Next-Generation Firewalls richtig einsetzen: Was Sie beachten sollten

Wenn Sie eine NGFW (Next-Generation Firewall) einsetzen wollen, müssen Sie unter Umständen das Design und die Architektur im Data Center anpassen.

Dieser Artikel behandelt

Firewalls

Immer mehr Unternehmen erwägen den Einsatz einer Next-Generation Firewall (NGFW). Aus diesem Grund müssen sich...

die Netzwerk-Teams mit potenziellen Änderungen im Hinblick auf das Design und die Firewall-Architektur innerhalb Ihrer Data-Center-Umgebungen auseinandersetzen. Um NGFWs optimal platzieren zu können, ist es extrem wichtig, die angemessenen Anwendungsfälle in Bezug auf Ihre Anforderungen zu kennen. Die häufigsten Szenarien für NGFW-Einsätze sind wie folgt:

  • NGFW als Firewall-Ersatz: Viele Firmen erwägen den Kauf einer NGFW, da die derzeitige Firewall-Infrastruktur das Lebensende erreicht (EOL / End of Life) oder die Lizenzen erneuert werden müssten. In diesen Fällen sitzt die NGFW-Plattform sehr wahrscheinlich an der Stelle, wo die Vorgänger-Firewall eingesetzt wurde. Genau wie bei einer herkömmlichen Firewall sind Redundanz und Load Balancing für den Datenverkehr (Cluster-fähig) von oberster Priorität.
  • NGFW als Ersatz für IPS: Unternehmen evaluieren NGFW-Geräte auch als Ersatz für existierende Intrusion-Prevention-System-Sensoren und -Infrastrukturen. Abhängig vom jeweiligen Modell, könnte der Einkauf etwas teurer sein. Brauchen Unternehmen allerdings eine zusätzliche Schicht für die Applikations-Überprüfung, ist das eine Überlegung wert. Das gilt vor allen Dingen dann, wenn grundlegende IPS-Funktionen an einer limitierten Anzahl an Einsatz-Orten verstärkt werden soll. Leider skalieren NGFW-Plattformen möglicherweise nicht so gut wie herkömmliche IPS-Infrastrukturen. Außerdem könnte eine solche Herangehensweise die Kosten beachtlich nach oben treiben. IPS-Plattformen setzt man in der Regel an Orten wie Eintrittspunkten, DMZ und hinter VPN-Plattformen ein. Stellen Sie sicher, dass die Next-Generation Firewall auch Fail-Open- oder Bypass-Mechanismen besitzt, damit Datenverkehr in Ausfallszenarien möglich ist. Aktiv-Aktiv- oder Aktiv-Passiv-Paarungen sind empfohlen, falls vorhanden.
  • NGFW als Firewall- und IPS-Ersatz: Wollen Unternehmen die Security-Infrastruktur verdichten oder straffen und haben möglicherweise EOL-Szenarien oder Lizenz-Erneuerungen anstehen, ist der Kauf einer NGFW aus betrieblicher Sicht sinnvoll. Kann eine einzige Plattform die Ansprüche einer Firma zufrieden stellen und gibt es zusätzliche Verteidigungs-Schichten, ist eine NGFW eine attraktive Option, um Kosten und Overhead im Hinblick auf das Management und die Wartung zu reduzieren. In diesem Szenario ist unter Umständen Netzwerk-Konsolidierung möglich, weil die Next-Generation Firewall mehrere Geräte ersetzen kann. Die Schlüsselüberlegungen in diesem Fall sind: a) Port-Dichte, b) Redundanz und Verfügbarkeit und c) aggregierter Durchsatz.
  • NGFW als zusätzliche Kontrolle: Sehen sich Unternehmen nach einer zusätzlichen Verteidigungsschicht um, bieten NGFW-Plattformen einige neue Security-Funktionen. Das gilt im Speziellen für Unternehmen, die eine zweite Firewall-Ebene oder einfach eine weitere Schutzschicht auslagern wollen. An welcher Stelle Ihrer Architektur die Plattform zum Einsatz kommt, hängt von den genutzten Funktionalitäten ab. Bei Anwender-Identifikation und passivem Monitoring können Sie die Geräte „Out of Band“ einsetzen und wenn notwendig auf Anzapfen (Tap) oder Spiegelung (Mirroring) setzen. Wollen Sie Blockier-Aktionen einsetzen, muss das Produkt in Reihe geschaltet sein (inline), damit der Traffic durch die Next-Generation Firewall fließt.

Eines der wichtigsten Attribute bei der Evaluierung einer Next-Generation Firewall sollte Geschwindigkeit sein. Intensive Datenverarbeitung und Analysen der durch die NGFW fließende Pakete und Latenz gehören zu den hauptsächlichen Bedenken. Viele Hersteller preisen Geschwindigkeiten von zehn GBit und mehr an. Allerdings sollten Sie das, wenn möglich, mit realem Datenverkehr aus einer produktiven Umgebung testen und sich erst danach für einen Kauf entscheiden. Das gilt im Speziellen, wenn Sie das Produkt inline verwenden. Wollen Sie mithilfe einer NGFW-Plattform SSL-Traffic (Secure Sockets Layer) untersuchen, muss sämtlicher SSL-Datenverkehr durch das System geroutet werden. Entweder realisieren Sie das durch den normalen Datenfluss, zapfen intelligent an oder verwenden sogenannte SSL Traffic Broker. Viele NGFW-Plattformen kämpfen mit erheblicher Latenz, wenn SSL-Entschlüsselung und -Inspektion aktiviert sind. Auf jeden Fall sollten Sie das vor einem Einsatz ausgiebig testen. Egal wo Sie eine Next-Generation Firewall einsetzen, sollten Sie immer den Datendurchsatz unter Last prüfen. Weiterhin schaden Clustering- und Redundanz-Möglichkeiten nicht.

Über den Autor:

Dave Shackleford ist der Eigentümer und leitender Consultant von Voodoo Security. Er hat bereits mehrere Hundert Unternehmen in den Bereichen Security, Compliance und Netzwerk-Architektur beraten. Zudem ist er erfahrener VMware-Experte für das Design und die Konfiguration von sicheren virtualisierten Umgebungen. Shackleford hat als CSO für Configuresoft, als CTO beim Center for Internet Security und für diverse Fortune-500-Unternehmen als Security-Architekt, Analyst und Manager gearbeitet. Er ist Autor des Buchs “Virtualization Security: Protecting Virtualized Environments” sowie Co-Autor von “Hands-On Information Security” von Course Technology. Er war ebenfalls als Co-Autor für die Erstausgabe des vom SANS-Institut entworfenen Kurses über Virtualisierungs-Security tätig. Derzeit ist er im Vorstand des SANS Technology Institutes und unterstützt die Leitung der Cloud Security Alliance.

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close