Instituts-Firewall am Gauß-IT-Zentrum

1. Instituts-Firewall am Gauß-IT-Zentrum

Firewalls gehören heutzutage zu den entscheidenden Basistechnologien zum Schutz vor Angriffen im Internet. Die grundlegende Aufgabe einer Firewall ist, vereinfacht formuliert, die Trennung des sicheren internen Netzwerks von der unsicheren Außenwelt. Dort wo ausreichende Schutzmaßnahmen fehlen, werden nicht nur die eigenen Systeme gefährdet. Vielfach wird

nicht mit in Betracht gezogen, dass von Systemen, für die ein Schutz durch eine Firewall nicht für notwendig erachtet wird, meist auch andere Kommunikationspartner gefährdet werden. Daher kann eine Verbindung zum Internet ohne zusätzliche Schutzmaßnahmen (u.a. Firewalls) als grob fahrlässig gewertet werden.

Abb. 1: Zentral bereitgestellte Firewall zum Schutz der Netze von Instituten innerhalb der Netzinfrastruktur der TU Braunschweig

1.1. Mehrstufige Sicherheitsstrukturen

Zur Realisierung von Firewall-Funktionalitäten gibt es verschiedene Ansätze. Sogenannte Paketfilter werden in Form von sogenannten Access Control Lists (ACL) auf Routern abgebildet. Die Regelwerke dieser ACLs sind statisch und berücksichtigen lediglich Angaben von Quelle und Ziel bei Ports und IP-Adressen sowie ggf. Einschränkungen auf Protokollgruppen (TCP, UDP und ICMP). Vorteile durch hohe Geschwindigkeit bei der Filterung durch ein statisches Regelwerk sind heutzutage jedoch nur noch bedingt zutreffend. ACLs werden daher meist nur noch als Ergänzung eingesetzt, so auch an der TU Braunschweig.

Zusätzlichen Schutz sollen sogenannte Personal Firewalls bieten, die Sie als DV-Koordinator auf den von Ihnen betreuten Rechnern einsetzen sollten. Ein auf dem eigenen Betriebssystem basierter Schutz

(Stichwort: Windows- oder Personal Firewall, unter Linux „iptables“), ist als sinnvolle, aber lediglich zusätzliche Maßnahme zu sehen. Sie ergänzt eine obligatorische Anti-Virus-Lösung für Ihre Rechner und ist wie diese ergänzender Teil eines Gesamtschutzes. Personal Firewalls und Anti-Virus-Lösungen bergen die Gefahr, dass sie durch Benutzerhand bewusst oder unbewusst deaktiviert werden und sind Ziel von Angriffen durch Trojaner und Viren.

Daher stellt eine eigene Firewall für Ihr Institutsnetz ein zentrales Element Ihrer Sicherheitsstrategie dar. Moderne Firewalls arbeiten nach dem sogenannten „stateful inspection“ Verfahren, so auch die zentrale Firewall-Infrastruktur an der TU Braunschweig. Weitere Schutzmaßnahmen auf organisatorischer und technischer Ebene sind zusätzlich anzustreben.

1.2. Firewalls für Institute und zentrale Einrichtungen

Das Gauß-IT-Zentrum stellt allen Instituten und zentralen Einrichtungen im Rahmen der technischen Realisierungsmöglichkeiten eigene Firewalls innerhalb der zentralen Firewall-Infrastruktur bereit. Es kann dabei zwischen zwei verschiedenen Betreuungsmodellen gewählt werden.

  • Als Managed Firewall können Sie Ihre Instituts-Firewall von uns betreuen lassen. Änderungen werden von Ihnen als DV-Koordinator beauftragt und nach Rücksprache mit Ihnen auf der Firewall aktiviert. Den jeweils aktuellen Satz der Firewall-Regeln stellen wir Ihnen auf Anfrage jederzeit zur Einsicht zur Verfügung. In der Regel werden wir Ihre Anfragen nach Regeländerungen spätestens innerhalb von 48h an Arbeitstagen bearbeiten, meistens sogar innerhalb weniger Stunden.
  • Als Self Managed Firewall können Sie als DV-Koordinator Ihres Institutes die gesamte Firewall selbst administrieren. In diesem Fall werden wir die Firewall für den Betrieb in Ihrem Netzbereich nur vorbereiten und diese nach Absprache mit Ihnen mit einem einfachen standardisierten Regelsatz in Betrieb nehmen

Für das Management der Firewall steht Ihnen dann eine grafische Benutzeroberfläche zur Verfügung, es empfiehlt sich jedoch, dass Sie fundierte Kenntnisse im Bereich Firewalls und Netzwerke bereits besitzen. Beim Modell Self Managed Firewall werden wir nur in Notfällen und nie ohne Absprache mit den DV-Koordinatoren des Instituts Änderungen an der Instituts-Firewall durchführen. Wir raten Ihnen, dies in Ihren Urlaubs- und Vertretungsplänen zu berücksichtigen.

Bei beiden Modellen entstehen für Ihr Institut keine Kosten, sofern seitens der TU keine Änderung am Betriebsmodell vorgesehen sind. Zwischen beiden Modellen kann mit Einschränkungen gewechselt werden. Der Übergang vom Modell Managed Firewall auf das Modell Self Managed Firewall ist jederzeit nach vorheriger Absprache möglich. Der Übergang vom Modell einer Self Managed Firewall zum Modell Managed Firewall soll in der Regel nur dann vorgenommen werden, wenn triftige Gründe hierzu vorliegen (wie beispielsweise ein Übergang der Rolle des DV-Koordinators auf andere Personen) und seltener als einmal pro Jahr in Anspruch genommen werden.

1.3. Technische Realisierung

Die Firewalls sind an den Core-Routing-Standorten im Backbone-Netz der TU integriert. Es handelt sich jeweils um Firewall-Cluster, die aus zwei Geräten bestehen, über die die Institute redundant angebunden sind, was ein großes Maß an Ausfallsicherheit garantiert. Sollte ein Gerät oder die Anbindung eines Geräts ausfallen, so übernimmt das andere Gerät den Betrieb in Sekunden. Da die Statusinformationen jeder Verbindung vorliegen, geschieht dies im Allgemeinen sogar ohne Verbindungsabbruch.

Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall.

Die von uns angebotenen Firewalls werden über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz der TU eingebunden. Auf den Firewalls selbst liegt jeweils das Gateway der einzelnen Institutsnetze. Auch das DHCP-Relaying wird ggf. von den Firewalls übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netze, ist von allen anderen Netzen Firewall-technisch getrennt. D. h. Zugriff von einem Netz auf Rechner/Services in einem anderen Netz muss immer per Firewall-Regeln eingehend und ggf. ausgehend freigeschaltet werden.

Das Management/die Konfiguration der Firewalls erfolgt über ein Webinterface, das über einen von der Firewall selbst getrennten Server zur Verfügung gestellt wird. Es kann in jedem Browser verwendet werden und erfordert keine zusätzlichen Programme (z.B. Java). Änderungen (z.B. am Regelwerk) werden dort zunächst eingetragen, gespeichert und dann auf die Firewall übertragen. Spätestens in der Nacht werden alle gespeicherten Änderungen automatisch auf die Firewalls übertragen, um auch Updates zu Malware-Erkennungen, die regelmäßig und automatisch vom Hersteller übermittelt werden, auf allen Firewalls zeitnah (ohne manuelles Zutun) zu aktivieren.

Wartungen an den Firewalls oder dem Management-Server werden in der Regel in den Wartungsfenstern Mittwochs zwischen 6:00 und 7:00 Uhr durchgeführt. In dieser Zeit kann es sein, dass der Management-Server nicht zur Verfügung steht. Sollten wir erwarten, dass es durch Wartungsarbeiten an den Firewalls zu einem vorübergehenden Ausfall der Netzanbindung kommt, kündigen wir dies separat an. In der Regel sind jedoch auch Updates der Firewall und sogar Hardware-Arbeiten im Betrieb und ohne Ausfall möglich.

Firewall im Backbone

1.4. Beantragen einer Instituts-Firewall

Das Einrichten einer Firewall für Ihr Institut ist ein standardisierter Prozess, der jedoch genügend Spielraum für individuelle Anpassungen an Ihre Bedürfnisse bietet. Die Einrichtung ist gekennzeichnet durch folgende Stationen:

  • Sie melden bei uns vorzugsweise per formloser Mail an noc@tu-bs.de Ihr Interesse an einer oben beschriebenen Firewall an.
  • Wir sprechen über das gewünschte Management-Modell, die (im Falle von „managed“) gewünschten Regeln und bereiten alles weitere vor
  • Sollten Sie die Firewall selbst managen wollen, richten wir einen Nutzer für Sie ein und schalten das Management ihres Regelwerks für Sie frei. Sie können dann (solange die Firewall noch gar nicht aktiv ist) in aller Ruhe ihre Regeln eintragen.
  • Sobald alles konfiguriert ist, sprechen wir gemeinsam über einen Umstellungstermin. In der Regel ist damit ein Ausfall der Netzanbindung von weniger als 2 Minuten verbunden, sofern keine Zusätzlichen Arbeiten (Aufteilung von Netzwerken etc.) notwendig sind.
  • Zum Termin der Umstellung verabreden wir uns vorher noch mal per Telefon und schalten dann um, sofern Sie uns das Okay geben. Nach der Umstellung telefonieren wir noch einmal und stellen sicher, dass „im Grundsatz“ alles läuft. Sollten sich später noch Rückfragen/Änderungswünsche ergeben, stehen wir natürlich zur Verfügung.
  • Regelbetrieb. Der Regelbetrieb ist gekennzeichnet durch sporadische Anpassungen an der Konfiguration der Firewall-Regeln. Diese führen Sie entweder nach Belieben selbst durch (Modell „self-managed“) oder melden Sich bei uns. (Mail an „noc@tu-braunschweig.de“ oder über das Kontaktformular).

Haben Sie noch Fragen, die auch in unserer Firewall FAQ (s.u.) nicht beantwortet werden? Dann nehmen Sie bitte Kontakt mit uns auf, per E-Mail unter noc@tu-braunschweig.de.

2. FAQ (Frequently Asked Questions)

F: Wie flexibel ist die Firewall und kann sie unsere Anforderungen überhaupt erfüllen?

A: Eine vollständige Liste sämtlicher Features der NGFW Firewall entnehmen Sie bitte den von der Firma ForcePoint zur Verfügung gestellten Dokumentation.

Grundsätzlich handelt es sich um eine sogenannte „Next Generation Firewall“, die technologisch dem aktuellen Stand entspricht. Sie können damit also von Regeln für beispielsweise GRE-Tunnelling über einfache Regeln, die sämtlichen Verkehr zwischen bestimmten IP-Adressen auf Layer 3 regeln bis hin zu solchen Konfigurationen, die bestimmte HTTP- oder FTP-Direktiven prüfen und einschränken, alles konfigurieren was Sie als notwendig erachten. Selbstverständlich ist die Firewall so auch in der Lage nicht nur bei TCP, sondern auch bei UDP-Protokollen oder FTP den Verbindungsaufbau komplett zu verfolgen, sodass Kommunikationspartner, die eine Verbindung in einer Richtung aufgebaut haben, (temporär für die Dauer der Session) auch in umgekehrter Richtung Daten austauschen können, ohne dass spezielle Regeln in Rückrichtung nötig wären („stateful firewalling“).

F: Wir haben eine DMZ, wie können wir zukünftig eine DMZ abgrenzen?

A: Prinzipiell ist das Einrichten einer DMZ möglich. Dies geschieht in der Regel durch die Aufteilung Ihres Adressbereichs in zwei oder mehr Teile, die an der Firewall in verschiedene sogenannte VLANs aufgeteilt und getrennt durch die Firewall geführt werden. Zusätzlich zu unterschiedlichen Regelwerken, die die beiden Netzbereiche zum „Internet hin“ abgrenzen, geht dann auch der Verkehr zwischen den beiden Netzbereichen stets durch die Firewall und kann/muss ebenfalls mit speziellen Regeln versehen werden.

F: Wir haben einen bestehenden Regelsatz an unserer Firewall konfiguriert und würden gerne wissen, ob sich ein bestimmter Teil des Regelsatzes auch auf der vom Gauß-IT-Zentrum angebotenen Firewall umsetzen lässt.

A: Wir klären gerne in einem persönlichen Gespräch, wie sich Ihr konkretes Konfigurationsanliegen mit der von uns angebotenen Firewall umsetzen lässt.

F: Vor Generationen hat eine studentische Hilfskraft für uns einen Regelsatz entworfen. Da wir selbst die Regeln und deren Auswirkungen nicht verstehen: Können Sie den Regelsatz auf der zentralen Firewall einspielen?

A: Nein. Zum einen ist die Syntax der Konfiguration mit an Sicherheit grenzender Wahrscheinlichkeit nicht kompatibel, und zum anderen hat es sich als sinnvoll erwiesen, wenn zunächst der heute tatsächliche Bedarf festgestellt wird. Es ist für Sie nicht hilfreich, wenn Sie uns bei Problemen fragen: „Warum geht x und y nicht, wo doch z auch funktioniert“ und wir Ihnen nur antworten können: „Keine Ahnung, das haben Sie uns so konfigurieren lassen, das sollten Sie selbst wissen.“

In Sachen Konfiguration erleichtert die Firewall die Verwaltung im Übrigen natürlich durch gängige Methoden wie die Möglichkeit zur Anlegung von Service Groups und Network-Object Groups, die für verschiedene Regeln wieder verwendet werden können, bzw. in den meisten Fällen mehrere Regeln zu einer oder einigen wenigen Regeln zusammenfassbar machen. Es ergibt Sinn, bei einer Neukonfiguration mit Systematik genau diese Hilfsmittel zu nutzen, um die Übersichtlichkeit und damit auch die Wartbarkeit der zum Teil komplexen Regelwerke zu verbessern.

F: Wir betreiben einen eigenen DHCP-Server. Müssen wir dafür Regeln vorsehen?

A: Nein. Sollten Sie den gleichen DHCP-Server jedoch in mehreren Netzen nutzen wollen, müssen wir das DHCP-Relaying-Feature auf den Interfaces zu den Netzen konfigurieren, in denen der DHCP-Server nicht steht. D.h. in diesem Fall müssen Sie uns (z.B. per kurzer Mail) bescheid geben und die IP-Adresse des DHCP-Servers benennen.

F: Sind die zentralen Firewalls auch VPN-Server?

A: Nein. Einen alternativen Dienst stellen wir jedoch unter dem Namen „Instituts-VPN“ über die zentrale VPN-Infrastruktur zur Verfügung. Näheres dazu finden Sie hier.

F: Das klingt alles ganz toll, nur wo ist der Haken?

A: Sie erhalten eine redundante (praktisch vollständig ausfallsichere) Firewall, basierend auf ausbaufähiger Firewall-Infrastruktur, die derzeit bis zu 2 x 2 x 40 Gigabit/s Durchsatz hat, deren Soft- und Hardware von Ihnen nicht gepflegt werden muss und die Sie noch mindestens für 5 Jahre nichts kosten wird… Auch wir können keinen Haken finden.

F: Kann ich als DV-Koordinator die Firewall von zu Hause administrieren?

A: Im Prinzip ja, aber… Nach Ihren Angaben schränken wir den Zugriff auf den Management-Server auf bestimmte IP-Adressen ein. Bei der Meldung dieser IP-Adressen müssen Sie die VPN-IP-Adressen berücksichtigen und (sollten Sie den Zugriff per VPN wünschen) im Hinterkopf behalten, dass durch die Freigabe letzterer IPs im wesentlichen alle Kollegen prinzipiell den Management-Server erreichen können. Natürlich ist der Zugriff dann noch über Nutzername/Passwort gesichert.

F: Was hat das Gauß-IT-Zentrum davon?

A: Abgesehen davon, dass wir diesen Service schlicht für eine ziemlich gute Dienstleistung für die Institute halten, haben „wir“ davon, dass sich gegenüber von Ihnen betriebenen Firewalls für uns bei Störungen jedweder Art die Transparenz erhöht. Aktuell ist es ermüdend oft der Fall, dass Institute, die hinter eigenen Firewalls hängen, für uns „Blackboxes“ sind, in die wir keinen Einblick haben. Wenn dann ein Fehler auftritt, können wir in der Regel nicht annähernd so schnell die Ursache finden, wie es der Fall wäre, wenn wir auf Anhieb die Firewall oder auch nur Wechselwirkungen mit der Firewall (sie muss ja nicht immer „falsch“ konfiguriert sein) ausschließen können. Es ist mindestens hilfreich, wenn nicht sogar in den meisten Fällen unabdingbar, für eine schnelle und zielführende Fehlersuche zu wissen, was die Firewall macht und was sie nicht macht.

F: Die Firewall-Infrastruktur an sich finden wir sehr gut, jedoch möchten wir selbst die Regeln in der Firewall pflegen. Unser Institut hat hierzu ausreichend fest angestelltes und gut ausgebildetes Personal, sodass wir uns die Pflege selbst zutrauen.

A: Sofern Sie uns zusichern, dass Sie dauerhaft (länger als ein paar Monate) über entsprechendes Personal verfügen, so können Sie vollständige Kontrolle (einschließlich Einblick in beliebige Logs, die die Firewall erzeugt, etc.) über „Ihr“ Firewall-Regelwerk bekommen. Wir geben das Management dafür dann dankend ab. Es ist ja nicht so, als hätten wir nicht auch noch andere Dinge zu tun ;-). Wir behalten uns lediglich die Möglichkeit und das Recht vor Notfall a) Einblick in die FW-Konfiguration zu nehmen und b) – wenn die Zeit drängt und derjenige, der üblicherweise die Firewall vor Ort pflegt (pflegen kann), nicht erreichbar ist (was schon beliebig häufig passiert ist) – evtl. in Absprache mit dem DV-Koordinator und/oder dem Institutsleiter Änderungen vorzunehmen, sollten diese notwendig sein. Wir denken, dass wir damit auf beiden Seiten die Zufriedenheit erhöhen, bzw. gegenseitige Frustration minimieren.

F: Wir haben nur eine studentische Hilfskraft, die für uns die Firewall pflegt. Wie gestalten wir die Übergabe der Firewall?

A: Sprechen Sie uns einfach an: noc@tu-braunschweig.de. Zur Information: In der Regel sollten die Zeiträume, in denen Sie die Administration der Firewall übernehmen, und die potenzielle Rückgabe einer an Sie delegierten Firewall-Administration größer als ein Jahr sein. Auch die Rolle des DV-Koordinators ist vom Grundsatz her nur an fest angestelltes Personal Ihres Instituts zu übertragen. Dies sollte im Allgemeinen Konstanz und Qualität bei den entsprechenden Arbeiten erhöhen.

3. Für und Wider

Wider: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz.

Für: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Auf Anfrage teilen wir gerne jederzeit Leitern und DV-Koordinator den jeweils gültigen Regelsatz mit. Demnächst werden wir auch einen regelmäßigen Versand der Regeln (halbjährlich) per E-Mail etablieren. Mittelfristig arbeiten wir an einer „Selbstbedienungslösung“, die (Leitern und DV-Koordinatoren) jederzeit den Einblick in das aktive Regelwerk des Instituts ermöglicht.

Zur Klärung: „Unsere“ Firewall wird als für Ihr Institut zuständiger Default-Router konfiguriert. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes VLAN schalten. (Was im Übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an „unserer Firewall“.)

Wider: Mit der Firewall vom Gauß-IT-Zentrum sind wir abhängig vom GITZ.

Für: Ganz ehrlich? Nicht abhängiger als Sie es sowieso schon sind. Sollte eines schwarzen Tages das GITZ abbrennen und Corerouter, sowie die Firewalls in Rauch aufgehen, dann hätten wir aktuell alle auch so ein riesiges Problem, da dann eh kein Netzwerk mehr zur Verfügung steht. Was Wartungsarbeiten an den Firewalls (Software-Updates etc.) angeht, so werden wir diese in der Regel in den Wartungsfenstern Mittwochs morgens 6:00 - 7:00 Uhr ausgeführt. Nicht zuletzt dafür haben wir ja in Redundanz investiert. Mit der Wahl des Betreuungsmodells entscheiden Sie ansonsten wie „abhängig“ Sie vom Gauß-IT-Zentrum sein wollen. Vergessen Sie dabei jedoch nicht, dass auch Instituts-eigene Administratoren gelegentlich nicht verfügbar/erreichbar sind, bzw. ggf. – auf Grund mangelnder Erfahrung/Routine – deutlich länger für die Umsetzung einer Änderung brauchen als Mitarbeiter am GITZ, die sich täglich mit der Firewall beschäftigen.

Wider: Mit unserer eigenen Firewall sind wir viel flexibler. (Es ist ein Unterschied ob ich einen Server neben mir stehen habe, der meiner vollen Kontrolle unterliegt, oder ob ich ein Web-Interface bediene.)

Für: Eine Firewall ist eigentlich kein Server sondern eine Appliance, die nur einem Zweck dient, der Absicherung des Netzes vor Gefahren von außen. Es ist durchaus von Vorteil, wenn man sich dabei auch wirklich nur um diesen einen Zweck und dessen Wartung kümmern muss. Bei einem Server müssen Sie ständig auch noch mindestens das Betriebssystem auf dem neuesten Stand halten, bzw. absichern. Mal ganz abgesehen davon, dass – wenn mehr drin/dran ist – auch mehr kaputt gehen kann, bzw. hin und wieder gestreichelt werden möchte.

Wider: Unsere Firewall ist noch nie kaputt gegangen und einfach zu pflegen. Der Vorteil erhöhter Redundanz ist für uns daher nicht relevant.

Für: Mit Verlaub, diese Art der Betrachtung ist extrem kurzsichtig. Tatsächlich sollte keine Firewall, solange sie läuft und die Regeln entsprechend der eigenen Wünsche implementiert sind, irgendwelche „Probleme“ oder großartige Arbeit machen. Dies gilt aber nur bis zu dem Tag, an dem sie ausfällt; entweder weil die Hardware (oder ein Stück Hardware) oder die Software den Dienst quittiert. Wenn Sie dafür nicht einen extrem guten und kurzfristig implementierbaren Ausfallplan haben, ist Ihr Institut für die Zeit, in der Sie daran noch arbeiten, komplett vom Netz abgeschnitten; ganz abgesehen von der Zeit, die es u. U. braucht, bis qualifiziertes Personal vor Ort ist. Unserer Erfahrung nach wird ein Ausfall des „Internets“ in den allermeisten Fällen von den Mitarbeitern am Institut als Zeit betrachtet, in der faktisch so gut wie nicht gearbeitet werden kann.

Bei uns ist alles redundant. Dies schließt nicht nur die Firewall selbst, sondern auch den Router und die Stromversorgung mit ein. Bei einem Ausfall einer Komponente eines Gerätes übernimmt das Andere die Arbeit ohne Verbindungsausfall. Noch dazu ist unsere Infrastruktur beim Hersteller „im Service“, und wenn eine Komponente ausfällt, haben wir innerhalb von etwa 24 – 48 Stunden Ersatz. → In unseren Augen erhöht das die Verfügbarkeit bzw. Ausfallsicherheit ganz erheblich.

4. Zusammenfassend: Potenzielle Vorteile durch die Umstellung

  • Redundanz. Jeweils zwei Firewall-Nodeslaufen bei uns in einem sogenannten „active-active“ Failover-Mode. Neben redundanter Stromversorgung, sind Sie damit auch vor Ausfällen geschützt, sollte einer der Firewall Nodes einen Defekt haben. Nebenbei besteht für die Hardware und Software ein Service-Vertrag. Im Falle eines Defekts erhalten wir binnen 48h Ersatz.
  • Falls Sie schon eine Firewall betreiben, haben Sie mit unserer Lösung weniger Arbeit (weil Sie weniger zu pflegen haben); weniger Arbeit → weniger Arbeitszeit –> weniger Kosten.
  • Selbst wenn Sie Sich die Gesamtleistung der Firewall-Hardware im Gauß-IT-Zentrum mit anderen Instituten teilen müssen, so zeigt die Erfahrung, dass tatsächliche Leistungs-Peaks sehr zeitversetzt abgefragt werden. Im Allgemeinen dürfte sich die Firewall des Gauß-IT-Zentrums für Sie daher als um ein vielfaches performanter darstellen als übliche „SoHo“-Lösungen, wie sie ansonsten für ein Institut in Frage kämen. Das mag für Sie aktuell noch uninteressant sein, weil Sie ggf. eine bestehende eigene Firewall nicht als Bottleneck empfinden, aber in Zeiten, in denen die übertragenen Datenvolumen immer rapider wachsen, sollte man die Skalierbarkeit und Performanz nicht ganz aus den Augen verlieren.
  • Trotz Firewall: Transparenz im Netz. D.h. Fehler lassen sich (mindestens durch uns) ungehindert aufspüren, was im Falle von zwischengeschalteten Instituts-eigenen Firewalls nicht der Fall ist.
  • Unabhängigkeit von „eigenem Know-How“: Wissenschaftliche Mitarbeiter und insbesondere studentische Hilfskräfte arbeiten in aller Regel nur wenige Jahre (teilweise nur Monate) an einem Institut. Bei der Übergabe von Aufgaben an Nachfolger geht nicht selten ein Großteil des Wissens sowie der Erfahrungswerte verloren. Dies ist insbesondere dann der Fall, wenn die Aufgaben vom Vorgänger überhaupt nur „sporadisch“ wahrgenommen werden mussten (wie häufig bei Firewall-Arbeiten der Fall, wenn diese gut läuft). Selbst wenn sich Ihr Institut für die Firewall des Gauß-IT-Zentrums entscheiden sollte, aber zunächst den Modus „Self Managed Firewall“ wählt, ist es später (nach Absprache) jederzeit möglich, dass diese Betreuung wieder an das Gauß-IT-Zentrum übergeht, falls ein Nachfolger mit den entsprechenden Qualifikationen/Kenntnissen nicht zur Stelle ist. Bitte haben Sie aber Verständnis dafür, dass die Frequenz, mit der derartige Übernahmen/Übergaben der Firewall-Administration stattfinden, in der Regel deutlich über einem Jahr liegen sollte.
  • Nachteile können wir ehrlich nicht entdecken. ;-)
netz/firewall.txt · Zuletzt geändert: 2022/05/05 14:02 von tstrauf
Gau-IT-Zentrum