SURFfirewall aansluiten: meer dan een lampje verwisselen

De firewall is een centraal en vitaal onderdeel van de netwerkarchitectuur. Migreren naar een nieuwe firewall is daarom geen sinecure: je moet dat goed voorbereiden en plannen. Als technisch productmanager van SURFfirewall help ik instellingen die de dienst gaan gebruiken bij het migreren van hun oude lokale firewall naar de centrale firewall bij SURF. Hoe verloopt zo’n aansluittraject? Dat vertel ik je in deze blogpost.

Centrale firewall in Amsterdam

Het hart van SURFfirewall is een fysieke firewall die staat bij SURF in Amsterdam. Voor elke instelling die SURFfirewall afneemt configureren we specifieke ruimte op deze firewall. Het netwerkverkeer van de instelling gaat dus niet meer via een lokale firewall, maar via de centrale firewall bij SURF. Dat heeft nogal wat voordelen. Je hoeft als instelling zelf geen firewall meer aan te schaffen en ook niet te onderhouden. En misschien nog wel belangrijker: je hoeft niet 4 of 5 jaar vooruit te bedenken wat de capaciteit van de firewall moet zijn. Wil je meer verkeer langs de centrale firewall sturen, dan neem je gewoon meer capaciteit af bij SURFfirewall.

Iedere instelling is anders

Als technisch productmanager ben ik vanaf het begin nauw betrokken geweest bij de ontwikkeling van SURFfirewall. Ik heb ook een actieve rol bij het aansluiten van de instellingen die SURFfirewall afnemen. Zo’n actieve rol is nodig en die pak ik ook graag, want voor het aansluiten van SURFfirewall zijn de opties vrijwel eindeloos. Niet alleen omdat de dienst zoveel features biedt, maar ook omdat iedere instelling anders is. En dus andere wensen en eisen heeft. Dat is ook het leuke van zo’n aansluitproces.

Goed voorbereiden

We hebben in de afgelopen tijd de eerste instelling aangesloten: het verkeer van ROC Friese Poort verloopt inmiddels via de centrale firewall bij SURF. Zo’n aansluitproces moet je goed voorbereiden en goed overdenken. Je laat al je internetverkeer via een andere route lopen, dus het is iets anders dan even een lampje boven de wastafel vervangen. Daarnaast is dit een goed moment om je huidige netwerkarchitectuur te evalueren en aan te passen aan de hand van nieuwe inzichten.

Ontdekkend gesprek

De eerste stap is natuurlijk een ontdekkend gesprek met de instelling die SURFfirewall wil afnemen. We bespreken alle ins en outs van de dienst. Ik spreek daarvoor – samen met onze productmanager – met de IT-beheerder die over de firewall gaat, maar vaak ook met de IT-manager. We willen precies weten wat de instelling wil. We bespreken in deze verkennende fase onder andere: hoeveel verkeer wil de instelling via de centrale firewall laten lopen? Hoe verloopt de aansluiting? Wat doet SURF en wat moet de instelling zelf doen? En natuurlijk komen de kosten aan de orde.

It’s all about the details

Verloopt dit gesprek naar tevredenheid, dan stellen we een offerte op. Gaat de instelling daarmee akkoord, dan kunnen we aan de slag. We bepalen samen met de instelling wat de firewall moet kunnen, en hoe de firewall in de architectuur van de instelling moet worden ingebed. Daarvoor bespreken we met de instelling een aantal meer gedetailleerde onderwerpen: welke netwerksegmenten moeten precies langs de firewall geleid worden? Zijn er meerdere locaties die van de firewall gebruik gaan maken, en hoe moeten die gekoppeld worden? Wordt het verkeer tussen de firewall en het instellingsnetwerk statisch of dynamisch gerouteerd, en met welk protocol? Welke extra functies moeten geïnstalleerd worden in de firewallconfiguratie, denk aan DHCP-server, NAT of VPN-tunnelling?

SURFfirewall; Work in progress in het datacentrum in Amsterdam
SURFfirewall: work in progress in het datacentrum in Amsterdam

Configureren

Hebben we alle noodzakelijke aanpassingen in kaart, dan moet de instelling de architectuurwijzigingen in het eigen netwerk realiseren. Intussen bereidt SURF de centrale firewall in Amsterdam voor. We realiseren de nodigde circuits tussen de instelling en de firewall en zorgen ervoor dat de firewall verbonden is met het internet. 

De basis van de firewall staat dan. De instelling kan nu de regels voor de firewall configureren, evenals eventuele andere functionaliteiten, zoals een DHCP-server die op de firewall moet draaien.

Gefaseerd migreren

Het moment is daar dat er getest, en als dat succesvol verloopt, gemigreerd kan worden. Dit moet uiteraard met de nodige zorg gebeuren. Zoals gezegd: het is geen lampje boven de wastafel dat je vervangt. De mogelijke impact op het netwerk van eventuele fouten is groot en heeft gevolgen voor veel mensen. Veel onderdelen van het netwerk zijn immers afhankelijk van de firewall.

Een beproefde methode is om de migratie van het verkeer niet met een big bang, maar gefaseerd uit te voeren. Zo heeft ROC Friese Poort eerst een subset van het verkeer gemigreerd van de lokale naar de centrale firewall. Die nieuwe situatie is uitgebreid getest, waarbij gekeken is of alle regels goed geconfigureerd zijn en of het verkeer loopt zoals het moet lopen. Vervolgens heeft de instelling ook het andere verkeer omgeleid langs de nieuwe firewall. Uiteraard kijken we daarbij vanuit SURF mee, zodat we snel kunnen ingrijpen als er iets verkeerd mocht gaan.

Veel belangstelling

ROC Friese Poort heeft SURFfirewall sinds eind 2021 in productie, en op korte termijn nemen ook de eerste universiteit en umc de dienst in productie. Voor komende zomer staan ook al aansluittrajecten gepland en we zijn in gesprek met een aantal andere instellingen die serieuze belangstelling hebben voor SURFfirewall. We verwachten dus nog meer aansluittrajecten te starten dit jaar.

Meer weten?

Wil je meer weten over SURFfirewall? Kijk op de SURFfirewall-website of neem contact met mij op via eyle.brinkhuis@surf.nl.

Auteur

Reacties

Dit artikel heeft 0 reacties