{"id":1676,"date":"2020-08-05T11:18:43","date_gmt":"2020-08-05T11:18:43","guid":{"rendered":"https:\/\/partnernews.sophos.com\/de-de\/?p=1676"},"modified":"2020-09-02T11:11:25","modified_gmt":"2020-09-02T11:11:25","slug":"making-the-most-of-xg-firewall-v18-part-3","status":"publish","type":"post","link":"https:\/\/partnernews.sophos.com\/de-de\/2020\/08\/products\/making-the-most-of-xg-firewall-v18-part-3\/","title":{"rendered":"Optimale Nutzung der XG Firewall (v18)\u00a0\u2013\u00a0Teil\u00a03"},"content":{"rendered":"

FastPath-Anwendungsbeschleunigung und SD-WAN Routing<\/h2>\n

Engp\u00e4sse im Netzwerk werden zunehmend zum Problem. Daher gewinnen Tools zur Optimierung essenzieller Gesch\u00e4ftsanwendungen mehr und mehr an Bedeutung. Im dritten Artikel unserer Reihe zu den leistungsstarken neuen Funktionen der XG\u00a0Firewall v18 zeigen wir, wie sich wichtige Gesch\u00e4ftsanwendungen mit Xstream Network Flow FastPath sowie den neuen Optionen zum richtlinienbasierten Routing im SD-WAN optimieren lassen.<\/p>\n

Xstream-FastPath-Anwendungsbeschleunigung<\/h2>\n

In den letzten beiden Artikeln wurden die Xstream-Architektur, die neue DPI Engine<\/a> sowie TLS Inspection<\/a> in der XG\u00a0Firewall v18 thematisiert.\u00a0 Mit Network Flow FastPath, einer weiteren zentralen Komponente der neuen Xstream-Architektur, lassen sich Anwendungen f\u00fcr vertrauensw\u00fcrdigen Traffic beschleunigen.<\/p>\n

\"\"<\/p>\n

Dabei wird vertrauensw\u00fcrdiger Traffic, der nicht gescannt werden muss, schneller durch das System geleitet.\u00a0 So wird die Latenz minimiert und der Anwendungsdatenverkehr flie\u00dft schneller durch die Firewall. Da DPI\u00a0Engine und TLS Inspection wegfallen, stehen mehr Ressourcen f\u00fcr anderen Traffic zur Verf\u00fcgung, was somit auch f\u00fcr mehr Performance sorgt.<\/p>\n

Funktionsweise<\/h2>\n

Zun\u00e4chst werden s\u00e4mtliche Datenfl\u00fcsse durch den Firewall Stack geschickt und im Anschluss von der DPI\u00a0Engine weiter analysiert.\u00a0 Wird Anwendungsdatenverkehr als vertrauensw\u00fcrdig eingestuft, umgeht Network Flow FastPath die DPI\u00a0Engine und verarbeitet den Paketfluss direkt. Traffic l\u00e4sst sich anhand der beiden folgenden Methoden mit dem Network Flow FastPath beschleunigen:<\/p>\n

    \n
  1. Automatisch: Entspricht die Anwendung einem SNI (Server Name Indication) der SophosLabs, der als vertrauensw\u00fcrdig und manipulationssicher gilt (z.\u00a0B. Video- und Audio-Streaming-Dienste wie Netflix, Spotify, Pandora usw.), werden sichere Updates direkt in der Anwendung (von Microsoft, Apple, Adobe, Sophos usw.) oder von VoIP und sonstigen Streaming-Protokollen (wie etwa SIP, FIX oder RDP) abgerufen.<\/li>\n
  2. Richtlinie: Wenn dem spezifischen Anwendungsdatenverkehr eine Firewall-Regel zugeordnet ist, sodass der Traffic von Sicherheitsscans ausgeschlossen wird und mit FastPath beschleunigt wird.<\/li>\n<\/ol>\n

    Doch wann empfiehlt sich die Beschleunigung von Anwendungsdatenverkehr auf dem FastPath? Und welcher Traffic gilt als vertrauensw\u00fcrdig?\u00a0 Ein sehr gutes Beispiel f\u00fcr vertrauensw\u00fcrdigen Traffic ist etwa Datenverkehr von nicht auf aktivem Code basierenden Streaming-Medien.\u00a0 Aufgrund seiner Struktur und der Art und Weise, in der der Traffic zur Wiedergabe wiederzusammengesetzt wird, bietet er sich f\u00fcr die FastPath-Beschleunigung ideal an, da keine Malware injiziert werden kann.\u00a0 Hierzu z\u00e4hlen alle g\u00e4ngigen Streaming-Dienste, wie etwa Netflix und Spotify, sowie VoIP und Kollaborationsanwendungen wie Zoom, GotoMeeting, Skype for Business, Microsoft Teams Calls und mehr.\u00a0 Da Kommunikations- und Kollaborationsanwendungen in Unternehmen unabdingbar sind, bieten sie sich f\u00fcr die FastPath-Beschleunigung an. Anwendungen, \u00fcber die Benutzer Updates oder Dateien herunterladen k\u00f6nnen, k\u00f6nnen aktiven Schadcode enthalten und sollten daher nat\u00fcrlich von der FastPath-Beschleunigung ausgeschlossen werden.\u00a0\u00a0 Aus Sicherheitsgr\u00fcnden raten wir au\u00dferdem davon ab, FastPath-Regeln f\u00fcr Web-Browsing im Allgemeinen oder f\u00fcr Filesharing-Anwendungen bzw. -Sites zu erstellen.<\/p>\n

    Firewall-Regeln in der XG\u00a0Firewall v18<\/h2>\n

    Firewall-Regeln in v18 der XG\u00a0Firewall \u00e4hneln in ihrer Struktur den Vorg\u00e4ngerversionen. Daher gestaltet sich die Migration ganz einfach.\u00a0 In unserem Video nehmen wir die Firewall- und NAT-Regelkonfiguration in der XG\u00a0Firewall v18 genau unter die Lupe: In dieser Ausgabe konzentrieren wir uns auf die Erstellung einer Firewall-Regel zur Beschleunigung von vertrauensw\u00fcrdigem Traffic auf dem FastPath\u00a0(NAT-Regeln erkl\u00e4ren wir k\u00fcnftig in einem gesonderten Artikel).\u00a0 Die Erstellung gestaltet sich ganz einfach und intuitiv: Zun\u00e4chst m\u00fcssen Sie\/Ihre Kunden die Netzwerke (FQDN) oder Services der Zielanwendungen ermitteln.<\/p>\n

    \"\"<\/p>\n

    Im Anschluss muss im Bereich \u201eSicherheitsfunktionen\u201c nur noch die Option \u201eKeine\u201c ausgew\u00e4hlt und alle weiteren Kontrollk\u00e4stchen m\u00fcssen deaktiviert werden. Schon wird der gew\u00fcnschte Traffic auf dem FastPath beschleunigt und nicht an die DPI-Engine zum Scan umgeleitet.<\/p>\n

    \"\"<\/p>\n

    Mehr ist nicht zu tun.<\/p>\n

    Richtlinienbasiertes SD-WAN-Routing von Anwendungen<\/h2>\n

    Eine weitere leistungsstarke neue Funktion der XG\u00a0Firewall v18 ist richtlinienbasiertes SD-WAN-Routing.\u00a0 Genau wie die Beschleunigung unternehmenskritischer Anwendungen auf dem FastPath sorgt auch die Optimierung des Anwendungspfads in die Cloud oder eine Niederlassung von mehr Effizienz in Unternehmen.\u00a0 Hier setzt richtlinienbasiertes SD-WAN-Routing an. In v18 der XG\u00a0Firewall haben wir die SD-WAN-Routing-Konfiguration um benutzer-, gruppen- sowie anwendungsbasierte Traffic-Auswahlkriterien erweitert. Nun l\u00e4sst sich Traffic von essenziellen Anwendungen \u00fcber eine WAN- oder VPN-Verbindung einer Niederlassung leiten, w\u00e4hrend weniger wichtiger Datenverkehr anderweitig geroutet wird. In unserem Video zeigen wir, wie Sie und Ihre Kunden Anwendungen mit richtlinienbasiertem SD-WAN-Routing in der XG\u00a0Firewall optimieren k\u00f6nnen.<\/p>\n

    Synchronized SD-WAN<\/h2>\n

    Synchronized SD-WAN, eine neue Funktion von Sophos Synchronized in der XG\u00a0Firewall, er\u00f6ffnet weitere Vorteile f\u00fcr das Anwendungs-Routing im SD-WAN. Synchronized SD-WAN macht sich den Umstand zunutze, dass Anwendungen durch den Austausch synchronisierter Application-Control-Daten zwischen mit Sophos verwalteten Endpoints und der XG\u00a0Firewall eindeutig und zuverl\u00e4ssig bestimmt werden k\u00f6nnen. Synchronized Application Control erkennt 100\u00a0% aller Netzwerkanwendungen, einschlie\u00dflich evasiver, verschl\u00fcsselter, verschleierter sowie benutzerdefinierter Anwendungen. Jetzt lassen sich auch bisher nicht identifizierte Anwendungen zu den SD-WAN-Routing-Richtlinien hinzuf\u00fcgen. Kunden profitieren so von einer Application-Routing-Kontrolle und -Zuverl\u00e4ssigkeit, bei der andere Firewalls nicht mithalten k\u00f6nnen. S\u00e4mtliche Ressourcen zur optimalen Nutzung der neuen Funktionen der XG\u00a0Firewall\u00a0\u2013 einschlie\u00dflich FastPath-Beschleunigung und SD-WAN Routing\u00a0\u2013 auf einen Blick:<\/p>\n