Aktuelles Kontakt Über das RRZ Benutzung des RRZ Hinweise für Studierende Beratung und Hilfe IT-Sicherheit E-Mail Lehrangebot/Kurse Computer-Arbeitsplätze Drucken STiNE E-Learning Medienkompetenz Software-Angebot Internet, Kommunikation Hochschulnetz-Anschluss Anmeldung von Domains WLAN - ÖffNet - VPN Quarantäne-Netz E-Mail WWW File Transfer (FTP)News Betriebsregelungen Mailverteiler für Netzstatus Net-Policy der Uni-HH Ausführungsbestimmungen Private Notebooks Netzadministration Firewallkonzept Firewall am Internet Hörsäle im Internet Kongresse und Tagungen Kontakt WWW Server-Systeme Dokumenten-Management RRZN-Handbücher Bibliothekstechnik Telefondienste Projekte

Mandantenfähige Firewalls

Vorrangiges Ziel im Bereich der Netzwerksicherheit ist der Ausbau der mandantenfähigen Firewalls in Kombination mit einer zentral administrierten VPN-Einwahl. Dies stellt hohe Anforderungen an die Leistungsfähigkeit der eingesetzten Komponenten und kann aufgrund des hohen Gesamtdurchsatzes im UHH-Backbone nur durch spezialisierte Komponenten realisiert werden.

Damit soll es möglich sein, den einzelnen Bereichen/Instituten maßgeschneiderte Regelwerke für die Zugriffskontrolle auf Basis von mandantenfähigen Firewalls bereitzustellen. Als Netzprovider kann das RRZ somit den Bedürfnissen der Institute nachkommen (individuelle Regeln, lokale Administration) und gleichzeitig bei Problemen unterstützend eingreifen. Gleichzeitig ergeben sich diverse Synergieeffekte:

Vorkonfigurierte Mandate mit einem Mindestmaß an Sicherheit können den Instituten durch das RRZ zur individuellen Anpassung bereitgestellt werden.
Das RRZ behält die Kontrolle über alle Mandate („Supervisor“-Funktion) und kann so beratend/unterstützend bei der individuellen Konfiguration helfen und bei Konfigurationsfehlern durch die Mandanten kontrollierend eingreifen.
Das RRZ kann mehrere Mandate in Form von virtuellen Firewalls auf dafür hochspezialisierter Hardware bündeln. Der Gesamtdurchsatz (Filterleistung) kann so bedarfsorientiert und dynamisch unter den Mandaten aufgeteilt werden und lässt sich jederzeit an die tatsächlichen Verkehrsaufkommen anpassen.
Durch die Trennung der Regeln für die Zugriffskontrolle in unabhängige Mandate sind Fehler bei der Konfiguration (insbesondere unter dem Aspekt, dass diese Konfigurationsaufgaben an lokale Administratoren delegiert werden können) nicht mehr so gravierend wie bei monolithischen Lösungen: Fehlkonfigurationen in einem Mandat betreffen nur noch das jeweilige Teilnetz (Institut) und nicht mehr die gesamte Universität. Hieraus lässt sich unmittelbar eine Erhöhung der Verfügbarkeit ableiten, da Fehlkonfigurationen durchaus schon vorgekommen sind und auch in Zukunft nicht ausgeschlossen werden können.

Firewall-Mandate im Betrieb:

Seit Mitte 2005 werden an verschiedenen Stellen des UHH-Netzes Firewall-Mandate erfolgreich eingesetzt und kooperativ betrieben. Hierzu zählen folgende Bereiche:

Fakultät für Geisteswissenschaften (Standort VMP 6, Philturm)
Fakultät für Geisteswissenschaften: Department Orientalistik (Standort ESA1, Hauptgebäude und Flügel Ost)
Fakultät für Medizin: UKE, School of Life Science (Standort Stellingen)
MIN-Fakultät: Department Chemie
MIN-Fakultät: Department Physik (Standort Jungiusstraße)
WISO-Fakultät: Department Wirtschaftswissenschaften (Standort VMP5)
Regionales Rechenzentrum (mehrere Mandate)

AStA

ZNF (Carl Friedrich von Weizsäcker-Zentrum für Naturwissenschaft und Friedensforschung)

Weitere Installationen befinden sich derzeit in Vorbereitung. Bei Interesse an einem Firewall-Mandat für Ihren Bereich wenden Sie sich bitte an Herrn Gerrit Henken (-3098) oder Herrn Heino Peters (-6969).

Autor: Netzgruppe, Stand: 11.07.2007 11:12 Uhr


	Impressum