Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
netz:firewall [2022/05/05 13:20]
tstrauf [1.3. Technische Realisierung]
netz:firewall [2022/05/05 14:02] (aktuell)
tstrauf [1.4. Beantragen einer Instituts-Firewall]
Zeile 53: Zeile 53:
  
 Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall. ​ Die Geräte sind über 4 x 40Gbit-Interfaces an die Core-Router angeschlossen und haben laut Herstellerangaben einen gemittelten Firewall-Throuput von 200 Mbps auf jedem Gerät. Da im Regelfall beide Geräte aktiv sind kann dieser Durchsatz in etwa doppelt genutzt werden. Die Instituts-Firewalls werden auf dem als sogenannte virtuelle Firewalls realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Eine virtuelle Firewall kann für mehr als ein Institut genutzt werden. Dies setzen wir insbesondere dort ein, wo das GITZ das Management der Firewall und des Regelwerks übernimmt. Aber auch Institute, die ihr Regelwerk selbst pflegen, aber über mehr als ein Netz verfügen, erhalten nur eine Firewall. ​
 +
 +Die von uns angebotenen Firewalls werden über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz der TU eingebunden. Auf den Firewalls selbst liegt jeweils das Gateway der einzelnen Institutsnetze. Auch das DHCP-Relaying wird ggf. von den Firewalls übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netze, ist von allen anderen Netzen Firewall-technisch getrennt. D. h. Zugriff von einem Netz auf Rechner/​Services in einem anderen Netz muss immer per Firewall-Regeln eingehend und ggf. ausgehend freigeschaltet werden. ​
 +
  
 <​newcolumn>​ <​newcolumn>​
  
-Die von uns angebotenen ​Firewalls ​werden ​über das Routing-Protokoll OSPF(v2/v3) in das IP-Netz ​der TU eingebundenAuf den Firewalls ​selbst liegt jeweils das Gateway ​der einzelnen InstitutsnetzeAuch das DHCP-Relaying wird ggfvon den Firewalls ​übernommen. Jedes Netz, egal ob auf unterschiedlichen oder der gleichen Firewall wie andere Netzeist von allen anderen Netzen Firewall-technisch getrenntD. h. Zugriff von einem Netz auf Rechner/​Services in einem anderen Netz muss immer per Firewall-Regeln eingehend ​und ggf. ausgehend freigeschaltet werden+Das Management/​die Konfiguration der Firewalls ​erfolgt ​über ein Webinterface, ​das über einen von der Firewall selbst getrennten Server zur Verfügung gestellt wird. Es kann in jedem Browser verwendet werden und erfordert keine zusätzlichen Programme ​(z.B. Java). Änderungen (z.B. am Regelwerk) werden dort zunächst eingetragen,​ gespeichert und dann auf die Firewall übertragen. Spätestens ​in der Nacht werden alle gespeicherten Änderungen automatisch auf die Firewalls übertragen,​ um auch Updates zu Malware-Erkennungen,​ die regelmäßig und automatisch vom Hersteller übermittelt werden, auf allen Firewalls zeitnah (ohne manuelles Zutun) zu aktivieren. 
 + 
 +Wartungen an den Firewalls ​oder dem Management-Server werden in der Regel in den Wartungsfenstern Mittwochs zwischen 6:00 und 7:00 Uhr durchgeführtIn dieser Zeit kann es sein, dass der Management-Server nicht zur Verfügung stehtSollten wir erwarten, dass es durch Wartungsarbeiten an den Firewalls ​zu einem vorübergehenden Ausfall ​der Netzanbindung kommtkündigen wir dies separat anIn der Regel sind jedoch auch Updates der Firewall ​und sogar Hardware-Arbeiten im Betrieb ​und ohne Ausfall möglich 
  
  
Zeile 69: Zeile 74:
  
   * Sie melden bei uns vorzugsweise per formloser Mail an noc@tu-bs.de Ihr Interesse an einer oben beschriebenen Firewall an.   * Sie melden bei uns vorzugsweise per formloser Mail an noc@tu-bs.de Ihr Interesse an einer oben beschriebenen Firewall an.
-  * Wir prüfen ​die notwendigen technischen Voraussetzungen ​und ggf. notwendigen Anpassungen an der Netzkonfiguration in Ihrem Institut und an unseren Routern. Eine der technischen Voraussetzungen ist dabei die Verfügbarkeit der IP-Adressen aus Ihrem Adressbereich. Für das Management ​der Firewall werden 2 Adressen benötigtIn der Regel werden wir an dieser Stelle jedoch verlangen, dass Sie die oberen 8 Adressen frei machen, damit wir auch andere Dienste die im Zusammenhang mit der Firewall ​interessant werden (z.B. Instituts-WLANreibungslos anbieten können+  * Wir sprechen über das gewünschte Management-Modell, ​die (im Falle von "​managed"​) gewünschten Regeln ​und bereiten alles weitere vor 
-  * Mit Ihnen gemeinsam ​wird ein Zeitplan mit Umstellungstermin ​erarbeitet und die notwendigen vorbereitenden Arbeiten auf Ihrer und unserer Seite dokumentiertHierbei wird auch festgelegtmit welcher Grundkonfiguration und welchen Basisregeln Ihre Firewall ausgestattet werden soll.+  * Sollten Sie die Firewall selbst managen wollen, richten wir einen Nutzer für Sie ein und schalten ​das Management ​ihres Regelwerks für Sie frei. Sie können dann (solange ​die Firewall ​noch gar nicht aktiv istin aller Ruhe ihre Regeln eintragen
 +  * Sobald alles konfiguriert ist, sprechen wir gemeinsam ​über einen Umstellungstermin. ​In der Regel ist damit ein Ausfall der Netzanbindung von weniger als 2 Minuten verbundensofern keine Zusätzlichen Arbeiten (Aufteilung von Netzwerken etc.) notwendig sind.
  
 <​newcolumn>​ <​newcolumn>​
  
-  * Die Umschaltung Ihres Netzbereichs hinter die Firewall geschieht unabhängig vom gewählten Modell gemeinsam mit Ihnen, sodass Detailprobleme zeitnah quasi auf Zuruf gelöst werden können. Die beiden angebotenen Betriebsmodelle unterscheiden sich lediglich in der Tiefe in der wir tätig werden: Bei der Managed Firewall implementieren wir alle Regeln. Bei der Self Managed Firewall richten wir je nach Aufwand die Firewall mit den wichtigsten Regeln für den Betrieb ein. Anschließend beraten wir Sie gernewie Sie die Firewall weiter auf Ihre Anforderungen abstimmen können. +  * Zum Termin ​der Umstellung verabreden ​wir uns vorher noch mal per Telefon und schalten dann umsofern ​Sie uns das Okay gebenNach der Umstellung telefonieren wir noch einmal ​und stellen sicher, dass "im Grundsatz" ​alles läuft. Sollten sich später noch Rückfragen/​Änderungswünsche ergebenstehen ​wir natürlich ​zur Verfügung. 
-  * Abschließen ​der Implementierungsphase. Bei der Wahl des Modells einer Self Managed Firewall bestimmen Sie Art und Umfang der "Nachsorge", wir stehen Ihnen gerne beratend ​zur Verfügung. Bei einer Managed Firewall teilen Sie uns alle Probleme bzw. Wünsche nach Änderungen an den Firewall-Regeln mit und wir pflegen diese schnellstmöglich ein+  * Regelbetrieb. Der Regelbetrieb ist gekennzeichnet durch sporadische Anpassungen an der Konfiguration der Firewall-Regeln. Diese führen Sie entweder nach Belieben selbst durch (Modell "​self-managed"​) oder melden Sich bei uns. (Mail an "​noc@tu-braunschweig.de"​ oder über das [[https://​www.tu-braunschweig.de/​it/​self-service/​kontakt-netze|Kontaktformular]]).
-  * Regelbetrieb. Der Regelbetrieb ist gekennzeichnet durch sporadische Anpassungen an der Konfiguration der Firewall-Regeln.+
  
-Haben Sie noch Fragen, die auch in unserer Firewall FAQ (s.u.) nicht beantwortet werden? Dann nehmen Sie bitte Kontakt mit uns per E-Mail unter noc@tu-bs.de auf.+Haben Sie noch Fragen, die auch in unserer Firewall FAQ (s.u.) nicht beantwortet werden? Dann nehmen Sie bitte Kontakt mit uns auf, per E-Mail unter noc@tu-braunschweig.de.
 </​columns>​ </​columns>​
 ===== 2. FAQ (Frequently Asked Questions) ===== ===== 2. FAQ (Frequently Asked Questions) =====
Zeile 86: Zeile 91:
 **F**: Wie flexibel ist die Firewall und kann sie unsere Anforderungen überhaupt erfüllen? **F**: Wie flexibel ist die Firewall und kann sie unsere Anforderungen überhaupt erfüllen?
 <​newcolumn>​ <​newcolumn>​
-**A**: Eine vollständige Liste sämtlicher Features der NGFW Firewall entnehmen Sie bitte den von der Firma ForcePoint+**A**: Eine vollständige Liste sämtlicher Features der NGFW Firewall entnehmen Sie bitte den von der Firma [[https://​www.forcepoint.com/​sites/​default/​files/​resources/​files/​datasheet_forcepoint_ngfw_320x_en.pdf|ForcePoint ​zur Verfügung gestellten Dokumentation]].
  
-Grundsätzlich handelt es sich um eine sogenannte "Next Generation Firewall",​ die technologisch dem aktuellen Stand entspricht. Sie können damit also von Regeln für beispielsweise GRE-Tunnelling über einfache Regeln, die sämtlichen Verkehr zwischen bestimmten IP-Adressen auf Layer 3 regeln bis hin zu solchen Konfigurationen,​ die bestimmte HTTP- oder FTP-Direktiven prüfen und einschränken,​ alles konfigurieren was Sie als notwendig erachten. Selbstverständlich ist die Firewall so auch in der Lage nicht nur bei TCP, sondern auch bei UDP-Protokollen oder FTP den Verbindungsaufbau komplett zu verfolgen, sodass Kommunikationspartner,​ die eine Verbindung in einer Richtung aufgebaut haben, (temporär für die Dauer der Session) auch in umgekehrter Richtung Daten austauschen können, ohne dass spezielle Regeln in Rückrichtung nötig wären.+Grundsätzlich handelt es sich um eine sogenannte "Next Generation Firewall",​ die technologisch dem aktuellen Stand entspricht. Sie können damit also von Regeln für beispielsweise GRE-Tunnelling über einfache Regeln, die sämtlichen Verkehr zwischen bestimmten IP-Adressen auf Layer 3 regeln bis hin zu solchen Konfigurationen,​ die bestimmte HTTP- oder FTP-Direktiven prüfen und einschränken,​ alles konfigurieren was Sie als notwendig erachten. Selbstverständlich ist die Firewall so auch in der Lage nicht nur bei TCP, sondern auch bei UDP-Protokollen oder FTP den Verbindungsaufbau komplett zu verfolgen, sodass Kommunikationspartner,​ die eine Verbindung in einer Richtung aufgebaut haben, (temporär für die Dauer der Session) auch in umgekehrter Richtung Daten austauschen können, ohne dass spezielle Regeln in Rückrichtung nötig wären ​("​stateful firewalling"​).
  
 </​columns>​ </​columns>​
Zeile 98: Zeile 103:
  
 <columns 100% 50% - -> <columns 100% 50% - ->
-**F**: Wir haben einen bestehenden Regelsatz an unserer Firewall konfiguriert und würden gerne wissen, ob sich ein bestimmter Teil des Regelsatzes auch auf die vom Gauß-IT-Zentrum ​angebotene ​Firewall umsetzen lässt.+**F**: Wir haben einen bestehenden Regelsatz an unserer Firewall konfiguriert und würden gerne wissen, ob sich ein bestimmter Teil des Regelsatzes auch auf der vom Gauß-IT-Zentrum ​angebotenen ​Firewall umsetzen lässt.
 <​newcolumn>​ <​newcolumn>​
 **A**: Wir klären gerne in einem persönlichen Gespräch, wie sich Ihr konkretes Konfigurationsanliegen mit der von uns angebotenen Firewall umsetzen lässt. **A**: Wir klären gerne in einem persönlichen Gespräch, wie sich Ihr konkretes Konfigurationsanliegen mit der von uns angebotenen Firewall umsetzen lässt.
Zeile 108: Zeile 113:
 **A**: Nein. Zum einen ist die Syntax der Konfiguration mit an Sicherheit grenzender Wahrscheinlichkeit nicht kompatibel, und zum anderen hat es sich als sinnvoll erwiesen, wenn zunächst der heute tatsächliche Bedarf festgestellt wird. Es ist für Sie nicht hilfreich, wenn Sie uns bei Problemen fragen: "Warum geht x und y nicht, wo doch z auch funktioniert"​ und wir Ihnen nur antworten können: "Keine Ahnung, das haben Sie uns so konfigurieren lassen, das sollten Sie selbst wissen."​ **A**: Nein. Zum einen ist die Syntax der Konfiguration mit an Sicherheit grenzender Wahrscheinlichkeit nicht kompatibel, und zum anderen hat es sich als sinnvoll erwiesen, wenn zunächst der heute tatsächliche Bedarf festgestellt wird. Es ist für Sie nicht hilfreich, wenn Sie uns bei Problemen fragen: "Warum geht x und y nicht, wo doch z auch funktioniert"​ und wir Ihnen nur antworten können: "Keine Ahnung, das haben Sie uns so konfigurieren lassen, das sollten Sie selbst wissen."​
  
-In Sachen Konfiguration erleichtert die Firewall die Verwaltung im Übrigen natürlich durch gängige Methoden wie die Möglichkeit zur Anlegung von Service Groups und Network-Object Groups, die für verschiedene Regeln wieder verwendet werden können, bzw. in den meisten Fällen mehrere Regeln zu einer oder einigen wenigen Regeln zusammenfassbar machen. Es macht Sinn, bei einer Neukonfiguration mit Systematik genau diese Hilfsmittel zu nutzen, um die Übersichtlichkeit und damit auch die Wartbarkeit der zum Teil komplexen Regelwerke zu verbessern+In Sachen Konfiguration erleichtert die Firewall die Verwaltung im Übrigen natürlich durch gängige Methoden wie die Möglichkeit zur Anlegung von Service Groups und Network-Object Groups, die für verschiedene Regeln wieder verwendet werden können, bzw. in den meisten Fällen mehrere Regeln zu einer oder einigen wenigen Regeln zusammenfassbar machen. Es ergibt ​Sinn, bei einer Neukonfiguration mit Systematik genau diese Hilfsmittel zu nutzen, um die Übersichtlichkeit und damit auch die Wartbarkeit der zum Teil komplexen Regelwerke zu verbessern.
-</​columns>​ +
- +
-<columns 100% 50% - -> +
-**F**: Warum braucht ihr so viele IP-Adressen aus unserem Netzbereich?​ +
-<​newcolumn>​ +
-**A**: Dies lässt sich aus technischen Gründen leider nicht anders organisieren. Es ist stets hilfreich, wenn Sie als DV-Koordinator für Ihr(e) Institutsnetz(e) schon im Vorfeld einer möglichen Firewallnutzung dafür sorgen, dass die oberen 8 Adressen aus Ihrem Netzbereich für sogenannte Netzdienste frei sind. Wir brauchen diese Adressen für unsere Router, die Firewalls und weitere Adressen für zukünftige Dienstangebote (z.B. WLAN-Terminierung im Institutsnetz). Als Service-Adressen sind diese gegenüber Geschäftsbereich 3 der Verwaltung nicht kostenpflichtig.+
 </​columns>​ </​columns>​
  
Zeile 120: Zeile 119:
 **F**: Wir betreiben einen eigenen DHCP-Server. Müssen wir dafür Regeln vorsehen? **F**: Wir betreiben einen eigenen DHCP-Server. Müssen wir dafür Regeln vorsehen?
 <​newcolumn>​ <​newcolumn>​
-**A**: ​In der Regeln neinEs sei denn Sie nutzen unseren ​DHCP-Service. Dann sind entsprechende Regeln nötigdie wir aber bereits vor Auslieferung ​der Firewall für Sie eintragenUnser DHCP-Service kann über den KDD in bestimmten Ausprägungen selbstständig konfiguriert werden.+**A**: ​NeinSollten ​Sie den gleichen ​DHCP-Server jedoch in mehreren Netzen nutzen wollenmüssen ​wir das DHCP-Relaying-Feature auf den Interfaces zu den Netzen konfigurieren,​ in denen der DHCP-Server nicht steht. D.h. in diesem Fall müssen ​Sie uns (z.B. per kurzer Mail) bescheid geben und die IP-Adresse des DHCP-Servers benennen.
 </​columns>​ </​columns>​
  
Zeile 138: Zeile 137:
 **F**: Kann ich als DV-Koordinator die Firewall von zu Hause administrieren?​ **F**: Kann ich als DV-Koordinator die Firewall von zu Hause administrieren?​
 <​newcolumn>​ <​newcolumn>​
-**A**: Im Prinzip ja, aber... Nach Ihren Angaben schränken wir den Zugriff auf das Management ​Interface der Firewall ​auf bestimmte IP-Adressen ein. In der Regel wird von den Instituten gewünscht, dass die Firewall nur von bestimmten Adressen innerhalb des eigenen Instituts-Netzes, inklInst.-VPN IPs, erreichbar ​ist. +**A**: Im Prinzip ja, aber... Nach Ihren Angaben schränken wir den Zugriff auf den Management-Server ​auf bestimmte IP-Adressen ein. Bei der Meldung dieser IP-Adressen müssen Sie die VPN-IP-Adressen berücksichtigen und (sollten Sie den Zugriff per VPN wünschen) im Hinterkopf behalten, dass durch die Freigabe letzterer IPs im wesentlichen alle Kollegen prinzipiell den Management-Server erreichen könnenNatürlich ​ist der Zugriff dann noch über Nutzername/​Passwort gesichert.
 </​columns>​ </​columns>​
  
Zeile 151: Zeile 150:
 **F**: Die Firewall-Infrastruktur an sich finden wir sehr gut, jedoch möchten wir selbst die Regeln in der Firewall pflegen. Unser Institut hat hierzu ausreichend fest angestelltes und gut ausgebildetes Personal, sodass wir uns die Pflege selbst zutrauen. **F**: Die Firewall-Infrastruktur an sich finden wir sehr gut, jedoch möchten wir selbst die Regeln in der Firewall pflegen. Unser Institut hat hierzu ausreichend fest angestelltes und gut ausgebildetes Personal, sodass wir uns die Pflege selbst zutrauen.
 <​newcolumn>​ <​newcolumn>​
-**A**: Sofern Sie uns zusichern, dass Sie dauerhaft (länger als ein paar Monate) über entsprechendes Personal verfügen, so können Sie vollständige Kontrolle (einschließlich Einblick in beliebige Logs, die die Firewall erzeugt, etc.) über "Ihre" Firewall bekommen. Wir geben das Management dafür dann dankend ab. Es ist ja nicht so, als hätten wir nicht auch noch andere Dinge zu tun ;-). Wir behalten uns lediglich die Möglichkeit und das Recht vor im Falle von Problemen ​a) Einblick in die FW-Konfiguration zu nehmen und b) – wenn die Zeit drängt und derjenige, der üblicherweise die FW vor Ort pflegt (pflegen kann), nicht erreichbar ist (was schon beliebig häufig passiert ist) – evtl. in Absprache mit dem DV-Koordinator und/oder dem Institutsleiter Änderungen vorzunehmen,​ sollten diese notwendig sein. Wir denken, dass wir damit auf beiden Seiten die Zufriedenheit erhöhen, bzw. gegenseitige Frustration minimieren.+**A**: Sofern Sie uns zusichern, dass Sie dauerhaft (länger als ein paar Monate) über entsprechendes Personal verfügen, so können Sie vollständige Kontrolle (einschließlich Einblick in beliebige Logs, die die Firewall erzeugt, etc.) über "Ihr" Firewall-Regelwerk ​bekommen. Wir geben das Management dafür dann dankend ab. Es ist ja nicht so, als hätten wir nicht auch noch andere Dinge zu tun ;-). Wir behalten uns lediglich die Möglichkeit und das Recht vor Notfall ​a) Einblick in die FW-Konfiguration zu nehmen und b) – wenn die Zeit drängt und derjenige, der üblicherweise die Firewall ​vor Ort pflegt (pflegen kann), nicht erreichbar ist (was schon beliebig häufig passiert ist) – evtl. in Absprache mit dem DV-Koordinator und/oder dem Institutsleiter Änderungen vorzunehmen,​ sollten diese notwendig sein. Wir denken, dass wir damit auf beiden Seiten die Zufriedenheit erhöhen, bzw. gegenseitige Frustration minimieren.
 </​columns>​ </​columns>​
  
 <columns 100% 50% - -> <columns 100% 50% - ->
-**F**: Wir haben eine studentische Hilfskraft, die für uns die Firewall pflegt. Wie gestalten wir die Übergabe der Firewall?+**F**: Wir haben nur eine studentische Hilfskraft, die für uns die Firewall pflegt. Wie gestalten wir die Übergabe der Firewall?
 <​newcolumn>​ <​newcolumn>​
-**A**: In der Regel sollten die Zeiträume, in denen Sie die Administration der Firewall übernehmen,​ und die potenzielle Rückgabe einer an Sie delegierten Firewall-Administration größer als ein Jahr sein. Auch die Rolle des DV-Koordinators ist vom Grundsatz her nur an fest angestelltes Personal Ihres Instituts zu übertragen. Dies sollte im Allgemeinen Konstanz und Qualität bei den entsprechenden Arbeiten erhöhen.+**A**: Sprechen Sie uns einfach an: noc@tu-braunschweig.de. Zur Information: In der Regel sollten die Zeiträume, in denen Sie die Administration der Firewall übernehmen,​ und die potenzielle Rückgabe einer an Sie delegierten Firewall-Administration größer als ein Jahr sein. Auch die Rolle des DV-Koordinators ist vom Grundsatz her nur an fest angestelltes Personal Ihres Instituts zu übertragen. Dies sollte im Allgemeinen Konstanz und Qualität bei den entsprechenden Arbeiten erhöhen.
 </​columns>​ </​columns>​
  
Zeile 165: Zeile 164:
 **Wider**: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz. **Wider**: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz.
 <​newcolumn>​ <​newcolumn>​
-**Für**: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Auf Anfrage teilen wir gerne jederzeit ​Leiter ​und DV-Koordinator den jeweils gültigen Regelsatz mit.+**Für**: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Auf Anfrage teilen wir gerne jederzeit ​Leitern ​und DV-Koordinator den jeweils gültigen Regelsatz mit. Demnächst werden wir auch einen regelmäßigen Versand der Regeln (halbjährlich) per E-Mail etablieren. Mittelfristig arbeiten wir an einer "​Selbstbedienungslösung",​ die (Leitern und DV-Koordinatoren) jederzeit den Einblick in das aktive Regelwerk des Instituts ermöglicht
  
 Zur Klärung: "​Unsere"​ Firewall wird als für Ihr Institut zuständiger Default-Router konfiguriert. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes VLAN schalten. (Was im Übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an "​unserer Firewall"​.) Zur Klärung: "​Unsere"​ Firewall wird als für Ihr Institut zuständiger Default-Router konfiguriert. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes VLAN schalten. (Was im Übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an "​unserer Firewall"​.)
Zeile 173: Zeile 172:
 **Wider**: Mit der Firewall vom Gauß-IT-Zentrum sind wir abhängig vom GITZ. **Wider**: Mit der Firewall vom Gauß-IT-Zentrum sind wir abhängig vom GITZ.
 <​newcolumn>​ <​newcolumn>​
-**Für**: Ganz ehrlich? Nicht abhängiger als Sie es sowieso schon sind. Sollte eines schwarzen Tages das GITZ abbrennen und Corerouter, sowie die Firewalls in Rauch aufgehen, dann hätten wir aktuell alle auch so ein riesiges Problem, da dann eh kein Netzwerk mehr zur Verfügung steht. Was Wartungsarbeiten an den Firewalls (Software-Updates etc.) angeht, so werden wir diese in dem Wartungsfenstern Mittwochs morgens 6:00 - 7:00 Uhr ausgeführt. Nicht zuletzt dafür haben wir ja in Redundanz investiert. Mit der Wahl des Betreuungsmodells entscheiden Sie ansonsten wie "​abhängig"​ Sie vom Gauß-IT-Zentrum sein wollen. Vergessen Sie dabei jedoch nicht, dass auch Instituts-eigene Administratoren gelegentlich nicht verfügbar/​erreichbar sind, bzw. ggf. – auf Grund mangelnder Erfahrung/​Routine – deutlich länger für die Umsetzung einer Änderung brauchen als Mitarbeiter am GITZ, die sich täglich mit der Firewall beschäftigen.+**Für**: Ganz ehrlich? Nicht abhängiger als Sie es sowieso schon sind. Sollte eines schwarzen Tages das GITZ abbrennen und Corerouter, sowie die Firewalls in Rauch aufgehen, dann hätten wir aktuell alle auch so ein riesiges Problem, da dann eh kein Netzwerk mehr zur Verfügung steht. Was Wartungsarbeiten an den Firewalls (Software-Updates etc.) angeht, so werden wir diese in der Regel in den Wartungsfenstern Mittwochs morgens 6:00 - 7:00 Uhr ausgeführt. Nicht zuletzt dafür haben wir ja in Redundanz investiert. Mit der Wahl des Betreuungsmodells entscheiden Sie ansonsten wie "​abhängig"​ Sie vom Gauß-IT-Zentrum sein wollen. Vergessen Sie dabei jedoch nicht, dass auch Instituts-eigene Administratoren gelegentlich nicht verfügbar/​erreichbar sind, bzw. ggf. – auf Grund mangelnder Erfahrung/​Routine – deutlich länger für die Umsetzung einer Änderung brauchen als Mitarbeiter am GITZ, die sich täglich mit der Firewall beschäftigen.
 </​columns>​ </​columns>​
  
Zeile 179: Zeile 178:
 **Wider**: Mit unserer eigenen Firewall sind wir viel flexibler. (Es ist ein Unterschied ob ich einen Server neben mir stehen habe, der meiner vollen Kontrolle unterliegt, oder ob ich ein Web-Interface bediene.) **Wider**: Mit unserer eigenen Firewall sind wir viel flexibler. (Es ist ein Unterschied ob ich einen Server neben mir stehen habe, der meiner vollen Kontrolle unterliegt, oder ob ich ein Web-Interface bediene.)
 <​newcolumn>​ <​newcolumn>​
-**Für**: Eine Firewall ist eigentlich kein Server sondern eine Appliance, die nur einem Zweck dient. Es ist durchaus von Vorteil, wenn man sich dabei auch wirklich nur um diesen einen Zweck und dessen Wartung kümmern muss. Bei einem Server müssen Sie ständig auch noch mindestens das Betriebssystem auf dem neuesten Stand halten, bzw. absichern. Mal ganz abgesehen davon, dass – wenn mehr drin/dran ist – auch mehr kaputt gehen kann, bzw. hin und wieder gestreichelt werden möchte.+**Für**: Eine Firewall ist eigentlich kein Server sondern eine Appliance, die nur einem Zweck dient, der Absicherung des Netzes vor Gefahren von außen. Es ist durchaus von Vorteil, wenn man sich dabei auch wirklich nur um diesen einen Zweck und dessen Wartung kümmern muss. Bei einem Server müssen Sie ständig auch noch mindestens das Betriebssystem auf dem neuesten Stand halten, bzw. absichern. Mal ganz abgesehen davon, dass – wenn mehr drin/dran ist – auch mehr kaputt gehen kann, bzw. hin und wieder gestreichelt werden möchte.
 </​columns>​ </​columns>​
  
netz/firewall.1651749604.txt.gz · Zuletzt geändert: 2022/05/05 13:20 von tstrauf
Gau-IT-Zentrum