Tirando o máximo proveito do XG Firewall v18 – Parte 3

Neste terceiro de uma série de artigos sobre como aproveitar ao máximo os novos recursos do XG Firewall v18, vamos nos concentrar nas ferramentas disponíveis para otimizar o tráfego de aplicativos de negócios importantes usando o novo XStream Network Flow FastPath e o novo SD-WAN e suas Opções de roteamento baseado em políticas.

FastPath Application Acceleration e SD-WAN Routing

Com o congestionamento da rede cada vez maior, ter as ferramentas para otimizar aplicativos de negócios importantes está se tornando cada vez mais importante.

XStream FastPath Application Acceleration

Em nossos dois últimos artigos, cobrimos a arquitetura XStream e o novo mecanismo DPI , bem como a nova inspeção TLS no XG Firewall v18. O Network Flow FastPath é outro componente-chave da nova arquitetura XStream e fornece aceleração de aplicativos para tráfego confiável.

O Network Flow FastPath pode direcionar o tráfego confiável que não requer varredura de segurança para a via rápida do sistema. Isso não apenas minimiza a latência e acelera o tráfego do aplicativo através do firewall, mas também tem o benefício adicional de não envolver o mecanismo DPI e os recursos de inspeção TLS para o tráfego que não requer inspeção. Isso libera os recursos para o tráfego que realmente precisa deles – criando espaço para desempenho adicional no processo.

Como funciona

Inicialmente, todo o fluxo de tráfego é processado ​​pela pilha do Firewall e passado ​​para o mecanismo DPI para identificação posterior. Depois que um fluxo de tráfego de aplicativo é determinado como “confiável”, o Network Flow FastPath é direcionado para lidar com o fluxo de pacotes diretamente e transportar os pacotes através do FastPath, ignorando o mecanismo DPI.

O tráfego pode ser acelerado no Network Flow FastPath de duas maneiras:

  1. Automaticamente: se o aplicativo corresponder a uma Indicação de nome de servidor (SNI) da SophosLabs para tráfego que é considerado confiável e à prova de adulteração, como serviços de streaming de vídeo e áudio (Netflix, Spotify, Pandora, etc.), atualizações seguras obtidas diretamente de dentro do aplicativo (da Microsoft, Apple, Adobe, Sophos, etc.) ou VoIP e outros protocolos de streaming (como SIP, FIX, RDP, etc.)
  2. Política: se houver uma regra de firewall associada a esse tráfego de aplicativo específico que o acelera no FastPath ao não sinalizá-lo para varredura de segurança.

Você deve estar se perguntando, quando faria sentido acelerar o tráfego de aplicativos no FastPath, ou em outras palavras, o que pode ser confiável? O tráfego, como streaming de mídia que não é baseado em código ativo, é um exemplo perfeito de tráfego confiável. Devido à estrutura de streaming do tráfego e como ele é remontado para reprodução, não é possível injetar malware neste tipo de fluxo de tráfego, tornando-o um candidato ideal para aceleração FastPath. Esse tipo de tráfego inclui todos os serviços de streaming populares, como Netflix e Spotify, mas também VoIP e aplicativos de colaboração, como Zoom, GotoMeeting, Skype for Business, Microsoft Teams Calls e outros. E, claro, esses aplicativos de comunicação e colaboração estão entre os mais importantes em qualquer negócio, o que os torna ideais para aceleração FastPath.

Os aplicativos que permitem que os usuários baixem atualizações ou arquivos NÃO são bons candidatos para a aceleração do FastPath, pois os arquivos podem obviamente conter código ativo e ser mal-intencionados. Em geral, no interesse da segurança, nunca crie uma regra FastPath para navegação na web geral ou sites ou aplicativos de compartilhamento de arquivos.

Regras de firewall no XG Firewall v18

As regras de firewall no XG Firewall v18 são muito semelhantes em sua construção às versões anteriores, facilitando as migrações. Este vídeo fornece uma visão detalhada do firewall e da configuração da regra NAT no Firewall XG v18:

Abordaremos as regras de NAT em um artigo futuro desta série, mas hoje vamos revisar como criar uma regra de firewall para acelerar o tráfego confiável no FastPath. Não poderia ser mais direto e intuitivo: basta identificar as redes de aplicativos de destino (FQDNs) ou serviços …

E selecione “None” para Recursos de segurança e não marque nenhuma das caixas de seleção para garantir que o tráfego será acelerado no FastPath e não redirecionado através do mecanismo DPI para varredura de segurança desnecessária.

Em seguida, verifique se a aceleração FastPath está ativada em Advanced threat > Advanced threat protection, conforme mostrado abaixo (deve ser definida por padrão). É tão fácil!

Roteamento baseado em política de aplicativo SD-WAN

Outro recurso novo e aprimorado no XG Firewall v18 é o SD-WAN Policy Based Routing (PBR). Assim como você deseja que o caminho de um aplicativo de negócios importante através do firewall seja otimizado e acelerado no FastPath, você também pode querer garantir que o caminho de um aplicativo para a nuvem ou filial seja otimizado da mesma forma. É aí que entra o SD-WAN PBR.

O XG Firewall v18 adiciona critérios de seleção de tráfego baseado em usuários, grupos e aplicativos à configuração de roteamento SD-WAN do XG Firewall. Isso permite que você direcione o tráfego de aplicativo de negócios importante para um link WAN de ISP preferido ou uma conexão VPN de filial, enquanto o tráfego menos importante utiliza uma rota diferente.

Este vídeo oferece uma excelente visão geral de como aproveitar as vantagens dos novos recursos de PBR SD-WAN no Firewall XG v18 para otimização de aplicativos e roteamento SD-WAN.

SD-WAN sincronizado

O XG Firewall v18 evoluiu ainda mais o SD-WAN com a introdução do Synchronized SD-WAN, um novo recurso de segurança sincronizada da Sophos que oferece benefícios adicionais com o roteamento de aplicativos SD-WAN. O SD-WAN sincronizado aproveita a clareza e a confiabilidade adicionais da identificação de aplicativos que vem com o compartilhamento de informações de controle de aplicativos sincronizados entre endpoints gerenciados pelo Sophos e o XG Firewall. O controle de aplicativos sincronizado pode identificar positivamente 100% de todos os aplicativos em rede, incluindo aplicativos evasivos, criptografados, obscuros e personalizados e agora esses aplicativos não identificados anteriormente também podem ser adicionados às políticas de roteamento SD-WAN. Isso fornece um nível de controle de roteamento de aplicativo e confiabilidade que outros firewalls não podem igualar.

Aqui está um resumo dos recursos disponíveis para ajudar a aproveitar ao máximo os novos recursos do XG Firewall v18, incluindo aceleração do aplicativo FastPath e SD-WAN Policy Routing:

Se você é novo no Sophos XG Firewall, saiba mais sobre os grandes benefícios e recursos que o XG Firewall pode oferecer às redes de seus clientes.

do original em: https://partnernews.sophos.com/en-us/2020/08/products/making-the-most-of-xg-firewall-v18-part-3/

Gostou? Compartilhe:

Deixe um comentário