mPIX Dienstbeschrijving Versie
:
2.0
Datum
:
10 Mei 2007
Auteur
:
MH
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 2 van 11
Inhoudsopgave
1. Dienstbeschrijving ................................................................................... 3 1.1 Wat is een mPIX?.....................................................................................3 1.2 Verschillende mPIX vormen.......................................................................4 1.2.1 mPIX direct .......................................................................................4 1.2.2 mPIX VPN..........................................................................................4 1.2.3 mPIX VPN plus ...................................................................................4 1.3 Wat is het verschil tussen de mPIX en mPIX plus? .......................................4 1.4 De kenmerken van de mPIX en mPIX plus ..................................................5 1.5 Hoe werkt de mPIX?.................................................................................6 1.6 Hoe is de kwaliteit van de mPIX? ...............................................................7 1.7 Welk SLA biedt divinet.nl op de mPIX?........................................................7 2. Technische specificaties ........................................................................... 8 2.1 Beperkingen van de mPIX .........................................................................8 2.2 Basis inrichting van de mPIX .....................................................................9 2.3 Verantwoordelijkheden partner/klant..........................................................9 2.4 Beheer van de mPIX.................................................................................9 Bijlage 1: Service Level Agreement ............................................................ 10 Bijlage 2: Begrippenlijst ............................................................................ 11
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 3 van 11
Hoofdstuk 1 1. Dienstbeschrijving Oplossingen op het gebied van ICT worden steeds complexer. Bedrijven investeren massaal in automatisering van hun bedrijfsprocessen. Evenredig met de vraag naar oplossingen groeit ook de vraag naar veilige en betrouwbare oplossingen. Helaas blijkt ook steeds vaker dat beveiliging van sommige bedrijfsnetwerken niet optimaal geregeld is. Oplossingen op gebied van beveiliging zijn kostbaar en kennis is meestal niet voorhanden. Een goede beveiliging vraagt om grote investeringen en specialistische kennis. De grootste dreiging van een niet goed beveiligd netwerk is zonder meer de toegang die derden (hackers) verkrijgen tot het netwerk, en daarmee bedrijfsgevoelige informatie. Daarnaast zijn ook virussen, trojans en dialers een groot probleem voor organisaties. Deze dreigingen kunnen, indien de beveiliging niet optimaal is, complete netwerken plat leggen. Deze problemen kosten bedrijven jaarlijks miljarden euro’s. De mPIX dienst van divinet.nl voorziet in de behoefte van bedrijven voor een centrale firewall oplossing. Deze oplossing is gebaseerd op technologie van Cisco en bevat de functionaliteit van een enterprise oplossing. De mPIX is een complete firewall tegen lage maandlasten. Daarnaast heeft u geen zorgen over updates, performance, licensies en hardware aangezien deze door divinet.nl worden verzorgd. mPIX is de gecentraliseerde firewall met enterprise functionaliteit zonder zorgen, tegen lage maandkosten. 1.1 Wat is een mPIX? De mPIX is een complete firewall welke geheel door de partner (of klant) in te stellen is. De mPIX kan gebruikt worden om een IP-VPN met het internet te verbinden, maar kan ook gebruikt worden om meerdere IP-VPN’s of colocaties te koppelen. Het gebruik van de MPIX maakt het mogelijk om centraal de beveiliging van uw netwerk(en) te realiseren zonder de hoge kosten voor aanschaf van de apparatuur.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 4 van 11
1.2 Verschillende mPIX vormen De volgende mPIX oplossingen worden door divinet.nl geleverd: 1.2.1 mPIX direct Voor bedrijven die behoefte hebben aan een uitgebreide firewall op één verbinding biedt divinet.nl de mPIX direct aan. Deze mPIX wordt uitsluitend geleverd op één alleenstaande verbinding. Deze dienst is o.a. leverbaar op alle connectivity diensten zoals Fiber, ADSL, SDSL en Extended Ethernet. 1.2.2 mPIX VPN Voor bedrijven die behoefte hebben aan een uitgebreide firewall op meerdere verbindingen die in één IP-VPN wolk zitten, biedt divinet.nl de mPIX VPN aan. Deze mPIX VPN wordt geleverd in combinatie met een IP-VPN (voor meer informatie over IP-VPN, zie dienstbeschrijving IP-VPN). Deze dienst is o.a. leverbaar op alle connectivity diensten zoals Fiber, ADSL, SDSL en Extended Ethernet. 1.2.3 mPIX VPN plus Voor bedrijven die behoefte hebben aan een uitgebreide firewall op meerdere verbindingen die in één IP-VPN wolk zitten, biedt divinet.nl de mPIX VPN plus. De mPIX VPN plus komt overeen met de mPIX VPN maar biedt meer mogelijkheden en ondersteuningen. (Zie ‘1.3 Wat is het verschil tussen de mPIX’ en ‘mPIX plus en 1.4 Kenmerken van de mPIX en mPIX plus’.) Deze dienst is o.a. leverbaar op alle connectivity diensten zoals Fiber, ADSL, SDSL en Extended Ethernet. 1.3 Wat is het verschil tussen de mPIX en mPIX plus? De mPIX plus is de nieuwe generatie firewall van Cisco en biedt onder andere de volgende extra features t.o.v. de mPIX: •
• • • • •
Blokkering van programma’s die gebruik maken van het http protocol voor communicatie, zoals AOL Instant Messenger, Microsoft Messenger, Yahoo Messenger, peer-to-peer applications (zoals KaZaA en Gnutella), en andere applications (zoals GoToMyPC) Uitgebreide inspection rules op gebied van http en ftp waardoor misbruik van deze protocollen nog verder wordt voorkomen. Uitgebreide real time log viewer waarbij realtime op IP adres, woorden of poorten kan worden gefilterd. Time-based security policies Security policies kunnen nu tijdelijk worden aan- of uitgezet. Verbeterde ondersteuning voor PPTP, alleen tcp poort 1723 hoeft nog maar open.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 5 van 11
1.4 De kenmerken van de mPIX en mPIX plus Kenmerken mPIX / mPIX plus mPix Doorvoersnelheid van ~5 Gbps 1 miljoen concurrent sessies 100% gescheiden t.o.v. elkaar Per mPIX meerdere interfaces mogelijk Per interface een IP-VPN mogelijk Per MPIX recource management (voorkomt dat 1 mPIX alle recources verbruikt) URL filtering Inkomende en uitgaande security rules Java applet webinterface SSH en telnet beheer mogelijk DoS bescherming Logging naar syslog server Ondersteuning SNMP VOIP compatible Blokkering van programma’s die gebruik maken van http protocol Uitgebreide inspection rules voor http en ftp Uitgebreide real time log viewer Time-based security policy Security policies tijdelijk op enabled of disabled zetten Verbeterde ondersteuning PPTP
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
mPIX plus
Pagina 6 van 11
1.5 Hoe werkt de mPIX? Door het toepassen van een mPIX is het mogelijk een IP-VPN te combineren met een complete firewall. De mPIX kan door de partner (of klant) zelf ingesteld worden en divinet.nl hoeft alleen in de eerste opzet de toegang tot de mPIX te activeren. Hierdoor kunnen wijzigingen en toevoegingen direct en op ieder willekeurig moment doorgevoerd worden. De beleving van dit product is gelijk aan een lokale firewall, alleen zijn de investeringen en onderhoud hiervan voor de verantwoordelijkheid van divinet.nl.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 7 van 11
1.6 Hoe is de kwaliteit van de mPIX? Door het gebruik van hoogwaardige Cisco apparatuur is de kwaliteit van de dienst uitmuntend. Cisco heeft jarenlange expertise op het gebied van firewalls en heeft met de bestaande PIX (Private Internet eXchange) een groot aandeel in de firewall markt. De bewezen technology van de PIX is door Cisco gebruikt in de mPIX module zoals deze door divinet.nl gebruikt wordt. Hierdoor en door het divinet.nl backbone netwerk, is het mogelijk de dienst aan te bieden met de hoogste kwaliteit zoals deze van divinet.nl verwacht kan worden. Continu wordt het backbone netwerk van divinet.nl gemonitord en waar nodig wordt er (pro)actief gereageerd door divinet.nl. Door deze monitoring kan divinet.nl trends en analyses vergelijken en zodoende zorgen voor voldoende capaciteit. Het grote verschil van de mPIX t.o.v. andere oplossingen is dat er op klantlocatie geen extra apparatuur geplaatst hoeft te worden. Ook wordt al het verkeer door de firewall op een centrale locatie geleid en is het niet noodzakelijk iedere locatie te voorzien van een eigen firewall. Hierdoor heeft een IP-VPN wolk één security policy. Elke lokatie behoudt zijn maximale download bandbreedte, omdat de verbinding van de mPIX naar het internet maximaal is.
1.7 Welk SLA biedt divinet.nl op de mPIX? divinet.nl levert bij de mPIX een SLA Next business day. Een uitgebreide SLA vindt u terug in bijlage 1.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 8 van 11
Hoofdstuk 2 2. Technische specificaties De mPIX is een complete firewall welke eigenschappen als statefull packet inspection, (advanced) NAT, inkomende en uitgaande rules en de robuustheid van een Cisco Firewall combineert in 1 product. Een aantal aanvullende voordelen van dit product is het feit dat de hardware (en het onderhoud hierop) geregeld worden door divinet.nl. Tevens wordt het software onderhoud en de aanvullende contracten met Cisco door divinet.nl geregeld en hoeft de klant hiervoor verder niets te doen. Het operationeel beheer (security rules, NAT rules e.d.) wordt geheel door de partner (of klant) geregeld en kunnen realtime via de management interface ingegeven worden. De dienst wordt door divinet.nl geleverd en wordt direct in de backbone (op het Cisco 6500/7600 platform) d.m.v. de FireWall Service Modules aangeboden. Voordeel hiervan is dat de performance van de mPIX ongeëvenaard is (~5Gbps). 2.1 Beperkingen van de mPIX Doordat de mPIX blade zijn resources moet verdelen over de diverse mPIX firewalls, zijn er enkele functies die wel op een dedicated PIX en/of ASA firewall van Cisco bestaan, maar op de mPIX niet beschikbaar zijn. Dit heeft te maken met de intensieve CPU belasting die deze functies met zich mee brengen. Deze functies zijn: • •
IPSEC termination, dit wil zeggen dat een mPIX niet als eindpunt van een VPN verbinding kan dienen. PPTP of LT2P termination, dit wil zeggen dat een mPIX niet als een windows VPN server kan dienen.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 9 van 11
2.2 Basis inrichting van de mPIX Bij de bestelling van de mPIX zal divinet.nl een basis inrichting van de mPIX voornemen. De basis instellingen zijn: • mPIX mag beheerd worden vanuit het hele inside netwerk. Beheer vanuit outside staat default uit. • Echo en echo-reply staan default aan op de inside interface. • Echo-reply staat default aan op de outside interface. • Alle inside netwerken worden standaard naar het outside publieke IP adres vertaald van de mPIX bij verbindingen naar het internet. • Default mogen alle inside netwerken naar buiten op basis van IP adres. • Default staat alles naar binnen dicht. • Logging is default niet geconfigureerd. 2.3 Verantwoordelijkheden partner/klant De klant dient divinet.nl te voorzien van essentiële informatie voor de te leveren divinet.nl mPIX. De klant dient de volgende informatie aan te leveren: • De IP VPN waar de mPIX aan dient te worden gekoppeld. • De gebruikersnaam en het wachtwoord waarmee de partner of klant straks zijn mPIX gaat beheren. • Mochten er meer dan 1 publiek IP adres nodig zijn, dit graag in het opmerkingenveld plaatsen. • Als de mPIX vanuit buiten moet kunnen worden beheerd, dan ook graag het beheer IP adres in het opmerkingenveld noteren. Naast het voorzien van essentiële informatie is de klant na oplevering van de mPIX verantwoordelijk voor het beheren en inrichten van de mPIX. 2.4 Beheer van de mPIX Het beheren van de mPIX wordt door de klant gedaan. De mPIX is standaard te bereiken vanuit het inside netwerk door in de browser naar https://172.31.255.254 te gaan. Hier kunt u inloggen met de gebruikersnaam en wachtwoord dat u heeft door gegeven aan divinet.nl.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 10 van 11
Bijlage 1: Service Level Agreement Levertijden De levertijd van divinet.nl mPIX is één werkdag mits aan alle randvoorwaarden is voldaan zoals klant gegevens en het al aanwezige IP VPN. Support en storingen divinet.nl mPIX wordt geleverd met de volgende SLA: •
N (Beschikbaarheid = 99,6 % | SLA Next business day) De CSP kan iedere werkdag (maandag t/m vrijdag) tussen 09.00 en 17.00 uur een incident bij de supportdesk melden. De responstijd bedraagt binnen kantoortijden minder dan 4 uur.
Onderhoudsvenster Voor werkzaamheden rond de divinet.nl mPIX gelden de onderhoudsvensters zoals opgenomen in de eindgebruikersovereenkomst van divinet.nl.
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
Pagina 11 van 11
Bijlage 2: Begrippenlijst Onderstaande begrippen hebben dezelfde betekenis in zowel dienstbeschrijving, algemene voorwaarden en de overeenkomst: Eindgebruiker
Contractant van divinet.nl
ATM
Asynchronous Transfer Mode, technologie voor datacommunicatie
PVC
Permanent Virtual Circuit, methode om data te transporteren over ATM
CPE
Router/bridge bij de klant
IP-VPN
Gesloten virtual private netwerk
MPIX
Managed hosted Cisco PIX firewall
Interconnect telco’s
De connectie van de aan het divinet.nl-netwerk gekoppelde
SLA
Service Level Agreement
IS/RA punt
Het lokale punt waar het koperdraad een gebouw binnenkomt.
Local loop
Lijnverbinding vanaf de ISRA naar de wijkcentrale
QOS
Quality of Service
Copyright © divinet.nl 2007 www.divinet.nl –
[email protected]
