Produkte > Herkömmliche vs. Proxy-basierte Firewalls

Die Firewall der nächsten Generation hat Geschichte geschrieben.
Jetzt könnte sie Geschichte sein.

Um heutige Bedrohungen zu erkennen und zu verhindern, benötigt man mehr als herkömmliche Stateful oder Next Generation Firewalls.

Bedrohungen lauern in verschlüsseltem Traffic

Da die Menge verschlüsselten Traffics innerhalb der letzten Jahre dramatisch zugenommen hat, können Hacker SSL-Verschlüsselung ausnutzen, um User zu infizieren, Datenexfiltration zu verschleiern und C&C-Kommunikation zu verbergen. Heute verstecken sich 54 % aller komplexen Bedrohungen im SSL-Traffic. Unternehmen haben keine andere Wahl – sie müssen eine SSL-Überprüfung durchführen, um Sicherheit zu gewährleisten und ihre User zu schützen.

Quelle: Google Transparency Report 2016

Bedrohungen lauern in verschlüsseltem Traffic
Herkömmliche Firewalls haben Probleme bei der Überprüfung von verschlüsseltem Traffic

Herkömmliche Firewalls haben Probleme bei der Überprüfung von verschlüsseltem Traffic

Leider sind herkömmliche Firewalls nicht dazu gedacht, Traffic zu entschlüsseln. Firewall-Appliances können die aufwändige SSL-Überprüfung meist nicht bewältigen, und wenn sie es versuchen, bleibt die Leistung auf der Strecke. Daher müssen Unternehmen für die SSL-Überprüfung über eine Appliance häufig ein Upgrade ihrer Hardware durchführen.

Um SSL-verschlüsselte Malware in großem Maßstab zu erkennen, benötigen Organisationen eine Proxy-basierte Architektur in der Cloud.

Die Zscaler Cloud Firewall basiert auf einer hoch skalierbaren Proxy-Architektur, die SSL-Traffic im großen Maßstab überprüfen kann. Aufgrund unserer globalen Präsenz können wir steigende SSL-Bandbreiten und -Sitzungen ohne kostspielige Upgrades oder verminderte Prüfleistung verarbeiten. So können wir unbegrenzte SSL-Entschlüsselung auf allen Ports zu einem Pauschalpreis pro User bereitstellen.

 

Die Abhängigkeit von UTM- und NGFW-Appliances zur Sicherung des Internet-Traffics ist kostspielig, führt zur Vermehrung von Appliances und beeinträchtigt die Sicherheit in den Niederlassungen.
Herkömmliche Firewalls haben tote Winkel

Herkömmliche Firewalls haben tote Winkel

Herkömmliche Firewalls verwenden IPS und AV zum Schutz vor signaturbasierten Bedrohungen, die allerdings nur einen geringen Teil der gesamten Bedrohungen ausmachen, denn fast neunzig Prozent aller Signaturen wurden für HTTP und DNS erstellt2. Zur vollständigen Überprüfung von HTTP- und DNS-Traffic benötigen Unternehmen eine Proxy-basierte Architektur – signaturbasierter Schutz reicht nicht mehr aus.

Quelle: 2 ThreatLabZ Analysis of snort free registered user ruleset, Snapshot 2990: outbound, active, vulnerabilities

Schutz für die anfälligsten Protokolle

Zscaler Cloud Firewall verwendet fortschrittliche Deep Packet Inspection (DPI) und eine Proxy-basierte Architektur als Proxy für den gesamten HTTP/HTTPS-, DNS- oder FTP-Traffic, unabhängig vom Port. Auf diese Weise können Unternehmen mehr Bedrohungen für ihre angreifbaren Protokolle entdecken – egal, ob sich ihre Benutzer am Hauptsitz oder in Niederlassungen aufhalten oder sogar von unterwegs aus arbeiten.

Schutz für die anfälligsten Protokolle

Emfohlene Ressourcen

Datenblatt

Zscaler Cloud Firewall

Webcast

Mit der Zscaler Cloud Firewall reine Internet-Zweigstellen ermöglichen

Report

– Gartner Magic Quadrant für Security Service Edge 2022