Ausschreibung "Auftrag zum Ersatz des ASA Firewall Clusters"

Öffentliche Ausschreibung

Auftrag zum Ersatz des ASA Firewall Clusters

Gegenstand der Ausschreibung

Seit 2011 ist ein Cisco Firewall Cluster die zentrale Sicherheitsinstanz im „Local Area Network“ (LAN) des Auftraggebers und dient zur sicheren Bereitstellung von Applikationen und Diensten des Auftraggebers im Internet.

Weil der Hersteller Cisco zum 31.05.2023 den Support für die momentan beim Auftraggeber in Betrieb befindlichen Geräte vom Typ ASA 5585-SSP-40 komplett einstellt, müssen diese ersetzt werden.
Das neue Firewall Cluster muss in die bestehende Infrastruktur integriert werden. Die Konfiguration und das Regelwerk des abzulösenden Systems sind auf das neue Firewall-System zu übertragen.

Das neue Firewall-Cluster, bestehend aus zwei physischen Appliance, ist in den beiden Serverräumen des Auftraggebers aufzubauen und zu testen. Die Konfiguration und das Regelwerk sind zu übernehmen und das System vollumfänglich in Betrieb zusetzen.

Die Administratoren des Auftraggebers sind in das Management der neuen Komponenten einzuweisen und werden in die Lage versetzt, selbstständig alle Aufgaben des täglichen Betriebes sowie die notwendigen Systempflegetätigkeiten durchzuführen.

Die Installation und Migration sind zu dokumentieren.

Es ist eine Systemserviceleistung mit einer Mindestvertragsdauer (MVD) von 60 Monaten anzubieten.

Das abzulösende Firewall-System (bestehend aus zwei Appliance) ist auszubauen, abzutranspor tieren und datenschutzgerecht zu entsorgen.

Der Ersatz der ASA-Firewall erfolgt im laufenden Produktionsbetrieb des Auftraggebers. Veränderungen können nur im Rahmen des normalen Betriebsablaufes vorgenommen werden, d. h., Änderungen die einen Ausfall hervorrufen, können grundsätzlich nur in einem vom Auftraggeber festgelegten Wartungsfenster durchgeführt werden). Die Ausfallzeit ist dabei so gering wie möglich zu halten.

Folgende Meilensteine sind im Ablauf des Projektes vom Auftraggeber gefordert:

- Eröffnungsveranstaltung (Kick Off)
- Erstellung eines Ablaufplanes für die Installation der physischen Geräte, die Übernahme des Regelwerkes und der Konfigurationen durch den Bieter sowie ein Review durch den Auftraggeber
- Abnahme des Ablaufplanes durch den Auftraggeber
- Systembasisinstallation und -konfiguration
- Basistest des neuen Systems
- Vorbereitung Übernahme des Regelwerkes und weiterer Konfigurationen
- Übernahme der Konfiguration und des Regelwerkes
- Verbindungstests nach Abschluss der Übernahme des Regelwerkes
- Abnahme durch den Auftraggeber
4.4.1 Merkmale des Firewall-Systems
- physische Appliance
- clusterfähig active/actice und active/standby
- hohe Skalierbarkeit durch das Zusammenfügen mehrerer Clusterknoten zu einem logischen Firewallsystem
- redundante Netzteile
- Hot-Swap-fähige Netzteile
- redundante Lüfter
- 19” Schrank einbaufähig inkl. Schrankeinbau-Kit
- Luftstrom von vorn nach hinten (Kaltgang zu Warmgang)
- mind. acht 10 GBit/s SFP+ Anschlüsse
- mind. vier 1 GBit/s Anschlüsse
- mind. eine separate Managementschnittstelle RJ45 1000 Mbit/s
- einen seriellen RJ-45-Konsolenanschluß
- die Möglichkeit zur Aufrüstung auf mind. vier 40 GBit/s Anschlüsse mittels Netzwerk-Modul ohne Tausch der Appliance
- Firewall Durchsatz gesamt 40 GBit/s
- mind. 500 Firewall-Verbindungen pro Sekunde
- AES/3DES Verschlüsselung
- Unterstützung mehrerer virtueller Firewalls
- Authentifizierung gegen ein vorhandenes Active Directory (LDAPS, Kerberos) und lokal
- Unterstützung von TrustSEC
- Management GUI und CLI
- Basisfunktionen der Firewall
• Kontrolle durch Sicherheits-Regeln
• Zulassen/Blockieren von Netzverkehr mit ACLs
• Anwendung von NAT/PAT
• Schutz vor IP Fragmentierung
• AAA-Anforderungen für Typen von Netzwerkverkehr
• Filtern von Netzwerkverkehr anhand einzelner Protokolle wie HTTP, HTTPS, FTP, UDP, etc.
• Kontrolle durch QoS-Regeln
• Bridge Groups
• ACLs, extended ACLs, EtherType ACLs
• Zulassen von IP(v4/v6) Verkehr und Non-IP-Verkehr (u.a. BPDU, MPLS, SBX, App-leTalk)
• Unterstützung verschiedener Routing Protokolle (u.a. OSPF, RIP, EIGRP, BGP)
• Überprüfung der MAC Adressen
• ARP Inspection
• MAC Adress-Tabellen
• Stateful Inspection: Inspektion des Netzwerkverkehrs unter Berücksichtigung des Verbindung-Zustands auch für verbindungslose Protokolle wie UDP oder ICMP
4.4.2 Instandhaltungs- und Pflegeleistungen
Die Systemserviceleistungen sind so wie unter Punkt 4.1.5 beschrieben (24 x 7 x 4) mit einer MDV von 60 Monaten anzubieten. Die Systemserviceleistungen beinhalten dabei auch die Re-Konfiguration und den Tausch vor Ort, Softwareupdates sowie Upgrades.
Es ist ein Support in deutscher Sprache, u. a. auch in Form einer telefonischen Hotline, anzubieten.

Für die ersten 3 Jahre ab Inbetriebnahme ist ein halbjährlicher proaktiver Audit (Untersuchungs verfahren) zur Qualitätssicherung anzubieten. Dieser Audit dient in erster Linie zur Identifizierung von Systemschwachstellen, Optimierungspotential sowie zur proaktiven Unterstützung bei Fragen zum Umgang mit dem Firewall-System im täglichen Betrieb. Dies umfasst z. B. auch Empfehlun-gen für Updates und Upgrades von Softwareständen, Firmware-Releases etc.

Art des Auftrags

Lieferauftrag & Dienstleistung

Erfüllungsort (Bundesland):

Sachsen

Die Ausschreibung ist bereits beendet, weil die Angebotsfrist abgelaufen ist.
Eine Bewerbung um diesen Auftrag ist nicht mehr möglich.

Auftraggeber

01099 Dresden

Eintragsdatum: 10.02.2022
Angebotsfrist: 11.03.2022