Virtuelle Firewall
Inhaltsverzeichnis
- Bereitstellung virtueller Firewalls für Institute und Einrichtungen der TU Dresden
- Nutzen: Schutz des institutsinternen Datennetzes gegen Angriffe aus dem Intranet (Campus) und dem Internet (Welt)
- Antrag auf Freischaltung in der Zentralen Firewall finden Sie im Self-Service-Portal
(nur für IT-Administratoren der TU Dresden)
Angebot virtuelle Firewall
Für Institute, die keine eigene Firewall-Systemplattform betreiben möchten, bietet das ZIH als Service die Nutzung einer zentral bereitgestellten Firewall-Systemplattform mit virtuellen Firewalls im jeweils zugehörigen zentralen Backbone-Bereich. Die Verwaltung und Konfiguration der virtuellen Firewall obliegt den jeweiligen Instituten. Das ZIH stellt eine einheitliche Firewall-Plattform zur Verfügung und unterstützt sowie berät die Institute bei der Ersteinrichtung ihrer lokalen Sicherheitspolicy. Die virtuellen Firewalls ermöglichen die Fokussierung der verantwortlichen Administratoren auf die eigentliche Aufgabe, den Schutz des lokalen Netzes.
Als Lösungsmöglichkeit für zentral bereitgestellte Firewalls ist die Technologie der virtuellen Firewalls ("security contexts") der Firma Cisco im Einsatz. Dazu wird eine physische Firewall, eine ASA Appliance, ein Firewall-Modul (ASA-SM) bzw. ein logisches ASA Device auf der Firepower, in mehrere virtuelle Firewalls aufgeteilt. Jede virtuelle Firewall ist unabhängig von den anderen virtuellen Firewalls, die auf derselben Hardware laufen. Jede virtuelle Firewall wird separat verwaltet und betrieben. Folgende Hardwarekomponenten unterstützen virtuelle Firewalls und sind zu diesem Zweck derzeit im Campus im Einsatz:
Firepower 4110 Logical ASA Device
- 8x1/10GE Ports
- 35 Gbps Firewall Throughput, 1024 VLANs
- 10 Mio. gleichzeitige Verbindungen, 150.000 neue Firewall Connections/sec
- Bis zu 250 virtuelle Firewalls auf dem Logical ASA Device
Firepower 4120 Logical ASA Device
- Appliance mit 8x1/10GE Ports
- 60 Gbps Firewall Throughput, 1024 VLANs
- 15 Mio. gleichzeitige Verbindungen, 250.000 neue Firewall Connections/sec
- Bis zu 250 virtuelle Firewalls auf dem Logical ASA Device
Administration virtueller Firewalls
Die einzelnen virtuellen Firewalls werden unabhängig voneinander betrieben, sind also voll mandantenfähig. Mittels der virtuellen Firewalls wird eine klare Trennung der Verantwortlichkeiten zwischen den Instituten und dem ZIH erreicht:
- Konfiguration der Sicherheitsanforderungen in der virtuellen Firewall durch die Institute
- Betreuung und Überwachung der Firewall-Systemplattform und deren Infrastruktur durch das ZIH
Virtuelle Firewalls bieten für die Institute deutliche Vorteile:
- keine Notwendigkeit für eigene Firewall-Hardware bei den Instituten
- Pflege und Wartung für Firewall-Hardware entfällt und wird vom ZIH übernommen
- Einsparpotentiale bei Ausfallsicherheit, wie z.B. Kosten für USV
- Einsparpotentiale bei Stromkosten
- Serverraumkapazitäten besser ausnutzbar
- Hilfestellung und Support bei Fragen zur Firewall vom ZIH
Gebäude
In der Liste der Routingbereiche sind die jeweils angebundenen Gebäude ersichtlich.