Next Generation Firewalls (NGFWs) bieten zusätzliche Sicherheitsfunktionen, mit denen Unternehmen für die Security-Herausforderungen der kommenden Jahre gewappnet sind und moderne Angriffsmethoden abwehren können, zum Beispiel kryptografische Angriffe. Moderne Firewalls untersuchen nicht nur Datenpakete und steuern Port-Weiterleitungen - dieser Ansatz reicht nicht mehr aus, um ein Unternehmensnetzwerk vernünftig zu schützen. Viele Angriffe sind mittlerweile wesentlich raffinierter und erfordern auch entsprechend ausgestattete Firewalls. Zum Teil können diese Lösungen nach Viren scannen und bieten Inhaltsfilter (Content Filter). Folgende Punkte sollten Sie bei der Anschaffung einer Next Generation Firewall beachten:
Die Unterstützung für SD-WAN, also Software Defined Networking im WAN-Bereich.
Außerdem kann bei der Anschaffung von Firewalls der nächsten Generation auch 5G-Support eine Rolle spielen, falls der Einsatz der Technologie geplant ist.
Darüber hinaus spielt auch die Hardware von Next Generation Firewalls eine wichtige Rolle: Wenn Datenpakete und Anwendungen im Netzwerk umfassend untersucht werden sollen, muss die Hardware dafür ausgelegt sein. Ansonsten besteht die Gefahr, dass der Netzwerkverkehr zu stark gebremst wird, was wiederum in Sicherheitsproblemen resultieren kann.
Viele NGFWs stehen auch als Appliance zur Virtualisierung mit VMware ESXi oder KVM zur Verfügung. Hierbei sollten Sie darauf achten, dass der Virtualisierungs-Host und die VM mit ausreichender Leistung ausgestattet sind.
In den folgenden Absätzen haben wir einige der besten Next-Generation-Firewall-Lösungen für Sie zusammengestellt.
Fortinet FortiGate
Die FortiGate-Serie von Fortinate gehört zu den bekanntesten und beliebtesten Next Generation-Firewalls auf dem Markt. Das liegt unter anderem auch daran, dass die Serie für kleine Unternehmen bis hin zu großen Konzernen in verschiedenen Ausbaustufen verfügbar ist. Die Firewalls unterstützen auch SD-WAN. Gartner sieht Fortinet als eines der führenden Unternehmen im Bereich der Next Generation Firewalls.
Parallel zu den standardmäßigen Funktionen von Firewalls unterstützt die FortiGate-Firewall auch die Absicherung von Cloud-Diensten und bietet nahezu alle Funktionen, die eine NGFW bieten kann - auch Intrusion Prevention und Schutz vor Malware. Die Integration im Netzwerk erfolgt entweder als fertige Appliance oder als virtuelle Maschine auf Basis von VMware vSphere.
Die aktuelle FortiGate 4400F ist für 5G-Netzwerke und Hyperscale Data Center geeignet. Die Hardwarebeschleunigung der neuen NP7-Netzwerkprozessoren in FortiGate 4400F stellen sicher, dass die Firewalls auch in Hyperscale-Rechenzentren sicher funktionieren. Die Fortinet Next Generation Firewall soll zehn Millionen Verbindungen pro Sekunde unterstützen und bietet Layer-4-Sicherheit sowie eine hardwarebeschleunigte Prävention von Distributed-Denial-of-Service (DDoS)-Angriffen.
Carrier-Grade Network Address Translation (CGNAT) ermöglicht ein hyperskalierbares Packet Delivery Network (PDN) und gleichzeitig hardwarebeschleunigte Einrichtungsraten für Benutzersitzungen, niedrige Latenz und hardwaregestützte Protokollierung für Audits und Monitoring.
Palo Alto Networks PA-Series
Palo Alto wird von Gartner seit Jahren als führendes Unternehmen im Bereich der Netzwerksicherheit eingeordnet. In verschiedenen Tests schneiden die Firewalls der PA-Serie von Palo Alto immer besonders gut ab. Ein aktuelles Beispiel ist der NGFW-Test 2019 von NSS Labs.
Zu den besonderen Funktionen gehören zum Beispiel der Schutz von internen Anmeldedaten, die nicht an ungesicherte Webseiten über die Firewall gesendet werden können. Die wichtigsten Funktionen der Next Generation Firewall von Palo Alto werden durch das Betriebssystem der PAN-OS zur Verfügung gestellt, die über sämtliche Modelle in weitgehend identischer Form zum Einsatz kommt. Allerdings sind nicht alle Firewalls mit jeder Version kompatibel. Orientierung verschafft hier eine Tabelle.
Juniper Networks SRX
Juniper bietet mit seiner SRX-Serie eine Next Generation Firewall auf Basis von Hardware und eine virtuelle Appliance an. Die virtuelle Appliance kann mit VMware ESXi oder KVM virtualisiert werden. Parallel zum Schutz von internen Netzwerken, können die Firewalls auch Cloud-Dienste in Azure, AWS oder der Google Cloud Platform absichern. Die SRX-Reihe verfügt über Unified Threat Management (UTM), das auch Virenschutz und Web-Filterung ermöglicht. Parallel dazu stellt das Unternehmen seine NGFW-Serie auch als Container-Variante zur Verfügung, um in entsprechenden Umgebungen und beim Einsatz von Microservices für Sicherheit zu sorgen. Die Next Generation Firewalls setzen auf Machine-Learning-Funktionen.
Das SRX 5400-Gateway ist vor allem für große Unternehmen sinnvoll und gehört zu den bekanntesten NGFWs am Markt. Die Firewall bietet umfassenden Schutz vor Command-and-Control-Botnets und -Malware, Security-Richtlinien lassen sich dynamisch umsetzen. Die Firewall unterstützt eine Leistung von bis zu 480 Gbit/s und eine Verfügbarkeit von 99,9999%. Als Verbindungsoptionen stehen 10 GbE, 40GbE und 100 GbE zur Verfügung.
Check Point Advanced Threat Protection
Check Point Software Technologies gehört seit Jahren zu den bekanntesten Firewall-Anbietern - und hat auch im Bereich der Next Generation Firewalls einiges zu bieten: Weit über 20 Firewalls bietet das Unternehmen an. Die Next Generation Firewalls schützen lokale Netzwerke, aber auch Hybrid-Cloud-Umgebungen und unterstützen DLP, Identity Awareness, IPS, VPN, URL Filterung, Antivirus-Scans und Application Control. Auch der Schutz vor Ransomware ist mit den Check Point NGFWs möglich.
Sophos XG
Die Sophos XG Serie deckt ebenfalls alle Aspekte ab, die eine NGFW abdecken sollte. Neben standardmäßigen Funktionen unterstützt die Next-Generation-Firewall-Reihe von Sophos auch Technologien wie SD-WAN. Ein Virenschutz ist ebenso mit an Bord, wie eine Schutzfunktion für Public- und Hybrid-Cloud-Umgebungen. AWS, Azure und Google Cloud Platform können so beispielsweise angebunden werden. Die XG Firewalls sind daher auch für Remote-Work- und Homeoffice-Szenarien geeignet. Mobile Geräte wie Smartphones und Tablets können sich per IPSec oder SSL-VPN über die XG Firewall im internen Netzwerk einwählen.
SonicWall Network Security Appliance
SonicWall bietet mit seiner Network Security Appliance (NSa) eine NGFW, die in mittelgroßen und großen Unternehmensnetzwerken für umfassenden Schutz sorgen soll - unter anderem durch die Integration von Künstlicher Intelligenz, beziehungsweise Machine und Deep Learning. Die Next Generation Firewalls von SonicWall kommen unter anderem mit integrierter Advanced Threat Protection (ATP) und Real-Time Deep Memory Inspection (RTDMI).
Mit dieser Technik kann die Appliance direkt den Speicher durchsuchen und erkennt dadurch auch unbekannte Malware oder Zero-Day-Bedrohungen nahezu in Echtzeit. Der Vorteil dieser Funktion liegt auch darin, dass sich sehr komplexe Angriffsszenarien abdecken lassen. Die Firewall erkennt Malware auch dann, wenn der Schadcode nur 100 Nanosekunden lang sichtbar war. Zusammen mit anderen Funktionen in der NSa-Appliance können die NGFWs alle Pakete umfassend durchsuchen.
Parallel zu den NGFW-Funktionen unterstützt die Appliance Funktionen wie Intrusion Prevention, Anti-Malware und Web-/URL-Filtering. Dazu kommt die SonicWall Capture Cloud, um Bedrohungen am Gateway zu stoppen. Die SonicWall NGFW kann, unabhängig vom verwendeten Port und Protokoll, auch eine vollständige Entschlüsselung von TLS-/SSL- und SSH-verschlüsselten Verbindungen durchführen. Verborgene Angriffe, zum Beispiel mit kryptografischer Malware, werden dadurch erkannt und blockiert. Um Compliance-Anforderungen und rechtliche Vorgaben zu erfüllen, kann durch Regeln festgelegt werden, welcher Datenverkehr entschlüsselt und geprüft werden soll.
Gleichzeitig wurden die Next Generation Firewalls für eine bessere Leistung optimiert. Werden viele Sicherheitsfunktionen auf einer NGFW aktiviert, kann es schnell passieren, dass die Leistung im Netzwerk einbricht. Die SonicWall-Lösung setzt daher auf eine Multicore-Architektur und integrierte Sicherheitsfunktionen. Die patentierten RTDMI- und RFDPI-Funktionen sollen ebenfalls dafür sorgen, dass sich Leistung und Sicherheit auf gleichbleibend hohem Niveau bewegen.
WatchGuard Firebox
WatchGuard bietet mit seiner Firebox-Serie zahlreiche Firewalls an, auch im Bereich der Next Generation Firewalls. Für Netzwerke gibt es unterschiedliche Geräte, die vor allem als Appliance zur Verfügung stehen. Die WatchGuard Firewalls bieten, neben den Standard-Funktionen auch UTM Features wie Intrusion Prevention Service, Gateway AntiVirus, URL-Filtering, Application Control, Spam-Schutz und Reputations-Suche. Dazu kommt eine zentrale Verwaltung der Firewalls, die auch Netzwerk-Virtualisierungen unterstützen.
Cisco FPR 4100-Serie
Auch Cisco hat in Sachen Next Generation Firewalls verschiedene Lösungen in petto - zum Beispiel die FPR 4100 Serie. Die NGFWs von Cisco ermöglichen eine Überprüfung des TLS-verschlüsselten Web-Verkehrs durch Hardware-Beschleunigung. DDoS-Angriffe können mit dem integriertem Radware Virtual DefensePro (vDP) blockiert werden. Automatisierte Risikoeinstufung und Impact Flags sind ebenfalls Bestandteil der Lösungen. (fm)
Zscaler
Seine "Cloud Firewall" bewirbt Zscaler mit dem Argument, die Zeiten herkömmlicher, oft Appliance-basierter Systeme seien vorbei. Unternehmen bräuchten Lösungen für das Cloud-Zeitalter, die an der Schnittstelle von privatem Unternehmensnetz und öffentlichem Internet den Traffic aller Nutzer, Anwendungen, Geräte und Lokationen entsprechend den Voreinstellungen überwachen und filtern.
Der Ansatz von Zscaler besteht darin, einen HTTPS-Tunnel zu schaffen, durch den der gesamte Netzwerkverkehr zu seinem zentralen Cloud-Gateway fließt. Dort durchlaufen die Daten diverse Prüfungen, zum Beispiel SSL-Entschlüsselung für eine bessere Sichtbarkeit versteckter Malware, Sandboxing in Realtime oder auch unternehmensweites Berechtigungsmanagement.
Entsprechend gehört die Möglichkeit, Zugangs- und Sicherheits-Policies umzusetzen, zum Produkt. Außerdem verhindert die Zscaler Cloud Firewall den Zugriff auf bösartige Domains sowie polymorphe Malware-Angriffe mit Cloud-IPS. Ebenso analysiert sie den nativen FTP-Traffic für die Datenfilterung. Große Konzerne wie Siemens, Schneider Electric, MAN und Johnson Controls gehören inzwischen zum Kundenkreis des aufstrebenden Cloud-Sicherheitsunternehmens.
Barracuda
Auch Barracuda hat eine "Cloudgen Firewall" im Angebot, die als Hardware- und virtuelle Appliance oder in der Cloud zur Verfügung steht. Für Sicherheit sorgen neben der Firewall-Funktion ein Intrusion Protection System, URL-Filtering, dualer Virenschutz, Applikationskontrolle und ein Schutzmechanismus zur Abwehr von Ransomware durch Sandboxing. Wichtig sind dem Hersteller zudem die integrierte SD-WAN-Vernetzungsoptimierung, VPN-Unterstützung und das unkomplizierte zentrale Management.
Forcepoint
Genauso wie Barracuda und viele Wettbewerber nutzt auch Forcepoint SD-WAN, um kostspieliges MPLS in Filialen und Niederlassungen durch eine Breitbandanbindung an die Cloud zu ersetzen. Nutzer vertrauen Forcepoint aber vor allem, weil sie ein übergreifendes Policy-Management über mehrere Firewall-Cluster umsetzen und den Admin- und Konfigurationsaufwand durch ein zentrales Management senken können. Ausgefeilte Firewall- und DLP-Funktionen sprechen ebenso wie der DSGVO-konforme Schutz sensibler Daten für das Produkt. Einfachheit und Skalierbarkeit führen dazu, dass einige von Ransomware-Angriffen besonders bedrohte Krankenhäuser zu den Kunden zählen.