
1.5. Estar licenciado para, ou suportar sem o uso de licença, 15.000 túneis de VPN IPSEC Site-to-Site simultâneos
1.6. Estar licenciado para, ou suportar sem o uso de licença, 80.000 túneis de clientes VPN IPSEC simultâneos
1.7. Throughput de, no mínimo, 10 Gbps de VPN SSL
1.8. Suporte a, no mínimo, 5000 clientes de VPN SSL simultâneos
1.9. Suportar no mínimo 12 Gbps de throughput de IPS
1.10. Suporte a, no mínimo, 30 Gbps de throughput de Application Control
1.11. Suportar no mínimo 15 Gbps de throughput de Inspeção SSL
1.12. Throughput de, no mínimo 9 Gbps com as seguintes funcionalidades habilitadas simultaneamente para todas as assinaturas que a plataforma de segurança possuir devidamente ativadas e atuantes: controle de aplicação, IPS, Antivírus e Antispyware.
1.13. Caso o fabricante divulgue múltiplos números de desempenho para qualquer uma destas funcionalidades, somente o de menor valor será aceito;
1.14. Deve possuir ao menos 2 interfaces 10 GE SFP+
1.15. Deve possuir ao menos 16 interfaces 1 GE RJ-45
1.16. Deve possuir ao menos 8 interfaces 1 GE SFP
1.17. Deve possuir ao menos 12 interfaces 25GE SFP28
1.18. Deve possuir ao memos 4 interfaces 40GE QSFP+
1.19. Estar licenciado e/ou ter incluído sem custo adicional, no mínimo, 10 sistemas virtuais lógicos (Contextos) por appliance
1.20. Condições operacionais
1.20.1.1. Alimentação Dual / tensão de 100-240 VAC
1.20.1.2. Alimentação Dual / frequência de 50/60 Hz
1.20.1.3. Deve possuir fonte de alimentação redundante que permitam troca a quente e caso de defeito.
1.20.1.4. Temperatura - faixa de operação de 0º a 40º C
1.20.1.5. Deve ter no mínimo 2RU de altura
1.2. Características Gerais
1.2.1. A solução deve consistir em plataforma de proteção de rede baseada em appliance com funcionalidades de Next Generation Firewall (NGFW), e console de gerência e monitoração;
1.2.2. Por funcionalidades de NGFW entende-se: reconhecimento de aplicações, prevenção de ameaças, identificação de usuários e controle granular de permissões;
1.2.3. As funcionalidades de proteção de rede que compõe a plataforma de segurança, podem funcionar em múltiplos appliances desde que obedeçam a todos os requisitos desta especificação;
1.2.4. A plataforma deve ser otimizada para análise de conteúdo de aplicações em camada 7;
1.2.5. O gerenciamento da solução deve suportar acesso via SSH, cliente ou WEB (HTTPS) e API aberta;
1.2.6. Os dispositivos de proteção de rede devem possuir suporte a 4094 VLAN Tags 802.1q;
1.2.7. Os dispositivos de proteção de rede devem possuir suporte a Policy based routing ou policy based forwarding;
1.2.8. Os dispositivos de proteção de rede devem possuir suporte a roteamento multicast (PIM-SM e PIM-DM);
1.2.9. Os dispositivos de proteção de rede devem possuir suporte a DHCP Relay;
1.2.10. Os dispositivos de proteção de rede devem possuir suporte a DHCP Server;
1.2.11. Os dispositivos de proteção de rede devem possuir suporte a Jumbo Frames;
1.2.12. Os dispositivos de proteção de rede devem suportar sub-interfaces ethernet logicas
1.2.13. Deve suportar NAT dinâmico (Many-to-Many);
1.2.14. Deve suportar NAT estático (1-to-1);
1.2.15. Deve suportar NAT estático bidirecional 1-to-1;
1.2.16. Deve suportar Tradução de porta (PAT);
1.2.17. Deve suportar NAT de Origem;
1.2.18. Deve suportar NAT de Destino;
1.2.19. Deve suportar NAT de Origem e NAT de Destino simultaneamente;
1.2.20. Deve implementar Network Prefix Translation (NPTv6) ou NAT66, prevenindo problemas de roteamento assimétrico;
1.2.21. Deve suportar NAT64 e NAT46;
1.2.22. Deve implementar o protocolo ECMP;
1.2.23. Deve implementar balanceamento de link por hash do IP de origem;
1.2.24. Deve implementar balanceamento de link por hash do IP de origem e destino;
1.2.25. Deve implementar balanceamento de link por peso. Nesta opção deve ser possível definir o percentual de tráfego que será escoado por cada um dos links. Deve suportar o balanceamento de, no mínimo, três links;
1.2.26. Deve implementar balanceamento de links sem a necessidade de criação de zonas ou uso de instâncias virtuais
1.2.27. A solução deve prover recursos de roteamento inteligente, definindo, mediante regras pré-estabelecidas, o melhor caminho a ser tomado para um aplicação;
1.2.28. A solução deverá ser capaz de monitorar e identificar falhas mediante a associação de health check, permitindo testes de resposta por ping, http, tcp/udp echo e twamp;
1.2.29. Deverá ser permitida a criação de políticas de roteamento com base nos seguintes critérios: latência, jitter, perda de pacote, banda ocupada ou todos ao mesmo tempo;
1.2.30. Diversas formas de escolha do link devem estar presentes, incluindo: melhor link, menor custo e definição de níveis máximos de qualidade a serem aceitos para que tais links possam ser utilizados em um determinado roteamento de aplicação;
1.2.31. A solução deve prover estatísticas em tempo real a respeito da ocupação de banda (upload e download) e performance do health check (packet loss, jitter e latência);
1.2.32. Além de possibilitar a definição de banda máxima e garantida por aplicação, deve também suportar o match em categorias de URL, IPs de origem e destino, logins e portas;
1.2.33. Deve possibilitar roteamento distinto a depender do grupo de usuário selecionado na regra de roteamento;
1.2.34. Deve permitir monitorar via SNMP falhas de hardware, monitoramento de CPU e memória, de segurança e interface.
1.2.35. Enviar log para sistemas de monitoração externos, simultaneamente;
1.2.36. Deve haver a opção de enviar logs para os sistemas de monitoração externos via protocolo TCP e SSL;
1.2.37. Proteção anti-spoofing;
1.2.38. Para IPv4, deve suportar roteamento estático e dinâmico (RIPv2, BGP e OSPFv2);
1.2.39. Para IPv6, deve suportar roteamento estático e dinâmico (OSPFv3);
1.2.40. Suportar OSPF graceful restart;
1.2.41. Deve suportar Modo Sniffer, para inspeção via porta espelhada do tráfego de dados da rede;
1.2.42. Deve suportar Modo Camada ? 2 (L2), para inspeção de dados em linha e visibilidade do tráfego;
1.2.43. Deve suportar Modo Camada ? 3 (L3), para inspeção de dados em linha visibilidade do tráfego;
1.2.44. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em modo transparente;
1.2.45. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em layer 3;
1.2.46. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo: Em layer 3 e com no mínimo 3 equipamentos no cluster;
1.2.47. A configuração em alta disponibilidade deve sincronizar: Sessões;
1.2.48. A configuração em alta disponibilidade deve sincronizar: Configurações, incluindo, mas não limitado as políticas de Firewall, NAT, QOS e objetos de rede;
1.2.49. A configuração em alta disponibilidade deve sincronizar: Associações de Segurança das VPNs;
1.2.50. A configuração em alta disponibilidade deve sincronizar:Tabelas FIB;
1.2.51. O HA (modo de Alta-Disponibilidade) deve possibilitar monitoração de falha de link;
1.2.52. Deve possuir suporte a criação de sistemas virtuais no mesmo appliance;
1.2.53. Em alta disponibilidade, deve ser possível o uso de clusters virtuais, seja ativo-ativo ou ativo-passivo, permitindo a distribuição de carga entre diferentes contextos;
1.2.54. Deve permitir a criação de administradores independentes, para cada um dos sistemas virtuais existentes, de maneira a possibilitar a criação de contextos virtuais que podem ser administrados por equipes distintas;
1.2.55. Controle, inspeção e descriptografia de SSL para tráfego de entrada (Inbound) e Saída (Outbound), sendo que deve suportar o controle dos certificados individualmente dentro de cada sistema virtual, ou seja, isolamento das operações de adição, remoção e utilização dos certificados diretamente nos sistemas virtuais (contextos);
1.2.56. Controle por Política de Firewall
1.2.57. Deverá suportar controles por zona de segurança
1.2.58. Controles de políticas por porta e protocolo
1.2.59. Controle de políticas por aplicações, grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações
1.2.60. Controle de políticas por usuários, grupos de usuários, IPs, redes e zonas de segurança
1.2.61. Controle de políticas por código de País (Por exemplo: BR, USA, UK, RUS)
1.2.62. Controle, inspeção e de-criptografia de SSL por política para tráfego de entrada (Inbound) e Saída (Outbound)
1.2.63. Deve suportar offload de certificado em inspeção de conexões SSL de entrada (Inbound);
1.2.64. Deve descriptografar tráfego Inbound e Outbound em conexões negociadas com TLS 1.2;
1.2.65. Controle de inspeção e descriptografia de SSH por política;
1.2.66. Deve permitir o bloqueio de arquivo por sua extensão e possibilitar a correta identificação do arquivo por seu tipo mesmo quando sua extensão for renomeada;
1.2.67. Traffic shaping QoS baseado em Políticas (Prioridade, Garantia e Máximo);
1.2.68. QoS baseado em políticas para marcação de pacotes (diffserv marking), inclusive por aplicações;
1.2.69. Suporte a objetos e regras IPV6;
1.2.70. Suporte a objetos e regras multicast;
1.2.71. Deve suportar no mínimo dois tipos de resposta nas políticas de firewall: Drop sem notificação do bloqueio ao usuário, Drop com notificação do bloqueio ao usuário, Drop com opção de envio de ICMP Unreachable para máquina de origem do tráfego, TCP-Reset para o client, TCP-Reset para o server ou para os dois lados da conexão;
1.2.72. Suportar a atribuição de agendamento das políticas com o objetivo de habilitar e desabilitar políticas em horários pré-definidos automaticamente;

1.3. Controle de Aplicações
1.3.1. Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo
1.3.2. Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos
1.3.3. Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail;
1.3.4. Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs;
1.3.5. Deve inspecionar o payload de pacote de dados com o objetivo de detectar assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocolo;
1.3.6. Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor
1.3.7. Para tráfego criptografado SSL, deve de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
1.3.8. Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação, incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex
1.3.9. Identificar o uso de táticas evasivas via comunicações criptografadas;
1.3.10. Atualizar a base de assinaturas de aplicações automaticamente;
1.3.11. Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos;
1.3.12. Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários;
1.3.13. Deve ser possível adicionar controle de aplicações em múltiplas regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras;
1.3.14. Deve suportar múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos;
1.3.15. Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas;
1.3.16. Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante
1.3.17. A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP e SSL
1.3.18. O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
1.3.19. Deve alertar o usuário quando uma aplicação for bloqueada;
1.3.20. Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, etc) possuindo granularidade de controle/políticas para os mesmos;
1.3.21. Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos;
1.3.22. Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o Hangouts chat e bloquear a chamada de vídeo;
1.3.23. Deve possibilitar a diferenciação de aplicações Proxies (psiphon, freegate, etc) possuindo granularidade de controle/políticas para os mesmos;
1.3.24. Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: Tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc)
1.3.25. Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: Nível de risco da aplicação
1.3.26. Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação

1.4. Prevenção de Ameaças
1.4.1. Para proteção do ambiente contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;
1.4.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
1.4.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
1.4.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;
1.4.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset;
1.4.6. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
1.4.7. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
1.4.8. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;
1.4.9. Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens
1.4.10. Deve permitir o bloqueio de vulnerabilidades
1.4.11. Deve permitir o bloqueio de exploits conhecidos
1.4.12. Deve incluir proteção contra-ataques de negação de serviços
1.4.13. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões;
1.4.14. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo;
1.4.15. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo;
1.4.16. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística;
1.4.17. Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation;
1.4.18. Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP;
1.4.19. Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados
1.4.20. Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc;
1.4.21. Detectar e bloquear a origem de portscans;
1.4.22. Bloquear ataques efetuados por worms conhecidos;
1.4.23. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
1.4.24. Possuir assinaturas para bloqueio de ataques de buffer overflow;
1.4.25. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
1.4.26. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
1.4.27. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
1.4.28. Identificar e bloquear comunicação com botnets;
1.4.29. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
1.4.30. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou por filtro pré-definido;
1.4.31. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
1.4.32. Os eventos devem identificar o país de onde partiu a ameaça;
1.4.33. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms
1.4.34. Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos
1.4.35. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança

1.5. Filtro de URL
1.5.1. Permite especificar política por tempo, ou seja, a definição de regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora);
1.5.2. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
1.5.3. Deve possuir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais URLs através da integração com serviços de diretório, Active Directory e base de dados local;
1.5.4. Suportar a capacidade de criação de políticas baseadas no controle por URL e categoria de URL;
1.5.5. Possuir pelo menos 60 categorias de URLs;
1.5.6. Deve possuir a função de exclusão de URLs do bloqueio, por categoria;
1.5.7. Permitir a customização de página de bloqueio;
1.5.8. Permitir o bloqueio e continuação (possibilitando que o usuário acesse um site potencialmente bloqueado informando o mesmo na tela de bloqueio e possibilitando a utilização de um botão Continuar para permitir o usuário continuar acessando o site);

1.6. Identificação de Usuários
1.6.1. Deve incluir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais aplicações através da integração com serviços de diretório, autenticação via LDAP, Active Directory, E-directory e base de dados local;
1.6.2. Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em usuários e grupos de usuários;
1.6.3. Deve possuir integração e suporte a Microsoft Active Directory para os seguintes sistemas operacionais: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2;
1.6.4. Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em usuários e grupos de usuários, suportando single sign-on. Essa funcionalidade não deve possuir limites licenciados de usuários ou qualquer tipo de restrição de uso como, mas não limitado à utilização de sistemas virtuais, segmentos de rede, etc;
1.6.5. Deve possuir integração com Radius para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em usuários e grupos de usuários;
1.6.6. Deve possuir integração com LDAP para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em Usuários e Grupos de usuários;
1.6.7. Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação residente no firewall (Captive Portal);
1.6.8. Deve possuir suporte a identificação de múltiplos usuários conectados em um mesmo endereço IP em ambientes Citrix e Microsoft Terminal Server, permitindo visibilidade e controle granular por usuário sobre o uso das aplicações que estão nestes serviços;
1.6.9. Deve implementar a criação de grupos customizados de usuários no firewall, baseado em atributos do LDAP/AD;
1.6.10. Permitir integração com tokens para autenticação dos usuários, incluindo, mas não limitado a acesso a internet e gerenciamento da solução
1.6.11. Prover no mínimo um token nativamente, possibilitando autenticação de duplo fator

1.7. QoS e Traffic Shaping
1.7.1. Com a finalidade de controlar aplicações e tráfego cujo consumo possa ser excessivo, (como youtube, ustream, etc) e ter um alto consumo de largura de banda, se requer que a solução, além de poder permitir ou negar esse tipo de aplicações, deve ter a capacidade de controlá-las por políticas de máximo de largura de banda quando forem solicitadas por diferentes usuários ou aplicações, tanto de áudio como de vídeo streaming;
1.7.2. Suportar a criação de políticas de QoS e Traffic Shaping por endereço de origem;
1.7.3. Suportar a criação de políticas de QoS e Traffic Shaping por endereço de destino;
1.7.4. Suportar a criação de políticas de QoS e Traffic Shaping por usuário e grupo;
1.7.5. Suportar a criação de políticas de QoS e Traffic Shaping por aplicações;
1.7.6. Suportar a criação de políticas de QoS e Traffic Shaping por porta;
1.7.7. O QoS deve possibilitar a definição de tráfego com banda garantida;
1.7.8. O QoS deve possibilitar a definição de tráfego com banda máxima;
1.7.9. O QoS deve possibilitar a definição de fila de prioridade;
1.7.10. Suportar priorização em tempo real de protocolos de voz (VOIP) como H.323, SIP, SCCP, MGCP e aplicações como Skype;
1.7.11. Suportar marcação de pacotes Diffserv, inclusive por aplicação;
1.7.12. Disponibilizar estatísticas em tempo real para classes de QoS ou Traffic Shaping;

1.8. Filtro de Dados
1.8.1. Suportar identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, etc) identificados sobre aplicações (HTTP, FTP, SMTP, etc);
1.8.2. Suportar identificação de arquivos compactados ou a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
1.8.3. Suportar a identificação de arquivos criptografados e a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
1.8.4. Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;

1.9. Geolocalização
1.9.1. Suportar a criação de políticas por geolocalização, permitindo o trafego de determinado Pais/Países sejam bloqueados;
1.9.2. Deve possibilitar a visualização dos países de origem e destino nos logs dos acessos;
1.9.3. Deve possibilitar a criação de regiões geográficas pela interface gráfica e criar políticas utilizando as mesmas;

1.10. VPN
1.10.1. Suportar VPN Site-to-Site e Cliente-To-Site;
1.10.2. Suportar IPSec VPN;
1.10.3. Suportar SSL VPN;
1.10.4. A VPN IPSEc deve suportar 3DES;
1.10.5. A VPN IPSEc deve suportar Autenticação MD5 e SHA-1;
1.10.6. A VPN IPSEc deve suportar Diffie-Hellman Group 1, Group 2, Group 5 e Group 14;
1.10.7. A VPN IPSEc deve suportar Algoritmo Internet Key Exchange (IKEv1 e v2);
1.10.8. A VPN IPSEc deve suportar AES 128, 192 e 256 (Advanced Encryption Standard);
1.10.9. A VPN IPSEc deve suportar Autenticação via certificado IKE PKI
1.10.10. Deve possuir interoperabilidade com os seguintes fabricantes: Cisco, Check Point, Juniper, Palo Alto Networks, Fortinet, SonicWall;
1.10.11. Deve permitir habilitar e desabilitar túneis de VPN IPSEC a partir da interface gráfica da solução, facilitando o processo de throubleshooting;
1.10.12. A VPN SSL deve suportar o usuário realizar a conexão por meio de cliente instalado no sistema operacional do equipamento ou por meio de interface WEB;
1.10.13. A funcionalidades de VPN SSL devem ser atendidas com ou sem o uso de agente;
1.10.14. Deve permitir que todo o tráfego dos usuários remotos de VPN seja escoado para dentro do túnel de VPN, impedindo comunicação direta com dispositivos locais como proxies;
1.10.15. Atribuição de DNS nos clientes remotos de VPN;
1.10.16. Dever permitir criar políticas de controle de aplicações, IPS, Antivírus, Antipyware e filtro de URL para tráfego dos clientes remotos conectados na VPN SSL;
1.10.17. Suportar autenticação via AD/LDAP, Secure id, certificado e base de usuários local;
1.10.18. Suportar leitura e verificação de CRL (certificate revocation list);
1.10.19. Permitir a aplicação de políticas de segurança e visibilidade para as aplicações que circulam dentro dos túneis SSL;
1.10.20. Deve permitir que a conexão com a VPN seja estabelecida das seguintes formas: Antes do usuário autenticar na estação;
1.10.21. Deve permitir que a conexão com a VPN seja estabelecida das seguintes formas: Após autenticação do usuário na estação;
1.10.22. Deve permitir que a conexão com a VPN seja estabelecida das seguintes formas: Sob demanda do usuário;
1.10.23. Deverá manter uma conexão segura com o portal durante a sessão;
1.10.24. O agente de VPN SSL ou IPSEC client-to-site deve ser compatível com pelo menos: Windows 7 (32 e 64 bit), Windows 8 (32 e 64 bit), Windows 10 (32 e 64 bit) e Mac OS X (v10.10 ou superior);

1.11. Suporte técnico e licenciamento
1.11.1. Suporte técnico do fabricante na modalidade 24x7h durante 60 meses;
1.11.2. As funcionalidades de controle de aplicação, IPS, filtro de conteúdo web, e o suporte deverão estar licenciadas para 60 meses;
1.11.3. Durante a vigência do suporte técnico deverá estar inclusa atualização de software sem nenhum custo adicional;
1.11.4. A prestação do suporte técnico não poderá haver limites no quantitativo de abertura de chamados;
1.11.5. Os chamados deverão ser abertos através de portal WEB e através de telefone 0800, sendo possível solicitar atendimento em língua portuguesa;
1.11.6. Incluso Licenciamento por 5 anos (5 Year FortiGate Unified Threat Protection) (UTP) (24x7 FortiCare plus Application Control, IPS, AMP and Web Filtering).Licença FortiAnalyzer-VM com suporte pelo período de 5 anos [License for ilimited GB/Day Logs](Capacidade de armazenamento de logs ilimitada)

1.12. Serviços de instalação e configuração
1.12.1. Instalação poderá ser realizada remotamente.
1.12.2. Configurações básicas de conectividade
1.12.3. Registro e ativação de licenças Atualização de software
1.12.4. Configuração de zonas de segurança, VLANs e roteamento interno
1.12.5. Configurações dos serviços de segurança como IPS e Filtro de conteúdo WEB
1.12.6. Configuração de balanceamento de carga de links WAN
1.12.7. Migração e/ou configuração de regras de firewall
1.12.8. Configuração de VPN
1.12.9. Configuração de regras de aplicação
1.12.10. Integração com base LDAP ou Radius
1.12.11. Configuração de autenticação SSO
1.12.12. Configuração de filtro de conteúdo por grupo de usuários
1.12.13. Configuração da unidade de alta disponibilidade
1.12.14. Configuração de QoS por serviços e/ou aplicações
1.12.15. Testes de funcionalidade
1.12.16. Os serviços de instalação e configuração devem ser executados por profissional com certificação técnica emitida pelo fabricante da solução de Firewall ofertada.
EMPRESA: 70.064.316/0001-22 - ARPSIST SERVIÇOS DE ENGENHARIA LTDA

<< Voltar

SIPAC | Superintendência de Tecnologia da Informação - (84) 3342 2210 | Copyright © 2005-2024 - UFRN - sipac01-producao.info.ufrn.br.sipac01-producao