Common use of Controle de Aplicações Clause in Contracts

Controle de Aplicações. Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo; Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos; Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail; Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs; Deve inspecionar o payload de pacote de dados com o objetivo de detectar assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocolo; Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor; Para tráfego criptografado SSL, deve decriptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação; Identificar o uso de táticas evasivas via comunicações criptografadas; Atualizar a base de assinaturas de aplicações automaticamente; Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários; Deve ser possível adicionar controle de aplicações em múltiplas regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; Deve suportar vários métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos; Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante; O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; Deve alertar o usuário quando uma aplicação for bloqueada; Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, bloquear o streaming em HD; Deve possibilitar a diferenciação de aplicações Proxies (psiphon, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: nível de risco da aplicação, tecnologia, vendor e popularidade; Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação; Deve permitir forçar o uso de portas específicas para determinadas aplicações; Deve permitir o filtro de vídeos que podem ser visualizados no YouTube;

Controle de Aplicações. ✓ Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo; , com as seguintes funcionalidades: ✓ Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos; protocolos ✓ Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail; ✓ Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-http- tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc; ✓ Deve inspecionar o payload de pacote de dados com o objetivo de detectar através de expressões regulares assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocoloprotocolo ✓ Deve detectar aplicações através de análise comportamental do tráfego observado, incluindo, mas não limitado a Encrypted Bittorrent e aplicações VOIP que utilizam criptografia proprietária; ✓ Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor; Tor ✓ Para tráfego criptografado SSL, deve decriptografar de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; ✓ Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação; , incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex ✓ Identificar o uso de táticas evasivas via comunicações criptografadas; ✓ Atualizar a base de assinaturas de aplicações automaticamente; ✓ Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos do LDAP/AD; ✓ Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários; ✓ Deve ser possível adicionar controle de aplicações em múltiplas todas as regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; ✓ Deve suportar vários múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos; ✓ Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas; ✓ Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante, mantendo a confidencialidade das aplicações do órgão; ✓ A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP e SSL ✓ O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; ✓ Deve alertar o usuário quando uma aplicação for bloqueada; ✓ Deve possibilitar que o controle de portas seja aplicado para todas as aplicações; ✓ Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, neonet, etc) possuindo granularidade de controle/políticas para os mesmos; ✓ Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; ✓ Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, Hangouts chat e bloquear o streaming em HDa chamada de vídeo; ✓ Deve possibilitar a diferenciação de aplicações Proxies (psiphonpsiphon3, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; ✓ Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia ✓ Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); ) ✓ Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: nível Nível de risco da aplicação, tecnologia, vendor e popularidade; aplicação ✓ Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Categoria da aplicação; aplicação ✓ Deve permitir forçar o ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Aplicações que usem técnicas evasivas, utilizadas por malwares como uso excessivo de portas específicas para determinadas aplicações; Deve permitir o filtro banda, tunelamento de vídeos que podem ser visualizados no YouTubetráfego ou transferência de arquivos, etc;

Controle de Aplicações. Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo; , com as seguintes funcionalidades: Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos; protocolos Reconhecer pelo menos 1700 700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail; Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc; Deve inspecionar o payload de pacote de dados com o objetivo de detectar através de expressões regulares assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocoloprotocolo Deve detectar aplicações através de análise comportamental do tráfego observado, incluindo, mas não limitado a Encrypted Bittorrent e aplicações VOIP que utilizam criptografia proprietária; Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor; Tor Para tráfego criptografado SSL, deve decriptografar de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação; , incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex Identificar o uso de táticas evasivas via comunicações criptografadas; Atualizar a base de assinaturas de aplicações automaticamente; Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos do LDAP/AD; Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários; Deve ser possível adicionar controle de aplicações em múltiplas todas as regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; Deve suportar vários múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos; Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas; Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante, mantendo a confidencialidade das aplicações do órgão; A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP e SSL O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; Deve alertar o usuário quando uma aplicação for bloqueada; Deve possibilitar que o controle de portas seja aplicado para todas as aplicações; Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, neonet, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, Hangouts chat e bloquear o streaming em HDa chamada de vídeo; Deve possibilitar a diferenciação de aplicações Proxies (psiphonpsiphon3, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); ) Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: nível Nível de risco da aplicação, tecnologia, vendor e popularidade; aplicação Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Categoria da aplicação Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Aplicações que usem técnicas evasivas, utilizadas por malwares como uso excessivo de banda, tunelamento de tráfego ou transferência de arquivos, etc; Para proteção do ambiente contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de Firewall ou entregue através de composição com outro equipamento ou fabricante Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware); As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante; Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade ativo/ativo e ativo/passivo; Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Antipyware e Antivirus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset; As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração; Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança; Exceções por IP de origem ou de destino devem ser possíveis nas regras e assinatura a assinatura; Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens Deve permitir o bloqueio de vulnerabilidades Deve permitir o bloqueio de exploits conhecidos Deve incluir proteção contra ataques de negação de serviços Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise de padrões de estado de conexões; Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise de decodificação de protocolo; Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise para detecção de anomalias de protocolo; Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise heurística; Deverá possuir o seguinte mecanismos de inspeção de IPS: IP Defragmentation; Deverá possuir o seguinte mecanismos de inspeção de IPS: Remontagem de pacotes de TCP; Deverá possuir o seguinte mecanismos de inspeção de IPS: Bloqueio de pacotes malformados Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc; Detectar e bloquear a origem de portscans; Bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões; Possuir assinaturas para bloqueio de ataques de buffer overflow; Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto; Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS e anti-spyware, permitindo a criação de exceções com granularidade nas configurações; Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3; Suportar bloqueio de arquivos por tipo; Identificar e bloquear comunicação com botnets; Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo; Deve suportar a captura de pacotes (PCAP), por assinatura de IPS e controle de aplicação; Deve permitir forçar que na captura de pacotes por assinaturas de IPS seja definido o uso número de portas específicas pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para determinadas aplicaçõesdomínios maliciosos de botnets conhecidas; Os eventos devem identificar o país de onde partiu a ameaça; Deve permitir o filtro de vídeos que podem ser visualizados no YouTubeincluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;

Controle de Aplicações. Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo; , com as seguintes funcionalidades: Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos; protocolos Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail; Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc; Deve inspecionar o payload de pacote de dados com o objetivo de detectar através de expressões regulares assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocoloprotocolo Deve detectar aplicações através de análise comportamental do tráfego observado, incluindo, mas não limitado a Encrypted Bittorrent e aplicações VOIP que utilizam criptografia proprietária; Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor; Tor Para tráfego criptografado SSL, deve decriptografar de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação; , incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex Identificar o uso de táticas evasivas via comunicações criptografadas; Atualizar a base de assinaturas de aplicações automaticamente; Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos do LDAP/AD; Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários; Deve ser possível adicionar controle de aplicações em múltiplas todas as regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; Deve suportar vários múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos; Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas; Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante, mantendo a confidencialidade das aplicações do órgão; A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP e SSL O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; Deve alertar o usuário quando uma aplicação for bloqueada; Deve possibilitar que o controle de portas seja aplicado para todas as aplicações; Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, neonet, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, Hangouts chat e bloquear o streaming em HDa chamada de vídeo; Deve possibilitar a diferenciação de aplicações Proxies (psiphonpsiphon3, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); ) Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: nível Nível de risco da aplicação, tecnologia, vendor e popularidade; aplicação Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Categoria da aplicação; aplicação Deve permitir forçar o ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Aplicações que usem técnicas evasivas, utilizadas por malwares como uso excessivo de portas específicas para determinadas aplicações; Deve permitir o filtro banda, tunelamento de vídeos que podem ser visualizados no YouTubetráfego ou transferência de arquivos, etc;

Controle de Aplicações. Os dispositivos de proteção de rede deverão possuir a capacidade de reconhecer aplicações, independente de porta e protocolo; , com as seguintes funcionalidades: - Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos; protocolos - Reconhecer pelo menos 1700 700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail; - Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directoryactivedirectory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc; - Deve inspecionar o payload de pacote de dados com o objetivo de detectar através de expressões regulares assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocoloprotocolo - Deve detectar aplicações através de análise comportamental do tráfego observado, incluindo, mas não limitado a EncryptedBittorrent e aplicações VOIP que utilizam criptografia proprietária; Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor; Para tráfego criptografado SSL, deve decriptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; Tor - Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação; , incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex - Identificar o uso de táticas evasivas via comunicações criptografadas; - Atualizar a base de assinaturas de aplicações automaticamente; - Limitar a banda (download/upload) usada por aplicações (trafficshaping), baseado no IP de origem, usuários e grupos do LDAP/AD; - Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários; - Deve ser possível adicionar controle de aplicações em múltiplas todas as regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; - Deve suportar vários múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos; - Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas; - Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante, mantendo a confidencialidade das aplicações do órgão; - A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP - O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; - Deve alertar o usuário quando uma aplicação for bloqueada; - Deve possibilitar que o controle de portas seja aplicado para todas as aplicações; - Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, neonet, etc) possuindo granularidade de controle/políticas para os mesmos; - Deve possibilitar a diferenciação de tráfegos de Instant Messaging InstantMessaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; - Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, Hangouts chat e bloquear o streaming em HDa chamada de vídeo; - Deve possibilitar a diferenciação de aplicações Proxies (psiphonpsiphon3, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; - Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); - Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: nível de risco da aplicaçãoTecnologia utilizada nas aplicações (Client- Server, tecnologiaBrowseBased, vendor e popularidade; Network Protocol, etc) - Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Nível de risco da aplicação - Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Categoria da aplicação; aplicação - Deve permitir forçar o ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como: Aplicações que usem técnicas evasivas, utilizadas por malwares como uso excessivo de portas específicas para determinadas aplicações; Deve permitir o filtro banda, tunelamento de vídeos que podem ser visualizados no YouTubetráfego ou transferência de arquivos, etc;

Controle de Aplicações. Os dispositivos de proteção de rede deverão devem possuir a capacidade de reconhecer aplicações, independente de porta e protocolo; Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos; Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitadolimitado a: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail; Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-http- proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs; Deve inspecionar o payload de pacote de dados com o objetivo de detectar assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocolo; Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Skype e utilização da rede Tor; Para tráfego criptografado SSL, deve decriptografar de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas específicas dentro de uma aplicação, incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex; Identificar o uso de táticas evasivas via comunicações criptografadas; Atualizar a base de assinaturas de aplicações automaticamente; Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos; Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários; Deve ser possível adicionar controle de aplicações em múltiplas regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; Deve suportar vários múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos; Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas; Permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante; A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH, MS-SQL, IMAP, DNS, LDAP, RTSP e SSL; O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; Deve alertar o usuário quando uma aplicação for bloqueada; Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, Hangouts chat e bloquear o streaming em HD; Deve possibilitar a diferenciação chamada de aplicações Proxies (psiphon, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: nível de risco da aplicação, tecnologia, vendor e popularidade; Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação; Deve permitir forçar o uso de portas específicas para determinadas aplicações; Deve permitir o filtro de vídeos que podem ser visualizados no YouTubevídeo;

Controle de Aplicações. Os dispositivos de proteção de rede deverão possuir a capacidade de Deverá reconhecer aplicações, independente de porta e protocolo; Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação no mínimo 1.500 aplicações; Capacidade para realizar filtragens/inspeções dentro de portas e protocolos; Reconhecer pelo menos 1700 TCP conhecidas por exemplo porta 80 http, buscando por aplicações diferentesque potencialmente expõe o ambiente como: P2P, incluindoKazaa, mas Morpheus, BitTorrent ou messengers Controlar o uso dos serviços de Instant Messengers como MSN, YAHOO, Google Talk, ICQ, de acordo com o perfil de cada usuário ou grupo de usuários, de modo a definir, para cada perfil, se ele pode ou não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento realizar download e/ou upload de arquivos, elimitar as extensões dos arquivos que podem ser enviados/recebidos e permissões e bloqueio de sua utilização baseados em horários pré-mail; Reconhecer determinados pelo menos as seguintes aplicações: bittorrentadministrador será obrigatório para este item. Deverá controlar software FreeProxy tais como ToR, gnutellaUltrasurf, skypeFreegate,etc. Deverá permitir a criação de regras para acesso/bloqueio por endereço IP de origem; Deverá permitir a criação de regras para acesso/bloqueio por subrede de origem e destino; Funcionalidade de Controle de Banda (QoS) Permitir o controle e a priorização do tráfego, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs; Deve inspecionar o payload de pacote de dados com o objetivo de detectar assinaturas de aplicações conhecidas pelo fabricante independente de porta priorizando e protocolo; Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (Shaping), criação de filas de prioridade e os ataques que utilizam táticas evasivas via comunicações criptografadasgerência de congestionamento; Limitar individualmente a banda utilizada por aplicação Deverá integrar-se ao serviço de diretório padrão LDAP, tais como Skype e utilização da rede Tor; Para tráfego criptografado SSL, deve decriptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante; Deve realizar decodificação de protocolos com inclusive o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação; Identificar o uso de táticas evasivas via comunicações criptografadas; Atualizar a base de assinaturas de aplicações automaticamente; Os dispositivos de proteção de rede devem possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade reconhecendo grupos de instalação de agente no Domain Controller, nem nas estações dos usuários; Deve ser possível adicionar controle de aplicações em múltiplas regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras; Deve suportar vários métodos usuários cadastrados; Deverá prover funcionalidade de identificação transparente de usuários cadastrados no Microsoft Active Directory e classificação das aplicaçõesLDAP; Deverá controlar (limitar) individualmente a banda utilizada por grupo de usuários do Microsoft Active Directory e LDAP; Deverá controlar (limitar) individualmente a banda utilizada por subrede de origem e destino; Deverá controlar (limitar) individualmente a banda utilizada por endereço IP de origem e destino. VPN Suportar no mínimo 10 túneis VPN IPSEC do tipo site-to-site já licenciadas. Suportar no mínimo 1 túneis VPN IPSEC do tipo client-to-site já licenciadas podendo suportar no futuro, baseado na aquisição de licenciamento, 10 túneis. Suportar no mínimo 1 conexões clientes do tipo SSL sem custo e 50 licenças/conexões futuras baseadas em licenciamento adicional. Suportar políticas de roteamento sobre conexões VPN IPSEC do tipo site-to-site com diferentes métricas e serviços. A rota poderá prover aos usuários diferentes caminhos redundantes sobre todas as conexões VPN IPSEC. Implementar os esquemas de troca de chaves manual, IKE e IKEv2 por pelo menos checagem de assinaturas Pré-Shared Key, Certificados digitais e decodificação de protocolosXAUTH client authentication; Permitir nativamente a definição de um gateway redundante para terminação de VPN no caso de queda do circuito primário; Permitir que seja criado politicas de roteamentos estáticos utilizando IPs de origem, destino, serviços e a própria VPN como parte encaminhadora deste tráfego sendo este visto pela regra de roteamento, como uma interface simples de rede para encaminhamento do tráfego. Suportar a criação de assinaturas personalizadas para reconhecimento túneis IP sobre IP (IPSEC Tunnel), de aplicações proprietárias na própria interface gráfica modo a possibilitar que duas redes com endereço inválido possam se comunicar através da solução, sem a necessidade de ação do fabricante; O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações; Deve alertar o usuário quando uma aplicação for bloqueada; Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Hangouts, Facebook Chat, etc) possuindo granularidade de controle/políticas para os mesmos; Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o YouTube e, ao mesmo tempo, bloquear o streaming em HD; Deve possibilitar a diferenciação de aplicações Proxies (psiphon, freegate, etc) possuindo granularidade de controle/políticas para os mesmos; Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc); Deve ser possível a criação de grupos dinâmicos de aplicações baseados em características das aplicações como: nível de risco da aplicação, tecnologia, vendor e popularidade; Deve ser possível a criação de grupos estáticos de aplicações baseados em características das aplicações como: Categoria da aplicação; Deve permitir forçar o uso de portas específicas para determinadas aplicações; Deve permitir o filtro de vídeos que podem ser visualizados no YouTubeInternet;