Stichworte wie Deep Packet Inspection kennzeichnen die Fähigkeit von Next Generation Firewalls, den Daten-Teil von Paketen zu untersuchen statt wie bisher ausschließlich die Header- und Meta-Informationen. Es ist heute nicht mehr ausreichend, lediglich anhand äußerer Merkmale wie IP und Port über die Zulässigkeit einer Kommunikation zu entscheiden, denn es ist fraglos, dass Web Traffic grundsätzlich zugelassen werden muss, der die Basis der Dienste und Applikationen der meisten aktuellen Anwendungslandschaften darstellt. Jedoch steckt die Gefahr für die Infrastruktur und vor allem für die Unternehmensdaten nun im Payload dieser Kommunikation, in den HTTP Methoden und eingebetteten Objekten, Skripten und so weiter.
Nachteile von Firewalls
Klassische Firewalls sind auf diesem Auge blind, die Hersteller versuchen gegenüber den Angreifern aufzuholen, indem sie DPI in ihre Produkte einbauen und neue Techniken anflanschen. Die Architektur und Arbeitsweise von Firewalls sind dafür aber oft nicht ausgelegt, so dass die Performance und Stabilität einer Lösung nicht nur durch den enorm hohen zusätzlichen Aufwand, sondern auch durch strukturelle Schwierigkeiten erheblich sinken und bestimmten Anforderungen überhaupt nicht mehr gewachsen sind.
ADC NetScaler als Firewall?
Citrix NetScaler arbeitet als Application Delivery Controller seit jeher Applikations-zentriert mit einem Schwerpunkt auf Verfügbarkeit, Performance und Sicherheit für Web Applikationen. Seine gesamte Architektur ist ausgelegt und optimiert für die Bereitstellung, Kontrolle und Sicherung auf Basis von Inhalten der Kommunikation. Die Web Application Firewall ist dabei die Speerspitze der Sicherheit für heutige Anwendungen von einfach Websites über Web 2.0 Applikationen bis hin zu XML-basierten Services.
Auf der anderen Seite ist NetScaler keine Netzwerk-Firewall, so dass Stateful Inspection Firewalls weiterhin ihre Existenzberechtigung haben. Eher statische Paketfilterregeln können allerdings auch mit NetScaler ACLs sehr effizient abgebildet werden.
Auch für die wohl kritischste Komponente des Internet bietet NetScaler Optimierung und Sicherheit: DNS. Der leistungsstarke DNS Service von NetScaler arbeitet als authoritativer Nameserver oder auch als DNS Proxy vor den eigentlichen Nameservern. Er unterstützt in beiden Szenarien vollständig die Sicherheitserweiterung DNSSEC, die vor verbreiteten Angriffen auf das Domain Name System schützt, indem Einträge signiert werden.
Brauchen Sie auch eine Lösung bei NetScaler? Klicken Sie hier.
