1. Teklif edilecek cihazlar, donanım ve yazılım olarak tek parça olacaktır.

Transkript

1 Network Trafik Yük Dengeleme Cihazı Teknik Şartname 1. Teklif edilecek cihazlar, donanım ve yazılım olarak tek parça olacaktır. 2. Butun moduller cihaz üzerinde eş zamanlı çalışacaktır. 3. Cihazın throughput değeri en az 8 Gpbs olacaktır. Lisans ile 42 Gbps a çıkartılabilmelidir. 4. Cihaz saniyede en az HTTP isteğine cevap verebilecek kapasitede Lisans ile e çıkartılabilmelidir. 5. Cihazda, en az 6 Gbps SSL throughput performans değeri olacaktır. Lisans ile 10.4 Gbps a çıkartılabilmelidir. 6. Cihazda, en az TPS(1024bit key)/15.000(2048bit key) SSL performansı lisanslı olacaktır. Lisans ile (1024bit key)/45.000(2048bit key) e çıkartılabilmelidir. 7. Cihazın memory si en az 48 GB 8. Cihaz üzerinde 2 adet 10 G port 8 adet 1 G bakır port İhtiyaç duyulmasi halinde 2 adet 10 G port taklabilecek boş SFP yuvası 9. Cihazda en az 3.5 Gbps sıkıştırma kapasitesine sahip Lisans ile 7.1 Gbps a çıkartılabilmelidir. 10. Cihaz üzerinde sanal yük dengeleme cihazları oluşturulabilmelidir. 11. Cihaz üzerinde en az 5 adet sanal yük dengeleme cihaz oluşturma lisansı ile gelmelidir. Lisans ile en az 20 sanal yük dengeleme cihazı kapasitesine çıkartılabilmelidir. 12. Cihaz üzerinde oluşturulan sanal yük dengeleme cihazlarına dedike cpu, ram, ssl kartı ve ethernet portu verilebilmelidir. 13. Cihaz üzerinde oluşturulan sanal cihazlar, ayrı ayrı kapatılabilmeli, yeniden başlatılabilmeli ve farklı firmwarelere sahip olabilmelidir. 14. Cihaz üzerinde oluşturulan sanal cihazlar birbirinden tamamen izole 15. Cihaz üzerindeki yönetim arayüzünden sanal cihazların sertifika yönetimi yapılabilmelidir. 16. Cihaz üzerindeki yönetim arayüzünden sanal cihazların yönetim arayüzlerine SSO ile bağlanabilmelidir ve sanal cihazlar yönetilebilmelidir. 17. Cihaz üzerindeki sanal cihazlar console arayüzü, ssh arayüzü ve web arayüzü ile yönetilebilmelidir. 18. Cihaz üzerinde oluşturulan sanal Load Balancer Cihazları en az aşağıdaki özelliklere sahip olmalıdır: 18.1 Yazılan Policyler ile compression yapılacak objeler seçilebilmelidir Cihazlar, HTTP protokolünde sıkıştırma yapacak, Gzip ve Deflate sıkıştırma algoritmalarını destekleyecektir.

2 18.3 Cihazlarda, belirlenen kurallara göre istenilen nesnelerin sıkıştırılıp sıkıştırılmayacağı seçilebilecektir Cihazlarda, farklı sıkıştırma seviyeleri tanımlanabilmelidir. En fazla veya en az sıkıştırma seviyeleri tanımlanabilmelidir Cihaz gelen trafik için bandwith/bağlantı ve istek/saniye bazında Rate limitleme yapabilmelidir Cihazlarda coğrafi yük dengeleme (Global Server Load Balancing) özelliği bulunmalıdır ve teklife dahil edilmelidir. Bu özellik için ekstra donanım, yazılım veya lisans gerekli ise teklife dahil edilmelidir 18.7 Cihazlar, bellek üzerinde, ön bellekleme (caching) yapabilmelidir. Nesneler, statik veya dinamik olarak ön belleklenecektir Cihazlarda, farklı ön bellekleme profilleri oluşturularak Cache Expire Time (Önbellekde zamanaşımı süresini) tanımlama özeliliği olacaktır Cihazlarda, sunucunun gönderdiği no-cache bilgisi göz ardı etme özelliği olacaktır Cache üzerinden büyük dosyaların (internet videoları gibi) servis verilmesini cihaz sağlayabilmelidir Cihaz üzerinde INVALIDATE policyler yazılabilmeli. Ve cihazın arabirimlerine ulaşmadan bu policy üzerinden cache datası expire ettirilebilmelidir Cihaz kendine gelen http isteğinin içindeki herhangi bir parametreyi harici bir web servisi üzerinden ayrı bir http isteği ile sorgulayabilmeli ve bu sorguya gelen cevaba göre load balance, bloklama, yönlendirme, cacheleme ve rate limit aksiyonları alabilmelidir Cihaz üzerinde SSL VPN özelliği SSL VPN üzerinde en az 5 kullanıcılık lisans gelmelidir Cihazlar, üzerinde SSL sonlandırma özelliği olacaktır. SSL Decryption (SSL şifresini çözme), cihaz üzerinde yapılıp, istemci - cihaz arası HTTPS, cihaz - sunucu arası, HTTP protokolü ile konuşacak şekilde konfigüre edilebilmeli ve farklı profiller tanımlanabilmelidir Cihazlarda, bütünleşik SSL özelliği olmalı, donanım bazlı SSL hızlandırma yapılabilmelidir Cihazlarda, sertifika yönetimi yapılabilmelidir. SSL sertifikasını yenilemeye yönelik özelliği de Cihazlarda, istenmeyen SSL sürümü ve cipher özelliği pasif kılınabilme özelliği Cihazların kapasitesinin yettiği oranda üzerine sınırsız sayıda SSL sertifikası yüklenebilmelidir. Bu konuda bir lisans vs limiti olmamalıdır. Lisans gerekiyorsa tam kapsiteyi sağlayacak lisans fiyata dahil edilmelidir Cihazlarda, SSL işlevinin cihaz tarafından yapılarak, sunuculardan bu yükün kaldırılması için SSL Offload ve SSL optimizasyonu yapılabilmelidir Cihazlarda, SSL v1, SSL v2, SSL v3 ve TLSv1 desteği bulunmalıdır Cihazlarda, SSLv2 pasifse, bu şekilde negotiation(devretme) olmak isteyen istemciyi hata bağlantısına (URL) yönlendirebilme özelliği Cihazlarda, tüm cipher gruplar desteklenmelidir. İstenmeyen cipher algoritması ile gelen istemciler, hata bağlantısına yönlendirilebilmelidir Cihazlarda, yük dengelemesi yapılan uygulamalar arasında, öncelik sağlama özelliği

3 18.25 Cihazlar OSPF, BGP, RIP, IS-IS routing protokollerini destekleyecektir. Bu özellikler için lisans gerekiyorsa teklife dahil edilmelidir Cihazlarda, IPV6 desteği olacaktır. Bu özellik için lisans gerekiyorsa teklife dahil edilmelidir Cihazlarda, yüksek süreklilik için Aktif/Aktif veya Aktif/Pasif yapılandırma özelliği bulunmalıdır Cihazların değerleri ayarlanabilir sunucu durum takip, izleme (monitoring) ara yüzü bulunmalıdır. Timeout(zaman aşım süresi) ve interval değerleri tanımlanabilme özelliği Sunuculara veya sunucu guruplarına ayrı ayrı ve birden fazla izleme tanımı yapılabilmelidır Cihazlarda, sunucuların izlenmesi ICMP, TCP, HTTP, HTTPS, FTP gibi protokolleri kullanarak yapılabilmelidir Cihaz üzerinde RTSP (Real Time Streaming Protocol) desteği bulunmalıdır Cihazlar, Round Robin, Ratio, Fastest, Least Connection yük dengeleme algoritmalarına sahip olacaktır. Aynı zamanda, en hızlı cevap veren ve en az bağlantısı olan sunucuya istemcinin yönlendirilmesi sağlamalıdır Cihazlar, bütün sunucuların göçmesi veya aktif üyelik bilgilerine bakarak yönlendirme (redirection) yapmalıdır Cihazlar, sunucudan dönen HTTP 404, HTTP 403, HTTP 500 gibi hataları anlayarak yönlendirme yapabilme özelliğine sahip Cihazlarda, tüm HTTP isteklerini veya belli bağlantıları, otomatik olarak HTTPS e çevirebilme özelliği olacaktır Cihazlar, istemcinin aynı sunucuda çalışmasını sağlayan Cookie persistence, Destination address affinity, hash persistence, SIP persistence, source address persistence, SSL persistence özelliklerini desteklemelidir Cihazlar, TCP ve UDP temelli bütün uygulamaları yük dengeli şekilde çalışacak ve akıllı yük dengelemesi yapabilmelidir Cihazlarda, L4 ve L7 özelliklerine göre trafiği yönetebilme özelliği Cihazlarda, L2 mode switching(anahtarlama), L3 mode routing(yönlendirme) özelliği MAC-based forwarding özelliği teklif edilen cihaz üzerinde bulunmalıdır Cihazlarda, Connection Multiplexing (TCP bağlantılarını çoğullama) yapma özelliği Bu özellik için lisans gerekiyorsa teklife dahil edilmelidir Cihazlarda, SQL Multiplexing (SQL TCP bağlantılarını çoğullama) yapma özelliği Bu özellik için lisans gerekiyorsa teklife dahil edilmelidir Cihazlarda, HTTP isteğindeki herhangi bir bilgiye göre (URL, Domain, Cookie, IP gibi) anahtarlama(content Switching) yapacaktır. Bağlantıdaki herhangi bir bilgiye bakarak, sunucu kümelerinde yük dengeleme yapmalıdır Cihazlarda, SQL isteğindeki herhangi bir bilgiye göre anahtarlama(content Switching) yapacaktır. Bağlantıdaki herhangi bir bilgiye bakarak, sunucu kümelerinde yük dengeleme yapmalıdır Cihazlar, DMZ ve intranetteki farklı alt ağlarda (subnet) bulunan sunucular için yük dengelemesi yapmalıdır.

4 18.46 Cihazlarda, 802.3ad link aggregation (bağlantı arabirimi birleştirme) desteği hazır bulunacaktır. Bu özellik için lisans gerekiyorsa teklife dahil edilmelidir Cihazlarda, Link Load Balancing özelliği olacaktır VRRP desteği olmalıdır Cihazlarda, bridge özelliği olacaktır Cihazlar, statik ve dinamik routing protokollerini destekleyecektir Cihazlar, farklı alt ağlardaki IP adresinden de, istendiğinde yönetilebilme özelliği Cihazlar, Denial of Service (DoS) ve DDoS ataklarına karşı koruma yapacaktır Cihazlarda, SYN Flood, tear drop, zombie gibi TCP seviyesinde koruma özellikleri bulunmalıdır. Atak yapan ipyi bizim belirleyeceğimiz süre kadar karantinaya alarak, bu süre boyunca o ipden gelen istekleri droplamalıdır Cihazlarda, Packet Filtering ve Access Control List özellikleri bulunacaktır. Cihazlar, cihaza giren ve cihazdan çıkan trafiği, MAC adresi, IP adresi ve port seviyesinde kontrol edebilmelidir Cihazlar, Network Address/Port Translation yapabilmelidir Cihazlarda, her ethernet portunda VLAN ve Tagged VLAN teknolojileri desteklemelidir Cihazlarda, Layer 2 de VLAN Tagging IEEE 802.1q, LACP (Link Aggregation Control Protocol) IEEE (802.3ad) özellikleri Cihazların yönetimi, HTTPS ve SSH ile bağlantı yapılabilmesini desteklemelidir Cihazlarda, grafik arayüzünden (GUI) ve komut satırı ara yüzünden (CLI) tüm işlemler yapılabilmelidir Cihazlarda, SNMP v1, SNMP v2 ve SNMP v3 desteği bulunacaktır. Cihazlar, SNMP trap ile üzerindeki up/down olayını, başka bir yönetim sistemine iletmesi sağlanacaktır Cihazlar, SNMP tabanlı sistemler ile entegre edilecektir. Yüklenici, cihazla etkileşim için SNMP MIB dosyalarını sağlayacaktır Cihazlarda, canlı performans, erişilebilirlik ve istatistikî bilgiler grafik ara yüzünden takip edilmesi sağlanacaktır Cihazlarda, syslog desteği bulunacaktır. Trafiğin log amaçlı uzak birden fazla syslog sunucusuna iletimi mümkün Cihazlarda, scriptlerle sunucunun sağlık kontrolü (Health Check) yapılabilmeli, up/down anlama süresi ayarlama özelliği olacaktır Cihazlar, sistem yapılandırmasının anında veya ileri bir zamanda devreye girmesi olanağına sahip Cihazların konfigürasyon yedeği, cihazdan harici ortama export(yedekleme) ve import(geri yükleme) özelliği olacaktır Yük paylaşımı yapılan sunucuların günlük kayıtlarında, kullanıcıların IP adreslerinin görülmesini ve loglanmasını her durumda mümkün kılmalıdır Yuk paylaşımı yapılan sunuculara yapılan istek loglarını cihaz üzerinden alınabilmelidir. Böylelikle Arka tarafta Load balance yapılan sunucularda log toplama ve korelasyon işleri tek noktadan yapılabilmesi sağlanmalıdır Yüklenici, harici bir gözlemleme sisteminin cihazlardan bilgi alabilmesi için gerekli XML API leri sağlayacaktır.

5 18.70 Cihaz, ani yüklerde sunucular cevap veremez hale geldiğinde, istekleri kuyruğa alabilmelidir. Kuyruğa alınan isteklerde önceliklendirme yapabilmelidir. Kuyruğa alınan clientlara reklam, banner, gibi mesajlar gönderilebilmelidir Application firewall (Uygulama seviyesi güvenlik duvarı) cihazlar üzerinde yüklü olacaktır. Application Firewall modulu extra bir lisans ile sağlanıyorsa lisans teklife dahil edilecektir Web Application Firewall: -SSL içinden gelen saldırıları da yakalayabilmeli -Cookie Protection Özelliği olmalıdır -Stateful Cihaz üzerindeki application firewall (uygulama güvenlikduvarı) izinli URL lere erişime izin vermeli.izin verilen URL içindeki sunucu cevabındaki linkleri takip edebilmeli ve sunucundan istemciye dönmeyen linklere bir istek olursa bu isteği kabul etmemelidir Web Application Firewall istemci tarafından değiştirilmesine izin verilmemiş olan cookie lerin değerlerini/içeriğini değiştirmeye çalışan kullanıcıları engelleyecektir Cihaz üzerindeki application firewall üzerinde yasaklı URL listesi oluşturabilmeli Cihaz üzerindeki application firewall SQL INJECTION ataklara karşı koruma sağlayabilmeli, atak için keyword ve taglar belirleyebilmelidir Cihaz üzerindeki application firewall Cross Site Script ataklara karşı koruma sağlayabilmeli, atak için keyword ve taglar belirleyebilmelidir Cihaz üzerindeki application firewall cross-site request forgery (CSRF) attaklara karşı koruma sağlayabilmelidir Cihaz üzerindeki application firewall Buffer Overflow ataklara karşı koruma sağlayabilmelidir Cihaz üzerindeki application firewall Field Format ve Field Consistency Check ataklarına karşı koruma sağlayabilmelidir Cihaz üzerindeki application firewall Cookie Manipulation ataklara karşı koruma sağlayabilmelidir Cihaz üzerindeki application firewall Kredi Kartı ve vatandaşlık numarası gibi hassas dataları algılayabilmeli ve belirli politikalar takibinde bu bilgilerin web sayfaları üzerinden gereğinden fazlasının anons edilmesini önleyebilmelidir Cihaz üzerindeki application firewall XML web uygulamarına karşı koruma yapabilmelidir Ürün, icra edeceği tüm güvenlik kontrollerini/testlerini hem HTTP hem de HTTPS protokolü için yapabilmelidir Web Application Firewall erişen trafikten uygulama yapısını öğrenip otomatik olarak referans (baseline) profil oluşturabilecektir. Bu profil en az izin verilen URL, URL metotları (örneğin; GET, POST v.b.), URL parametreleri ve cookie leri içerecek ve bunların eklenme ve silinmelerine imkan verecektir Web Application Firewall parametre değerlerini değiştirmeye çalışan kullanıcıları engelleyecektir Web Application Firewall istek yapılabilecek adresler dışında client tarafından yapılacak istekleri bloklayacaktır Web applicaiton Firewall HTTP protokol uyumu kontrollerini yapacaktır.

6 18.89 Web sayfasına erişecek HTTP istemciler için cihaz kendi üzerinden kullanıcı adı / şifre ekranı verebilecek ve istemciyi RADIUS,TACAS,LDAP,AD,SSL,SAML, KERBEROS kullanarak doğruladıkdan sonra, istemcinin WEB sayfasına erişmesine izin verebilecek özelliğe sahip Bu özellik üzerinde olmayan cihazlar ise bu yapıyı donanım va yazılım ile kurup tekliflerine dahil edecekdir Yüklenici, harici bir gözlemleme sisteminin cihazlardan bilgi alabilmesi için gerekli XML API leri sağlayacaktır.