Virtuelle Firewall

• Bereitstellung virtueller Firewalls für Institute und Einrichtungen der TU Dresden
• Nutzen: Schutz des institutsinternen Datennetzes gegen Angriffe aus dem Intranet (Campus) und dem Internet (Welt)
• Antrag auf Freischaltung in der Zentralen Firewall finden Sie im Self-Service-Portal
  (nur für IT-Administratoren der TU Dresden)

Leistungsumfang & Optionen

Leistungsumfang

• Unterstützung bei der Erstellung des Netz- und Firewallkonzeptes
• virtueller Firewallkontext vorkonfiguriert mit VLAN-Interfaces und Routingeinträgen für die betreffenden Netze

Optionen

• Erweiterung/Modifikation vorhandener Firewalls durch Hinzufügen neuer Interfaces
• Umbenennen der Firewallkontexte möglich (z. B. bei Änderung des Namens der Einrichtung)
• Migration der Virtuellen Firewall von einem Standort zum anderen (z.B. bei Umzug der Einrichtung in einen anderen Gebäudekomplex, s.u. "Gebäude")

Beantragung & Berechtigung

Beantragung

• Softwarebeschaffungsantrag"virtuelle Firewall" über Antragsformular kann durch den Leiter der Einrichtung, den offiziellen IT-Administrator bzw. über deren Sekretariat erfolgen
• Anfrage Service Desk durch den offiziellen IT-Adminsitrator (Absenderadresse @tu-dresden.de) der Einrichtung: Erarbeitung des Firewallkonzepts - Termin in Abstimmung mit dem ZIH

Berechtigung

• Berechtigter Anwender der Firewall ist der offizielle IT-Administrator
• Beauftragung der virtuellen Firewall ist durch den offiziellen IT-Administrator möglich, nachdem die Kosten in der Softwarebeschaffung abgerechnet wurden und das Firewallkonzept erstellt ist

Anmerkung: "offizieller IT-Administrator" ist der dem ZIH durch den Leiter der jeweiligen Einrichtung als IT-Administrator benannte Mitarbeiter der TU Dresden. Der IT-Administrator muss durch den Leiter der Einrichtung gemäß Rundschreiben  nachweislich auf das Datenschutzgeheimnis verpflichtet sein.

Mitwirkungspflichten & Voraussetzungen

• die virtuellen Firewalls werden in Eigenverantwortung durch die Einrichtung, vertreten durch den offiziellen IT-Administrator, betrieben
• der offizielle IT-Administrator ist Ansprechpartner für das ZIH
• die Sicherheit der Zugangsdaten zur Firewall sind durch den Betreiber zu gewährleisten

Abrechnung / Kosten

500,00 € je virtueller Firewall

Dienstqualität (Bereitstellungs- /Supportzeiten / Status)

Bereitstellungszeiten

ca. 4 Wochen

Supportzeiten

Es gelten die Öffnungszeiten des Service Desk.

Betriebszeit / Status

Rund um die Uhr verfügbar

Dienst in Betrieb? Betriebsstatus

Störung melden über den Service Desk:

© ZIH

Name

Service Desk

E-Mail senden

Eine verschlüsselte E-Mail über das SecureMail-Portal versenden (nur für TUD-externe Personen).

Kontaktinformationen

Webseite besuchen

Adresse work

Besuchsadresse:

Andreas-Pfitzmann-Bau, E036 Nöthnitzer Straße 46

01187 Dresden

Zeige Karte von diesem Ort.

Adresse postal

Postadresse:

Technische Universität Dresden Support Center Digitalisierung
Service Desk

01062 Dresden

work Tel.

Öffnungszeiten:

Montag bis Freitag:

08:00 - 19:00

Angebot virtuelle Firewall

Für Institute, die keine eigene Firewall-Systemplattform betreiben möchten, bietet das ZIH als Service die Nutzung einer zentral bereitgestellten Firewall-Systemplattform mit virtuellen Firewalls im jeweils zugehörigen zentralen Backbone-Bereich. Die Verwaltung und Konfiguration der virtuellen Firewall obliegt den jeweiligen Instituten. Das ZIH stellt eine einheitliche Firewall-Plattform zur Verfügung  und unterstützt sowie berät die Institute bei der Ersteinrichtung ihrer lokalen Sicherheitspolicy. Die virtuellen Firewalls ermöglichen die Fokussierung der verantwortlichen Administratoren auf die eigentliche Aufgabe, den Schutz des lokalen Netzes. 

Als Lösungsmöglichkeit für zentral bereitgestellte Firewalls ist die Technologie der virtuellen Firewalls ("security contexts") der Firma Cisco im Einsatz. Dazu wird eine physische Firewall, eine ASA Appliance, ein Firewall-Modul (ASA-SM) bzw. ein logisches ASA Device auf der Firepower, in mehrere virtuelle Firewalls aufgeteilt. Jede virtuelle Firewall ist unabhängig von den anderen virtuellen Firewalls, die auf derselben Hardware laufen. Jede virtuelle Firewall wird separat verwaltet und betrieben. Folgende Hardwarekomponenten unterstützen virtuelle Firewalls und sind zu diesem Zweck derzeit im Campus im Einsatz:

Firepower 4110 Logical ASA Device

• 8x1/10GE Ports
• 35 Gbps Firewall Throughput, 1024 VLANs
• 10 Mio. gleichzeitige Verbindungen, 150.000 neue Firewall Connections/sec
• Bis zu 250 virtuelle Firewalls auf dem Logical ASA Device

Firepower 4120 Logical ASA Device

• Appliance mit 8x1/10GE Ports
• 60 Gbps Firewall Throughput, 1024 VLANs
• 15 Mio. gleichzeitige Verbindungen, 250.000 neue Firewall Connections/sec
• Bis zu 250 virtuelle Firewalls auf dem Logical ASA Device

Administration virtueller Firewalls

Die einzelnen virtuellen Firewalls werden unabhängig voneinander betrieben, sind also voll mandantenfähig. Mittels der virtuellen Firewalls wird eine klare Trennung der Verantwortlichkeiten zwischen den Instituten und dem ZIH erreicht:

• Konfiguration der Sicherheitsanforderungen in der virtuellen Firewall durch die Institute
• Betreuung und Überwachung der Firewall-Systemplattform und deren Infrastruktur durch das ZIH

Virtuelle Firewalls bieten für die Institute deutliche Vorteile:

• keine Notwendigkeit für eigene Firewall-Hardware bei den Instituten
• Pflege und Wartung für Firewall-Hardware entfällt und wird vom ZIH übernommen
• Einsparpotentiale bei Ausfallsicherheit, wie z.B. Kosten für USV
• Einsparpotentiale bei Stromkosten
• Serverraumkapazitäten besser ausnutzbar
• Hilfestellung und Support bei Fragen zur Firewall vom ZIH

Gebäude

In der Liste der Routingbereiche sind die jeweils angebundenen Gebäude ersichtlich.
 

Konfiguration der virtuellen Firewalls auf Cisco ASA

• Konfigurationsoberfläche ASDM
• Standard-Freischaltungen
• Links zu Configuration Guides für ASA, ASA-SM:
  • ASA (und ASA-SM) ASDM Configuration Guide - Band1 General Operations
  • ASA (und ASA-SM) ASDM Configuration Guide - Band2
  • ASA ASDM Configuration Guide - Band3 VPN