Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
netz:firewall [2022/05/05 13:01] tstrauf [1.3. Technische Realisierung] |
netz:firewall [2022/05/05 13:39] tstrauf [1.3. Technische Realisierung] |
||
|---|---|---|---|
| Zeile 53: | Zeile 53: | ||
| Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall. | Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall. | ||
| + | |||
| + | Die von uns angebotenen Firewalls werden über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz der TU eingebunden. Auf den Firewalls selbst liegt jeweils das Gateway der einzelnen Institutsnetze. Auch das DHCP-Relaying wird ggf. von den Firewalls übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netze, ist von allen anderen Netzen Firewall-technisch getrennt. D. h. Zugriff von einem Netz auf Rechner/Services in einem anderen Netz muss immer per Firewall-Regeln eingehend und ggf. ausgehend freigeschaltet werden. | ||
| + | |||
| <newcolumn> | <newcolumn> | ||
| - | Die von uns angebotenen Firewalls werden über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz der TU eingebunden. Auf den Firewalls selbst liegt jeweils das Gateway der einzelnen Institutsnetze. Auch das DHCP-Relaying wird ggf. von den Firewalls übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netze, ist von allen anderen Netzen Firewall-technisch getrennt. D. h. Zugriff von einem Netz auf Rechner/Services in einem anderen Netz muss immer per Firewall-Regeln eingehend und ggf. ausgehend freigeschaltet werden. | + | Das Management/die Konfiguration der Firewalls erfolgt über ein Webinterface, das über einen von der Firewall selbst getrennten Server zur Verfügung gestellt wird. Es kann in jedem Browser verwendet werden und erfordert keine zusätzlichen Programme (z.B. Java). Änderungen (z.B. am Regelwerk) werden dort zunächst eingetragen, gespeichert und dann auf die Firewall übertragen. Spätestens in der Nacht werden alle gespeicherten Änderungen automatisch auf die Firewalls übertragen, um auch Updates zu Malware-Erkennungen, die regelmäßig und automatisch vom Hersteller übermittelt werden, auf allen Firewalls zeitnah (ohne manuelles Zutun) zu aktivieren. |
| + | Â | ||
| + | Wartungen an den Firewalls oder dem Management-Server werden in der Regel in den Wartungsfenstern Mittwochs zwischen 6:00 und 7:00 Uhr durchgeführt. In dieser Zeit kann es sein, dass der Management-Server nicht zur Verfügung steht. Sollten wir erwarten, dass es durch Wartungsarbeiten an den Firewalls zu einem vorübergehenden Ausfall der Netzanbindung kommt, kündigen wir dies separat an. In der Regel sind jedoch auch Updates der Firewall und sogar Hardware-Arbeiten im Betrieb und ohne Ausfall möglich. | ||
| - | {{:netz:fw-schematisch.jpg?450|}} | + | {{:netz:firewall_im_backbone_schematisch_fuer_dv-koord_.png?450|Firewall im Backbone}} |
| </columns> | </columns> | ||
| Zeile 165: | Zeile 170: | ||
| **Wider**: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz. | **Wider**: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz. | ||
| <newcolumn> | <newcolumn> | ||
| - | **Für**: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Auf Anfrage teilen wir gerne jederzeit Leiter und DV-Koordinator den jeweils gültigen Regelsatz mit. | + | **Für**: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Auf Anfrage teilen wir gerne jederzeit Leitern und DV-Koordinator den jeweils gültigen Regelsatz mit. Demnächst werden wir auch einen regelmäßigen Versand der Regeln (halbjährlich) per E-Mail etablieren. Mittelfristig arbeiten wir an einer "Selbstbedienungslösung", die (Leitern und DV-Koordinatoren) jederzeit den Einblick in das aktive Regelwerk des Instituts ermöglicht. |
| Zur Klärung: "Unsere" Firewall wird als für Ihr Institut zuständiger Default-Router konfiguriert. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes VLAN schalten. (Was im Übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an "unserer Firewall".) | Zur Klärung: "Unsere" Firewall wird als für Ihr Institut zuständiger Default-Router konfiguriert. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes VLAN schalten. (Was im Übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an "unserer Firewall".) | ||
| Zeile 173: | Zeile 178: | ||
| **Wider**: Mit der Firewall vom Gauß-IT-Zentrum sind wir abhängig vom GITZ. | **Wider**: Mit der Firewall vom Gauß-IT-Zentrum sind wir abhängig vom GITZ. | ||
| <newcolumn> | <newcolumn> | ||
| - | **Für**: Ganz ehrlich? Nicht abhängiger als Sie es sowieso schon sind. Sollte eines schwarzen Tages das GITZ abbrennen und Corerouter, sowie die Firewalls in Rauch aufgehen, dann hätten wir aktuell alle auch so ein riesiges Problem, da dann eh kein Netzwerk mehr zur Verfügung steht. Was Wartungsarbeiten an den Firewalls (Software-Updates etc.) angeht, so werden wir diese in dem Wartungsfenstern Mittwochs morgens 6:00 - 7:00 Uhr ausgeführt. Nicht zuletzt dafür haben wir ja in Redundanz investiert. Mit der Wahl des Betreuungsmodells entscheiden Sie ansonsten wie "abhängig" Sie vom Gauß-IT-Zentrum sein wollen. Vergessen Sie dabei jedoch nicht, dass auch Instituts-eigene Administratoren gelegentlich nicht verfügbar/erreichbar sind, bzw. ggf. – auf Grund mangelnder Erfahrung/Routine – deutlich länger für die Umsetzung einer Änderung brauchen als Mitarbeiter am GITZ, die sich täglich mit der Firewall beschäftigen. | + | **Für**: Ganz ehrlich? Nicht abhängiger als Sie es sowieso schon sind. Sollte eines schwarzen Tages das GITZ abbrennen und Corerouter, sowie die Firewalls in Rauch aufgehen, dann hätten wir aktuell alle auch so ein riesiges Problem, da dann eh kein Netzwerk mehr zur Verfügung steht. Was Wartungsarbeiten an den Firewalls (Software-Updates etc.) angeht, so werden wir diese in der Regel in den Wartungsfenstern Mittwochs morgens 6:00 - 7:00 Uhr ausgeführt. Nicht zuletzt dafür haben wir ja in Redundanz investiert. Mit der Wahl des Betreuungsmodells entscheiden Sie ansonsten wie "abhängig" Sie vom Gauß-IT-Zentrum sein wollen. Vergessen Sie dabei jedoch nicht, dass auch Instituts-eigene Administratoren gelegentlich nicht verfügbar/erreichbar sind, bzw. ggf. – auf Grund mangelnder Erfahrung/Routine – deutlich länger für die Umsetzung einer Änderung brauchen als Mitarbeiter am GITZ, die sich täglich mit der Firewall beschäftigen. |
| </columns> | </columns> | ||
| Zeile 179: | Zeile 184: | ||
| **Wider**: Mit unserer eigenen Firewall sind wir viel flexibler. (Es ist ein Unterschied ob ich einen Server neben mir stehen habe, der meiner vollen Kontrolle unterliegt, oder ob ich ein Web-Interface bediene.) | **Wider**: Mit unserer eigenen Firewall sind wir viel flexibler. (Es ist ein Unterschied ob ich einen Server neben mir stehen habe, der meiner vollen Kontrolle unterliegt, oder ob ich ein Web-Interface bediene.) | ||
| <newcolumn> | <newcolumn> | ||
| - | **Für**: Eine Firewall ist eigentlich kein Server sondern eine Appliance, die nur einem Zweck dient. Es ist durchaus von Vorteil, wenn man sich dabei auch wirklich nur um diesen einen Zweck und dessen Wartung kümmern muss. Bei einem Server müssen Sie ständig auch noch mindestens das Betriebssystem auf dem neuesten Stand halten, bzw. absichern. Mal ganz abgesehen davon, dass – wenn mehr drin/dran ist – auch mehr kaputt gehen kann, bzw. hin und wieder gestreichelt werden möchte. | + | **Für**: Eine Firewall ist eigentlich kein Server sondern eine Appliance, die nur einem Zweck dient, der Absicherung des Netzes vor Gefahren von außen. Es ist durchaus von Vorteil, wenn man sich dabei auch wirklich nur um diesen einen Zweck und dessen Wartung kümmern muss. Bei einem Server müssen Sie ständig auch noch mindestens das Betriebssystem auf dem neuesten Stand halten, bzw. absichern. Mal ganz abgesehen davon, dass – wenn mehr drin/dran ist – auch mehr kaputt gehen kann, bzw. hin und wieder gestreichelt werden möchte. |
| </columns> | </columns> | ||
