Virtuelle Firewall
Inhaltsverzeichnis
- Bereitstellung virtueller Firewalls für Institute und Einrichtungen der TU Dresden
- Nutzen: Schutz des institutsinternen Datennetzes gegen Angriffe aus dem Intranet (Campus) und dem Internet (Welt)
- Antrag auf Freischaltung in der Zentralen Firewall finden Sie im Self-Service-Portal
(nur für IT-Administratoren der TU Dresden)
Leistungsumfang
- Unterstützung bei der Erstellung des Netz- und Firewallkonzeptes
- virtueller Firewallkontext vorkonfiguriert mit VLAN-Interfaces und Routingeinträgen für die betreffenden Netze
Optionen
- Erweiterung/Modifikation vorhandener Firewalls durch Hinzufügen neuer Interfaces
- Umbenennen der Firewallkontexte möglich (z.B. bei Änderung des Namens der Einrichtung)
- Migration der Virtuellen Firewall von einem Standort zum anderen (z.B. bei Umzug der Einrichtung in einen anderen Gebäudekomplex, s.u. "Gebäude")
Beantragung
- Softwarebeschaffungsantrag"virtuelle Firewall" über Antragsformular kann durch den Leiter der Einrichtung, den offiziellen IT-Administrator bzw. über deren Sekretariat erfolgen
- Anfrage Service Desk durch den offiziellen IT-Adminsitrator (Absenderadresse @tu-dresden.de) der Einrichtung: Erarbeitung des Firewallkonzepts - Termin in Abstimmung mit dem ZIH
Berechtigung
- Berechtigter Anwender der Firewall ist der offizielle IT-Administrator
- Beauftragung der virtuellen Firewall ist durch den offiziellen IT-Administrator möglich, nachdem die Kosten in der Softwarebeschaffung abgerechnet wurden und das Firewallkonzept erstellt ist
Anmerkung: "offizieller IT-Administrator" ist der dem ZIH durch den Leiter der jeweiligen Einrichtung als IT-Administrator benannte Mitarbeiter der TU Dresden. Der IT-Administrator muss durch den Leiter der Einrichtung gemäß Rundschreiben nachweislich auf das Datenschutzgeheimnis verpflichtet sein.
- die virtuellen Firewalls werden in Eigenverantwortung durch die Einrichtung, vertreten durch den offiziellen IT-Administrator, betrieben
- der offizielle IT-Administrator ist Ansprechpartner für das ZIH
- die Sicherheit der Zugangsdaten zur Firewall sind durch den Betreiber zu gewährleisten
500,00 € je virtueller Firewall
Bereitstellungszeiten
ca. 4 Wochen
Supportzeiten
Es gelten die Öffnungszeiten des Service Desk.
Betriebszeit / Status
Rund um die Uhr verfügbar
Dienst in Betrieb? Betriebsstatus
Störung melden über den Service Desk:
Service Desk
Eine verschlüsselte E-Mail über das SecureMail-Portal versenden (nur für TUD-externe Personen).
Besuchsadresse:
Andreas-Pfitzmann-Bau, E036 Nöthnitzer Straße 46
01187 Dresden
Postadresse:
Technische Universität Dresden
Support Center Digitalisierung
Service Desk
01062 Dresden
Öffnungszeiten:
- Montag bis Freitag:
- 08:00 - 19:00
Aus betrieblichen Gründen ist der Service Desk am 23.12.2024 nicht besetzt.
Angebot virtuelle Firewall
Für Institute, die keine eigene Firewall-Systemplattform betreiben möchten, bietet das ZIH als Service die Nutzung einer zentral bereitgestellten Firewall-Systemplattform mit virtuellen Firewalls im jeweils zugehörigen zentralen Backbone-Bereich. Die Verwaltung und Konfiguration der virtuellen Firewall obliegt den jeweiligen Instituten. Das ZIH stellt eine einheitliche Firewall-Plattform zur Verfügung und unterstützt sowie berät die Institute bei der Ersteinrichtung ihrer lokalen Sicherheitspolicy. Die virtuellen Firewalls ermöglichen die Fokussierung der verantwortlichen Administratoren auf die eigentliche Aufgabe, den Schutz des lokalen Netzes.
Als Lösungsmöglichkeit für zentral bereitgestellte Firewalls ist die Technologie der virtuellen Firewalls ("security contexts") der Firma Cisco im Einsatz. Dazu wird eine physische Firewall, eine ASA Appliance, ein Firewall-Modul (ASA-SM) bzw. ein logisches ASA Device auf der Firepower, in mehrere virtuelle Firewalls aufgeteilt. Jede virtuelle Firewall ist unabhängig von den anderen virtuellen Firewalls, die auf derselben Hardware laufen. Jede virtuelle Firewall wird separat verwaltet und betrieben. Folgende Hardwarekomponenten unterstützen virtuelle Firewalls und sind zu diesem Zweck derzeit im Campus im Einsatz:
Firepower 4110 Logical ASA Device
- 8x1/10GE Ports
- 35 Gbps Firewall Throughput, 1024 VLANs
- 10 Mio. gleichzeitige Verbindungen, 150.000 neue Firewall Connections/sec
- Bis zu 250 virtuelle Firewalls auf dem Logical ASA Device
Firepower 4120 Logical ASA Device
- Appliance mit 8x1/10GE Ports
- 60 Gbps Firewall Throughput, 1024 VLANs
- 15 Mio. gleichzeitige Verbindungen, 250.000 neue Firewall Connections/sec
- Bis zu 250 virtuelle Firewalls auf dem Logical ASA Device
Administration virtueller Firewalls
Die einzelnen virtuellen Firewalls werden unabhängig voneinander betrieben, sind also voll mandantenfähig. Mittels der virtuellen Firewalls wird eine klare Trennung der Verantwortlichkeiten zwischen den Instituten und dem ZIH erreicht:
- Konfiguration der Sicherheitsanforderungen in der virtuellen Firewall durch die Institute
- Betreuung und Überwachung der Firewall-Systemplattform und deren Infrastruktur durch das ZIH
Virtuelle Firewalls bieten für die Institute deutliche Vorteile:
- keine Notwendigkeit für eigene Firewall-Hardware bei den Instituten
- Pflege und Wartung für Firewall-Hardware entfällt und wird vom ZIH übernommen
- Einsparpotentiale bei Ausfallsicherheit, wie z.B. Kosten für USV
- Einsparpotentiale bei Stromkosten
- Serverraumkapazitäten besser ausnutzbar
- Hilfestellung und Support bei Fragen zur Firewall vom ZIH
Gebäude
In der Liste der Routingbereiche sind die jeweils angebundenen Gebäude ersichtlich.