Freischaltung von Diensten in der Firewall

Im Tab Service Desk kann die Freischaltung von IP-Adressen und Diensten in der zentralen Firewall beantragt werden. Unter Berücksichtigung der erlaubten Verbindungen im u.s. Abschnitt "Allgemeine Konfiguration der zentralen Firewall" sind folgende Freischaltungen möglich:

  • Zielnetz DMZ (3)

    • als Internetserver für alle
    • als FuL Server nur für Clients im VPN (2) und Authnet
      -> Zugang nur für Angehörige der HSO

  • Zielnetz FuL Server (4)

    • als FuL Server für Clients im VPN (2) und Authnet
      -> Zugang nur für Angehörige der HSO

Wichtig: Internetserver dürfen nach Vorgabe der Hochschulleitung nicht ohne Genehmigung des Informationszentrums freigeschaltet werden! Der Workflow für die Genehmigung ist im Antragsformular integriert.

To top


Allgemeine Konfiguration der zentralen Firewall

Im Hochschulnetz ist die Firewall Funktionalität auf einer zentralen Hardware implementiert. Für eingehende Verbindungen sind Whitelists für ausgehende Blacklists installiert. Im folgenden ist dokumentiert, welche Verbindungen durch Firewalls kontrolliert werden und welche Dienste auf diesen Verbindungen zugelassen sind. 

Es sind nur die anwenderrelevanten Verbindungen und Dienste aufgeführt. Nicht dargestellt sind z.B. die Verkehrsbeziehungen zwischen DMZ und Intranet sowie zum Verwaltungsnetz. Einige Verbindungen und Dienste sind nur über VPN oder aus Netzen mit Authentifizierung (Authnet) möglich und somit auf Mitglieder oder Gäste der Hochschule beschränkt. Für den uneingeschränkten Zugang zum FuL Intranet ist eine Intranet Freischaltung für VPN erforderlich (nur auf Antrag). 

Übersicht der erlaubten Verbindungen

  • Die Nummerierung bezieht sich auf die Abschnitte in der Detail-Liste. 
  • Pfeile geben die Richtung des Verbindungsaufbaus an 

Detail-Liste der erlaubten Verbindungen

Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.

To top


Besonderheit bei FTP Verbindungen

Nach dem erfolgreichen Einloggen auf dem FTP-Server wird zum Datentransfer - dazu zählt bereits das Anzeigen der vorhandenen Dateien - eine zweite Verbindung aufgebaut. Diese Datenverbindung wird im "active mode" vom Server und im "passive mode" vom Client initiiert. Der "passive mode" wird heute bei der Firewallkonfiguration bevorzugt, weil der Verbindungsaufbau zum Datentransfer wie zum Einloggen in Client-Server Richtung erfolgt und damit einfacher zu kontrollieren ist. Entspricht die Client-Einstellung nicht der Firewall-Einstellung, kann man sich zwar erfolgreich einloggen, aber eine Anzeige oder eine Übertragung der Dateien wird von der Firewall verhindert.

Wählen Sie als Standardeinstellung den "passive mode" !

Testen Sie gegebenenfalls auch den "active mode" !

Ein Datentransfer ist unmöglich, wenn folgende Umstände zusammentreffen:

  • älteres Client-Programm mit Voreinstellung "active mode"
  • keine Umschaltmöglichkeit active/passive
  • die beiden Firewalls im Client- und im Servernetz lassen nur unterschiedliche Modi zu

To top


Reverse Proxy einrichten

Das Rechenzentrum betreibt mehrere Reverse-Proxy-Server, die folgende Protokolle zu Webservern (Apache, Tomcat, IIS) im DMZ weiterleiten.

  • http (Port 80)
  • https (Port 443)
  • Tomcat (Port 8080 bzw. 8009)

Der DNS-Eintrag für die eigentliche Zielseite z.B. ziel.hs-offenburg.de zeigt auf den Reverse Proxy und dieser leitet folglich auf die Adresse z.B. eigentliches-ziel.rz.hs-offenburg.de weiter.

Diese Verbindung wird durch die Firewall zugelassen und ist zu den Richtlinien des BSI konform.

Im Tab Service Desk können Sie die Freischaltung eines Dienstes über den Reverse Proxy beantragen.

To top