Een firewall van de volgende generatie omvat:

  • toepassing en gebruikerscontrole
  • geïntegreerde inbraakpreventie
  • geavanceerde malware detectie zoals sandboxing
  • maakt gebruik van feeds met bedreigingsinformatie

De bovenstaande NGFW-functies komen bovenop de functies die doorgaans worden aangetroffen in netwerkfirewalls, zoals Network Address Translation (NAT), ondersteuning voor dynamisch routeringsprotocol en mogelijkheden voor hoge beschikbaarheid. Het onderscheid tussen een netwerkfirewall van de volgende generatie en Unified Threat Management (UTM) -apparaat is enigszins vaag. UTM-apparaten zijn ontworpen voor het kleine tot middelgrote bedrijf (MKB) marktsegment waar een kant-en-klare, uitgebreide beveiligingsoplossing nodig is.

Bedrijven met grotere implementaties van gedistribueerde netwerkfirewalls van de volgende generatie vereisen daarentegen sterk centraal beheer, inspectie van HTTPS-gecodeerde tunnels, integratie met externe leveranciers en goed gedefinieerde API’s voor provisioning en beleidsorkestratie. Dit laatste is essentieel voor het automatiseren van beveiliging in SD-WAN netwerken. Voorbeelden van integratie door derden zijn onder meer het authenticeren van gebruikers tegen identiteitswinkels zoals Microsoft Active Directory en het exporteren van beveiligingslogboeken naar leveranciers van Security Information Event Management (SIEM).

De netwerkfirewall van de volgende generatie kan worden ingezet:

  • on-premise van ondernemingen en bijkantoren
  • on-premise bij interne segmentgrenzen
  • in openbare clouds, bijv. Amazon (AWS), Microsoft Azure, Google Cloud Platform
  • in private clouds, bijv. VMware, Cisco ACI

Wat is het belangrijkste voordeel van een next generation firewall?

Het belangrijkste voordeel van een NGFW is de mogelijkheid om veilig gebruik te maken van internettoepassingen die gebruikers in staat stellen productiever te zijn en minder wenselijk te blokkerentoepassingen. Firewalls van de volgende generatie bereiken dit door gebruik te maken van deep packet inspectionidentificerenen beheer applicaties ongeacht de IP-poort die door de applicatie wordt gebruikt.

Het typische beveiligingsbeleid van een netwerkfirewall die aan de rand van een organisatie wordt ingezet, blokkeert inkomende verbindingen en staat uitgaande verbindingen toe. Sommige limieten kunnen worden toegepast, maar uitgaand webverkeer is over het algemeen toegestaan. Toepassingen hebben geleerd om beschikbare open poorten zoals webpoort 80 naar het internet te gebruiken om hun klanten een naadloze gebruikerservaring te bieden. Dit geldt voor applicaties waarmee medewerkers efficiënter kunnen werken en applicaties die minder gewenst zijn voor de belangen van het bedrijf. Firewalls van de volgende generatie geven bedrijven meer inzicht in welke applicaties hun werknemers gebruiken en controle over hun applicatiegebruik.

Hoe implementeren next generation firewalls gebruikersbeheer?

Een beveiligingsbeleidsregel van een netwerkfirewall zegt minimaal dat een verbinding van deze bron naar deze bestemming is toegestaan ​​of geweigerd. De bron en bestemming worden traditioneel gedefinieerd als een IP-adres dat is toegewezen aan een laptop of is een groter netwerkadres met meerdere gebruikers en servers. Deze definitie van een statisch adresbeleid is voor mensen moeilijk te lezen, maar werkt ook niet goed om een ​​beveiligingsbeleid in te stellen voor gebruikers met verschillende IP-adressen terwijl ze door het hele bedrijf zwerven en wanneer ze off-site werken.

Leveranciers van netwerkfirewall van de volgende generatie lossen dit op door te integreren met gebruikersdirectory’s van derden, zoals Microsoft Active Directory. Dynamisch, op identiteit gebaseerd beleid biedt gedetailleerde zichtbaarheid en controle over gebruikers, groepen en machines en is gemakkelijker te beheren dan statisch, op IP gebaseerd beleid. In één console definiëren beheerders de objecten één keer. Wanneer netwerkfirewalls voor het eerst een verbinding zien, wordt het IP-adres toegewezen aan de gebruiker en groep door de gebruikersdirectory van de derde partij op te vragen. Deze dynamische toewijzing van gebruikers naar IP zorgt ervoor dat beheerders het beveiligingsbeleid niet voortdurend hoeven bij te werken.

Hoe kunnen nieuwe generatie firewalls Bedreigingspreventie afdwingen?

Bedreigingspreventiemogelijkheden zijn een natuurlijke uitbreiding van next-gen firewalls diepte pakket inspectie mogelijkheden. Terwijl het verkeer door het netwerkfirewall-apparaat gaat, inspecteren ze het verkeer ook op bekende exploits van bestaande kwetsbaarheden (IPS). Bestanden kunnen off-device worden verzonden om te worden geëmuleerd in een virtuele sandbox om kwaadaardig gedrag te detecteren (sandbox-beveiliging).

Wat biedt een next generation firewall?

Naarmate de beveiligingsbedreigingen blijven groeien, schakelen bedrijven over van Next Generation Firewalls en gaan ze over op een nieuwe firewalltechnologie die Gartner de ‘Netwerk Firewall’. Network Firewalls bieden realtime informatie over bedreigingen en aanvullende beveiligingsfuncties in het datacenter, de cloud, mobiel, endpoint en IoT.

Een firewall is een essentieel onderdeel van de beveiligingsarchitectuur van elke organisatie die gevoelige gegevens kan helpen beschermen, aan compliancevereisten kan voldoen en organisaties kan begeleiden bij het bereiken van digitale transformatie.