Was ist eine Proxy-Firewall?

Einfach ausgedrückt ist ein Bevollmächtigter jemand, dem die Befugnis übertragen wurde, eine andere Person zu vertreten. In Computernetzwerken sind Proxys Netzwerkgeräte, denen die Berechtigung erteilt wird, im Namen eines Clients eine Verbindung zu einem Server herzustellen.

Ein typisches Beispiel ist ein Proxyserver oder eine Proxy- Firewall , die im Namen eines internen Unternehmensmitarbeiters eine Verbindung zu einer Website oder einer anderen Anwendung herstellt. Es gibt auch Reverse-Proxys, die externe Kunden mit vom Unternehmen gehosteten Vermögenswerten verbinden; Beispielsweise können Remote-Benutzer über ein Unternehmens-Webportal mit einer Intranet-Website und einem internen Datei- und E-Mail-Server verbunden werden. Malware kann auch als nicht autorisierter Proxy fungieren. Lesen Sie beispielsweise über das Proxyserver-Netzwerk der Ramnit-Malware-Familie , wie es vom Team von Check Point Research (cp<r>) beschrieben wird.

Schauen wir uns genauer an, was eine Proxy-Firewall ist, wie eine Proxy-Firewall funktioniert und was der Unterschied zwischen einer Proxy-Firewall und der heutigen Firewall der nächsten Generation (NGFWs) ist.

Demo anfordern Miercom 2024 NGFW-Sicherheitsbenchmark

Proxy-Firewall vs. Proxy-Server

Während alle Proxy- Firewall Proxy-Server sind, sind nicht alle Proxy-Server Proxy- Firewall. Beide fungieren als Vermittler zwischen Servern und Clients. Beide können Webseiten zwischenspeichern, um die Überlastung des Netzwerks zu verringern, und beide verbergen Informationen über den Benutzer vor dem Server. Eine Proxy-Firewall führt eine gründlichere Untersuchung des Netzwerkverkehrs durch, um potenziell bösartigen Datenverkehr zu identifizieren und ihn davor zu schützen.

So funktioniert eine Proxy-Firewall

Wenn Sie für ein großes Unternehmen gearbeitet haben, sind Sie möglicherweise mit der Einstellung Ihres Laptops für die Verwendung einer Proxy-PAC-Datei (Proxy Auto-Configuration) oder der Angabe einer IP-Adresse des Unternehmens-Proxyservers vertraut. Browser und andere Anwendungen verwenden diese Betriebssystemeinstellungen, um den Datenverkehr an den Proxyserver zu leiten.

Der Webbrowser stellt eine Verbindung zum Proxyserver her, der die Verbindung abfängt und im Namen des Clients eine weitere Verbindung zur Zielwebsite herstellt, sofern die Verbindung durch die Richtlinie zulässig ist. Dadurch kann die Proxy-Firewall Pakete innerhalb der Verbindung prüfen. Das wichtigste unterstützte Protokoll ist HTTP(S)-Webverkehr, aber je nach den Funktionen der Proxy-Firewall können auch andere Protokolle wie FTP unterstützt werden.

Hauptmerkmale einer Proxy-Firewall

Zu den Hauptmerkmalen einer Proxy-Firewall gehören:

 

  • Zwischenspeichern des Website-Verkehrs zur Verbesserung der Leistung.
  • Beschränken des Webzugriffs auf Websites basierend auf Sicherheitsrichtlinien.
  • Untersuchen des Datenverkehrs auf Anwendungsebene auf böswillige Absichten.

Die Unterschiede zwischen Proxy- Firewall und anderen Firewall

Proxy-Firewalls unterscheiden sich in einigen Punkten von anderen Firewall-Typen, unter anderem in den folgenden:

Inspektions- und Schutzfunktionen

Proxy- Firewall dienen dazu, eine kleine Menge anwendungsspezifischen Datenverkehrs zu überprüfen. Andere Firewall führen ebenfalls Deep Packet Inspection durch, haben jedoch in der Vergangenheit Richtlinien basierend auf IP-Adresse und Port- oder Dienstadresse erzwungen, z TCP-Ports 80 (HTTP) und 443 (HTTPS) für das Web.

 

Einfache Filterung auf IP- und Portebene ist die Domäne früherer Paketfilter oder Firewall , die einfache Zugriffskontrolllisten (ACL) erzwingen. Allerdings können ACLs recht lang und für den Menschen schwer verständlich werden.

Stateful Firewall ging noch einen Schritt weiter und brachte Protokollbewusstsein in die Verkehrskontrolle. Beispielsweise verfügt FTP (File Transfer Protocol) über separate Steuerungs- (TCP-Port 20) und Datenverbindungen (TCP-Port 21). Für die Datenübertragung kann der Port auch ein beliebiger Port aus der Menge der verfügbaren Ports sein, die insgesamt etwas weniger als 60.000 beträgt. Der zwischen Client und Server gewählte Port wird über die FTP-Steuerungsverbindung kommuniziert.

 

Eine Stateful Firewall , die die FTP-Kontrollverbindung überwacht, kann die Datenübertragung dynamisch zulassen. In der Richtlinie bedeutet dies, dass Sicherheitsadministratoren lediglich angeben müssen, dass FTP zwischen Hosts zulässig ist. Es ist nicht erforderlich, einen größeren Portbereich in einer ACL-Liste zu öffnen.

 

Mit der Weiterentwicklung anderer Technologien wie URL-Filterung, Anwendungskontrolle, Intrusion Detection and Prevention (IDS/IPS) und Sandboxing wurden diese in die Firewall integriert, was zu einem vielseitigen Netzwerk-Sicherheitsgerät führte.

Bereitstellungsort

Während sich der Name möglicherweise geändert hat, als sich die Firewall zu Secure Web Gateway (SWG), UTM (Unified Threat Management) und Firewall der nächsten Generation (NGFW) weiterentwickelte, hat sich ihre Position im Netzwerk wahrscheinlich nicht geändert. Proxyserver und Proxy- Firewall werden normalerweise als transparente Netzwerkgeräte bereitgestellt, an die der Datenverkehr weitergeleitet wird.

 

Andererseits werden Firewall eher inline als transparente Grenzgeräte an Netzwerkgrenzen eingesetzt. Diese Firewall führen auch eine Low-Level-Netzwerk-Adressübersetzung (NAT) zwischen Netzwerken durch, beteiligen sich am Routing mithilfe statischer oder dynamischer Routing-Protokolle und beenden außerdem Client-zu-Site- und Site-to-Site-VPN-Verbindungen (Virtual Private Netzwerk) . Normalerweise ist dies für Endbenutzer völlig transparent, sie können jedoch auch Verbindungen wie SSL/TLS-verschlüsselte Webverbindungen und E-Mails wie SMTP abfangen, indem sie als Message Transport Agent (MTA) fungieren.

Einschränkungen der Proxy- Firewall

Eine Sache, die Proxy- Firewall tun, was NGFWs nicht tun, ist, den Webverkehr zwischenzuspeichern, um die Leistung zu verbessern. Schlechte Leistung kann im Vergleich zu NGFWs ein Nachteil der Proxy- Firewall sein. Ein weiterer Grund ist, dass es schwierig ist, auf dem neuesten Stand zu bleiben, wenn sich die Anwendung ändert, sodass die Anwendungsfilterung manchmal unterbrochen werden kann, was zu einem schlechten Benutzererlebnis führt. Ebenso können sie zu einem Single Point of Failure werden und Netzwerkstörungen verursachen.

 

Ein weiteres Problem bei Out-of-Band-Netzwerkgeräten wie der Proxy- Firewall besteht darin, dass sie darauf angewiesen sind, die Proxy- oder PAC-Dateikonfiguration auf dem Client festzulegen. Benutzer können dies oft manuell tun, wodurch es relativ einfach ist, den Proxyserver zu umgehen. Ebenso können ambitionierte Nutzer eine App nutzen, die nicht von der Proxy-Firewall unterstützt wird, und so auch die Sicherheitsrichtlinien des Unternehmens umgehen.

Proxy-Firewall mit Check Point

Check Point Firewall, eine der ersten Stateful Firewall, hat sich mit dem Aufkommen neuer Bedrohungen weiterentwickelt. Die heutige Check Point-Firewall ist ein wertvoller Ersatz für Proxy-Firewalls und Proxy-Server und ermöglicht Unternehmen die Konsolidierung von Netzwerk-Sicherheitstechnologien unter einem hoch skalierbaren und zuverlässigen Multifunktions-Netzwerkgerät.

 

Check Point NGFWs sind auch in der Bereitstellung Ihrer Wahl verfügbar; für Inline-Routing- oder Bridge-Bereitstellungen, vor Ort als physisches Gerät, in der privaten und öffentlichen Cloud als virtuelles Gerät und als Firewall-as-a-Service (FWaaS), bereitgestellt als Sicherheitskomponente in einem SASE (Secure Access Service Edge). ) Modell. Weitere im SASE-Modell enthaltene Sicherheitsdienste sind Zero Trust Netzwerk Access (ZTNA) zur Bereitstellung eines sicheren Zugriffs auf Unternehmensanwendungen und CASB (Cloud Access Security Broker) zum nativen Schutz von Produktivitätssuiten für Office- und E-Mail-Cloud-Anwendungen.

 

Um mehr darüber zu erfahren, worauf Sie bei einer NGFW- oder SASE-Lösung achten sollten, lesen Sie diesen Einkaufsführer. Gerne Demo können Sie noch heute ein Check Point NGFW- oder SASE-Produkt .

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK