Optimale Nutzung der XG Firewall v18

ProdukteXG Firewall

Xstream-Architektur, DPI Engine und TLS Inspection.

Die XG Firewall v18 MR1 ist demnächst in allen Regionen verfügbar. Die neue Version ermöglicht ein komplett neues Niveau von Transparenz, Schutz und Performance. Mit wenigen Klicks können Sie und Ihre Kunden auf v18MR1 upgraden – Sie werden in der Konsole benachrichtigt, wenn das Firmware-Update zum Download bereitsteht. Wenn Ihre XG-Firewall-Kunden v18 noch nicht nutzen, empfehlen wir Ihnen jetzt ein Upgrade. In unserer neuen Blogreihe informieren wir Sie ausführlich über die zahlreichen leistungsstarken Features der XG Firewall v18 (Xstream-Architektur, Schutz vor Zero-Day-Bedrohungen, Sophos Central Management und Reporting etc.) und zeigen Ihnen, wie Sie und Ihre Kunden die Funktionen optimal nutzen.

Xstream-Architektur

Die neue Xstream-Architektur, eines der Highlights in v18, umfasst eine Streaming DPI Engine sowie leistungsstarke TLS 1.3 Inspection für verschlüsselten Datenverkehr.

Wie unterscheidet sich die Architektur von der Legacy-Web-Proxy-Lösung? Die neue Xstream DPI Engine wurde speziell für optimale Performance und effiziente Verbindungsverarbeitung konzipiert. Traffic zwischen einem Host im Netzwerk und einem externen Server wird dabei mit einer einzigen Streaming-Engine inspiziert. In nur einem Arbeitsgang sind die Systeme Ihrer Kunden so umfassend geschützt:

  • Scans auf Datei- und Internet-Malware
  • Intrusion Prevention (IPS) oder Versuche, Netzwerkschwachstellen auszunutzen
  • Identifizierung und Kontrolle von Anwendungen

Beim sogenannten Stream-Scanning von Dateien beim Download vom Webserver wird nicht die gesamte Datei, sondern lediglich ihr letzter Abschnitt zum Abschluss des Scans einbehalten. Die Lösung zeichnet sich daher durch enorme Effizienz und Geschwindigkeit aus. Laut dem Feedback vieler unserer XG-Firewall-Kunden und -Partner sind die neue DPI Engine und TLS Inspection sogar zwei- bis dreimal schneller.

Im Gegensatz zur Xstream DPI Engine erledigten bei der XG Firewall bisher unterschiedliche Engines separate Aufgaben: ein Web-Proxy zur Überprüfung und Filterung von Webinhalten, eine IPS Engine sowie Application Control. Der Web-Proxy prüft Traffic nicht per Stream-Scanning, sondern fungiert als Relay zwischen Client und externem Server. Dies ist von Vorteil, wenn Paket-Header zur Unterstützung von Funktionen (z. B. SafeSearch, YouTube-Beschränkungen oder Google-Domain-Beschränkungen) modifiziert werden müssen. In allen anderen Fällen steigt lediglich die Auslastung.

Optimale Nutzung der neuen Xstream DPI Engine und TLS Inspection

Um nahtlose Kompatibilität beim Upgrade der XG Firewall auf v18 zu gewährleisten, übernehmen alle vorhandenen Firewall-Regeln standardmäßig den Legacy-Web-Proxy. Wenn SafeSearch, YouTube-Beschränkungen, Google-Domain-Beschränkungen oder ähnliche Features nicht benötigt werden, empfehlen wir jedoch, Firewall-Regeln auf die neue Xstream DPI Engine umzustellen. Dazu muss nur eine einzige Einstellung geändert werden:

Dabei wird geprüft, ob die Firewall den Legacy-Web-Proxy oder die neue Xstream DPI Engine nutzt. Durch die Migration von Firewall-Regeln auf die neue Xstream DPI Engine erhöht sich die Performance enorm. Die neue TLS Inspection Engine mit Unterstützung von TLS 1.3 lässt sich ganz einfach und schnell konfigurieren. Ihre Kunden müssen hierzu lediglich ein Kontrollkästchen in der Firewall aktivieren und eine Regel auf der neuen Registerkarte „SSL/TLS-Inspection-Regeln“ (siehe unten) erstellen.

Genau wie bei der TLS Inspection muss das CA-Zertifikat der Appliance auf Hosts im Netzwerk übertragen werden, um die Firewall Inspection zu unterstützen. Mit dem in die Gruppenrichtlinienverwaltungs-Tools von Microsoft Active Directory integrierten Assistenten gelingt dies schnell und einfach. Mit Hilfe von TLS-Regeln wird TLS-Datenverkehr entschlüsselt. Dabei regelt das entsprechende Entschlüsselungsprofil sowohl Protokoll als auch Chiffrendurchsetzung. Genau wie Firewall-Regeln sind diese Regeln in einer Top-Down-Hierarchie organisiert. Wir empfehlen Ihnen und Ihren Kunden einen schrittweisen Einstieg in die TLS-Verschlüsselung. So bietet sich etwa an, die Funktion zunächst in einer begrenzten Verwaltungseinheit oder auf Testsystemen zu installieren, um sich mit der neuen TLS Inspection sowie mit Regeln, Protokollierung, Reporting und Fehlerbehebung vertraut zu machen. Da nicht alle Anwendungen und Server TLS Inspection vollständig unterstützen, empfehlen wir, das Control Center auf Fehler zu überwachen und problematische Sites und Services mit den integrierten Tools auszuschließen.

Wenn Sie und Ihre Kunden sich mit den neuen Features vertraut gemacht haben, können DPI Engine und TLS Inspection nach und nach im gesamten Netzwerk implementiert werden. Da mittlerweile jedoch 80 % und mehr des Internetdatenverkehrs verschlüsselt sind, kann es aufgrund der Verschlüsselungs-/Entschlüsselungsalgorithmen zu einer hohen Ressourcenauslastung kommen. Wenn eine XG Firewall Appliance eines Kunden bereits mehrere Jahre alt ist oder mit hoher Auslastung läuft, bietet sich unter Umständen ein Hardware-Wechsel oder Upgrade an. Immer häufiger verschaffen sich Cyberkriminelle über TLS-Verschlüsselung Zugriff auf Unternehmensnetzwerke – TLS Inspection von Internetverkehr ist also wichtiger denn je. Weitere Details zur optimalen Nutzung der neuen Funktionen in v18 der XG Firewall finden Sie hier:

Erfolgreich verkaufen mit der XG Firewall

Im Partner-Portal steht eine Fülle an Vertriebs-Assets für Sie bereit. Sie können Assets nach Kategorien filtern. Zudem können Sie sich in unserem Partner-Portal über regionale Sales Promotions informieren. Es lohnt sich also, unser Portal regelmäßig zu besuchen, damit Ihnen keine Assets oder Aktionen entgehen.