Firewall am Übergang zum Campusnetz

Leistungsumfang & Optionen

Leistungsumfang

  • Unterstützung bei der Erstellung des Netz- und Firewallkonzeptes
  • virtueller Firewallkontext vorkonfiguriert mit VLAN-Interfaces und Routingeinträgen für die betreffenden Netze

Optionen

  • Erweiterung/Modifikation vorhandener Firewalls durch Hinzufügen neuer Interfaces
  • Umbenennen der Firewallkontexte möglich (z.B. bei Änderung des Namens der Einrichtung)
  • Migration der Virtuellen Firewall von einem Standort zum anderen (z.B. bei Umzug der Einrichtung in einen anderen Gebäudekomplex, s.u. "Gebäude")
Beantragung & Berechtigung

Beantragung

  • Softwarebeschaffungsantrag"virtuelle Firewall" über Antragsformular kann durch den Leiter der Einrichtung, den offiziellen IT-Administrator bzw. über deren Sekretariat erfolgen
  • Anfrage Service Desk durch den offiziellen IT-Adminsitrator (Absenderadresse @tu-dresden.de) der Einrichtung: Erarbeitung des Firewallkonzepts - Termin in Abstimmung mit dem ZIH

Berechtigung

  • Berechtigter Anwender der Firewall ist der offizielle IT-Administrator
  • Beauftragung der virtuellen Firewall ist durch den offiziellen IT-Administrator möglich, nachdem die Kosten in der Softwarebeschaffung abgerechnet wurden und das Firewallkonzept erstellt ist

Anmerkung: "offizieller IT-Administrator" ist der dem ZIH durch den Leiter der jeweiligen Einrichtung als IT-Administrator benannte Mitarbeiter der TU Dresden. Der IT-Administrator muss durch den Leiter der Einrichtung gemäß Rundschreiben  nachweislich auf das Datenschutzgeheimnis verpflichtet sein.

Mitwirkungspflichten & Voraussetzungen
  • die virtuellen Firewalls werden in Eigenverantwortung durch die Einrichtung, vertreten durch den offiziellen IT-Administrator, betrieben
  • der offizielle IT-Administrator ist Ansprechpartner für das ZIH
  • die Sicherheit der Zugangsdaten zur Firewall sind durch den Betreiber zu gewährleisten
Abrechnung / Kosten

500,00 € je virtueller Firewall

Dienstqualität (Bereitstellungs- /Supportzeiten / Status)

Bereitstellungszeiten

  • ca. 4 Wochen

Supportzeiten

Service Desk Mo-Fr 8-19 Uhr
servicedesk@tu-dresden.de 
 

Betriebszeit/-Status

Rund um die Uhr verfügbar

Dienst in Betrieb? Betriebsstatus

Störung melden über den Servicedesk:
servicedesk@tu-dresden.de

Telefon © ZIH
Name

Service Desk

Kontaktinformationen
Adresse work

Besucheradresse:

Andreas-Pfitzmann-Bau, Raum E036 Nöthnitzer Straße 46

01187 Dresden

Adresse postal

Postadresse:

Technische Universität Dresden Service Desk

01062 Dresden

work Tel.
+49 351 463-40000
fax Fax
+49 351 463-42328

Öffnungszeiten:

Montag bis Freitag:
08:00 - 19:00

Angebot virtuelle Firewall

An der TU Dresden liegt die Verantwortung für das Management und den Betrieb der Firewalls im Rahmen des dezentralen Versorgungskonzepts bei den jeweiligen Instituten und Einrichtungen, vertreten durch die zuständigen Administratoren. Dies verlangt von den Administratoren eine hohe Kompetenz sowohl bezüglich der konzipierenden Netzwerk-Sicherheitspolicy als auch der Firewall-Hardware selbst. Das ZIH berät und unterstützt die Institute bei der Auswahl, Konfiguration und Inbetriebnahme der Firewall-Systeme. Zusätzlich bietet das ZIH als Service Unterstützungsleistungen für den Betrieb der Firewall an (u.a. Überwachung, Backup der Konfiguration).

Für Institute, die keine eigene Firewall-Systemplattform betreiben möchten, bietet das ZIH als Service die Nutzung einer zentral bereitgestellten Firewall-Systemplattform mit virtuellen Firewalls im jeweils zugehörigen zentralen Backbone-Bereich. Die Verwaltung und Konfiguration der virtuellen Firewall obliegt den jeweiligen Instituten. Das ZIH stellt eine einheitliche Firewall-Plattform zur Verfügung  und unterstützt sowie berät die Institute bei der Ersteinrichtung ihrer lokalen Sicherheitspolicy. Die virtuellen Firewalls ermöglichen die Fokussierung der verantwortlichen Administratoren auf die eigentliche Aufgabe, den Schutz des lokalen Netzes. 

Als Lösungsmöglichkeit für zentral bereitgestellte Firewalls ist die Technologie der virtuellen Firewalls ("security contexts") der Firma Cisco im Einsatz. Dazu wird eine physische Firewall-Hardware, wie z.B. eine ASA Appliance bzw. ein Firewall-Modul (FWSM, ASA-SM), in mehrere logische "virtuelle Firewalls" aufgeteilt. Jede virtuelle Firewall ist unabhängig von den anderen virtuellen Firewalls, die auf derselben Hardware laufen. Jede virtuelle Firewall wird separat verwaltet und betrieben. Folgende Hardwarekomponenten unterstützen virtuelle Firewalls und sind zu diesem Zweck derzeit im Campus im Einsatz:

Firewall Service Module (FWSM)

  • Modul für die Catalyst 6500er Serie
  • 5.5 Gbps, 256 VLANs pro virtueller Firewall
  • 1 Million Firewall Connections
  • 256.000 gleichzeitige NAT bzw. PAT Translations
  • Bis zu 250 virtuelle Firewalls

ASA-Service Module (ASA-SM)

  • Modul für die Catalyst 6500/6800er Serie
  • 10 Gbps, 1000 VLANs für alle aktiven virtuellen Firewall-Contexte
  • 10 Mio. gleichzeitige Verbindungen, 300.000 Verbindungen pro Sekunde (über alle Contexte)
  • Bis zu 250 virtuelle Firewalls

Adaptive Security Appliance (ASA)5520

  • Appliance mit 4x 1GE Ports                     
  • 450 Mbps Firewall troughput, 150 VLANs
  • 280.000 Firewall Connections
  • Bis zu 20 virtuelle Firewalls

Administration virtueller Firewalls

Die einzelnen virtuellen Firewalls werden unabhängig voneinander betrieben, sind also voll mandantenfähig. Mittels der virtuellen Firewalls wird eine klare Trennung der Verantwortlichkeiten zwischen den Instituten und dem ZIH erreicht:

  • Konfiguration der Sicherheitsanforderungen in der virtuellen Firewall durch die Institute
  • Betreuung und Überwachung der Firewall-Systemplattform und deren Infrastruktur durch das ZIH

Virtuelle Firewalls bieten für die Institute deutliche Vorteile:

  • keine Notwendigkeit für eigene Firewall-Hardware bei den Instituten
  • Pflege und Wartung für Firewall-Hardware entfällt und wird vom ZIH übernommen
  • Einsparpotentiale bei Ausfallsicherheit, wie z.B. Kosten für USV
  • Einsparpotentiale bei Stromkosten
  • Serverraumkapazitäten besser ausnutzbar
  • Hilfestellung und Support bei Fragen zur Firewall vom ZIH

Gebäude

Derzeit stehen in den folgenden Backbone-Routern zentral bereitgestellte Firewalls zur Verfügung, die jeweils folgende Gebäude abdecken:

Zeuner-Bau (ASA-SM)

  • Zeuner-Bau
  • Beyer-Bau
  • Berndt-Bau
  • Bürogebäude Strehlener Straße
  • Nürnberger Ei
  • Walther-Pauer-Bau
  • Jante-Bau
  • Kutzbach-Bau
  • Würzburger Str. 46
  • Falkenbrunnen
  • Mollier-Bau
  • Budapester Str. 27

Trefftz-Bau (ASA-SM)

  • Trefftz-Bau
  • von-Gerber-Bau
  • Hohe Straße 6
  • Willers-Bau
  • Physik, Zellescher Weg 16
  • Andreas-Schubert-Bau
  • BZW
  • Biologie-Gebäude
  • Mohr-Bau
  • Ludwig-Ermold-Str. 3
  • Seminargebäude 1
  • Seminargebäude 2
  • Chemie-Gebäude
  • Hempel-Bau
  • König-Bau
  • Müller-Bau
  • Mommsenstraße 5, 7 und 11
  • Weißbachstraße 7
  • Hörsaalzentrum
  • Hallwachsstraße 3

Barkhausen-Bau (ASA-SM)

  • Barkhausen-Bau
  • Binder-Bau
  • Georg-Schumann-Bau
  • Georg-Schumann-Str. 7
  • Görges-Bau
  • Heidebroek-Bau
  • Hülsse-Bau
  • Merkel-Bau
  • Mierdel-Bau
  • Mommsenstr. 13
  • Tillich-Bau
  • Töpler-Bau
  • VVT-Halle

Weberplatz (ASA-SM)

  • Gebäude Weberplatz
  • Drude-Bau
  • August-Bebel-Straße 18, 20

LZR (ASA-SM)

  • LZR
  • APB
  • Fetscherstraße 29

Marschnerstraße (ASA 5585-X)

Weitere Informationen

Weitere Informationen zu den Cisco Firewall-Produkten finden Sie hier:

Hilfe

Zu dieser Seite

ZIH Web
Letzte Änderung: 12.10.2017