Firewallkonzept
Vorrangiges Ziel im Bereich der Netzwerksicherheit ist der Ausbau der mandantenfähigen Firewalls in Kombination mit einer zentral administrierten VPN-Einwahl. Dies stellt hohe Anforderungen an die Leistungsfähigkeit der eingesetzten Komponenten und kann aufgrund des hohen Gesamtdurchsatzes im UHH-Backbone nur durch spezialisierte Komponenten realisiert werden.
Damit soll es möglich sein, den einzelnen Bereichen/Instituten maßgeschneiderte Regelwerke für die Zugriffskontrolle auf Basis von mandantenfähigen Firewalls bereitzustellen. Als Netzprovider kann das RRZ somit den Bedürfnissen der Institute nachkommen (individuelle Regeln, lokale Administration) und gleichzeitig bei Problemen unterstützend eingreifen. Gleichzeitig ergeben sich diverse Synergieeffekte:
-
Vorkonfigurierte Mandate mit einem Mindestmaß an Sicherheit können den Instituten durch das RRZ zur individuellen Anpassung bereitgestellt werden.
-
Das RRZ behält die Kontrolle über alle Mandate (Supervisor-Funktion) und kann so beratend/unterstützend bei der individuellen Konfiguration helfen und bei Konfigurationsfehlern durch die Mandanten kontrollierend eingreifen.
-
Das RRZ kann mehrere Mandate in Form von virtuellen Firewalls auf dafür hochspezialisierter Hardware bündeln. Der Gesamtdurchsatz (Filterleistung) kann so bedarfsorientiert und dynamisch unter den Mandaten aufgeteilt werden und lässt sich jederzeit an die tatsächlichen Verkehrsaufkommen anpassen.
-
Durch die Trennung der Regeln für die Zugriffskontrolle in unabhängige Mandate sind Fehler bei der Konfiguration (insbesondere unter dem Aspekt, dass diese Konfigurationsaufgaben an lokale Administratoren delegiert werden können) nicht mehr so gravierend wie bei monolithischen Lösungen: Fehlkonfigurationen in einem Mandat betreffen nur noch das jeweilige Teilnetz (Institut) und nicht mehr die gesamte Universität. Hieraus lässt sich unmittelbar eine Erhöhung der Verfügbarkeit ableiten, da Fehlkonfigurationen durchaus schon vorgekommen sind und auch in Zukunft nicht ausgeschlossen werden können.