Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste Überarbeitung Beide Seiten der Revision | ||
netz:firewall [2022/05/05 13:29] tstrauf [3. Für und Wider] |
netz:firewall [2022/05/05 13:39] tstrauf [1.3. Technische Realisierung] |
||
---|---|---|---|
Zeile 53: | Zeile 53: | ||
Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall. | Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall. | ||
+ | |||
+ | Die von uns angebotenen Firewalls werden über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz der TU eingebunden. Auf den Firewalls selbst liegt jeweils das Gateway der einzelnen Institutsnetze. Auch das DHCP-Relaying wird ggf. von den Firewalls übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netze, ist von allen anderen Netzen Firewall-technisch getrennt. D. h. Zugriff von einem Netz auf Rechner/Services in einem anderen Netz muss immer per Firewall-Regeln eingehend und ggf. ausgehend freigeschaltet werden. | ||
+ | |||
<newcolumn> | <newcolumn> | ||
- | Die von uns angebotenen Firewalls werden über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz der TU eingebunden. Auf den Firewalls selbst liegt jeweils das Gateway der einzelnen Institutsnetze. Auch das DHCP-Relaying wird ggf. von den Firewalls übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netze, ist von allen anderen Netzen Firewall-technisch getrennt. D. h. Zugriff von einem Netz auf Rechner/Services in einem anderen Netz muss immer per Firewall-Regeln eingehend und ggf. ausgehend freigeschaltet werden. | + | Das Management/die Konfiguration der Firewalls erfolgt über ein Webinterface, das über einen von der Firewall selbst getrennten Server zur Verfügung gestellt wird. Es kann in jedem Browser verwendet werden und erfordert keine zusätzlichen Programme (z.B. Java). Änderungen (z.B. am Regelwerk) werden dort zunächst eingetragen, gespeichert und dann auf die Firewall übertragen. Spätestens in der Nacht werden alle gespeicherten Änderungen automatisch auf die Firewalls übertragen, um auch Updates zu Malware-Erkennungen, die regelmäßig und automatisch vom Hersteller übermittelt werden, auf allen Firewalls zeitnah (ohne manuelles Zutun) zu aktivieren. |
+ | Â | ||
+ | Wartungen an den Firewalls oder dem Management-Server werden in der Regel in den Wartungsfenstern Mittwochs zwischen 6:00 und 7:00 Uhr durchgeführt. In dieser Zeit kann es sein, dass der Management-Server nicht zur Verfügung steht. Sollten wir erwarten, dass es durch Wartungsarbeiten an den Firewalls zu einem vorübergehenden Ausfall der Netzanbindung kommt, kündigen wir dies separat an. In der Regel sind jedoch auch Updates der Firewall und sogar Hardware-Arbeiten im Betrieb und ohne Ausfall möglich. | ||