Virtualisierung vieler Sicherheitsfunktionen im virtuellen Firewall

Security-Virtualisierung trifft auf UTM-Firewalls

07.03.2008 | Autor / Redakteur: Maik Bockelmann / Ulrich Roderer

Die Virtualisierung aller Sicherheitsfunktionen
Die Virtualisierung aller Sicherheitsfunktionen

Die Integration mehrerer Sicherheitsfunktionen in einer Appliance hat den klassischen Firewall-Markt stark verändert. Sicherheitsfunktionen wie Stateful Inspection Firewalling, Antivirus, Intrusion Prevention & Detection (IPS/IDS), Antispam, Web-Content Filtering, Traffic Shaping und dynamisches Routen wurden in einer einzigen Appliance zusammengefasst.

Dieser Ansatz der Integration mehrerer Sicherheitsfunktionen in einer Appliances ist unter dem Namen Unified Threat Management (UTM) bekannt. Mit der Virtualisierung der integrierten Sicherheitsfunktionen erhält das Security-Management mit UTM einen weiteren Freiheitsgrad.

Firewall-Virtualisierung ist kein ganz neues Thema in der Netzwerksicherheit. Schon seit Jahren virtualisieren Carrier, Internet Service Provider (ISPs), Hosting und Managed Security Provider (MSPs) klassische Netzwerk-Firewalls für ihre Kunden. Zum Einsatz kamen meist größere redundante Cluster-Firewall-Systeme, die von mehreren Endkunden geteilt wurden. Jeder Kunde benutzte somit seine eigene virtuelle Firewall mit entsprechend getrennten Konfigurationsmöglichkeiten. Das spart Hardware und Softwarelizenzen und ermöglichte den Providern ihren Kunden einen kostengünstigen und hoch verfügbaren Firewall-Service anzubieten. Doch anders als damals ist die Virtualisierung heute nicht mehr auf klassisches Stateful Inspection Firewalling begrenzt. Heute können auch alle zusätzlichen UTM-Sicherheitsfunktionen virtualisiert werden. Auf Knopfdruck lassen sich diese Funktionen innerhalb einer virtuellen Firewall aufgeschalten. Selbst der Betriebsmodus lässt sich beliebig kombinieren. Eine virtuelle Firewall kann beispielsweise im NAT/Route Modus laufen und die zweite im so genannten Transparent Mode (Layer 2). Auf der ersten Instanz könnten Funktionen wie Firewall, IPS und Antivirus laufen und auf der zweiten nur ein reiner Webfilter.

Vermehrt verwenden heute auch Firmen Virtualisierungsfunktionen. Firmennetzwerke sind heute derart komplex, dass mit der Virtualisierung ganzer Firewall-Funktionen oder die Virtualisierung von Netzwerkschnittstellen gearbeitet wird. Auch für die Absicherung von Niederlassungen, getrennten Business Units und Abteilungen bietet sich Virtualisierung an. Die Verwaltung kann an verschiedene Administratoren delegiert werden, die dann jeweils nur ihre virtuelle Firewall sehen und administrieren können.

In Zukunft wird wohl kaum mehr eine Firewall ohne Virtualisierungs- und UTM-Funktionen verkauft werden. Analysten von IDC rechnen bereits damit, dass dieses Marktsegment im Jahr 2010 doppelt so groß sein wird, wie der heutige, klassische Markt für Firewall & VPN. Immer mehr Bedarf an Sicherheitsfunktionen, komplexe Netzwerke und der Kostendruck sprechen eine klare Sprache.

Virtualisierungspatente

Fortinet ist heute der einzige Anbieter, der alle UTM Sicherheitsfunktionen durchgängig virtualisieren kann. Der Hersteller hat für einige seiner Entwicklungen im Virtualisierungsbereich Patente erhalten, weitere Patentanträge sind eingereicht. So lässt sich beispielsweise die FortiGate UTM-Firewall in mehrere separat verwaltete und provisionierte Instanzen aufteilen, die als VDOMs (Virtual Domains) bezeichnet werden. Auf den größten FortiGate Appliances können so bis zu 4.000 virtuelle UTM-Firewalls betrieben werden. Doch auch die kleinsten Modelle bieten Virtualisierungsfunktionen.

Dabei lassen sich nicht nur alle UTM-Firewall-Funktionen virtualisieren, sondern auch statisches und dynamisches Routen. Für die Kommunikation zwischen verschiedenen virtuellen Firewalls bietet Fortinet zusätzlich die Möglichkeit des Inter-VDOM-Routens. Pakete werden intern zwischen den virtuellen Firewalls geroutet, ohne dass diese über physische Netzwerkschnittstellen kommunizieren. Das spart physische Netzwerkschnittstellen und erhöht die Performance. Physische Netzwerkschnittstellen können zusätzlich über Virtual LANs (VLANs) virtualisiert werden. VLAN-fähige Switches vorausgesetzt, können abhängig vom eingesetzten FortiGate Modell bis zu 4.000 virtuelle VLAN Interfaces gleichzeitig benutzt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2011280 / Netzwerk-Security-Devices)