Elosztott tűzfal rendszer a Debrceni Egyetemen

Elosztott tűzfal rendszer a Debreceni Egyetemen

Gál Zoltán, zgal@cis.unideb.hu

Karsay Andrea, kandrea@cis.unideb.hu

Debreceni Egyetem, Informatikai Szolgáltató Központ

Az egyetem HBONE/Internet kapcsolata az elmúlt évben 2,5 Gbps-re növekedett. Mivel a városban az intézmény campusai között jelentősen megnőtt az adatforgalom, szükségessé vált a felhordó hálózat 100/155 Mbps átviteli sebességről a Gbps tartományba való emelése.

A megnövekedett sávszélesség, az utóbbi időben tapasztalt vírustámadások és betörési próbálkozások szükségessé tették az egész egyetemi hálózat számára védelmet nyújtó tűzfal felállítását. A HBONE router és az egyetemi MAN közé elhelyezett tűzfal egy IBM RS/6000 szerveren futó IBM Firewall szoftver. Habár a szerver gép gigabites interfészekkel rendelkezik, processzorának terheltsége és a bonyolult szabályrendszer miatt tapasztalatunk szerint meglehetősen leszűkült az intézmény Internet elérési sebessége.

A belső gerinchálózat forgalmát a központban elhelyezett Cisco Catalyst 6506 router, illetve a campusokon elhelyezett Cisco Catalyst 3550, gigabit interfészekkel rendelkező, L3 switchek biztosítják. A debreceni campusok közötti gigabites kapcsolatokat több, mint egy tucat L4 szinten szűrési lehetőséggel rendelkező kapcsoló biztosítja. Ezen eszközök terheltsége - tapasztaltunk szerint - a megnőtt forgalom ellenére is alacsony. Ez lehetővé tette, hogy a tűzfal funkció számára szükséges védelmi rendszert a célhálózatokhoz közelebb helyezzük, azaz a szűréseket a campusok kapcsolódását biztosító switchek végezzék. Ezáltal az így kialakított tűzfal rendszer nem egyetlen ponton védi az UDNet hálózatot az Internet felől érzékelt támadásokkal szemben, hanem elosztott formában campusonként fejti ki hatását.

Ez jelentősen csökkentette az intézmény korábbi egyetlen tűzfal szerverének terheltségét, mivel ez csak az intézmény gerinchálózati eszközeit védi. Ezáltal a szerver gép áteresztő képessége lényegesen javul és lehetővé teszi a regionális HBONE router közel 1 Gbps sebességű elérését. Ezen túlmenően az elosztott tűzfal rendszer a campusok számára is nagyobb biztonságot nyújt, mivel nem csak az Internet felől biztosít számukra védelmet, hanem a többi campus irányából esetlegesen kezdeményezett támadásokat is kiszűri.

Az előadás a Debreceni Egyetemen több, mint egy tucat Gigabit/sec szintű Cisco L3 kapcsoló segítségével kialakított elosztott tűzfal rendszer gyakorlati tapasztalatait mutatja be. Az előadásban az intézményi Gigabites felhordó hálózat védelmi rendszerrel kibővített bővítési filozófiáját és technikai megoldásait fogja részletezni. A bemutatásra kerülő tapasztalatok lehetővé teszik, hogy más intézmények is a gerinchálózati eszközeik egyébként szükséges bővítésénél az Interneten jelenleg kritikus támadási problémakört hasonló módon hatékonyan lekezeljék.