Navigatie
Dienst omschrijving
SURFfirewall-Basic biedt firewall capaciteit en functionaliteit aan instellingen. SURFfirewall “Basic” kan gezien worden als aanvullende dienst bovenop SURFinternet maar kan ook gezien worden als vervanging van een externe(perimeter) firewall bij de instellingen. SURF opereert een redundante Firewall cluster als basis voor deze dienst en regelt de integratie met SURFinternet. Daarnaast worden er beheersdiensten en expertise ingekocht.
Met de SURFfirewall-Basic dienst biedt SURF deelnemende instellingen de mogelijkheid om de SURFinternet verbinding te beveiligen met een moderne next-generation Firewall. De beschikbaarheid en het functioneren van deze firewall wordt geheel uit handen genomen en instellingen hoeven zich alleen nog bezig te houden met migratie, de configuratie en met de uitvoering van het beveiligingsbeleid (de firewallregels) en niet meer de inkoop, het onderhoud en schaling van hun firewall. Het is momenteel mogelijk om maximaal 5 virtual LANs (VLANs) of security zones (binnen instellingsnetwerk) te laten filteren door SURFfirewall.
De SURFfirewall-Basic wordt geleverd met volledig gelicenseerde (UTM, Unified Threat Management) functionaliteit van een FortiGate, een firewall van Fortinet. Dit is de maximale belasting voor een firewall en daarom minimaal haalbare doorvoersnelheid.
SURFfirewall Varianten
Basic
Bij de “Basic” variant zorgt SURF voor de technische infrastructuur buiten het netwerk van de Instelling: We stellen een verbinding beschikbaar op een al bestaande service poort van de instelling, en verzorgen vanaf hier de beveiliging en de internet verbinding. SURF zorgt ervoor dat de omgeving beschikbaar en bijgewerkt blijft en laat de omgeving regelmatig door een beveiligingsbureau testen.
Bij de beveiliging van het netwerk van de instelling wordt er vanuit gegaan dat de instelling hiervoor correcte beveiligingsregels opstelt middels de Firewall beheersportaal. Op maandelijkse basis levert SURF rapportage rondom het algemene functioneren van de firewall, die via E-mail zullen worden toegestuurd. Hierbij valt te denken aan de belasting van de firewall, maar ook de meest waargenomen bedreigingen op de internetverbinding van de instelling. Voor specifieke serviceniveaus verwijzen we verder naar de SLS pagina.
Managed
Op termijn zal een “Managed” variant beschikbaar komen met een tweede service niveau. Deze variant is nog in ontwikkeling. Op het moment dat deze beschikbaar komt, kunnen deelnemers een upgrade uitvoeren, zonder dat hier onderhoud op de dienst voor nodig is.
Technische Specificaties
Virtuele domeinen
Binnen het firewall cluster wordt voor iedere instelling een virtueel domein aangemaakt. Dit virtuele domein bevat de firewall en de beveiligingsregels en specifieke instellingen. Door gebruik te maken van virtuele domeinen is het zowel mogelijk om meerdere firewalls per instelling in te richten, als om per firewall meerdere instellingen aan te koppelen. Door het maximale verkeer wat door zo’n virtueel domein gaat te beperken op wat de instelling afneemt, wordt bovendien het risico op overbelasting bij een eventuele aanval verminderd.
Integratie met SURFinternet
De SURFfirewall-Basic dient als ‘edge’ of ‘border’ firewall, en ontsluit de instelling op een of meerdere locaties aan SURFinternet. Voor de instelling is de SURFfirewall het nieuwe koppelpunt geworden met het SURF netwerk: In plaats van met de SURF routers koppel je met de SURFfirewall middels BGP of eventueel statische routering. De SURFfirewall dienst is redundant opgezet, waardoor je altijd meerdere firewalls hebt en meerdere netwerkpaden, om eventuele verstoringen op te vangen.
Beveiligd beheer
Alleen geautoriseerde beheerders van de instelling hebben toegang tot de beheersportaal. Op het beheersportaal kun je inzicht krijgen in de huidge staat van de firewall, en de het firewallbeleid (de “rulebase”) veranderen, en deze actief maken op jullie firewall. De autorisatie voor de beheersportaal wordt gedaan door gebruik te maken van SURFconext. Zo zijn wij er zeker van dat alleen de gebruikers die vanuit de instelling toegang behoren te hebben, ook daadwerkelijk toegang krijgen. Wij zullen bij aanvragen van de eerste firewall bij een instelling contact opnemen met bij ons reeds bekende contactpersonen, om zo de eerste beheerder te bepalen. Hierbij nemen wij contact op met de ICP’s en SURFcert contactpersonen. Verdere beheerders worden door de eerste beheerder aangedragen. Mocht de eerste beheerder niet meer in dienst zijn, nemen wij weer contact op met de ICP’s en SURFcert contactpersonen.
Als een beheerder niet meer werkzaam is bij een instelling, is het de verantwoordelijkheid van de instelling om dit aan SURF door te geven. Wij zullen het beheerdersprofiel conform ons privacybeleid verwijderen. Natuurlijk werkt de toegang voor de beheerder niet meer zodra er middels SURFconext niet meer kan worden geauthenticeerd.
Opbouw van de connectiviteit
De dienst is opgebouwd uit een drietal delen:
- Een reguliere, redundante, SURFinternet verbinding, met daarop de DDoS filters aangeschakeld op standaard waarden.
- Een hoog-beschikbare firewall die middels BGP gekoppeld is aan de SURF routers.
- Een L2VPN, waarin de firewall redundant is gekoppeld, samen met de aangewezen SURF poorten van de instelling, waarbij de dienst wordt geleverd als VLAN op deze poort (max 5 VLANs).
Tarieven
De meest recente tariefinformatie is terug te vinden in de jaarlijkse tarievenbrief, via de SURF website, of via Klantsupport@surf.nl.
De tarieven kennen een eenmalige, vaste en flexibele component.
Aansluittraject
Service Level Specificatie
Zie hier de SLS voor SURFfirewall.