Firewall-Evolution

Next Generation Firewalls – Intelligente Wächter über das Netzwerk

Seite: 2/2

Next Generation Firewall – ein komplett neuer Ansatz

Da durch die Firewall der komplette Datenverkehr läuft, ist sie auch der zentrale Punkt zur Durchsetzung von Sicherheitsrichtlinien. Die Firewall muss zunächst das „wahre Gesicht“ einer Applikation erkennen, unabhängig von Protokoll, Verschlüsselung oder Umgehungsmethode.

Darüber hinaus muss die Firewall dazu in der Lage sein, auch Applikationen wie Proxies, Remote Access und Tunnel durch Port 80 zu prüfen – ansonsten ist die Kontrolle über die IT-Sicherheit eines Unternehmens erheblich eingeschränkt. Ebenso wichtig ist die Entschlüsselung von SSL-Daten mit Nicht-Standard-Ports.

Mit sogenannten Next Generation Firewalls können Unternehmen auf die verstärkte Nutzung des Web 2.0 und der neuen Applikationen reagieren – und vor allem ihr Netzwerk sauber halten. Und dabei geht es nicht nur darum, dass sich die User vermehrt nicht nur vom Schreibtisch aus im Firmennetzwerk bewegen, sondern häufiger von außen darauf zugreifen.

Zudem sollten die Firewalls der neuen Generation auf völlig neu geartete Angriffe von Hackern & Co. reagieren können. Hier kommen beispielsweise traditionelle Intrusion-Prevention-Systeme (IPS) an ihre Grenzen, da sie zwar bekannten Angriffsmethoden auf Betriebssysteme und Software begegnen können. Den Missbrauch von Anwendungen oder bestimmter Funktionalitäten kann ein IPS aber nicht effizient abwehren.

Als weitere wichtige Anforderung folgt die Identifikation von Usern, nicht nur von IP-Adressen, und die Information, was welcher Nutzer wann mit welcher Anwendung macht. Dafür greift die Lösung auf in Unternehmensverzeichnissen gespeicherte Benutzer- und Gruppendaten zurück.

Ein dritter Punkt ist die Identifizierung des Inhalts in Echtzeit, um einen Schutz des Netzwerks vor Malware, Exploits oder Sicherheitslücken zu schützen. In diesem Zusammenhang bekommt der Administrator die Möglichkeit, gezielt Anwendungen zu erlauben oder zu blocken, je nach Unternehmenskultur und Aufgabenbereich des jeweiligen Nutzers.

Auf diese Weise können also IT-Verantwortliche drei extrem wichtige Komponenten – die Absicherung von Anwendungen, von einzelnen Usern und des Inhalts in Echtzeit – in einer einzigen Sicherheitsrichtlinie integrieren und so die gesamte Netzwerkkommunikation und Anwendungsnutzung kontrollieren.

Die Firewalls der neuen Generation im Einsatz

Immer mehr Unternehmen möchten ihren mobilen Mitarbeitern exakt den gleichen Zugriff auf die Geschäftsanwendungen ermöglichen, mit denen sie an ihrem Desktop-Rechner im Büro arbeiten. Bislang machte es noch einen großen Unterschied für die IT- bzw. Zugriffssicherheit, wenn mobile Mitarbeiter mit einem mobilen Rechner – oder mit einem eigenen Gerät – von unterwegs oder vom Home Office aus arbeiten.

Dreh- und Angelpunkt dabei ist der Sicherheitsstatus solcher Endgeräte, der mit herkömmlichen Firewalls oder IPS-Systemen nicht umfassend kontrolliert werden kann. Firewalls der neuen Generation hingegen sind in der Lage, dem User den Zugriff auf bestimmte Bereiche des Unternehmensnetzwerkes von außen zu erlauben oder nicht. Zusätzlich bieten sie spezielle Funktionen, beispielsweise um den Patch-Level des Betriebssystems, eingesetzte Anti-Virus-Lösungen oder die Version des Web-Browsers zu prüfen.

Insbesondere in Branchen wie der Automobilindustrie, in der eine Vielzahl an externen Mitarbeitern oder Zulieferern Zugriff auf das Netzwerk haben (möchten), zeigt sich der Vorteil eines sicheren Remote Access, der Bestandteil einer zentralen und umfassenden IT-Sicherheitsrichtlinie ist und nicht extra – mit mehr Aufwand – gewährleistet werden muss.

Achim Kraus ist Sales Engineer bei Palo Alto Networks.

(ID:2051507)