mPix firewall – Dienstbeschrijving
Oplossingen op het gebied van ICT worden steeds complexer. Bedrijven investeren massaal in automatisering van hun bedrijfsprocessen. Evenredig met de vraag naar oplossingen, groeit ook de vraag naar veilige en betrouwbare oplossingen.
Helaas blijkt ook steeds vaker dat beveiliging van bedrijfsnetwerken niet optimaal geregeld is. Oplossingen op gebied van beveiliging zijn kostbaar en kennis is meestal niet voorhanden. Een goede beveiliging vraagt om grote investeringen en specialistische kennis.
De grootste bedreiging voor een niet goed beveiligd netwerk is zonder meer de toegang die derden (bijvoorbeeld hackers) verkrijgen tot het netwerk, en daarmee tot bedrijfsgevoelige informatie. Daarnaast zijn ook virussen, trojans en dialers een groot probleem voor organisaties. Deze dreigingen kunnen, indien de beveiliging niet goed geregeld is, complete netwerken plat leggen. Deze problemen kosten bedrijven jaarlijks miljarden euro’s.
Onze mPIX service voorziet in de behoefte van bedrijven voor een centrale firewall oplossing. Deze oplossing is gebaseerd op technologie van Cisco en bevat de functionaliteit van een enterprise oplossing. De mPIX is een complete firewall tegen lage maandlasten. Daarnaast hebt u geen zorgen over updates, performance, licensies en hardware aangezien deze door Webcircuit worden verzorgd.
mPIX is de gecentraliseerde firewall met enterprise functionaliteit zonder zorgen, tegen lage maandkosten.
Wat is een mPIX?
De mPIX is een complete firewall welke geheel door een partner is in te stellen wanneer deze een eigen IT divisie heeft. Anders regelt Webcircuit deze zaken in (dit is doorgaans het geval). De mPIX kan gebruikt worden om een IP-VPN met het internet te verbinden, maar kan ook gebruikt worden om meerdere IP-VPN’s of colocaties te koppelen. Het gebruik van de MPIX maakt het mogelijk om centraal de beveiliging van uw netwerk(en) te realiseren zonder de hoge kosten voor aanschaf van de apparatuur.
Verschillende mPIX vormen
De volgende drie mPIX oplossingen worden door Webcircuit aangeboden:
– mPIX VPN
Voor bedrijven die behoefte hebben aan een uitgebreide firewall op meerdere verbindingen die in één IP-VPN wolk zitten, biedt Webcircuit de mPIX VPN aan. Deze mPIX VPN wordt geleverd in combinatie met een IP-VPN (voor meer informatie over IP-VPN, zie dienstbeschrijving IP-VPN). Deze dienst is leverbaar op alle connectivity diensten zoals Fiber, ADSL, SDSL en Extended Ethernet.
– mPIX VPN plus
Voor bedrijven die behoefte hebben aan een uitgebreide firewall op meerdere verbindingen die in één IP-VPN wolk zitten, biedt Webcircuit de mPIX VPN plus aan. De mPIX VPN plus komt overeen met de mPIX VPN maar biedt meer mogelijkheden en ondersteuningen. (Zie hierna: ‘Wat is het verschil tussen de mPIX’ en ‘mPIX plus’ en ‘Kenmerken van de mPIX en mPIX plus’). Deze dienst is leverbaar op alle connectivity diensten zoals Fiber, ADSL, SDSL en Extended Ethernet.
Wat is het verschil tussen de mPIX en mPIX plus?
De mPIX plus is de nieuwe generatie firewall van Cisco en biedt onder andere de volgende extra mogelijkheden ten opzichte van de mPIX:
• Blokkering van programma’s die gebruik maken van het http protocol voor communicatie, zoals AOL Instant Messenger, Microsoft MSN Messenger, Yahoo Messenger, peer-to-peer applications (zoals KaZaA en Gnutella), en andere applications (zoals GoToMyPC).
• Uitgebreide inspection rules op gebied van http en ftp waardoor misbruik van deze protocollen nog verder wordt voorkomen.
• Uitgebreide real time log viewer waarbij realtime op IP adres, woorden of poorten kan worden gefilterd.
• Time-based security policies.
• Security policies kunnen nu tijdelijk worden aan- of uitgezet. • Verbeterde ondersteuning voor PPTP, alleen tcp poort 1723 hoeft nog maar open.
Hoe werkt de mPIX?
Door het toepassen van een mPIX is het mogelijk een IP-VPN te combineren met een complete firewall. De mPIX kan door de partner’s IT divisie zelf ingesteld worden en Webcircuit hoeft alleen in de eerste opzet de toegang tot de mPIX te activeren. Hierdoor kunnen wijzigingen en toevoegingen direct en op ieder willekeurig moment van de dag doorgevoerd worden. De beleving van dit product is gelijk aan een lokale firewall, alleen zijn de investeringen en onderhoud hiervan voor de verantwoordelijkheid van Webcircuit.
Hoe is de kwaliteit van de mPIX?
Door het gebruik van hoogwaardige Cisco apparatuur is de kwaliteit van de dienst uitmuntend. Cisco heeft jarenlange expertise op het gebied van firewalls en heeft met de bestaande PIX (Private Internet eXchange) een groot aandeel in de firewall markt.
De bewezen technologie van de PIX is door Cisco gebruikt in de mPIX module zoals deze door Webcircuit gebruikt wordt. Hierdoor en door het Webcircuit backbone netwerk, is het mogelijk de dienst aan te bieden met de hoogste kwaliteit zoals deze van Webcircuit verwacht kan worden.
Continu wordt het backbone netwerk gemonitord en waar nodig wordt er (pro)actief gereageerd door Webcircuit. Door deze monitoring kan Webcircuit trends en analyses vergelijken en zodoende zorgen voor voldoende capaciteit.
Het grote verschil van de mPIX ten opzichte van andere oplossingen is dat er op klantlocatie geen extra apparatuur geplaatst hoeft te worden. Ook wordt al het verkeer door de firewall op een centrale locatie geleid en is het niet noodzakelijk iedere locatie te voorzien van een eigen firewall. Hierdoor heeft een IP-VPN wolk één security policy. Elke locatie behoudt zijn maximale download bandbreedte, omdat de verbinding van de mPIX naar het internet maximaal is.
Welke SLA biedt Webcircuitop de mPIX?
Webcircuit levert bij de mPIX een SLA Next business day. Een uitgebreide SLA vindt u terug in bijlage 1.
Technische specificaties
De mPIX is een complete firewall welke eigenschappen als statefull packet inspection, (advanced) NAT, inkomende en uitgaande rules en de robuustheid van een Cisco Firewall combineert in 1 product. Een aantal aanvullende voordelen van dit product is het feit dat de hardware (en het onderhoud hierop) geregeld worden door Webcircuit. Tevens wordt het software onderhoud en de aanvullende contracten met Cisco door Webcircuit geregeld en hoeft de klant hiervoor verder niets te doen. Het operationeel beheer (security rules, NAT rules e.d.) wordt geheel door de partner (of klant) geregeld en kunnen realtime via de management interface ingegeven worden.
De dienst wordt door Webcircuit geleverd en wordt direct aan de backbone (op het Cisco 6500/7600 platform) door middel van de Firewall Service Modules aangeboden. Voordeel hiervan is dat de performance van de mPIX ongeëvenaard is (~5Gbps). Er kunnen ongeveer één miljoen concurrent sessies opgebouwd worden (100.000 sessies p/s).
Beperkingen van de mPIX
Doordat de mPIX blade zijn resources moet verdelen over de diverse mPIX firewalls, zijn er enkele functies die wel op een dedicated PIX en/of ASA firewall van Cisco bestaan, maar op de mPIX niet beschikbaar zijn. Dit heeft te maken met de intensieve CPU belasting die deze functies met zich mee brengen.
Deze functies zijn:
• IPSEC termination, dit wil zeggen dat een mPIX niet als eindpunt van een VPN verbinding kan dienen.
• PPTP of LT2P termination, dit wil zeggen dat een mPIX niet als een Windows VPN server kan dienen.
Basisinrichting van de mPIX
Bij de bestelling van de mPIX zal Webcircuit een basis inrichting van de mPIX voornemen. De basis instellingen zijn:
• mPIX mag beheerd worden vanuit het hele inside netwerk. Beheer vanuit outside staat default uit.
• Echo en echo-reply staan default aan op de inside interface. • Echo-reply staat default aan op de outside interface.
• Alle inside netwerken worden standaard naar het outside publieke IP adres
vertaald van de mPIX bij verbindingen naar het internet.
• Default mogen alle inside netwerken naar buiten op basis van IP adres.
• Default staat alles naar binnen dicht.
• Alle private ranges worden standaard naar binnen gerouteerd.
• Logging is default niet geconfigureerd.
• 2 interfaces ( inside (security 100), outside (security 0))
Verantwoordelijkheden eindgebruiker
Webcircuit voorziet de eindgebruiker van essentiële informatie voor de te leveren Webcircuit mPIX. De eindgebruiker krijgt de volgende informatie aangeleverd:
• De IP VPN waar de mPIX aan dient te worden gekoppeld.
• De gebruikersnaam en het wachtwoord waarmee de mPIX zal worden beheerd. Deze dient zorgvuldig te worden bewaard.
• Mocht er meer dan één publiek IP adres nodig zijn, dan wordt dit door Webcircuit ingeregeld.
Beheer van de mPIX
Het beheren van de mPIX wordt door Webcircuit gedaan.
Levertijden
De levertijd van Webcircuit mPIX is één werkdag mits aan alle randvoorwaarden is voldaan.
Support en storingen
Webcircuit mPIX wordt geleverd met de volgende SLA:
• N (Beschikbaarheid = 99,6 % | SLA Next business day) De klant kan iedere werkdag (maandag t/m vrijdag) tussen 09.00 en 17.00 uur een incident bij de supportdesk melden. De responstijd bedraagt binnen kantoortijden minder dan 4 uur.
Onderhoudsvenster
Voor werkzaamheden rond de Webcircuit mPIX gelden de onderhoudsvensters zoals opgenomen in de eindovereenkomst van Webcircuit.
Begrippenlijst
Onderstaande begrippen hebben dezelfde betekenis in zowel dienstbeschrijving, algemene voorwaarden en een overeenkomst:
ATM – Asynchronous Transfer Mode, technologie voor datacommunicatie
CPE – Router/bridge bij de klant
Eindgebruiker – Contractant van Webcircuit
Interconnect – De connectie van de aan het Webcircuit-netwerk gekoppelde telco’s
IP-VPN – Gesloten virtual private netwerk
IS/RA punt – Het lokale punt waar het koperdraad een gebouw binnenkomt
Local loop – Koperverbinding vanaf het ISRA naar de wijkcentrale
MPIX – Managed hosted Cisco PIX firewall
PVC – Permanent Virtual Circuit, methode om data te transporteren over ATM
QOS – Quality of Service
SLA – Service Level Agreement