Güvenlik Duvarı Teknik Şartname

Transkript

1 1. Güvenlik Duvarı Teknik Özellikleri Güvenlik Duvarı Teknik Şartname 1.1. Güvenlik duvarı cihazları donanım ve yazılım bütünü (appliance) olarak teklif edilecektir 1.2. Güvenlik duvarı cihazları üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde çalışacaktır 1.3. Teklif edilecek güvenlik duvarı çözümleri ve yönetim modülü aynı ve tek marka olmalıdır Aktif/Aktif ve Aktif/Pasif yedekli çalışmayı desteklemelidir Cihaz üzerinde trafiği inceleyen firewall modülü ve bu mödülün yönetimini yapam management katmanı birbirinden ayrı olacak ve birbirlerinin çalışmalarından etkilenmeyecektir. Firewall herhangi bir atak anında yada aşırı yük gelmesi durumunda bile yönetilebilir olmalı gerekli kurallar yazılabilmelidir Mimari açıdan stateful inspection ve IP paket filtreleme özelliklerini bünyesinde bulundurmalıdır 1.7. OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir 1.8. Cihaz farklı network topolojilerine kolay adapte olabilmesi için farklı network seviyelerinde çalışabilmelidir (sadece dinlemenin ve loglanmanın yapılabildiği TAP mode, herhangi bir MAC adresinin olmadığı Transparan Virtualwire Mode,Layer2 bridge mode, Layer3 routing mode) İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemelidir. Kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır. En az 4000 adet NAT kuralı yazılabilmeli ve üretici bu değerleri datasheet değerlerinde gösterebilmelidir Teklif edilecek sistemde sanal sistem desteği olmalıdır ve en az 25 adet sanal sistem lisansı cihaz üzerinde yüklü olmalıdır DHCP server ve DHCP Relay Agent olarak yapılandırabilmelidir OSPF, RIP, BGP,static yönlendirme ve kaynak tabanlı (policy based) yönlendirme desteklenmelidir Cihaz üzerinde sanal yönlendirici desteği olmalıdır ve en az 125 adet sanal yönlendirici tanımlanabilmelidir Cihazlar üzerinde IP v6 desteği olmalıdır Cihazlarda jumbo frame desteği olmalıdır Cihazarda NAT64 desteği olmalıdır Cihazlarda Link aggregation 802.3ad desteği olmalıdır Loglar SNMP, syslog, CEF ve yolları ile harici log yönetim sistemlerine gönderilebilmelidir. Ayrıca sistemin kendi özel merkezi yönetim sistemine logları gönderilebilmelidir. Merkezi yönetim sistemine erişemediği durumlarda logları kendi üzerinde tutabilmelidir Site to site IPSEC ve client to site SSL VPN desteği olmalıdır Güvenlik duvarı, IPSec VPN standardını desteklemelidir. IKE şifreleme şemalarını desteklemelidir. 3DES, AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 desteği olmalıdır Sistem en az adet uzak kullanıcı için SSL VPN ile sisteme bağlanabilme imkanı verecek kapasitede olacaktır.en az MS Windows XP, MS Windows7 (32/64 bit) Apple ios ve Android tabanlı cihazlar SSL VPN client olarak desteklenmelidir.

2 1.23. SSL VPN Gateway üzerine erişen kullanıcılar, Sistem üzerinde tanımlı kullanıcı veritabanı, RADIUS, LDAP ve Active-Directory üzerinden yetkilendirilebilmelidir ve bu yetkilendirme ile erişilebilecek iç kaynaklar tanımlanabilmelidir SSL-VPN ile bağlanan kullanıcıların IPS ve anti-virus taramasından geçirilip güvenli bir şekilde lokal ağa bağlantısı sağlanabilmelidir Sistem Network Arayüz lerin herbiri; LAN, WAN, DMZ, veya kullanıcı tarafından kuralları belirlenen bir segment olarak tanımlanabilmelidir. Sistem IEEE 802.1Q VLAN desteklemeli ve Sistem en az adet VLAN sanal arayüz desteklemelidir Sistem Bant Genişliği kontrolu (QoS) yapabilmelidir. Trafiği en az kullanıcı, uygulama ve kaynak/hedef IP bilgisine göre yönetebilmelidir Açık olan oturumlar anlık olarak görülebilmeli ve istenilen oturumlar düşürülebilmelidir Saat, gün, tarih, periyot bazında erişim kontrolü yapabilmelidir Sistemin SNMP desteği olmalıdır ve SNMP v3 desteklemelidir Önerilecek sistemlerde Kural kontrol özelliği olmalıdır. Böylelikle firewall kurallarında birbirini ezen kurallar veya mevcut kuralları geçersiz kılan bir kural yazılması durumunda sistemler uyarı vermelidir Farklı ülkelerden gelebilecek trafiği tehdit anında kesebilmelidir. Coğrafi koruma sağlayabilmelidir MS Active Directory ile entegre olarak kişi ve grup bazında firewall kuralı yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcı isim ile takibinin yapılabilmesine olanak sağlamalıdır Kullanıcı entegrasyonu herhangi bir ajan yuklemesine ihtiyaç duymamalıdır Kullanıcı entegrasyonu için Active Directory yapısında her hangi bir değişikliğe ihtiyaç duymamalıdır Kullanıcıları ve kullanıcı grouplarını otomatik olarak Active Directory den okuyabilmeli Firewall üzerinden herhangi bir tanıma ihtiyaç duymamalıdır Kullanıcı ve kullanıcı grubu bazlı firewall kuralı yazılabilmelidir.kullanıcıya göre kural yazma sadece credential gonderen uygulamalar için değil tüm uygulamalar için geçerli olmalıdır (basit bir ping paketinden kuruma özel uygulamalara kadar tüm uygulamalar AD User Name'e göre yetkilendirilebilmelidir) Kullanıcının oluşturduğu anlık trafik miktarı görüntülenebilmelidir Ağ Güvenliği Sistemi üzerinde Malware tarama özelliği bulunmalıdır. Sistem; Ağ girişinde veya ağ içerisinde HTTP, SMTP, FTP, POP3, IMAP ve SMB (file sharing) trafiğini tarayarak virüsleri engelleyebilmelidir. Sistem, anılan protokoller içinde tarama yaparak; Worm, Trojan, Keylogger, Spy, Dialer türünden tehditleri tanıyıp durdurabilmelidir Sadece protokol bazlı değil, istenilen uygulamalar bazında da antivirus tarama politikaları yaratılabilmelidir (örn: rapidshare veya gmail-base den gelen trafiği tarama gibi) Cihaz üzerinde HTTPS inspection özelliği olmalıdır Cihaz kurum dışına çıkan yada kurum dışından indirilen dosya türlerine göre engelleme yapılabilmelidir Cihaz kurum dışına çıkan yada kurum dışındna indirilen trafik içerisinde belirlenen anahtar kelime veya expressionlara göre trafiği kesebilmelidir Cihaz üzerinden geçen trafikte uygulamları tanıyabilmelidir. Tanıyamadığı uygulamalar için gerekli loglama ve alarm mekanizmalarına sahip olmalıdır Cihaz üzerinde en az 1600 adet uygulamayı tanıyabilmelidir Uygulama kontrolü özelliği active directory ile entegre çalışabilecek bu sayede active directory de tanımlı olan kullanıcı ve gruplar bazında uygulama kontrolü kuralları tanımlanabilecektir Uygulamaları port ve protokol bağımsız tanıyabilmelidir.uygulama kendisini tunellenmiş veya ssl/ssh ile şifrelenmiş olsa dahi trafik içerisinden geçen uygulamaları tanıyabilmeli uygulama tanıma özelliği kesinlikle devre dışı bırakılamamalıdır ve uygulama tanımlaması için ekstra konfigurasyona ihtiyaç duymamalıdır

3 1.47. Uygulamaya göre firewall kuralı yazılabilmelidir. Herhangi bir kural tablosu içindeki değişik kurallar içinde yer alan farklı uygulama ya da uygulama grupları sayısı, kombinasyonu ve içerikleri açısından herhangi bir sınır olmamalıdır.uygulama bazında yazılan kurallar izin veya bloklma kuralı olabilmelidir Ingress ve egress olarak SSL ve SSH ile şifrelenmiş trafiği açıp kontrol edebilmelidir Uygulama bloklama ve içerik filtreleme uyarı ekranları tamamen değiştirilebilecektir Uygulamalar en az haftalık güncellemeler ile otomatik alınabilmelidir Cihazın IPS özelliği olmalıdır IPS sisteminin saldırıları karşılama biçimi, sistem yöneticisi tarafından her bir imza icin ayrı ayrı ayarlanabilmelidir IPS özelliğinde saldırılara karşı kullanılan filtreler, güncelleme dosyasından ya da internet üzerinden güncellenebilmelidir. Ayrıca eğer istenirse, imza güncellemeleri kullanıcı müdahalesi olmadan otomatik olarak da yapılabilmelidir Sistem yöneticileri kuruma/ihtiyaca özel zaafiyet imzaları yaratıp bloklama yapabilmelidir Botnet aktivitesi tespit, raporlama ve bilinen botnet komuta kontrol merkezlerine doğru irtibat trafiğini bloklama imkanı olmalıdır DoS ve DDoS ataklarına karşı koruma sağlamalıdır.syn Flood, UDP Flood, ICMP Flood, ICMPv6 Flood ve diğer IP protokolleri bazlı Flood ataklarına karşı koruma sağlamalıdır. Farklı zon, servis, kaynak IP ve/veya hedef IP blokları için farklı DoS ve DDoS politikaları/profilleri yaratılabilecek, her bir DoS/DDoS profilinin sistem kaynaklarını korumak amacıyla farklı eşik seviyeleri (örneğin maks. eşzamanlı bağlantı sayısı vs.) tanımlanabilmelidir Normal trafik akışı içersinde var olabilecek zararlı trafik akışını anlayabilecek şekilde normalizasyon kaabiliyetlerine sahip olmalıdır Önerilecek IPS fonksiyonunda saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen, bu sayede 0-gün saldırılarına engel olan Protokol Anormallik Tespiti (Protocol Anomaly Detection) teknolojisine sahip olacaktır. IPS fonksiyonu aşağıdaki saldırı tiplerine karşı koyabilmelidir; a. Backdoors b. Botnets c. Denial of Service (DoS) d. Distributed Denial of Service (DDoS) e. Anlık mesajlaşma (MSN, ICQ vb.) f. İşletim sistemlerine dönük saldırılar g. Peer-to-peer (Emule, Edonkey vb.) h.protocol tunneling i. Traffic Anomaly j. Protocol Anomaly Spoof edilmiş paketleri tespit edip bloklayabilmelidir Fragmante edilmiş paketleri tesbit edip bloklayabilmelidir TCP port taramalarına karşı engelleme yapabilmelidir Bilinen zaafiyetleri SSL ile şifrelenmiş trafik içinde dahi olsa tespit edip bloklayabilmelidir. Ingress ve egress SSL ile şifrelenmiş trafiği açıp kontrol edebilmelidir Bütün IPS/Anti-Malware korumalarını IPv6 trafiği içinde yapabilemelidir exe ve.dll uzantılı dosyaları bulut ortamında çalıştırıp herhangi bir şekilde virus yada malware imzalarınca tesbit edilemeyen bilinmeyen zararlı içerikleri yakalayabilmelidir Teklif edilecek cihaz üzerinde en az 12 adet 10/100/1000 Mbps hızında ethernet port 4 adet 10 G hızında fiber port olmalıdır. ilerde ihtiyaç duyulması halinde bakır yada fiber port takılabilecek en az 8 adet boş SFP yuvesı olmalıdır.

4 1.66. Teklif edilecek ürün uygulama kontrol özellikleri devrede iken minimum 10 Gbps throughput değerine sahip olmalıdır ve bu değer üretici web sayfasında yayınlanan ürün dokümanlarında gösterilebilir olmalıdır Teklif edilecek cihazda bütün koruma filitreleri (IPS ve Anti-virus, Anti-Spyware) devreye alındığında Througput değeri en az 5 Gbps olmalıdır ve bu değer üretici web sayfasında yayınlanan ürün dokümanlarında gösterilebilir olmalıdır Teklif edilecek cihaz anlık olarak en az oturum desteklemelidir Teklif edilecek cihaz saniyede en az bağlantı açma değerine sahip olmalıdır Teklif edilecek cihaz en az 4 Gbps IPSEC VPN througput değerine sahip olmalıdır Teklif edilecek cihaz en az adet IPSEC VPN tunel tanımlanabilmelidir ve bu değer üretici web sayfasında yayınlanan ürün dokümanlarında gösterilebilir olmalıdır Teklif edilecek cihaz üzerinde logların tutulması amacıyla en az 120 GB SSD HDD olmalıdır Teklif edilecek cihaz üzerinde yönetim amaçlı 10/100/1000 ethernet port ve Seri Consol portu olmalıdır Teklif edilecek cihaz üzerinde güç ünüteleri yedekli olmalıdır Teklif edilecek cihaz üzeride yedeklilik için en az 2 adet dedike ethernet port bulunmalıdır. 2. Yönetim ve Raporlama 2.1. Merkezi yönetim ve raporlama modülü Vmware üzerinde virtual appliance olarak teklif edilecektir Yukarıda belirtilen güvenlik duvarı sistemlerinin tüm yönetimsel ve raporlama işlemleri ilgili yönetim modülü üzerinden yapılacaktır 2.3. Yönetim modülünün otomatik log arşivleme özelliği (gün, saat, hafta veya belli bir boyu aşan log dosyaları durumunda) olmalıdır Yönetim modülü güvenlik duvarı sistemleri üzerinden geçen trafikle ilgili istatistiksel ve ayrıntılı raporlar oluşturabilecek kabiliyete sahip olacaktır 2.5. Yönetim modülü grafik raporlama (geriye dönük trafik, uygulama, IPS v.b), atak kaynağı tespiti ve kayıt tutma özelliklerine sahip olacaktır 2.6. Yönetim modülü tarafından güvenlik duvarı sistemlerine ait performans ve cihazlar üzerinden geçen trafik ile ilgili bilgiler gerçek zamanlı olarak gösterilebilecektir Web tabanlı kullanıcı arabirimi aracılığı ile sadece izin verilen IP adreslerinden yönetim işlemleri yapılacaktır Farklı yöneticilere farklı erişim hakları (tam yetki, yalnızca okuma, yalnızca izleme) verebilmelidir Yönetim modülü üretilen logları toplamalı, log izleme arabiriminde aynı anda birden fazla kriter için filtreleme yapılabilmelidir Yönetim modülü loglardan istatistiksel raporlar oluşturabilmeli, bu amaçla önceden tanımlanmış rapor formatları bulunmalıdır. Raporları manuel ve otomatik olarak üretebilmeli, e-posta ile gönderebilmelidir Olay raporlama, trend raporlama, düz metin ve grafiksel raporlama, yönetici özet raporları ve özelleştirilebilir hazır rapor şablonları sunma imkanı olacaktır Kullanıcı adına veya bulunduğu Active Directory grubuna göre raporlamalar alınabilmelidir. Raporlarda kaynak IP adresi yanında tanınan/bilinen kullanıcıların isimleri de yer alacaktır Firewall ve ilgili bileşenleri (varsa IPS, URL Filter vs.) ile ilgili tüm loglar kullanıcı adına göre filtrelenebilmeli ve anlık olarak izlenebilmelidir.

5 2.14. Konfigürasyon yedeklerini (revizyon) otomatik olarak saklayacak gerektiğinde eski konfigürasyonlardan birine geri dönmeye imkan verecektir Detaylı bir rol bazlı yönetim imkanı olmalı, hangi kullanıcının hangi haklarla sisteme erişebileceği sistem yöneticisi tarafından tanımlanabilmelidir Antivirüs, IPS ve Uygulama imzalarını internet üzerinden güncelleyip gerektiğinde yönetilen sistemleri güncelleme amaçlı merkez olarak hizmet verebilecektir Merkezi yönetim sistemine erişilemediği durumlarda bütün yönetimsel ve raporlama işlemleri Firewall cihaziüzerinde Web ara yüzü üzerinden yapılabilmelidir.