Heute freuen wir uns darüber, Ihnen die Magic Firewall™ präsentieren zu können, eine Firewall auf Netzwerkebene, die über Cloudflare bereitgestellt wird, um Ihr Unternehmen zu schützen. Magic Firewall deckt Remote-Nutzer, Zweigniederlassungen, Rechenzentren und Cloud-Infrastruktur ab. Das Beste daran ist, dass sie umfassend in Cloudflare One™ integriert ist und Ihnen einen direkten Überblick über alles verschafft, was in Ihrem Netzwerk passiert.

Cloudflare Magic Transit™ sichert IP-Subnetze mit der gleichen DDoS-Schutztechnologie, die wir für die Sicherheit unseres eigenen globalen Netzwerks entwickelt haben. So garantiert es, dass Ihr Netzwerk vor Angriffen geschützt und immer verfügbar ist. Und es ersetzt physische Geräte, die von Natur aus an Grenzen stoßen müssen, durch das Cloudflare-Netzwerk.

Damit bleibt aber immer noch etwas Hardware vor Ort für einen anderen Zweck: Firewalls. Netzwerke brauchen nicht nur Schutz vor DDoS-Angriffen; Administratoren brauchen eine Möglichkeit, Richtlinien für den gesamten Traffic festzulegen, der im Netzwerk ein- und ausgeht. Mit Magic Firewall möchten wir dazu beitragen, dass Sie diese Netzwerk-Firewall-Geräte ausmustern und diese Last in das globale Cloudflare-Netzwerk verlagern können.

Firewall-Boxen sind furchtbar zu verwalten

Netzwerk-Firewalls waren schon immer klobig. Sie sind nicht nur teuer, sie sind auch an ihre eigenen Hardware-Beschränkungen gebunden. Wenn Sie mehr CPU oder Speicher benötigen, müssen Sie mehr Boxen kaufen. Wenn Ihnen die Kapazität fehlt, leidet das gesamte Netzwerk und damit alle Mitarbeiter, die versuchen, ihre Arbeit zu erledigen. Um dies zu kompensieren, sind Netzbetreiber und Sicherheitsteams gezwungen, mehr Kapazität zu kaufen, als sie benötigen, sie müssen also auch mehr Geld ausgeben als eigentlich nötig.

Unsere Magic-Transit-Kunden haben von diesem ständigen Kapazitätsproblem berichtet:

„Uns geht ständig der Arbeitsspeicher aus und die Verbindungslimits an unseren Firewalls werden überschritten. Es ist ein Riesenproblem.“

Netzwerkbetreiber kombinieren oft Lösungen verschiedener Anbieter, würfeln ihre Features zusammen und und grübeln dann, wie sich die Richtlinien im gesamten Netzwerk synchronisieren lassen. Das führt zu noch mehr Kopfschmerzen und Kosten.

Mehr Hardware ist nicht die Lösung

Einige Unternehmen ziehen dann noch mehr Anbieter hinzu und kaufen zusätzliche Hardware, um die eingesetzte zusammengewürfelte Firewall-Hardware zu verwalten. Anschließend müssen Teams Aktualisierungszyklen, Updates und das End-of-Life-Management auf noch mehr Plattformen ausbalancieren. Dabei handelt es sich um Übergangslösungen, die das grundlegende Problem nicht bewältigen: Wie bekommen wir einen einheitlichen Überblick über das gesamte Netzwerk, Einblicke in das Geschehen (gut und böswillig) und wenden Richtlinien sofort und weltweit an?

Traditionelle Firewall-Architektur

Wir präsentieren: Magic Firewall

Übergangslösungen gehören der Vergangenheit an. Jetzt gibt es Magic Firewall als einzige, umfassende Lösung für die Netzwerkfilterung. Im Gegensatz zu Legacy-Geräten wird Magic Firewall im Cloudflare-Netzwerk ausgeführt. Dieses Netzwerk skaliert jederzeit mit den Bedürfnissen eines Kunden mit.

Die Ausführung in unserem Netzwerk bringt einen zusätzlichen Nutzen. Für Firewall-Vorgänge führen viele Kunden den Netzwerk-Traffic zu einzelnen Nadelöhren zurück und erhöhen so die Latenz. Cloudflare betreibt Rechenzentren in 200 Städten auf der ganzen Welt, und jeder dieser Points of Presence ist in der Lage, die gleiche Lösung zu liefern. Regionale Niederlassungen und Rechenzentren können sich also nun auf die Engine der Cloudflare Magic Firewall verlassen, die maximal 100 Millisekunden vom eigenen Standort entfernt ist.

Integriert in Cloudflare One

Mit den Produkten in Cloudflare One können Sie eine einzige Filter-Engine mit einheitlichen Sicherheitskontrollen für Ihr gesamtes Netzwerk anwenden, nicht nur für einen Teil davon. Traffic, der Ihre Netzwerke verlässt, sollte auf die gleiche Weise kontrolliert werden wie Traffic, der Ihre Geräte verlässt.

Magic Firewall lässt sich in die Produkte integrieren, die Sie bereits bei Cloudflare verwenden. Beispielsweise kann Traffic, der Endpunkte außerhalb des Netzwerks verlässt, Cloudflare über den Cloudflare-WARP-Client erreichen, wo Gateway dieselben Regeln anwendet, die Ihr Team für die Filterung auf Netzwerkebene konfiguriert. Zweigstellen und Rechenzentren können sich über Magic Transit mit den gleichen Regeln verbinden. Auf diese Weise erhalten Sie einen einheitlichen Überblick über Ihr gesamtes Netzwerk und müssen dafür nicht Informationen von mehreren Geräten und Anbietern abfragen.

Wie funktioniert das?

Was ist die Magic Firewall? Magic Firewall ist eine Möglichkeit, Ihre antiquierte lokale Netzwerk-Firewall durch eine As-a-Service-Lösung zu ersetzen, die Ihren Perimeter bis an die Edge ausdehnt. Mit Magic Transit ermöglichen wir Ihnen bereits die Anwendung von Firewall-Regeln an unserer Edge, aber bisher brauchten Sie noch Ihr Konto-Team oder den Cloudflare-Support, wenn Sie Regeln hinzufügen oder ändern mussten. Mit unserer ersten Version, die in den nächsten Monaten allgemein verfügbar sein wird, können alle unsere Magic-Transit-Kunden statische Abwehrmaßnahmen auf OSI-Layer 3 und 4 völlig selbstständig im Cloudflare-Maßstab anwenden.

Cloudflare applies firewall policies at every data center Meaning you have firewalls applying policies across the globe
Cloudflare wendet Firewall-Richtlinien in jedem Rechenzentrum an Also wenden Ihre Firewalls die Richtlinien weltweit an

Der Schwerpunkt der ersten Version von Magic Firewall liegt bei statischen Abwehrmaßnahmen. Damit können Sie einen Standardsatz von Regeln festlegen, die für Ihr gesamtes Netzwerk gelten, unabhängig davon, ob sich Geräte oder Anwendungen in der Cloud, auf dem Gerät eines Mitarbeiters oder in einer Zweigstelle befinden. Sie können Regeln aufstellen, mit denen Folgendes zugelassen oder blockiert wird:

  • Protokoll
  • Quell- oder Ziel-IP und Port
  • Länge des Pakets
  • Bitfeld-Übereinstimmung

Regeln können in der Wireshark-Syntax erstellt werden, einer domainspezifischen Sprache, die in der Netzwerkwelt üblich ist. Die gleiche Syntax verwenden wir auch für unsere anderen Produkte. Mit ihr können Sie ganz einfach extrem leistungsfähige Regeln erstellen, um Traffic in oder aus Ihrem Netzwerk präzise zuzulassen oder abzulehnen. Wenn Sie vermuten, dass sich innerhalb oder außerhalb Ihres Perimeters ein böswilliger Akteur befindet, melden Sie sich einfach beim Dashboard an und blockieren Sie diesen Traffic. Regeln werden weltweit in Sekundenschnelle gepusht, wodurch Bedrohungen bereits an der Edge gestoppt werden.

Die Konfiguration von Firewalls sollte einfach und leistungsfähig sein. Bei Magic Firewall werden Regeln über eine einfache Benutzeroberfläche konfiguriert, die auch komplexe Logik ermöglicht. Oder Sie geben die Filterregel einfach manuell unter Verwendung der Wireshark-Filtersyntax ein und konfigurieren sie auf diese Weise. Möchten Sie sich nicht mit einer Benutzeroberfläche aufhalten? Regeln können ebenso einfach über die API hinzugefügt werden.

Was kommt als Nächstes?

Es reicht nicht aus, sich Pakete bloß anzusehen. Selbst mit Firewallregeln müssen sich Teams immer noch Einblick in das verschaffen, was tatsächlich in ihrem Netzwerk geschieht: Was geschieht innerhalb dieser Datenströme? Handelt es sich um legitimen Traffic oder handelt es sich um böswillige Akteure innerhalb oder außerhalb unseres Netzwerks, die schädliche Dinge tun? Weil Cloudflare zwischen zwei beliebigen Akteuren steht, die mit Ihren Assets interagieren (seien es Geräte von Mitarbeitern oder Dienste, die für das Internet offen sind), können wir jede Richtlinie überall durchsetzen und sowohl auf die Herkunft des Traffics als auch auf seinen Inhalt anwenden. Auch Richtlinien, die auf der Art des Traffics basieren, sind in Kürze möglich. In naher Zukunft werden wir zusätzliche Funktionen anbieten, mit denen auf der Grundlage von Datenströmen auch Eindringlings-Ereignisse erkannt werden können.

Wir sind gespannt auf das, was vor uns liegt. Mit Cloudflare One erfinden wir Netzwerke für Unternehmen neu. Wir integrieren Zugangsmanagement, Sicherheitsmerkmale und Performance übergreifend: für die Besucher Ihres Netzwerks, aber auch für jeden, der sich darin befindet. All dies baut auf einem einzigen Netzwerk auf. It was #BuiltForThis.

Wir werden Magic Firewall in einer begrenzten Beta-Phase einführen, beginnend mit Kunden, die bereits Magic Transit nutzen. Wenn Sie Interesse haben, melden Sie sich bitte!