Virtuelle Firewall

Informationen für potentielle und tatsächliche Betreiber von virtuellen Firewalls

Überblick

Das LRZ bietet für Institute und Organisationen im Münchner Wissenschaftsnetz (MWN) die Möglichkeit, eine virtuelle Firewall (VFW) auf LRZ-Hardware zu betreiben. Eine VFW besteht aus einem pfSense-Paar, das im Active-Passive-Modus betrieben wird. Aktive und passive pfSense sind sogenannte Virtuelle Maschinen (VM) und laufen jeweils auf eigenen ESXi-Hosts, die paarweise im MWN verteilt sind. Durch die Redundanz bei pfSense-Instanzen und ESXi-Hosts ist eine hohe Ausfallsicherheit gewährleistet. Die zu schützenden Subnetze werden über Virtuelle LANs (VLAN), einer logischen Netzschicht, zur jeweils zuständigen VFW geführt und dort gefiltert.

Ob eine VFW eingerichtet werden kann, hängt im Einzelfall von der jeweiligen Netztopologie ab und muß vorab geklärt werden.

Das LRZ stellt eine einfache Grundkonfiguration bereit, die der Verwalter des Instituts/der Organisation individuell anpassen muß.

Der Aufbau und Betrieb einer Firewall im Allgemeinen erfordert zumindest Grundkenntnisse in Datennetzen. Darüberhinaus ist eine regelmäßige Kontrolle der anfallenden Log-Daten wichtig, um die Funktion der Firewall sicherzustellen. Beides trifft natürlich auch auf eine VFW zu. Aus diesem Grund ist es von Vorteil, wenn eine virtuelle Firewall von einer größeren Organisationseinheit für ihre Mitglieder betrieben wird, z.B. von einer Fakultät für die einzelnen Lehrstühle. Knowhow und Personalresourcen für den Betrieb müssen dann nur an einer Stelle zentral vorhanden sein und belasten damit nicht jeden Lehrstuhl.


Einrichten einer virtuellen Firewall (Workflow)

Klärung der Netztopologie

Bevor eine virtuelle Firewall eingerichtet werden kann, muss die Netztopologie geklärt werden. Ansprechpartner ist zunächst der Netzverantwortliche vor Ort. Folgende Voraussetzungen müssen erfüllt sein:

  • Prinzip "1 Subnetz pro VLAN"
    Um diese Voraussetzung zu erfüllen, können weitere VLANs durch das LRZ eingerichtet werden.
  • Subnetz gehört vollständig dem(r) Institut/Organisation oder Teilhaber sind sich einig

Authentifizierung

Beantragen der virtuellen Firewall

Das Einrichten der VFW veranlasst der zukünftige VFW-Verwalter über das Servicedesk-Portal (Neuen Incident mit Service 'Firewalls' anlegen).

Der Incident muß folgende Informationen enthalten:

  • Name des(r) Institutes/Organisation
  • Lokaler Ansprechpartner (Telefon, E-Mail)
  • LRZ-Projekt
  • Interne(s) Subnetz(e)/VLAN(s) (später hinter der virtuellen Firewall)

Kurse/Schulungen

Wir bieten regelmäßig Schulungen für unsere eingesetzten Firewall-Lösungen an.


Online Dokumentation

LRZ-Anleitungen

pfSense-Dokumentation