Aceleración de aplicaciones FastPath y enrutamiento de SD-WAN
Con la creciente congestión de la red, cada vez es más importante disponer de las herramientas para optimizar las aplicaciones empresariales vitales.
En esta tercera parte de una serie de artículos sobre cómo sacar el máximo partido de las grandes novedades de XG Firewall v18, nos centraremos en las herramientas disponibles para optimizar el tráfico de las aplicaciones empresariales importantes utilizando la nueva ruta rápida FastPath del flujo de red de Xstream y las nuevas opciones de enrutamiento basado en políticas de SD-WAN.
Aceleración de aplicaciones FastPath de Xstream
En nuestros dos últimos artículos, cubrimos la arquitectura de Xstream y el nuevo motor DPI, así como la nueva inspección TLS de XG Firewall v18. La ruta rápida FastPath del flujo de red es otro componente clave de la nueva arquitectura de Xstream y proporciona aceleración de aplicaciones para el tráfico de confianza.
La ruta rápida FastPath del flujo de red puede dirigir el tráfico de confianza que no requiere escaneado de seguridad a la vía acelerada a través del sistema. Esto no solo minimiza la latencia y acelera ese tráfico de aplicaciones a través del firewall, sino que también tiene la ventaja añadida de no utilizar los recursos del motor DPI y la inspección TLS para el tráfico que no requiere inspección. Así se liberan esos recursos para el tráfico que realmente lo necesita, creando un margen de rendimiento adicional en el proceso.
Cómo funciona
Inicialmente, todos los flujos de tráfico son procesados por la pila del firewall y pasan al motor DPI para su posterior identificación. Una vez que se determina que el flujo de tráfico de una aplicación es “de confianza”, se instruye a la ruta rápida FastPath del flujo de red que gestione el flujo de paquetes directamente y transporte los paquetes a través de la ruta rápida, pasando por alto el motor DPI.
El tráfico se puede acelerar en la ruta rápida FastPath del flujo de red de dos maneras:
- De forma automática: Si la aplicación coincide con una indicación de nombre de servidor (SNI) de SophosLabs para el tráfico que se considera de confianza y a prueba de manipulaciones, como los servicios de streaming de vídeo y audio (Netflix, Spotify, Pandora, etc.), actualizaciones seguras obtenidas directamente de la aplicación (de Microsoft, Apple, Adobe, Sophos, etc.) o VoIP y otros protocolos de transmisión (como SIP, FIX, RDP, etc.)
- Mediante una política: Si hay una regla de firewall asociada a ese tráfico de aplicaciones específico que lo acelera en la ruta rápida al no marcarlo para el escaneado de seguridad.
Tal vez se pregunte, ¿cuándo tiene sentido acelerar el tráfico de aplicaciones en la ruta rápida FastPath o, dicho de otro modo, en qué se puede confiar? El tráfico como el streaming de contenido que no se basa en código activo es un ejemplo perfecto de tráfico de confianza. Debido a la estructura de transmisión del tráfico y a la forma en que se monta para su reproducción, no es posible inyectar malware en este tipo de flujo de tráfico, lo que lo convierte en un candidato ideal para la aceleración de FastPath. Este tipo de tráfico incluye todos los servicios de streaming populares como Netflix y Spotify, pero también aplicaciones de VoIP y de colaboración como Zoom, GotoMeeting, Skype Empresarial, llamadas en Microsoft Teams, etc. Y, por supuesto, estas aplicaciones de comunicación y colaboración están entre las más importantes de cualquier empresa, lo que las hace ideales para la aceleración de FastPath.
Las aplicaciones que permiten a los usuarios descargar actualizaciones o archivos NO son buenas candidatas para la aceleración de FastPath, ya que los archivos pueden obviamente contener código activo y ser maliciosos. En general, en aras de la seguridad, nunca cree una regla de FastPath para la navegación web general o los sitios o aplicaciones de intercambio de archivos.
Reglas de firewall en XG Firewall v18
Las reglas de firewall en XG Firewall v18 son muy similares en cuanto a su construcción a las de las versiones anteriores, lo que facilita las migraciones. Este vídeo ofrece un fantástico análisis en profundidad de la configuración de las reglas de firewall y de NAT en XG Firewall v18:
Hablaremos de las reglas de NAT en otro artículo de esta serie pero hoy, vamos a repasar cómo crear una regla de firewall para acelerar el tráfico de confianza en la ruta rápida FastPath. No podría ser más sencillo e intuitivo: empiece por identificar los servicios o redes de aplicaciones de destino (FQDN).
A continuación, seleccione “Ninguna” en Funciones de seguridad y no seleccione ninguna otra casilla de verificación para garantizar que el tráfico se acelere en la vía rápida y no se redirija a través del motor DPI para un escaneado de seguridad innecesario.
A continuación, compruebe que la aceleración de FastPath está activada en Configuración de seguridad avanzada como se muestra a continuación (debería estar configurada de forma predeterminada). Es así de fácil.
Enrutamiento de aplicaciones basado en políticas de SD-WAN
Otra nueva función de XG Firewall v18 es el enrutamiento basado en políticas (PBR) de SD-WAN. De la misma manera que desea que la ruta de una aplicación empresarial importante a través del firewall se optimice y se acelere en la ruta rápida FastPath, quizá también le convenga asegurarse de que la ruta de una aplicación a la nube o a una sucursal se optimiza de forma similar. Ahí es donde entra en juego el PBR de SD-WAN.
XG Firewall v18 añade criterios de selección de tráfico basados en usuarios, grupos y aplicaciones a la configuración de enrutamiento de SD-WAN de XG Firewall. Esto le permite enrutar el tráfico de las aplicaciones empresariales importantes a través de un enlace WAN del ISP que prefiera o una conexión VPN de una sucursal, mientras que el tráfico menos importante utiliza una ruta diferente.
Este vídeo ofrece un excelente resumen de cómo beneficiarse de las nuevas funciones de PBR de SD-WAN en XG Firewall v18 para la optimización de aplicaciones, así como el enrutamiento de SD-WAN.
SD-WAN sincronizada
XG Firewall v18 ha evolucionado aún más la SD-WAN con la introducción de la SD-WAN sincronizada, una nueva función de la Seguridad Sincronizada de Sophos que ofrece beneficios adicionales con el enrutamiento de aplicaciones de SD-WAN. La SD-WAN sincronizada se sirve de la claridad y fiabilidad adicionales de la identificación de aplicaciones que implica el uso compartido de la información del Control de aplicaciones sincronizado entre los endpoints administrados por Sophos y XG Firewall. El Control de aplicaciones sincronizado puede identificar de forma fehaciente el 100 % de todas las aplicaciones en red, incluidas las aplicaciones esquivas, cifradas, desconocidas y personalizadas, y ahora, estas aplicaciones previamente no identificadas también pueden añadirse a las políticas de enrutamiento de SD-WAN. Esto proporciona un nivel de control y fiabilidad del enrutamiento de aplicaciones que otros firewalls no pueden igualar.
Este es un resumen de los recursos disponibles para ayudarle a sacar el máximo partido de las nuevas funciones de XG Firewall v18, incluida la aceleración de FastPath y el enrutamiento basado en políticas de SD-WAN:
- Guía de inicio de XG Firewall
- Documentación online completa de XG Firewall
- Vídeos de procedimientos sobre las novedades de v18
- Documentación sobre el enrutamiento basado en políticas de SD-WAN
- Lista de artículos recomendados de la comunidad sobre la versión 18
Si es la primera vez que utiliza Sophos XG Firewall, obtenga más información sobre las grandes ventajas y funciones que XG Firewall puede ofrecer a las redes de sus clientes.
Vender XG Firewall
En el portal para partners de Sophos, le ofrecemos una gran cantidad de recursos de ventas. Para filtrar la lista de recursos, seleccione una categoría para reducir los resultados. Y no olvide comprobar si hay alguna promoción de ventas disponible para su región. Vale la pena comprobarlo de vez en cuando para asegurarse de que no se está perdiendo una gran oportunidad.
