Nicht alle Next-Generation Firewalls sind gleich. Was bei der Erstellung eines sicheren Application Delivery Network zu berücksichtigen ist

Ähnliche Dokumente
White Paper. Nicht alle Next-Generation Firewalls sind gleich.

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Speicher in der Cloud

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

WinVetpro im Betriebsmodus Laptop

teamsync Kurzanleitung

Informationen als Leistung

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Informationen zum neuen Studmail häufige Fragen

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Updatehinweise für die Version forma 5.5.5

Menschen und ihre Geschichten: Mit dem Fairtrade-Code können sich Verbraucherinnen und Verbraucher auf eine virtuelle Reise begeben vom Regal im

Whitepaper. Produkt: combit Relationship Manager. combit Relationship Manager und Terminalserver. combit GmbH Untere Laube Konstanz

Endpoint Web Control Übersichtsanleitung

Anleitung zur Nutzung des SharePort Utility

Informationsblatt: Advoware über VPN

WLAN Konfiguration. Michael Bukreus Seite 1

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Tutorial about how to use USBView.exe and Connection Optimization for VNWA.

Registrierung eines VPN-Zuganges ins Hamnet

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Anbindung des eibport an das Internet

2. Einrichtung der Verbindung zum Novell-NetStorage-Server

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Lizenzierung von SharePoint Server 2013

Terminabgleich mit Mobiltelefonen

Veröffentlichen von Apps, Arbeitsblättern und Storys. Qlik Sense Copyright QlikTech International AB. Alle Rechte vorbehalten.

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation.

facebook wie geht das eigentlich? Und was ist überhaupt Social media?

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

How-to: Webserver NAT. Securepoint Security System Version 2007nx

die wichtigsten online-tools für augenoptiker websites

Fragen und Antworten. Kabel Internet

Feiertage in Marvin hinterlegen

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Benachrichtigungsmöglichkeiten in SMC 2.6

Technische Grundlagen von Netzwerken

:: Anleitung Hosting Server 1cloud.ch ::

Anleitung zum Prüfen von WebDAV

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Gut vernetzt mit pflege.net der Homepage des Netzwerks

Wireless LAN PCMCIA Adapter Installationsanleitung

B12-TOUCH VERSION 3.5

Erst Lesen dann Kaufen

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Erfahrungen mit Hartz IV- Empfängern

Test zur Bereitschaft für die Cloud

Sächsischer Baustammtisch

Online Bestellsystem Bedienungsanleitung

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Mobile Intranet in Unternehmen

Lizenzierung von SharePoint Server 2013

INTERNET UND MMS MIT DEM QTEK2020 MARCO 28. MÄRZ 04

Wir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber!

Lizenzierung von System Center 2012

Übung - Konfigurieren einer Windows 7-Firewall

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

Multimedia und Datenkommunikation

UMSTELLUNG DER RÖNTGEN-SCHNITTSTELLE DÜRR-DBSWIN AUF DÜRR-VDDS

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

SCHNELLEINSTIEG FÜR HOSTED EXCHANGE BASIC / PREMIUM

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

Zwischenablage (Bilder, Texte,...)

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Vorgestellt vom mexikanischen Rat für Fremdenverkehr

STRATO Mail Einrichtung Mozilla Thunderbird

ANYWHERE Zugriff von externen Arbeitsplätzen

SWOT Analyse zur Unterstützung des Projektmonitorings

managed.voip Wir machen s einfach.

Tipps und Tricks zu den Updates

iphone- und ipad-praxis: Kalender optimal synchronisieren

ROFIN App Benutzerhandbuch. Version 1.0

Mobile professionelle Mitarbeiter

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Software- und Druckerzuweisung Selbstlernmaterialien

ecaros2 - Accountmanager

Guide DynDNS und Portforwarding

Konfigurieren mit Mozilla Thunderbird

Geld Verdienen im Internet leicht gemacht

Fallstudie HP Unified WLAN Lösung

Vodafone Conferencing Meeting erstellen

Notizen. 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS EINLEITUNG KONFIGURATIONSEINSTELLUNGEN VERTRAUENSWÜRDIGE SITES HINZUFÜGEN...

Informationsblatt Induktionsbeweis

Wir machen neue Politik für Baden-Württemberg

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

ITT AQUAVIEW WEB-Server. Kurzbedienungsanleitung

Sie haben diese Daten auch mobil dabei und synchron auf anderen Geräten! Sie haben eine Sicherheitskopie dieser Belege in einem Cloud-Speicher.

Transkript:

Nicht alle Next-Generation Firewalls sind gleich. Was bei der Erstellung eines sicheren Application Delivery Network zu berücksichtigen ist White Paper

Nicht alle Next-Generation Firewalls sind gleich. Über die Unterschiede zwischen Kundenanforderungen und Standardangeboten der Firewall-Branche. Oder: So wird ein sicheres Netzwerk für die Anwendungsbereitstellung erstellt ein Application Delivery Network. Von Dr. Klaus Gheri VP Network Security Barracuda Networks, Inc. Typische Gespräche über die Next-Generation Firewalls verlaufen in letzter Zeit in eine neue Richtung. Da Application Control und User Awareness immer mehr als Standard- Features angesehen werden, versuchen Firewall-Hersteller zur Zeit vor allem, sich im Bereich Advanced Threat Protection zu unterscheiden. Diese Advanced Threats sind tatsächlich ein drängendes Problem, aber es gibt noch sehr viele andere neue betriebliche und wirtschaftliche Herausforderungen für IT-Organisationen in einer Welt, in der Anwendungen zunehmend als Dienste in Anspruch genommen werden. Was ist eine Firewall? Eine Firewall ist sowohl Dreh- und Angelpunkt für die Durchsetzung von Sicherheitsrichtlinien als auch ein Router für die Netzwerkkommunikation. Darüber hinaus gibt es damit verbunden den wichtigen Aspekt, Applikationen verfügbar zu machen. In dieser Hinsicht ähnelt sie dem menschlichen Gehirn, in dem es zwei gleichermaßen wichtige Hirnhälften gibt jede mit sehr speziellen Funktionen und Aufgaben. Nur wenn beiden Hälften eng zusammenarbeiten, verfügen wir über ein leistungsfähiges Gehirn. Linke Gehirnhälfte : Überprüfung und Durchsetzung von Sicherheitsrichtlinien Rechte Gehirnhälfte : Application Delivery Traffic Leider geht es bei typischen Diskussion über Firewall-Aktualisierungen hauptsächlich um die intensive Überprüfung von Datenpaketen (die Deep Packet Inspection) und um die Durchsetzung der Sicherheit. Wie sieht es aber mit dem wichtigen und ungefährlichen Datenverkehr aus, auf den kritische Geschäftsbereiche angewiesen sind? Dieser Anwendungsdatenverkehr muss sicher und mit einer prognostizierbaren Qualität übertragen werden zwischen den Standorten und immer häufiger auch zwischen der Cloud und dem Standort. Wenn der Fokus nur auf der Sicherheit und nicht auf dem Datenübertragungsaspekt der Firewall liegt, ist das mit einem Gehirn vergleichbar, das nur eine Hälfte vollständig nutzt, während die andere schläft. Während solche Gehirne als dysfunktional ansehen werden, scheinen wir keine Probleme mit vergleichbaren Defiziten unserer Firewalls zu haben. Page 2 of 5

Ein Blick in die Vergangenheit hilft zu verstehen, warum diese einseitige Ausrichtung immer mehr zu einem einschränkenden Problem wird. Vor nicht allzu langer Zeit wurde das Unternehmensnetzwerk vor allem für den Zugriff auf Daten auf internen Freigaben, zum Senden und Empfangen von E-Mails und zum Browsen im Internet verwendet. Die zwei Hauptsäulen von Unternehmensinfrastrukturen waren die LANs, in denen sich die Benutzer befanden, und das WAN, also die Netzwerkanbindungen, die Filialen mit den Hauptunternehmensstandorten verbanden. Das Zentralisieren von Büro-Backend-Infrastrukturen und das Erweitern von Anwendungen, die eigentlich nicht für Umgebungen mit hoher Latenz entwickelt worden waren, auf das WAN, führte schnell zu Leistungsproblemen und reduzierter Produktivität. Dadurch wurde der Weg für neue WAN-Optimierungsprodukte geebnet, die seitdem zum Lösen dieser Probleme eingesetzt werden. Sie stellen eine allgemeine Optimierung durch Komprimierungs- und Datendeduplizierungstechniken sowie protokollspezifische Verbesserungen für bestimmte beliebte Anwendungen bereit. Typischerweise stellen diese Insellösungen kein adäquates VPN und keine Deep-Inspection-Funktionen bereit. Häufig entschieden sich Kunden aufgrund der Komplexität der Verwendung von Firewall- und WAN-Optimierungsgeräten zusammen mit den damit verbundenen komplizierteren Datenverkehrs-Ablaufmustern gegen den Einsatz von zwei Geräten. Sie verließen sie sich dann oft auf MPLS-basierte WAN-Strukturen, in denen der gesamte Datenverkehr einschließlich der beim Surfen im Internet anfallende zurück zum Rechenzentrum geleitet wird. Zu dieser Zeit waren Organisationen nicht vom Zugang zu SaaS-Angeboten oder Clouddiensten, die sich außerhalb der Grenzen der Unternehmens-LANs befanden, abhängig. Da es heute aber sehr viele SaaS-Angebote gibt, die sich immer mehr auf die Standardanforderungen auswirken, zum Beispiel auf Angebote für Büroanwendungen (wie Microsoft Office 365), ist der Ansatz jeglichen Datenverkehrs zum Rechenzentrum zurück zu leiten fehlerbehaftet, da das MPLS- Backbone nicht zwischen den verschiedenen Apps, die jetzt die gleiche physikalische Leitung verwenden, unterscheiden kann. In dieser Konstellation ist es also möglich, dass eine interne Backup-Anwendung oder ein Update-Agent die Leitung auslastet, sodass die Verfügbarkeit geschäftskritischer Anwendungen erschwert wird. Die Lösung für dieses Problem ist das Trennen unterschiedlicher Typen von Applikationsdatenverkehrs (physikalisch oder logisch) durch Aufteilen der Leitung in verschiedene Qualitätssegmente. In der Gehirnhälftenanalogie bedeutet dies, dass die Überprüfungshälfte benötigt wird, um den Typ eines Datenverkehrsflusses zu ermitteln, während die andere Hälfte intelligent agiert und diesen Datenfluss auf andere Weise als den weniger wichtigen überträgt. Aufgrund der vielen SaaS-Angebote, die in Gebrauch sind, ist die beste Option die Nutzung direkter Internet-Breakouts an den verschiedenen Standorten. Natürlich müssen alle Internet- Breakouts durch geeignete Next-Generation Firewalls geschützt werden. Das klingt zunächst abschreckend, da Richtlinien für mehrere Firewalls miteinander synchronisiert werden müssen. Das ist aber nicht der Fall, wenn das Firewall-Produkt über eine leistungsstarke zentrale Verwaltungsarchitektur verfügt, in der eine oder besser einige Richtlinien zentral verwaltet und dann per Push an die Schnittstelle für die dezentrale Durchsetzung übertragen werden können. Es wird also das klassische MORE-Paradigma (Manage Once Run Everywhere, einmal verwalten und überall einsetzen) implementiert. Der zusätzliche Vorteil eines lokalen Breakouts besteht darin, dass so auch ein Hybrid-WAN betrieben werden kann. Das Hybrid-WAN besteht aus herkömmlichen WAN-Verbindungen, die durch VPN-Links ergänzt werden. Ein radikalerer Ansatz würde daraus bestehen, sich einzig und allein auf Internet-basiertes VPN zu verlassen, dabei aber zwei verschiedene ISPs zu verwenden und dann mehrere Tunnel zu erstellen. Auch hier kann eine applikationsorientierte Firewall die Orchestrierung übernehmen und verschiedene Typen des internen Datenverkehrs über die verfügbaren Verbindungen verteilen. Wenn einzelne Verbindungen ausfallen, sollte die Firewall dies bemerken und den Datenverkehr unterbrechungsfrei entsprechend umverteilen. Page 3 of 5

Um solche Firewalls zu betreiben und Netzwerkredundanzen zu erstellen, muss das aufgebaut werden, was Unternehmen wirklich benötigen: ein sicheres Kommunikations-Backbone, das Deep Packet Inspection und Minimierung von Bedrohungsszenarien bietet und darüber hinaus die Verfügbarkeit von geschäftskritischen Applikationen in einer zuverlässigen und leistungsstarken Form gewährleistet. Barracuda nennt das ein Application Delivery Network und unterstützt Kunden täglich beim Aufbau solcher Netzwerke. Mit der Barracuda NG Firewall, der Next-Generation Firewall für verteilte Unternehmensnetzwerke, werden Datenflüsse und Verfügbarkeiten von Applikationen erkannt. Das tun nicht alle Next Generation Firewalls denn nicht alle sind gleich. Kunden sollten daher darauf achten, über wieviel Gehirnkapazitäten die aktuelle Firewall verfügt. Wie sieht ein Applikation Delivery Network aus? Zunächst benötigt jeder Standort des App-orientierten Netzwerks eine Next-Generation Firewall. Jeder Standort, von dem aus Zugriff auf SaaS-Angebote erforderlich ist, verfügt über einen direkten Internet-Breakout (DIB), der von dieser Firewall gesteuert wird. Jeder Standort verwendet mehrere Uplinks für die Verbindung mit den anderen Standorten. Die Firewall verwendet diese Uplinks je nach Applikation, hat aber die Möglichkeit, schnell auf Leitungsausfälle zu reagieren und den Datenverkehr anhand einer entsprechend angepassten Richtlinie umzuleiten eine intelligente dynamische Pfadauswahl. Application Control General General Games Custom App Games ISP X use X use Y use X or Y use Z ISP Y ISP Z Barracuda NG Firewall Application Usage & Risk Report.pdf Custom App Datenverkehr zwischen Standorten kann über Komprimierungs-, Datendeduplizierungs- und Protokolloptimierungstechniken hinsichtlich Latenz und Durchsatz optimiert werden. Die Firewall stellt diese Dienste bereit, um eine enge Verbindung zwischen der Art des Datenverkehrs und der Verfügbarkeit hinsichtlich Servicequalität, Bandbreite, Datenschutz und Bereitstellungspfad sicherzustellen. Page 4 of 5

Barracuda Nicht alle Next-Generation Firewalls sind gleich. Über die Barracuda NG Firewall Die Barracuda NG Firewall ist eine ideale Unternehmenslösung für IT-Administratoren, die wichtige Daten in Netzwerken schützen möchten, die durch die stark zunehmende Nutzung mobiler und BYOD-Geräte, schwer kontrollierbare Web 2.0-Anwendungen sowie RemoteNetzwerkbenutzer ins Chaos gestürzt und verwundbar gemacht wurden. Barracuda NG Control Center bietet darüber hinaus ein leistungsstarkes und intuitives zentrales Administrationsportal, das das Ausrollen, Konfigurieren, Aktualisieren und Verwalten vieler Geräte von einem einzelnen Standort aus stark vereinfacht, während es gleichzeitig umfassende Netzwerktransparenz und Reportingfunktionen in Echtzeit bereitstellt. Das Ergebnis ist eine ideale Lösung für Unternehmen, die eine große Anzahl von Benutzern oder mehrere Standorte mit wenigen IT-Mitarbeitern verwalten und gleichzeitig PCI-Vorschriften einhalten möchten. Dedicated VPN Clients Branch Office Firewalls F10 SSL VPN Mobile Support F380 F100 F200 User Interface Tools Head Office / Core Firewalls Public Cloud F400 F600 F800 F280 F900 F300 F1000 Vx Barracuda NG Firewall F1000 IPMI CONSOLE USB USB MGMT Control Center Servers Authentication Agents / Clients Accessories Wenn Sie Fragen zur Barracuda NG Firewall haben oder eine kostenlose 30-TageTestversion benötigen, besuchen Sie http://www.barracuda.com/products/ngfirewall oder wenden Sie sich unter +49 (0) 69 899 14 729 telefonisch an Barracuda Networks. Über Barracuda Networks, Inc. Barracuda bietet Security- und Storage-Lösungen, die mit der Cloud vernetzt sind und die IT-Infrastruktur vereinfachen. Über 150.000 Unternehmen und Organisationen weltweit vertrauen den leistungsstarken, benutzerfreundlichen und kostengünstigen Lösungen. Sie stehen als physische oder virtuelle Appliance sowie als Cloud- oder Hybrid-Lösung zur Verfügung. Beim Geschäftsmodell von Barracuda steht die Kundenzufriedenheit im Mittelpunkt. Es setzt auf hochwertige IT-Lösungen auf Subskriptions-Basis, die das Netzwerk und die Daten der Kunden umfassend schützen. Weitere Informationen finden Sie unter barracuda.com. Barracuda Networks und das Logo von Barracuda Networks sind eingetragene Marken der Barracuda Networks, Inc. in den USA. Alle anderen Namen gehören den jeweiligen Eigentümern. Barracuda Networks Radlkoferstr. 2 81373 München Deutschland t: e: w: +49 (0) 69 899 14 729 office@barracuda.com barracuda.com