Application delivery firewalls (ADF) en Next generation firewalls (NGFW) worden nu vaak los van elkaar toegepast. Er is echter een tendens om een combinatie van de twee te maken. Om een overwogen keuze te kunnen maken tussen een ADF en een NGFW moeten we eerst duidelijk hebben wat de verschillen zijn.
Next Generation firewall (NGFW)
Een NGFW is een geïntegreerd netwerkplatform dat de functionaliteit van een traditionele firewall combineert met andere netwerkfilters zoals, application firewall middels in-line deep packet inspection (dpi), intrusion prevention systeem (ips), ssl en ssh-ondervanging, website filtering, bandbreedte-management en antivirus inspectie.
Ook Gartner definieert een NGFW als een ‘wire-speed geïntegreerd netwerkplatform, dat deep inspection uitvoert van het verkeer en aanvallen blokkeert’. Een NGFW levert minimaal een non-disruptive in-line configuratie; standaard firewall functies zoals nat, stateful protocol inspectie, en vpn; een ips-engine; application awareness; de mogelijkheid om kennis van derden te koppelen (bijvoorbeeld een blacklist) en ssl-decryptie.
De NGFW is ontwikkeld vanwege de verandering van het malware-landschap. Vroeger kon met het dicht zetten van een poort/protocol een gevaarlijke applicatie worden tegengehouden, maar sinds de webificatie van applicaties, waarbij zakelijke applicaties als Salesforce, Sharepoint et cetera tcp-poort 80 gebruiken, is dit niet meer mogelijk. Het blokkeren van poort 80 om een virus uit Facebook’s Farmville tegen te houden, zou betekenen dat Sharepoint en Salesforce niet meer bereikbaar zijn.
In eerste instantie werd de traditionele firewall hierom uitgebreid met andere security oplossingen, zoals aparte ips, url-filtering, en antivirus-systemen. Hierdoor ontstond echter een zogenaamde ‘sprawl’ van devices; puntoplossingen van verschillende merken. Dit is duur in onderhoud en beheer. In een NGFW worden deze elementen gecombineerd.
Het is belangrijk om te beseffen dat een NGFW bescherming biedt aan een relatief klein aantal clients die binnen een netwerk verbinding zoeken met applicaties op het internet. Het aantal gelijktijdige connecties en het aantal connecties per seconde dat van binnen jouw netwerk naar het internet wordt opgezet is daardoor ook beperkt. De clients kunnen wel snel downloaden en dit verkeer moet geïnspecteerd worden door de NGFW. De performance van de NGFW wordt daarom gespecificeerd in maximale throughput, zeg maar de snelheid van de internetverbinding.
Application Delivery Firewall (ADF)
Een ADF is een geïntegreerd netwerkplatform en biedt onder andere high speed application-aware firewall, web application firewall, dns-firewall, DDoS-bescherming van laag 3 tot en met laag 7 van het OSI-model en toegangscontrole met IdM en IAM. Dit wordt gecombineerd met zichtbaarheid en logging op zowel netwerk- als applicatieniveau.
Vergelijkbaar met de NGFW is de reden achter de ADF de verandering in het soort aanvallen, in het bijzonder de aanvallen op applicaties, data en dns. In eerste instantie werd volstaan met een reverse proxy-oplossing die het verkeer van de server en de client beschermde. Sinds Wikileaks, bekende DDoS-aanvallen en bekend geworden kwetsbaarheden zoals Openssl en Heartbleed, weten we dat een reverse proxy niet volstaat. De beveiliging werd daarom uitgebreid met een web application firewall met diepgaande kennis van business applicaties zoals Sharepoint, Oracle en Exchange; dns-beveiliging; SSL inspectie devices; IdM en AdM oplossingen en DDoS-bescherming.
Er ontstond zelfs een organisatie (Open Web Application Security Project – OWASP) die bijhoudt welke type aanvallen het meest voorkomen op applicaties en data.
Ook in dit scenario bleek dat de verschillende componenten, vaak van verschillende leveranciers, een grote investering betekenen en tot hoge beheerkosten leidde. Daarnaast bleek dat de integratie van verschillende componenten erg moeilijk is. Dit probleem groeit naarmate er een grotere verscheidenheid in apparatuur komt dankzij byod en de grote groei van applicaties. It-afdelingen zijn vaak alleen nog maar bezig met het patchen en testen van alle veranderingen in dit landschap.
Gezien deze ontwikkelingen is er een ADF ontwikkeld die alle bovengenoemde zaken in één appliance combineert en applicaties beschermt ongeacht of deze in een eigen netwerk staan of bij een provider in de cloud. Vanwege de full proxy-architectuur is deze uitgebreide bescherming niet op een traditionele firewall, maar op basis van een application delivery controller gebouwd. Hierdoor is er een volledige scheiding tussen de client en de server voor zowel inkomend als uitgaand verkeer en kunnen er een groot aantal gelijktijdige connecties en een hoog aantal connecties per seconde afgehandeld worden.
Veel gebruikersverkeer naar applicaties is versleuteld. Dit is goed ter beveiliging van gevoelige gegevens zoals creditcardnummers, passwords et cetera. Voor het beveiligen van een applicaties heeft encryptie echter als nadeel dat een eventuele aanval op een applicatie ook versleuteld is en niet als zodanig herkend kan worden. Binnenkomend verkeer moet dus gedecrypt worden voordat het geïnspecteerd kan worden. Hier is een full proxy architectuur bij uitstek geschikt voor.
De performance van de ADF wordt – naast throughput – gespecificeerd in het maximale aantal connecties en transacties per seconde. Dit is logisch als je bedenkt dat een ADF bescherming moet bieden aan een grote hoeveelheid inkomende verbindingen van het internet naar de applicaties en als taak heeft de DDoS-aanvallen op zowel applicatie als de dns-omgeving moet afvangen.
Heden en toekomst
Hoewel nu nog NGFW en ADF naast elkaar worden gebruikt, zien we een verschuiving naar een gecombineerde oplossing. Een NGFW is geen full proxy-apparaat, en heeft dus geen capaciteit om een grote hoeveelheid connecties en transacties per seconde af te handelen. De logische keuze voor de gecombineerde oplossing lijkt dus de ADF. Door samenwerkingen beschikken ADF-platformen steeds meer over NGFW-functionaliteit. Wat nog ontbreekt is de ips/ids functionaliteit.
Een ADF is ontworpen om applicaties met de onderliggende infrastructuur te beschermen. Door de ADF uit te breiden met de functionaliteit van een NGFW, ontstaat een vereenvoudigde totaaloplossing, die volledige bescherming biedt voor clients én servers; beheersbaar is en blijft als meer client types en applicaties worden toegevoegd; bescherming biedt als applicaties verhuizen naar cloud oplossingen; helpt bij het opsporen en beheer bij verstoringen en applicaties beschikbaar stelt op de meest veilige, snelste en betrouwbaarste manier, aan iedereen op elke locatie en op elk tijdstip.