FastPath-Anwendungsbeschleunigung und SD-WAN Routing
Engpässe im Netzwerk werden zunehmend zum Problem. Daher gewinnen Tools zur Optimierung essenzieller Geschäftsanwendungen mehr und mehr an Bedeutung. Im dritten Artikel unserer Reihe zu den leistungsstarken neuen Funktionen der XG Firewall v18 zeigen wir, wie sich wichtige Geschäftsanwendungen mit Xstream Network Flow FastPath sowie den neuen Optionen zum richtlinienbasierten Routing im SD-WAN optimieren lassen.
Xstream-FastPath-Anwendungsbeschleunigung
In den letzten beiden Artikeln wurden die Xstream-Architektur, die neue DPI Engine sowie TLS Inspection in der XG Firewall v18 thematisiert. Mit Network Flow FastPath, einer weiteren zentralen Komponente der neuen Xstream-Architektur, lassen sich Anwendungen für vertrauenswürdigen Traffic beschleunigen.
Dabei wird vertrauenswürdiger Traffic, der nicht gescannt werden muss, schneller durch das System geleitet. So wird die Latenz minimiert und der Anwendungsdatenverkehr fließt schneller durch die Firewall. Da DPI Engine und TLS Inspection wegfallen, stehen mehr Ressourcen für anderen Traffic zur Verfügung, was somit auch für mehr Performance sorgt.
Funktionsweise
Zunächst werden sämtliche Datenflüsse durch den Firewall Stack geschickt und im Anschluss von der DPI Engine weiter analysiert. Wird Anwendungsdatenverkehr als vertrauenswürdig eingestuft, umgeht Network Flow FastPath die DPI Engine und verarbeitet den Paketfluss direkt. Traffic lässt sich anhand der beiden folgenden Methoden mit dem Network Flow FastPath beschleunigen:
- Automatisch: Entspricht die Anwendung einem SNI (Server Name Indication) der SophosLabs, der als vertrauenswürdig und manipulationssicher gilt (z. B. Video- und Audio-Streaming-Dienste wie Netflix, Spotify, Pandora usw.), werden sichere Updates direkt in der Anwendung (von Microsoft, Apple, Adobe, Sophos usw.) oder von VoIP und sonstigen Streaming-Protokollen (wie etwa SIP, FIX oder RDP) abgerufen.
- Richtlinie: Wenn dem spezifischen Anwendungsdatenverkehr eine Firewall-Regel zugeordnet ist, sodass der Traffic von Sicherheitsscans ausgeschlossen wird und mit FastPath beschleunigt wird.
Doch wann empfiehlt sich die Beschleunigung von Anwendungsdatenverkehr auf dem FastPath? Und welcher Traffic gilt als vertrauenswürdig? Ein sehr gutes Beispiel für vertrauenswürdigen Traffic ist etwa Datenverkehr von nicht auf aktivem Code basierenden Streaming-Medien. Aufgrund seiner Struktur und der Art und Weise, in der der Traffic zur Wiedergabe wiederzusammengesetzt wird, bietet er sich für die FastPath-Beschleunigung ideal an, da keine Malware injiziert werden kann. Hierzu zählen alle gängigen Streaming-Dienste, wie etwa Netflix und Spotify, sowie VoIP und Kollaborationsanwendungen wie Zoom, GotoMeeting, Skype for Business, Microsoft Teams Calls und mehr. Da Kommunikations- und Kollaborationsanwendungen in Unternehmen unabdingbar sind, bieten sie sich für die FastPath-Beschleunigung an. Anwendungen, über die Benutzer Updates oder Dateien herunterladen können, können aktiven Schadcode enthalten und sollten daher natürlich von der FastPath-Beschleunigung ausgeschlossen werden. Aus Sicherheitsgründen raten wir außerdem davon ab, FastPath-Regeln für Web-Browsing im Allgemeinen oder für Filesharing-Anwendungen bzw. -Sites zu erstellen.
Firewall-Regeln in der XG Firewall v18
Firewall-Regeln in v18 der XG Firewall ähneln in ihrer Struktur den Vorgängerversionen. Daher gestaltet sich die Migration ganz einfach. In unserem Video nehmen wir die Firewall- und NAT-Regelkonfiguration in der XG Firewall v18 genau unter die Lupe: In dieser Ausgabe konzentrieren wir uns auf die Erstellung einer Firewall-Regel zur Beschleunigung von vertrauenswürdigem Traffic auf dem FastPath (NAT-Regeln erklären wir künftig in einem gesonderten Artikel). Die Erstellung gestaltet sich ganz einfach und intuitiv: Zunächst müssen Sie/Ihre Kunden die Netzwerke (FQDN) oder Services der Zielanwendungen ermitteln.
Im Anschluss muss im Bereich „Sicherheitsfunktionen“ nur noch die Option „Keine“ ausgewählt und alle weiteren Kontrollkästchen müssen deaktiviert werden. Schon wird der gewünschte Traffic auf dem FastPath beschleunigt und nicht an die DPI-Engine zum Scan umgeleitet.
Mehr ist nicht zu tun.
Richtlinienbasiertes SD-WAN-Routing von Anwendungen
Eine weitere leistungsstarke neue Funktion der XG Firewall v18 ist richtlinienbasiertes SD-WAN-Routing. Genau wie die Beschleunigung unternehmenskritischer Anwendungen auf dem FastPath sorgt auch die Optimierung des Anwendungspfads in die Cloud oder eine Niederlassung von mehr Effizienz in Unternehmen. Hier setzt richtlinienbasiertes SD-WAN-Routing an. In v18 der XG Firewall haben wir die SD-WAN-Routing-Konfiguration um benutzer-, gruppen- sowie anwendungsbasierte Traffic-Auswahlkriterien erweitert. Nun lässt sich Traffic von essenziellen Anwendungen über eine WAN- oder VPN-Verbindung einer Niederlassung leiten, während weniger wichtiger Datenverkehr anderweitig geroutet wird. In unserem Video zeigen wir, wie Sie und Ihre Kunden Anwendungen mit richtlinienbasiertem SD-WAN-Routing in der XG Firewall optimieren können.
Synchronized SD-WAN
Synchronized SD-WAN, eine neue Funktion von Sophos Synchronized in der XG Firewall, eröffnet weitere Vorteile für das Anwendungs-Routing im SD-WAN. Synchronized SD-WAN macht sich den Umstand zunutze, dass Anwendungen durch den Austausch synchronisierter Application-Control-Daten zwischen mit Sophos verwalteten Endpoints und der XG Firewall eindeutig und zuverlässig bestimmt werden können. Synchronized Application Control erkennt 100 % aller Netzwerkanwendungen, einschließlich evasiver, verschlüsselter, verschleierter sowie benutzerdefinierter Anwendungen. Jetzt lassen sich auch bisher nicht identifizierte Anwendungen zu den SD-WAN-Routing-Richtlinien hinzufügen. Kunden profitieren so von einer Application-Routing-Kontrolle und -Zuverlässigkeit, bei der andere Firewalls nicht mithalten können. Sämtliche Ressourcen zur optimalen Nutzung der neuen Funktionen der XG Firewall – einschließlich FastPath-Beschleunigung und SD-WAN Routing – auf einen Blick:
- XG Firewall Getting Started Guide
- Umfassende Online-Dokumentation zur XG Firewall
- How-to-Videos zu den neuen Funktionen in v18
- Dokumentation zum SD-WAN-Richtlinienrouting
- Umfassende Liste hilfreicher Community-Artikel zu v18
Sie sind neu bei der Sophos XG Firewall? Informieren Sie sich über die zahlreichen Vorteile und leistungsstarken Funktionen der XG Firewall für die Netzwerke Ihrer Kunden.
Erfolgreich verkaufen mit der XG Firewall
Im Partner-Portal steht eine Fülle an Vertriebs-Assets für Sie bereit. Sie können Assets nach Kategorien filtern. Zudem können Sie sich in unserem Partner-Portal über regionale Sales Promotions informieren. Es lohnt sich also, unser Portal regelmäßig zu besuchen, damit Ihnen keine Assets oder Aktionen entgehen.