Firma Dr. Claus Fischer

Firma Projekte Produkte Expertise Kontakt Intern Privat

Redundantes ausfallssicheres Internet-Gateway

Funktionalität

Die Standard-Operationseinheit besteht aus vier PC's mit paarweise redundanter Funktionalität. Ein gleichartiger funktionaler Block wird im Hauptquartier und in allen Nebenstellen eingesetzt. Die Konfiguration ist symmetrisch; Administration kann in allen Außenstellen erfolgen und die Daten werden automatisch synchronisiert. Das erlaubt den Betrieb ohne Systemadministratoren in den Außenstellen.

Jede Operationseinheit ist autonom; wenn eine Außenstelle die Verbindung ins Internet verliert, betrifft das die anderen Außenstellen nicht. Aufsetzen und Integration neuer Außenstellen ist vergleichsweise einfach.

Die Installation löst das bisherige Frame Relay ab und spart beträchtliche Kosten; gleichzeitig wird die Funktionalität stark erweitert.

Eine restriktive Firewall, zusammen mit der Verwendung von Proxy-Servern, stellt eine doppelte Sicherheitsbarriere dar. Virenscanner und automatische Systemüberwachung schützen die inneren Netzwerke.

Design-Anforderungen

Zentrale Administration

Die gesamte Administration kann zentral erfolgen. In den Außenstellen ist kein geschultes Personal erforderlich. Alle Berechtigungen können einheitlich eingestellt werden.

Autonomer Betrieb

Bei einem Stromausfall oder einer Störung der Internet-Verbindung in einer Außenstelle oder der Zentrale funktioniert das System in den anderen Außenstellen weiter. Alle dazu notwendigen Daten sind in jeder Außenstelle lokal vorhanden.

Einfache Hardware-Wartung

Defekte Hardware kann einfach von der Zentrale aus ersetzt werden. Die Vorgangsweise ist folgende:

• Aufsetzen eines neuen PC's, Installation eines Images
• Einstellen weniger Parameter für die Außenstelle
• Einstellen der Stromversorgung (110/240V)
• Markieren der Anschlüsse mit Farben, um den Einbau eindeutig zu gestalten
• PC an die Außenstelle schicken

Wenn der Computer in der Außenstelle angeschlossen wird, synchronisiert er automatisch die Daten mit dem anderen Server/der anderen Firewall. Der Hardwaretausch unterliegt keinem Zeitdruck, weil das System auch mit nur einem Server bzw. nur einer Firewall funktioniert.

Standard-Komponenten

Alle Software außer dem Virenscanner sind Standardprodukte freier Software und können ohne Kosten bzw. Lizenzprobleme dupliziert werden. Alle Hardware-Komponenten sind industrielle Standard-PC's.

Geringe benötigte Bandbreite

Die Datensynchronisation wird mit bandbreiteneffizienten Protokollen durchgeführt.

Architektur

Ein Firewall-PC ist Endpunkt von mehreren VPN-Verbindungen, welche ihn mit allen Firewalls aller anderen Außenstellen verbinden. Beide Firewalls können als Absicherung an unterschiedliche Internet-Provider angeschlossen werden. Die Firewalls erkennen automatisch tote Verbindungen und ändern die Route entsprechend.

Der Firewall-PC hat auch die Funktion einer Firwall mit NAT (Network Address Translation) für die dahinterliegenden Server. Firewall-Logs werden zu den Servern weitergeleitet zur Evaluation.

Der Server-PC implementiert alle typischen Netzwerk-Services, das sind ein Mail Server mit Virusscanner und IMAP-Service, ein Internet Proxy für HTTP und FTP, Time Server und Name Server (NTP und DNS), ein Intranet-Web-Server mit gruppenspezifischen Bereichen, und ein LDAP-Server.

Der Intranet-Server enthält ein webbasiertes Administrationsinterface zur Verwaltung der Benutzerdaten und -berechtigungen für verschiedene firmenspezifische Bereiche. Er bietet auch ein Webmail-Interface für Benutzer, die das einem E-Mail-Client vorziehen.

Die Daten werden zwischen den Servern automatisch abgeglichen, sowohl innerhalb einer Außenstelle als auch zwischen den einzelnen Außenstellen.

Architektur-Überblick