Elosztott
tűzfal rendszer a Debreceni Egyetemen
Gál Zoltán, zgal@cis.unideb.hu
Karsay Andrea,
kandrea@cis.unideb.hu
Debreceni Egyetem, Informatikai
Szolgáltató Központ
Az egyetem HBONE/Internet
kapcsolata az elmúlt évben 2,5 Gbps-re növekedett. Mivel a városban az
intézmény campusai között jelentősen megnőtt az adatforgalom,
szükségessé vált a felhordó hálózat 100/155 Mbps átviteli sebességről a
Gbps tartományba való emelése.
A megnövekedett sávszélesség, az
utóbbi időben tapasztalt vírustámadások és betörési próbálkozások
szükségessé tették az egész egyetemi hálózat számára védelmet nyújtó
tűzfal felállítását. A HBONE router és az egyetemi MAN közé elhelyezett
tűzfal egy IBM RS/6000 szerveren futó IBM Firewall szoftver. Habár a
szerver gép gigabites interfészekkel rendelkezik, processzorának terheltsége és
a bonyolult szabályrendszer miatt tapasztalatunk szerint meglehetősen
leszűkült az intézmény Internet elérési sebessége.
A belső gerinchálózat
forgalmát a központban elhelyezett Cisco Catalyst 6506 router, illetve a
campusokon elhelyezett Cisco Catalyst 3550, gigabit interfészekkel
rendelkező, L3 switchek biztosítják. A debreceni campusok közötti
gigabites kapcsolatokat több, mint egy tucat L4 szinten szűrési
lehetőséggel rendelkező kapcsoló biztosítja. Ezen eszközök terheltsége
– tapasztaltunk szerint - a megnőtt forgalom ellenére is alacsony. Ez
lehetővé tette, hogy a tűzfal funkció számára szükséges védelmi
rendszert a célhálózatokhoz közelebb helyezzük, azaz a szűréseket a
campusok kapcsolódását biztosító switchek végezzék. Ezáltal az így kialakított
tűzfal rendszer nem egyetlen ponton védi az UDNet hálózatot az Internet
felől érzékelt támadásokkal szemben, hanem elosztott formában campusonként
fejti ki hatását.
Ez jelentősen csökkentette az
intézmény korábbi egyetlen tűzfal szerverének terheltségét, mivel ez csak
az intézmény gerinchálózati eszközeit védi. Ezáltal a szerver gép
áteresztő képessége lényegesen javul és lehetővé teszi a regionális
HBONE router közel 1 Gbps sebességű elérését. Ezen túlmenően az
elosztott tűzfal rendszer a campusok számára is nagyobb biztonságot nyújt,
mivel nem csak az Internet felől biztosít számukra védelmet, hanem a többi
campus irányából esetlegesen kezdeményezett támadásokat is kiszűri.
Az előadás a Debreceni
Egyetemen több, mint egy tucat Gigabit/sec szintű Cisco L3 kapcsoló
segítségével kialakított elosztott tűzfal rendszer gyakorlati
tapasztalatait mutatja be. Az előadásban az intézményi Gigabites felhordó
hálózat védelmi rendszerrel kibővített bővítési filozófiáját és
technikai megoldásait fogja részletezni. A bemutatásra kerülő
tapasztalatok lehetővé teszik, hogy más intézmények is a gerinchálózati
eszközeik egyébként szükséges bővítésénél az Interneten jelenleg kritikus
támadási problémakört hasonló módon hatékonyan lekezeljék.