Next Generation Firewall

Flere af vores kunder spørger os hvad betegnelsen ”Next Generation Firewall” reelt dækker over. I dette indlæg sætter vi spot på hvordan NGFW adskiller sig fra mere traditionelle firewalls – og de muligheder det giver. 

Hvad er en Next Generation Firewall?

En Next Generation Firewall (NGFW) er den nyeste standard indenfor firewall teknologier. Den er konstrueret til at foretage dybdegående inspektion af pakkedata, og dermed håndtere kritiske trusler på applikationsniveau. En NGFW kombinerer ny teknologi med mere almindelige firewall features (f.eks. pakkefiltrering og stateful inspection) og foretager på den måde mere intelligente og kvalificerede vurderinger af trafikken og de efterfølgende tilladelser. 

NGFW Vs. traditionel firewall

Overordnet kan man sige, at traditionelle firewalls beskytter op til fjerde lag (layer 4/transportlaget) i OSI modellen*, mens NGFW fungerer helt op til lag syv (layer 7/applikationslaget). Vi ser en stigende tendens til flere og mere avancerede angreb netop lag fire til syv. 

Årsagen kan bl.a. forklares med, at nutidens IT-miljøer er væsentligt mere virtualiserede og dynamisk designet, sammenlignet med tidligere. På samme tid er sikkerhedstrusler blevet tilsvarende mere komplekse, ligesom de cyber-kriminelle er blevet dygtigere. Her kommer en traditionel firewall typisk til kort, da det designmæssige udgangspunkt er fra en tid hvor IT miljøet var mere statisk end tilfældet er det i dag. En tid hvor port og protokolinspektion (og blokering) var tilstrækkeligt. I dag tildeles adresser og porte typisk dynamisk.  En NGFW anvender til sammenligning "Deep Packet Inspection", applikationsfiltrering, samt overvågning og automatisk blokering af mistænkelig aktivitet. Resultatet er en firewall løsning, der integrerer langt bedre i et moderne IT miljø og netværk, og tilføjer et helt andet niveau af sikkerhed. En Next Generation Firewall må derfor betragtes som den nye ”first line of defence” i nutidens trusselsbillede. 

Next Generation Firewall features

Som nævnt kigger en traditionel firewall på pakker, porte, adresser og stages. Eftersom cyber-kriminelle i dag skjuler malware indeni i applikationstrafikken (hvor traditionelle firewalls ikke kan se det), er den traditionelle tilgang heller ikke længere tilstrækkelig. Løsningen er en firewall, der anvender en række teknologier og strategier i kombination – herunder:  Application Control, Web Application Firewall (WAF), Gateway Antivirus, IDS/IPS, Anti Malware og SSL inspection.  

NGFW features varierer alt efter producent og specifikationer. Vi tager her udgangspunkt vores egne FortiGate Next Generation Firewalls, som efter vores overbevisning også er de mest fleksible på markedet lige nu: 

• Application Control forhindrer enheder bag firewallen, i at tilgå specifikke applikationer ude på internettet.
   
• Web Application Firewall (WAF) kan opdage og blokere angreb mod en given applikation (f.eks. program eller et CMS). I WAF’en findes der et omfattende og altid opdateret regelsæt, der beskytter mod eksempelvis SQL injections, Credit Card Detection, Cross Site Scripting og en række andre trusler.
   
• Gateway Antivirus scanner efter virus på kanten af netværket inden trafikken når ind til serveren, som på den måde ikke kompromitteres ellers belastes.
  
  
• IDS/IPS er forkortelser for hhv. ”Intrusion Detection System” og ”Intrusion Prevention System”. Når IDS/IPS er aktiveret, overvåger firewallen den ind- og udgående trafik, og enten advarer eller blokerer for en trussel, afhængig af det tilknyttede regelsæt. I vores tilfælde med FortiGate, har vi adgang til en altid opdateret database, indeholdende tusindvis af forskellige kendte angrebsscenarier, som cyber-kriminelle benytter sig af. Denne ”eksterne trusselsintelligens” tilsikrer, at oplysninger vedr. trusler og risici altid er opdaterede og tilgængelige for firewallen i realtid.
• DDOS Threshold er en teknologi der kan beskytte dit udstyr ved denial of service angreb. Dette kan f.eks være ”tcp syn-Flood”, ”port scan”, ”icmp flood” og meget mere. Bemærk der ikke er tale om en beskyttelse af din båndbredde, men en feature der sikrer at et evt. angreb ikke kompromitterer sikkerheden.

NGFW Filtre

• Web filter kan forhindre arbejdsstationer eller de bagvedliggende servere i, at tilgå kategoriserede websites f.eks dating, gambling, voksenunderholdning m.v. Webfilter beskytter samtidig mod ondsindede URL’er.
• DNS filter kan forhindre arbejdsstationer eller servere bag firewallen i, at kunne tilgå sites i specifikke kategorier - f.eks dating, gambling og voksenunderholdning. Det beskytter endvidere mod Botnets, og samkøres i realtid med FortiGuards domainrating - en database indeholdende "snavsede" domæner hvor spam udsending er konstateret.
• File filter kan blokere upload eller download af specifikke fil typer f.eks .exe .zip .rar osv.
• Email filter kan opdage og filtrere spam i ind og udgående emails.

NGFW SSL Inspection

SSL Inspection er en teknologi, der dekrypterer og krypterer data, inden trafikken sendes ned til serveren. Vi operer med to typer af SSL Inspection: 

• SSL Certificate Inspection dekrypterer ikke trafikken, men inspicerer header-informationen på de indgående pakker, og sammenholder informationen med FortiGate’s database over blacklistede certifikater. På den måde blokeres forsøg på at forbinde proaktivt. På denne måde blokeres bl.a. forsøg med Ransomware certifikater.
   
• Full SSL Inspection fungerer ved, at Firewallen agerer ”Man In The Middle” og optræder som serveren. Firewall’en modtager trafikken fra klienten, dekrypterer den, scanner trafikken og krypterer den igen. Først herefter sendes trafikken ned til den rigtige server. Denne teknologi kræver at de centrale firewalls har serverens SSL-certifikat korrekt installeret. 

Next Generation Firewall hos Rackhosting

Hos Rackhosting har anvender vi en redundant FortiGate NGFW løsning, placeret i to datacentre, leveret af markedslederen FortiNet. FortiGate kan med deres specialdesignede chipset NPU (Network Processor Unit) og SPU (Security Processor Unit) håndtere ekstreme mænger af trafik, sessioner og scanninger. Den specialiserede processorkraft garanterer høj ydevne, og selv under massiv belastning, kan firewallen overvåge store mængder netværkstrafik uden afmatning. Kun få sammenlignelige løsninger udnytter CPU kraft på denne måde. 

NPU’en håndterer alt netværksrelateret (routing, VPN/Tunnels m.m.), mens SPU’en håndterer selve firewallen og alle de mange Next Generation sikkerhedsfeatures. Af disse grunde er FortiGate noget nær umulig at lave "denial of service" på. I stedet for at maxe ud, offloades det hele til det specialdesignede chipset. 

Vores Next Generations firewalls giver med andre ord et meget stærkere og robust sikkerhedslag, og tåler derfor heller ikke sammenligning med en traditionel firewall løsning. 

Hos Rackhosting kan alle kunder abonnere på en Managed Firewall Plan til sit hostingprodukt – herunder kunder med Virtual Datacenter, Cloud server og VPS løsninger. Vi ser ind i en virkelighed med et bredt og stigende udvalg af avancerede trusler, hvorfor alle kunder bør beskyttes af vores centrale firewall. Som udgangspunkt kan pakker tilvælges i hhv. basic, standard og advanced konfigurationer, med graduerede features og båndbredde. 

Virtual Domain (VDOM)

For mere avancerede kunder /brugere, tilbyder vi at tilkøbe et VDOM på vores FortiGate. Et VDOM er et virtuelt segment, som er helt separat fra andre virtuelle domæner på firewallen. Konkret betyder det, at man som kunde leaser sig ind på firewallen og administrerer sig eget område (domain), uden direkte involvering fra vores tekniske support. Vores tekniske support bistår naturligvis med både implementering og introduktion til brugerflade og anvendelsesmuligheder. For langt de fleste kunder vil vores Managed Firewall dog være helt tilstrækkeligt, og et VDOM kræver både teknisk indsigt, interesse og disciplin. For yderligere overblik over data, logs mv. er det muligt at tilkøbe FortiNet's FortiAnalyzer appliance, som anvendes til analyse af sikkerhed og trends, samt til rapportering. 

Vil du vide mere?

Ønsker du at høre mere om mulighederne med vores firewall løsning eller sikkerhed i øvrigt, er du velkommen til at kontakte os for videre dialog om behov og muligheder

*OSI modellen - let læst definition