NGFW: Was ist unter einer Firewall der nächsten Generation zu verstehen?

Eine Firewall der nächsten Generation ( NGFW ) vereint herkömmliche Firewall-Technologien mit anderen Filterfunktionen für Netzwerkgeräte – z. B. Inline-Anwendungskontrolle, integriertes Eindringschutzsystem, Funktionen zur Abwehr von Bedrohungen und Virenschutz –, um die Sicherheit von Unternehmensnetzwerken zu verbessern. Weiterlesen .

Funktionen von Firewalls der nächsten Generation

Anwendungskontrolle: NGFWs überwachen aktiv, von welchen Anwendungen (und Usern) der eingehende Netzwerk-Traffic ausgeht. Sie sind dazu in der Lage, den Netzwerk-Traffic zu analysieren, um den Anwendungs-Traffic unabhängig von Port oder Protokoll zu erkennen, wodurch die gesamte Transparenz erhöht wird. IPS: Ein IPS überwacht Netzwerke kontinuierlich, sucht nach schädlichen Ereignissen und ergreift Maßnahmen, um sie zu verhindern. Das IPS kann Warnungen an Administratoren senden, Pakete verwerfen, Traffic blockieren oder die Verbindung vollständig zurücksetzen. Bedrohungsinformationen: Dabei handelt es sich um alle Daten, die von einer Vielzahl von Knoten in einem Netzwerk oder IT-Ökosystem erfasst werden. Anhand dieser Informationen können IT-Teams sowohl aktuelle als auch frühere Bedrohungen besser verstehen und analysieren. Sie stellen also eine wichtige Grundlage für die Cybersicherheit dar. Virenschutz: Wie der Name schon sagt, erkennt Antivirus-Software Viren, reagiert auf sie und aktualisiert die Erkennungsfunktionen, um die sich ständig verändernden Bedrohungen abzuwehren. Weiterlesen

Funktionsweise einer Firewall der nächsten Generation

Beim Schutz von Unternehmensnetzwerken leisten Firewalls der nächsten Generation deutlich mehr als herkömmliche Firewalls. Sie analysieren den Netzwerk-Traffic umfassend, um dessen Ursprung zu ermitteln. Dadurch sind sie in der Lage, mehr Informationen über schädlichen Traffic und die darin verborgenen Bedrohungen zu erfassen, die ständig versuchen, den Netzwerkperimeter zu infiltrieren, auf Unternehmensdaten zuzugreifen und den Ruf von Unternehmen zu schädigen. Während eine herkömmliche Firewall nur auf Layer 3 und 4 agiert, können die sogenannten NGFWs sogar auf Layer 7 – der Anwendungsschicht – betrieben werden. Das bedeutet, dass Bedrohungen auf Anwendungsebene, die zu den gefährlichsten und hartnäckigsten gehören, abgewehrt werden, bevor sie ins Netzwerk eindringen, was Zeit und Kosten spart. Weiterlesen

Warum brauche ich eine Firewall der nächsten Generation (NGFW)?

NGFWs bieten fortschrittlichere Schutzmaßnahmen gegen komplexe Bedrohungen als herkömmliche Firewalls, einschließlich Deep Packet Inspection, Eindringschutz, TLS/SSL-Überprüfung und zuverlässigerer Logging- und Reporting-Funktionen. NGFWs können das Ziel des Anwendungstraffics ermitteln und so Malware, Zero-Day-Angriffe und weitere Bedrohungen erkennen und abwehren. Mit so viel mehr Kontext können NGFWs granulare Richtlinienkontrollen für den Traffic im Netzwerk, die Aktivitäten der User und die Nutzung von Anwendungen, und nicht nur für Ports, Protokolle und IP-Adressen durchsetzen.

Was ist der Unterschied zwischen einer Firewall und einer NGFW?

Der Hauptunterschied zwischen einer herkömmlichen Firewall mit zustandsorientierter Überprüfung und einer Firewall der nächsten Generation ist die Art und Weise, wie sie den Netzwerktraffic verarbeiten. Herkömmliche Firewalls nutzen hauptsächlich statische Regeln zum Zulassen/Verweigern von Verbindungen auf der Grundlage von Ports, Protokollen und IP-Adressen. NGFWs hingegen sind in der Lage, bestimmte Anwendungen und deren Traffic zu analysieren, den Inhalt von Netzwerkpaketen und verschlüsseltem Traffic zu überprüfen und identitätsbasierte Richtlinien anzuwenden, was die Durchsetzung granularer kontextbasierter Traffic-Kontrollen ermöglicht.

Auf welchem Layer agieren NGFWs?

Firewalls der nächsten Generation (NGFWs) agieren hauptsächlich auf Layer 7 (der Anwendungsschicht) des OSI-Modells. Mithilfe von Deep Packet Inspection und erweiterter Anwendungserkennung kann eine NGFW bestimmte Anwendungen und Services identifizieren, deren Inhalt überprüfen und den Kontext bewerten, um angemessene Richtlinien durchzusetzen. NGFWs gehen über die grundlegende Überprüfung von Ports und Protokollen herkömmlicher Firewalls hinaus und können somit komplexe Bedrohungen, die sich im legitimen Traffic verbergen, effektiver abwehren.

Wo wird eine NGFW eingesetzt?

Firewalls der nächsten Generation (NGFWs) befinden sich in der Regel am Netzwerkperimeter, zwischen dem internen Netzwerk und externen Umgebungen wie dem Internet. Sie können auch zwischen internen Netzwerksegmenten bereitgestellt werden, um Sicherheitsrichtlinien durchzusetzen und sensible Ressourcen zu segmentieren. Sie spielen nach wie vor eine Rolle bei der Absicherung des Remote-Zugriffs über VPNs , beim Schutz des Perimeters von Rechenzentren und gehören weiterhin zu den Hardware-Stacks vieler Unternehmen an Remote-Standorten und Zweigstellen. Doch die Wirksamkeit dieses Ansatzes gerät ins Wanken, da immer mehr Ressourcen und Daten in die Cloud verlagert werden und der &bdquo;sichere Perimeter“ nach und nach verschwindet.

NGFW: Was ist eine Next Generation Fire Wall?

Q: Firewalls der nächsten Generation im Vergleich zu herkömmlichen Firewalls

Herkömmliche Firewalls agieren nur auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren, den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten und vollständige Datenübertragungen sicherzustellen. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien. NFGWs galten zum Zeitpunkt ihrer Markteinführung als die nächste Entwicklungsstufe der Netzwerksicherheit. Sie sollten das gesamte Leistungsspektrum herkömmlicher Firewalls bereitstellen, jedoch mit granularen Funktionen, die noch strengere Kontrollmaßnahmen zur Überprüfung von Identität, User, Standort und Anwendung unterstützen. Weiterlesen

Firewalls der nächsten Generation im Vergleich zu herkömmlichen Firewalls

Herkömmliche Firewalls agieren auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren und den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien.

Als fortschrittliche Bedrohungen wie Ransomware erstmalig auftraten, konnten Stateful Firewalls von Angreifern leicht umgangen werden, was zu einer hohen Nachfrage nach einer verbesserten, intelligenteren Sicherheitslösung führte.

Der Begriff „Firewall der nächsten Generation“ (NGFW) wurde ca. 2007 von Gartner geprägt und definiert als „eine Deep-Packet-Inspection-Firewall, die nicht nur Ports und Protokolle überprüft und blockiert, sondern diese Funktionen mit der Überprüfung auf Anwendungsebene, einem Eindringschutzsystem sowie Informationen außerhalb der Firewall kombiniert.“ Neben allen Funktionen einer herkömmlichen Firewall bietet sie zudem die Möglichkeit, granulare Richtlinien basierend auf Identität, Standort, Anwendung und Inhalt anzuwenden.

Die Funktionen einer NGFW sind eigentlich eine Grundvoraussetzung. Das war einer der Hauptgründe, warum wir uns für Zscaler entschieden haben. Kein anderer Cloud-Service stellt einen kompletten NGFW-Funktionsumfang bereit.

Ken Athanasiou, CISO und Vice President von AutoNation

Wie funktionieren NGFWs?

Im Vergleich zu herkömmlichen Firewalls untersuchen Firewalls der nächsten Generation den Netzwerktraffic genauer, um zu ermitteln, woher er kommt. Sie sind in der Lage, umfassendere Informationen über schädlichen Traffic und eingebettete Bedrohungen zu erfassen, die versuchen, in den Netzwerkperimeter einzudringen und auf Unternehmensdaten zuzugreifen.

Während herkömmliche Firewalls nur auf Layer 3 und 4 des OSI-Referenzmodells agieren, können NGFWs auf Layer 7 (der Anwendungsschicht) betrieben werden. Daher werden Bedrohungen auf Anwendungsebene – darunter einige besonders gefährliche und hartnäckige – frühzeitig erkannt und abgewehrt, sodass der Kosten- und Zeitaufwand für die Behebung von Sicherheitsverletzungen entfällt.

Welche Funktionen bietet eine NGFW?

NGFWs bieten wie ihre Vorläufer grundlegende Firewall-Funktionen wie URL-Filterung, Virenschutz und Unterstützung für Remote-Access-VPNs, jedoch verfügen sie zusätzlich über eine Reihe erweiterter Sicherheitsfunktionen:

Durch die Anwendungserkennung ist eine granulare Richtliniendurchsetzung und Anwendungskontrolle auf der Grundlage bestimmter Anwendungen, ihrer Inhalte, der Quelle und des Ziels des Traffics usw. möglich, statt einer eingeschränkten Durchsetzung anhand von Port, Protokoll und IP-Adresse.
Deep Packet Inspection (DPI) analysiert den Inhalt von Netzwerkpaketen, um Details auf Anwendungsebene zu identifizieren und Bedrohungen zu lokalisieren, die sich im ansonsten legitimen Traffic verbergen.
Das Eindringschutzsystem erkennt und blockiert sowohl bekannte als auch unbekannte Bedrohungen, indem es den Traffic auf verdächtige Muster und Verhaltensweisen untersucht.
Mithilfe der Useridentifizierung kann die NGFW die Netzwerkaktivität bestimmten Usern und nicht nur den Orten, an denen sie eine Verbindung herstellen, zuordnen, um userbasierte Richtlinien und Monitoring-Funktionen anzuwenden.
Die TLS/SSL-Überprüfung entschlüsselt und prüft TLS/SSL-verschlüsselten Traffic – der heutzutage die überwiegende Mehrheit des Traffics ausmacht –, um versteckte Bedrohungen zu finden. (Allerdings ist die Überprüfung sehr rechenintensiv, was die Performance von Firewalls mit begrenzter Hardware beeinträchtigt.)
Mithilfe von Threat Intelligence kann eine NGFW Schutzmaßnahmen basierend auf neu entdeckten Bedrohungen aus mehreren Quellen aktualisieren, einschließlich der eigenen Netzwerkknoten des Unternehmens sowie öffentlicher und Drittanbieter-Feeds.

Warum sind Firewalls der nächsten Generation notwendig?

In der Cyberbedrohungslandschaft der heutigen Zeit ist ein umfassender Schutz vor Bedrohungen unverzichtbar – herkömmliche Firewalls sind dieser Aufgabe nicht gewachsen. NGFWs können fortschrittliche Malware blockieren und sind zudem besser für die Abwehr von Advanced Persistent Threats (APTs) geeignet. Dabei handelt es sich beispielsweise um Akteure wie die Hackergruppe Cozy Bear, die für den Angriff auf die SUNBURST-Lieferkette im Jahr 2020 verantwortlich ist, sowie die Cyberspionagegruppe Deep Panda, die durch die Ausnutzung der Log4Shell-Schwachstelle Aufsehen erregt hat.

Darüber hinaus beinhalten Firewalls der nächsten Generation integrierte Bedrohungsinformationen und Optionen für Netzwerk- und Sicherheitsautomatisierung. So können Unternehmen nicht nur ihre Sicherheitsabläufe vereinfachen, sondern auch ein umfassendes Security Operations Center (SOC) einrichten.

All diese potenziellen Vorteile bringen jedoch auch einige Herausforderungen mit sich.

Herausforderungen im Zusammenhang mit NGFWs

Da physische NGFW-Appliances aufgrund ihrer Hardware eingeschränkt sind, können sie in vielen Fällen die Anforderungen der heutigen modernen Umgebungen nicht effektiv erfüllen, was zu mehreren Problemen führt.

Traffic-Backhauling aus Sicherheitsgründen

Das Backhauling zu einer NGFW war sinnvoll, als sich Rechenzentren, Endgeräte und Ressourcen größtenteils On-Premise befanden. Doch jetzt, da die Mobilität der User und die Cloud-Einführung weiterhin im Aufwärtstrend sind, kann die NGFW-Hardware in einem herkömmlichen Rechenzentrum einfach nicht mithalten.

Cloud-Anwendungen wie Microsoft 365 sind für den direkten Zugriff über das Internet gedacht. Damit VPNs und NGFWs im Rechenzentrum einer Organisation jedoch Zugriff und Sicherheit bereitstellen können, muss der gesamte Traffic über dieses Rechenzentrum laufen, was alle Vorgänge verlangsamt. Um eine schnelle User Experience zu gewährleisten, müssen Unternehmen den Internet-Traffic lokal routen.

Absichern lokaler Internet-Breakouts

Sie können lokale Internet-Breakouts mit NGFW-Hardware schützen, benötigen dazu jedoch an jedem Standort einen separaten Security-Stack — NGFWs und möglicherweise weitere Appliances in jeder Zweigstelle, die alle manuell bereitgestellt, gewartet und schließlich ersetzt werden müssen, was schnell übermäßig komplex und teuer werden kann.

Überprüfung des TLS/SSL-verschlüsselten Traffics

Fast der gesamte heutige Webtraffic ist verschlüsselt. Zur Durchführung einer SSL-Überprüfung verwenden die meisten NGFWs zusätzliche Proxy-Funktionen, die die Überprüfung nicht auf Chipebene, sondern in der Software vornehmen. Dies wirkt sich stark auf die Performance aus, was wiederum die User Experience beeinträchtigt — aber ohne Überprüfung bleiben mehr als 85 % der Angriffe unentdeckt.

Arten von NGFWs

NGFWs sind per Definition Deep-Packet-Inspection-Firewalls, die auf Anwendungsebene agieren und sowohl Eindringschutz als auch Threat Intelligence beinhalten. Abgesehen von den Hauptfunktionen gibt es NGFWs in drei verschiedenen Ausführungen:

Hardware-NGFWs sind physische Appliances, die für die On-Premise-Bereitstellung entwickelt wurden. Als dedizierte Sicherheitshardware werden diese NGFWs hauptsächlich in Rechenzentren oder für andere Anwendungsfälle verwendet, die physische Appliances erfordern.
Virtuelle NGFWs sind softwarebasiert und werden auf virtuellen Maschinen (VMs) ausgeführt. Sie sind flexibel und skalierbar genug, um besser für virtualisierte und cloudbasierte Anwendungen und Services geeignet zu sein als reine Hardware-NGFWs, aber sie sind immer noch auf die eigene Infrastruktur des Unternehmens angewiesen und werden durch die Rechenleistung der Hardware eingeschränkt, von der sie abgetrennt sind.
Cloudbasierte NGFWs stellen Firewall-Services von Drittanbietern aus der Cloud bereit und ermöglichen so die Absicherung von Traffic, der nicht durch ein herkömmliches Rechenzentrum geleitet wird. Sie sind für die Absicherung von cloudnativen Umgebungen, verteilten Netzwerken und Remote-Usern konzipiert und bieten eine höhere Skalierbarkeit sowie zentralisiertes Sicherheitsmanagement.

Cloud Firewalls als Lösung der Zukunft

Inzwischen setzen Unternehmen verstärkt auf die Cloud und benötigen dynamische, zukunftsfähige Funktionen für die Einrichtung von Sicherheits- und Zugriffskontrollen zum Schutz ihrer Daten. Für derartige Funktionen sind NGFWs jedoch nicht ausgelegt.

Insbesondere Unternehmen, die die Cloud-Umgebungen von Anbietern wie AWS und Azure nutzen, brauchen nach wie vor unternehmensfähige Firewall-Funktionen für ihre lokalen Internet-Breakouts. NGFWs wurden allerdings nicht für die Unterstützung von Cloud-Anwendungen und -Infrastrukturen entwickelt. Selbst virtuelle Firewalls unterliegen ähnlichen Einschränkungen und weisen die gleichen Nachteile wie herkömmliche NGFW-Appliances auf.

Daher ist es sinnvoll, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.

Die vier wichtigsten Vorteile von Cloud Firewalls

Proxy-basierte Architektur: Bei diesem Modell wird der Netzwerk-Traffic aller User, Anwendungen und Geräte an allen Standorten dynamisch überprüft. Zur Erkennung von Malware, die im verschlüsselten Traffic versteckt ist, wird der SSL/TLS-Traffic auch bei hohen Volumen nativ überprüft. Darüber hinaus können granulare Netzwerk-Firewall-Richtlinien über mehrere Layer basierend auf Netzwerk- und Cloud-Anwendung, vollständigem Domainnamen (Fully Qualified Domain Name, FQDN) und URL durchgesetzt werden.
Cloud-IPS: Ein Cloud-basiertes IPS bietet kontinuierlichen Schutz vor Bedrohungen, unabhängig von Verbindungstyp oder Standort. Der gesamte User-Traffic innerhalb und außerhalb des Netzwerks, einschließlich SSL-Traffic, wird überprüft, um vollständige Transparenz über User, Anwendungen und Internetverbindungen zu gewährleisten.
DNS-Sicherheit und -Kontrolle: Als erste Sicherheitsmaßnahme schützt eine Cloud-Firewall User vor dem Zugriff auf bösartige Domains. Sie optimiert die DNS-Auflösung und verbessert so die Anwendererfahrung sowie die Performance von Cloud-Anwendungen, insbesondere von CDN-basierten Anwendungen. Außerdem bietet sie granulare Kontrollen zur Erkennung und Verhinderung von DNS-Tunneling.
Transparenz und vereinfachtes Management: Eine Cloud-basierte Firewall bietet Transparenz, Kontrolle und sofortige Durchsetzung von Sicherheitsrichtlinien in Echtzeit auf der gesamten Plattform. Sie protokolliert jede Sitzung detailliert und verwendet erweiterte Analysefunktionen, um Ereignisse zu korrelieren und mittels einer zentralen Konsole Einblicke in Bedrohungen und Sicherheitsrisiken für alle User, Anwendungen, APIs und Standorte zu bieten.

Nur wenige Anbieter können eine vollständige Suite von Cloud-Firewall-Funktionen implementieren. Und nur ein Anbieter kann sie als Teil einer umfassenden und bewährten Cloud-Sicherheitsplattform bereitstellen.

Zscaler Cloud Firewall

Die Zscaler Firewall ist leistungsstärker als NGFW-Appliances, ohne deren Kosten und Komplexität. Als Teil der integrierten Zscaler Zero Trust Exchange™ bietet sie Firewall-Kontrollen der nächsten Generation und erweiterte Sicherheit für alle User, an allen Standorten, für alle Ports und Protokolle. Die Zscaler Firewall ermöglicht schnelle und sichere lokale Internet-Breakouts. Da sie komplett über die Cloud bereitgestellt wird, entfällt die Anschaffung, Installation und Verwaltung von Hardware.

Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Firewall bietet hingegen folgende Vorteile:

Festlegung und sofortige Durchsetzung granularer Firewall-Richtlinien
Von umfassender Transparenz zu umsetzbaren Informationen in Echtzeit
Ununterbrochenes IPS für alle User

Setzen Sie immer noch auf herkömmliche NGFWs? Ist Ihre Organisation damit ausreichend geschützt? Fordern Sie eine Demo an, um zu erfahren, wie eine cloudbasierte Firewall mehr Sicherheit bieten kann als eine NGFW.

Empfohlene Ressourcen

Cloud-Transformation bei AutoNation
Zum video
Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
E-Book lesen
Die Next-Generation Cloud Firewall von Zscaler
Zum video
Zscaler Cloud Firewall: Ein Leitfaden für die sichere Cloud-Migration
Whitepaper lesen
SD-WAN ohne Cloud Firewall? Kommt gar nicht in Frage!
Zum Blogbeitrag
Gartner | The Future of Network Security Is in the Cloud
REPORT LESEN

Ihre Welt, sicher

Zscaler: Ein Leader im Gartner® Magic Quadrant™ 2023 für Security Service Edge (SSE)

Der Unterschied durch Zscaler

Grundlagen von Zero Trust

Zuverlässiger Schutz für User

Schutz von Workloads

Sicherheit für IoT- und OT-Geräte

Produkte

Lösungsbereiche

Zero-Trust-Exchange-Plattform

Transformation dank Zero-Trust-Architektur

Sicherheit für Ihre Geschäftsziele

Schulung, Austausch und Support.

Eine Plattform für Wegbereiter von Digitalisierung und Zero Trust

Ressourcen-Center

Events und Schulungen

Studien und Services zum Thema Sicherheit

Instrumente

Community und Support

Branchen- und marktspezifische Lösungen

Über Zscaler

Partner

News und Ankündigungen

Führungsteam

Partnerintegrationen

Für Investoren

Umwelt, Soziales und Governance

Karriere

Pressezentrum

Compliance

Zenith Ventures

Was ist eine Firewall der nächsten Generation (Next Generation Firewall)?