Serviceoption Virtuelle Firewall

Das LRZ kann Institutionen die Nutzung einer mandantenfähigen virtuellen Firewall (vFW) anbieten. Die virtuellen Firewalls basieren auf pfsense und sind als virtuelle Maschinen auf Servern in den Kernnetzknoten realisiert. Pro Kunde werden zwei virtuelle Firewall-Instanzen realisiert, die auf verschiedenen Servern ausfallsicher betrieben werden. Die vFW bietet auch die Möglichkeit einen VPN-Server zu betreiben, um den Angehörigen der Institution die Möglichkeit zu geben, sich über unsichere Netze mit dem VPN-Server auf der vFW zu verbinden. Um diese Dienste nutzen zu können, bedarf es einer Mindestgröße des Netzes. Es müssen mehr als 8 IP-Adressen durch die Firewall geschützt werden. Außerdem müssen die Netze der Institutionen, die mit der vFW geschützt werden sollen, über VLANs an die vFW herangeführt werden. Dazu ist notwendig: 

• Konfigurieren des Netzes für den Einsatz einer vFW (VLAN) 
• Bereitstellung der vFW mit Standardeinstellung 
• Beratung des Nutzers bei der Konfiguration der vFW 

Nur Institutionen, die am MWN angeschlossen sind, können diesen Dienst nutzen.

Für die Konfiguration (außer Standardeinstellung) der vFW sowie des VPN-Servers ist der Nutzer selbst verantwortlich. Er kann die Standardeinstellung nutzen oder selbst die Konfiguration über eine Web-Schnittstelle oder Kommandozeile ändern. 

Einmalige Leistungen

• Konfigurieren des Netzes für den Einsatz einer vFW (VLAN) 
• Eintrag der Administratoren in die Berechtigungsdatenbank 
• Beratung des Nutzers bei der Konfiguration der vFW 
• Kosten für Hard- und Software 
• Gebühren für den laufenden Betrieb. 

Dauerhafte Leistungen

• Wartung der vFW (Software- und Hardware-Wartung) 
• Beratung des Nutzers

Wartungszeiten: Jeden Dienstag und Donnerstag von 7.00 bis 9.00 Uhr 

Der bereitgestellte Firewall-Dienst wird möglichst störungs- und unterbrechungsfrei betrieben. Zur Durchführung von geplanten Routinewartungen, Aufbau- und Installationsarbeiten sowie für Software- und Hardware-Aktualisierungen werden feste Wartungszeiten („Wartungsfenster“) reserviert. Wartungsfenster werden grundsätzlich nur bei Bedarf in Anspruch genommen unter Berücksichtigung der Anforderung, die Auswirkungen so gering wie möglich zu halten. 

Notfall-Wartungsmaßnahmen aus gegebenem Anlass (z.B. CERT Sicherheitshinweis) werden vom LRZ unverzüglich ausgeführt, um die Sicherheit des MWN zu gewährleisten. Über den Notfall und die durchgeführten Wartungsmaßnahmen, sowie deren voraussichtliche Dauer und den Zweck wird unverzüglich über entsprechend definierte Mechanismen informiert. 

Unterbrechungen (wann ungefähr, wie lange und welche Bereiche oder Dienste betroffen sind) werden mindestens einen Tag vorher bekannt gegeben. Die Ankündigungen von geplanten Arbeiten erfolgen über das LRZ Service Status Board (https://status.lrz.de). 

Bei Arbeiten an einzelnen Firewalls werden die betroffenen Kunden direkt per Mail informiert. 

Einrichtungszeiten: 2 Wochen nach Vorliegen aller Voraussetzungen 

Voraussetzungen sind z.B. die Einrichtung des zu schützenden Netzes mit VLAN, Eintrag der FW-Administratoren in die Berechtigungsdatenbank, Schulung der Administratoren.

Nur Institutionen, die am MWN angeschlossen sind, können diesen Dienst nutzen. Standorte außerhalb des MWN-Kernnetzes, die nicht über Ethernet an einem Kernnetzknoten des MWN angebunden sind (z.B. über Tunnellösungen), können nur in Ausnahmefällen mit einer Sonderkonfiguration angebunden werden.

Dieser Dienst wird den folgenden Nutzerklassen zur Verfügung gestellt. Hierbei sind von den einzelnen Nutzerklassen folgende Gebühren zu tragen:

Bei der Nutzung dieses Dienstes entstehen:

• Einmalige Gebühren für die Einrichtung der vFW
• Gebühren für den laufenden Betrieb, jährlich