Hochschul Rechenzentrum: Anleitung

Campus Gengenbach
Klosterstraße 14, 77723
Campus Offenburg
Badstraße 24, 77652
Seiteninhalt
Freischaltung von Diensten in der Firewall
Allgemeine Konfiguration der zentralen Firewall
Besonderheiten bei FTP Verbindungen
Reverse Proxy einrichten
Freischaltung von Diensten in der Firewall
Im Tab Service Desk kann die Freischaltung von IP-Adressen und Diensten in der zentralen Firewall beantragt
werden. Unter Berücksichtigung der erlaubten Verbindungen im u.s. Abschnitt "Allgemeine Konfiguration der
zentralen Firewall" sind folgende Freischaltungen möglich:
Zielnetz DMZ (3)
als Internetserver für alle
als FuL Server nur für Clients im VPN (2) und Authnet
-> Zugang nur für Angehörige der HSO
Zielnetz FuL Server (4)
als FuL Server für Clients im VPN (2) und Authnet
-> Zugang nur für Angehörige der HSO
Wichtig: Internetserver dürfen nach Vorgabe der Hochschulleitung nicht ohne Genehmigung des
Informationszentrums freigeschaltet werden! Der Workflow für die Genehmigung ist im Antragsformular integriert.
Nach oben
Allgemeine Konfiguration der zentralen Firewall
Im Hochschulnetz ist die Firewall Funktionalität auf einer zentralen Hardware implementiert. Für eingehende
Verbindungen sind Whitelists für ausgehende Blacklists installiert. Im folgenden ist dokumentiert, welche
Verbindungen durch Firewalls kontrolliert werden und welche Dienste auf diesen Verbindungen zugelassen sind.
Es sind nur die anwenderrelevanten Verbindungen und Dienste aufgeführt. Nicht dargestellt sind z.B. die
Verkehrsbeziehungen zwischen DMZ und Intranet sowie zum Verwaltungsnetz. Einige Verbindungen und
Dienste sind nur über VPN oder aus Netzen mit Authentifizierung (Authnet) möglich und somit auf Mitglieder oder
Gäste der Hochschule beschränkt. Für den uneingeschränkten Zugang zum FuL Intranet ist eine Intranet
Freischaltung für VPN erforderlich (nur auf Antrag).
Übersicht der erlaubten Verbindungen
Die Nummerierung bezieht sich auf die Abschnitte in der Detail-Liste.
Pfeile geben die Richtung des Verbindungsaufbaus an
Detail-Liste der erlaubten Verbindungen
Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer
Campus-Benutzerkennung an.
https://rz.hs-offenburg.de/servicekatalog/campus-netz/firewall/anleitung/?no_cache=1
31 Okt 2017 00:32:55
1/2
Campus Gengenbach
Klosterstraße 14, 77723
Campus Offenburg
Badstraße 24, 77652
Nach oben
Besonderheit bei FTP Verbindungen
Nach dem erfolgreichen Einloggen auf dem FTP-Server wird zum Datentransfer - dazu zählt bereits das Anzeigen
der vorhandenen Dateien - eine zweite Verbindung aufgebaut. Diese Datenverbindung wird im "active mode" vom
Server und im "passive mode" vom Client initiiert. Der "passive mode" wird heute bei der Firewallkonfiguration
bevorzugt, weil der Verbindungsaufbau zum Datentransfer wie zum Einloggen in Client-Server Richtung erfolgt und
damit einfacher zu kontrollieren ist. Entspricht die Client-Einstellung nicht der Firewall-Einstellung, kann man sich
zwar erfolgreich einloggen, aber eine Anzeige oder eine Übertragung der Dateien wird von der Firewall verhindert.
Wählen Sie als Standardeinstellung den "passive mode" !
Testen Sie gegebenenfalls auch den "active mode" !
Ein Datentransfer ist unmöglich, wenn folgende Umstände zusammentreffen:
älteres Client-Programm mit Voreinstellung "active mode"
keine Umschaltmöglichkeit active/passive
die beiden Firewalls im Client- und im Servernetz lassen nur unterschiedliche Modi zu
Nach oben
Reverse Proxy einrichten
Das Rechenzentrum betreibt mehrere Reverse-Proxy-Server, die folgende Protokolle zu Webservern (Apache,
Tomcat, IIS) im DMZ weiterleiten.
http (Port 80)
https (Port 443)
Tomcat (Port 8080 bzw. 8009)
Der DNS-Eintrag für die eigentliche Zielseite z.B. ziel.hs-offenburg.de zeigt auf den Reverse Proxy und dieser
leitet folglich auf die Adresse z.B. eigentliches-ziel.rz.hs-offenburg.de weiter.
Diese Verbindung wird durch die Firewall zugelassen und ist zu den Richtlinien des BSI konform.
Im Tab Service Desk können Sie die Freischaltung eines Dienstes über den Reverse Proxy beantragen.
Nach oben
https://rz.hs-offenburg.de/servicekatalog/campus-netz/firewall/anleitung/?no_cache=1
31 Okt 2017 00:32:55
2/2