Die XG Firewall v18 MR1 bietet ein neues Niveau an Schutz, Leistung und Transparenz. Sie wird nun weltweit implementiert und kann als Upgrade der Firmware in der Sophos-Konsole mit nur wenigen Klicks installiert werden. Kunden sollten daher, nach kurzer Rücksprache mit unseren Technikern, die XG-Firewall auf v18 aktualisieren, um von der neuen Xstream-Architektur, dem Zero-Day-Schutz und erweiterten Reporting-Funktionen zu profitieren.
Xstream Architecture
Eines der Flaggschiff-Features in v18 ist die neue Xstream-Architektur, die eine Streaming-DPI-Engine und TLS 1.3-Inspektion für verschlüsselten Datenverkehr umfasst. Die Deep Packet Inspection scannt Datenpakete und die Transport Layer Security (TLS) stellt durch hybride Verschlüsselungstechnologie eine sichere Online-Datenübertragung her. Die neue Xstream DPI-Engine wurde speziell entwickelt, um optimale Leistung und Effizienz bei der Verbindungsverarbeitung zu erreichen. Sie verwendet eine einzelne Streaming-Engine, die den Datenverkehr zwischen einem Host im Netzwerk und einem entfernten Server oder Dienst untersucht.
Die Xstream Architecture leistet:
- Überprüfung auf Datei- und Web-Malware
- Intrusion Prevention (IPS) - Schwachstellen im Netzwerk identifizieren
- Identifizierung und Kontrolle von Anwendungen
Innovativ dabei: Nicht erst die ganze Datei muss gescannt werden, sondern die Datenpakete werden einzeln gescannt und weitergegeben, was das Streaming beschleunigt.
Anders als die Xstream DPI-Engine verwendet der Legacy-Schutz in der XG-Firewall verschiedene Engines für unterschiedliche Aufgaben. Es gibt einen Web-Proxy zum Inspizieren und Filtern von Web-Inhalten, eine IPS-Engine und eine Anwendungsmanagement-Lösung. Dabei fungiert der Web-Proxy als Relais zwischen dem Client und dem Remote-Server. Dies ist von Vorteil, wenn Änderungen am Paket-Header vorgenommen werden müssen, um Funktionen wie SafeSearch, YouTube-Beschränkungen oder Google-Domain-Beschränkungen zu unterstützen.
Durch die Umstellung vieler Firewall-Regeln auf die neue Xstream DPI-Engine können Nutzer einen enormen Leistungsvorteil feststellen!
Wie bei jeder TLS-Lösung muss das CA-Zertifikat der Appliance auf Hosts im Netzwerk „ausgerollt“ werden, um die Firewall-Inspektion zu unterstützen.
Die Umstellung auf TLS
TLS-Regeln legen fest, welcher TLS-Verkehr entschlüsselt werden soll, und das zugehörige Entschlüsselungsprofil bestimmt, wie die Entschlüsselung gehandhabt werden soll. Die Regeln sind strukturiert und funktionieren ähnlich wie die Firewall-Regeln in einer Top-Down-Hierarchie. Sophos empfiehlt, schrittweise mit der TLS-Verschlüsselung zu beginnen, mit einem begrenzten Teilnetz oder einigen wenigen Testsystemen. Auf diese Weise können Anwender Fachwissen über die neue TLS-Inspektionslösung aufbauen und die neuen Regeln, Protokollierungs-, Berichterstattungs- und Fehlerbehandlungsoptionen erkunden.
Nicht alle Anwendungen und Server unterstützen die TLS-Inspektion vollständig und korrekt. Daher sollten Nutzer auf das Kontrollzentrum für Fehler achten und die praktischen integrierten Tools verwenden, um problematische Websites oder Dienste auszuschließen. Sobald sich die DPI-Engine und die TLS-Prüfung bewährt haben, sollten diese auf Kundennetzwerke in größerem Umfang angewendet werden. Wenn die XG-Firewall-Appliance schon einige Jahre alt ist und bereits unter hoher Last läuft, kann es Zeit für ein Hardware-Upgrade oder ein neues, leistungsfähigeres Modell sein!
