Suchen

Einsatz von Application Delivery Controller Firewalls

Leistungsfähige Firewall-Infrastruktur für Web Services

Seite: 2/2

Firma zum Thema

Neuausrichtung der Firewall-Architektur

Aktuell am Markt erhältliche Next Generation Firewalls umfassen Funktionen im Bereich Stateful-Inspection, NAT, IPS, IDS, Forward-Proxy mit Authentisierung/Autorisierung, Anwendungserkennung, Malwareerkennung und URL Blocker. Im Kern sind das generische Paketfilter- und Forward-Proxy-Funktionen mit ernstzunehmenden Einschränkungen.

Vornehmlich mangelt es hier an der Skalierbarkeit und der Schutzfunktionalität, wenn es um die Dienste geht, die ein Unternehmen im Internet anbietet. Dem Schutzbedarf der Firmenanwendungen wird also häufig unfokussiert Rechnung getragen, da geeignete Reverse-Proxy-Technologien, die zudem sehr gut skalieren müssen, weder bei den am Markt befindlichen Firewall- noch Proxy-Herstellern zu finden sind.

Bildergalerie

Die Erstgenannten sind nur bedingt schnell, letztere sind langsam und addressieren typischerweise Anwendungsfälle im Forward-Proxy-Bereich. Man spricht beim Einsatz von Forward-Proxies in tatsächlichen Reverse-Proxy-Anwendungsfällen nicht zu Unrecht vom sogenannten Durchlauferhitzer.

IPS-Systeme sind – wenn überhaupt richtig platziert – Generalisten, die den Schutzbedarf von Webanwendungen nur eingeschränkt erfüllen können. Heutzutage wird stattdessen der Einsatz von Web Application Firewalls vorgezogen, da diese den Kontext verstehen und zudem flexibel sind.

Redesign der Firewall-Infrastruktur

Die im vorangegangenen dargestellten Eigenschaften sind der Grund für einen Paradigmenwechsel und Umdenken beim Design von Firewall-Infrastrukturen. Im Prinzip wird wie im zweiten Szenario ein Netzwerkdesign gewählt, welches für den eingehenden und ausgehenden Verkehr getrennte Wege verwendet.

Die heute als Next Generation Firewall bezeichnete Technologie übernimmt die Kontrolle der ausgehenden Verbindungen. Sie ist spezialisiert auf Forward-Proxy-Szenarien mit der Möglichkeit den Benutzer im eignen Unternehmen und die Anwendung auf welche dieser Benutzer zugreift zu identifizieren und zu filtern.

Die ausgehende Firewall kann aufgrund der Verkehrstrennung kleiner und damit kostengünstiger dimensioniert werden. Hier muss man keine Überprovisionierung mehr zum Schutze vor DoS berücksichtigen, da dieses Thema von ADC-Firewall behandelt wird.

Der eingehende Netzwerkverkehr, also vom Internet auf die öffentlichen Dienste wie HTTP, HTTPS, FTP, SMTP und DNS wird über die ADC-Firewall geleitet. Hiermit wird eine integrierte Lösung betrieben, deren Funktionalität seit Jahren das sichere, schnelle und hochverfügbare Bereitstellen von Anwendungen ist.

Die Schutzmechanismen betreffen nahzu alles Belange der Bereich IT-Security; sei es das sichere und zentrale Verwalten von SSL-Zertifikaten, eine Stateful Firewall, granularer DDoS Schutz über alle OSI-Layer, eine Webapplication Firewall und ein System zum Webaccessmanagement (N-Faktor Auth und SSO, bespielsweise mit Kerberos oder SAML) sowie SSL-VPN-Gateway Funktionen.

Dieser flexiblen und dynamischen Architektur sind nahezu keine Grenzen gesetzt. Sie ist programmierbar, so dass man jederzeit die Anforderungen der Geschäftsbereiche erfüllen und zusätzlich für den Schutz der Unternehmensdaten sorgen kann.

Über den Autor

Frank Thias ist Senior Field Systems Engineer bei F5 Networks.

(ID:37269620)