Live Global Events: Secure, Simplify, and Transform Your Business.

See Agenda and Locations
Zpedia / Was ist eine Firewall der nächsten Generation (Next Generation Firewall)?

Was ist eine Firewall der nächsten Generation (Next Generation Firewall)?

Firewalls der nächsten Generation (NGFW) vereinen herkömmliche Firewall-Technologien mit anderen Filterfunktionen für Netzwerkgeräte – z. B. Inline-Anwendungskontrolle, integriertes Eindringschutzsystem, Funktionen zur Abwehr von Bedrohungen und Virenschutz – und gewährleisten dadurch ein verbessertes Schutzniveau für Unternehmensnetzwerke.

Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
NGF
Anschauen

Firewalls der nächsten Generation im Vergleich zu herkömmlichen Firewalls

Herkömmliche Firewalls agieren nur auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren, den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten und vollständige Datenübertragungen sicherzustellen. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien.

Als komplexe Bedrohungen wie Ransomware aufkamen, war es ihnen ein Leichtes, diese Stateful Firewalls zu umgehen. Dementsprechend gefragt war eine optimierte, intelligentere Sicherheitslösung.

Der Begriff „Firewall der nächsten Generation“ wurde vor mehr als einem Jahrzehnt von Gartner geprägt und definiert als „eine Deep-Packet-Inspection-Firewall, die nicht nur Ports und Protokolle überprüft und blockiert, sondern diese Funktionen mit der Überprüfung auf Anwendungsebene, einem Eindringschutzsystem sowie Informationen außerhalb der Firewall kombiniert.“ Sie sollten das gesamte Leistungsspektrum herkömmlicher Firewalls bereitstellen, jedoch mit granularen Funktionen, die noch strengere Kontrollmaßnahmen zur Überprüfung von Identität, User, Standort und Anwendung unterstützen.

Die Funktionen einer NGFW sind eigentlich eine Grundvoraussetzung. Das war einer der Hauptgründe, warum wir uns für Zscaler entschieden haben. Kein anderer Cloud-Service stellt einen kompletten NGFW-Funktionsumfang bereit.

Ken Athanasiou, CISO und Vice President von AutoNation

Funktionen von Firewalls der nächsten Generation

Firewalls der nächsten Generation werden nach wie vor verwendet und bieten gegenüber ihren Vorgängern einige Vorteile hinsichtlich der Sicherheit von On-Premise-Netzwerken und -Anwendungen.

  • Anwendungskontrolle: NGFWs überwachen aktiv, von welchen Anwendungen (und Usern) der eingehende Netzwerk-Traffic ausgeht. Sie sind dazu in der Lage, den Netzwerk-Traffic zu analysieren, um den Anwendungs-Traffic unabhängig von Port oder Protokoll zu erkennen, wodurch die gesamte Transparenz erhöht wird.
  • IPS: Ein IPS überwacht Netzwerke kontinuierlich, sucht nach schädlichen Ereignissen und ergreift Maßnahmen, um sie zu verhindern. Das IPS kann Warnungen an Administratoren senden, Pakete verwerfen, Traffic blockieren oder die Verbindung vollständig zurücksetzen.
  • Bedrohungsinformationen: Dabei handelt es sich um alle Daten, die von einer Vielzahl von Knoten in einem Netzwerk oder IT-Ökosystem erfasst werden. Anhand dieser Informationen können IT-Teams sowohl aktuelle als auch frühere Bedrohungen besser verstehen und analysieren. Sie stellen also eine wichtige Grundlage für die Cybersicherheit dar.
  • Virenschutz: Wie der Name schon sagt, erkennt Antivirus-Software Viren, reagiert auf sie und aktualisiert die Erkennungsfunktionen, um die sich ständig verändernden Bedrohungen abzuwehren.

Funktionsweise einer Firewall der nächsten Generation

Beim Schutz von Unternehmensnetzwerken leisten Firewalls der nächsten Generation deutlich mehr als herkömmliche Firewalls. Sie analysieren den Netzwerk-Traffic umfassend, um dessen Ursprung zu ermitteln. Dadurch sind sie in der Lage, mehr Informationen über schädlichen Traffic und die darin verborgenen Bedrohungen zu erfassen, die ständig versuchen, den Netzwerkperimeter zu infiltrieren, auf Unternehmensdaten zuzugreifen und den Ruf von Unternehmen zu schädigen.

Während herkömmliche Firewalls nur auf der Vermittlungs- und der Transportschicht des OSI-Referenzmodells agieren, können NGFWs auf sämtlichen Schichten inklusive der Anwendungsschicht (Layer 7) betrieben werden. Daher werden Bedrohungen auf Anwendungsebene – darunter einige besonders gefährliche und hartnäckige – frühzeitig erkannt und abgewehrt, sodass der Kosten- und Zeitaufwand für die Behebung von Sicherheitsverletzungen entfällt.

Warum sind Firewalls der nächsten Generation notwendig?

In der Cyberbedrohungslandschaft der heutigen Zeit ist ein umfassender Schutz vor Bedrohungen unverzichtbar – herkömmliche Firewalls sind dieser Aufgabe nicht gewachsen. Firewalls der nächsten Generation können Malware blockieren und sind zudem besser für die Abwehr von Advanced Persistent Threats (APTs) geeignet, hinter denen Akteure stecken wie die Hackergruppe Cozy Bear, die für den Angriff auf die Lieferkette von SUNBURST im Jahr 2020 verantwortlich zeichnete, oder die Cyberspionagegruppe Deep Panda, die mehrfach die Sicherheitslücke „Log4Shell“ ausnutzte.

Darüber hinaus beinhalten Firewalls der nächsten Generation integrierte Bedrohungsinformationen und Optionen für Netzwerk- und Sicherheitsautomatisierung. So können Unternehmen nicht nur ihre Sicherheitsabläufe vereinfachen, sondern auch ein umfassendes Security Operations Center (SOC) einrichten.

All diese potenziellen Vorteile sind jedoch mit einer Reihe von Nachteilen verbunden.

Herausforderungen im Zusammenhang mit Firewalls der nächsten Generation

Zwar bieten die sogenannten NGFWs erhebliche Vorteile, doch es mangelt ihnen an der nötigen Funktionalität, um die verteilten Belegschaften von heute zu unterstützen.

Traffic-Backhauling zur Firewall der nächsten Generation war sinnvoll, als sich die Anwendungen noch im Rechenzentrum und Mitarbeiter – und somit auch die Endgeräte – in der Unternehmenszentrale oder in Zweigstellen befanden. Mittlerweile wurden Anwendungen jedoch in die Cloud verlagert, um standortunabhängige Arbeitsmodelle zu unterstützen. Dem sind herkömmliche Netzwerk- und Sicherheitstools wie NGFWs und VPNs aufgrund der mangelnden Skalierbarkeit nicht mehr gewachsen.

Die am häufigsten verwendeten Cloud-Anwendungen wie Microsoft 365 wurden für den direkten Zugriff über das Internet konzipiert. Um solche Verbindungen herzustellen, müssen Unternehmen den Internet-Traffic lokal routen, damit eine schnelle Anwendererfahrung gewährleistet ist. Es ist also nicht mehr sinnvoll, den Traffic zurück zu Firewalls der nächsten Generation im Unternehmensrechenzentrum zu leiten, um ins Internet zu gelangen.

Lokale Internet-Breakouts mit derartigen NGFWs absichern zu wollen, würde damit einhergehen, den gesamten Security-Stack an jedem einzelnen Standort und damit in sämtlichen Zweigstellen replizieren zu müssen und wäre mit viel zu hohen Kosten und enormem Arbeitsaufwand verbunden.

Außerdem wurden Firewalls der nächsten Generation nicht für Cloud-basierte Anwendungen konzipiert. Entsprechend sind sie von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert und können somit standardmäßig nur schlecht mit Cloud-Anwendungen kombiniert werden.

Sie können jedoch SSL-verschlüsselten Traffic nicht nativ überprüfen. Da mittlerweile fast der gesamte Webverkehr verschlüsselt ist, fällt dieses Manko verstärkt ins Gewicht. Damit eine SSL-Überprüfung überhaupt möglich wird, müssen NGFWs durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was nicht nur die Performance und damit auch die User Experience empfindlich beeinträchtigt, sondern auch neuen Sicherheitsbedrohungen wie komplexer Malware Tür und Tor öffnet.

Why Do I Need an NGFW?

Today’s cyberthreat landscape demands robust threat protection, and traditional firewalls aren’t up to the task. NGFWs can block advanced malware, and they’re better equipped to thwart advanced persistent threats (APTs), such as Cozy Bear, responsible for the SUNBURST supply chain attack of 2020, and Deep Panda, who are notorious for exploiting the Log4Shell vulnerability.

Plus, with integrated threat intelligence and options for networking and security automation, NGFWs have given organizations the opportunity to not only simplify security operations, but also take the first step toward a fully realized security operations center (SOC).

All of this potential upside, however, comes with some challenges.

Challenges for NGFWs

Limited by their hardware, there are many cases where physical NGFW appliances can’t effectively perform to meet the needs of today’s modern environments, introducing multiple issues.

Backhauling Traffic for Security

Backhauling to an NGFW made sense when data centers, endpoints, and resources were mostly on-premises. But now, as user mobility and cloud adoption continue to trend upward, NGFW hardware in a traditional data center just can’t keep up.

Cloud apps like Microsoft 365 are designed to be accessed directly via the internet. But for VPNs and NGFWs in an organization’s data center to provide access and security, all traffic needs to go through that data center, slowing everything down. To deliver a fast user experience, organizations need to route internet traffic locally.

Securing Local Internet Breakouts

You can secure local internet breakouts with NGFW hardware, but to do so, you need a separate security stack in each location—NGFWs and potentially more appliances in every branch office, all of which need to be manually deployed, maintained, and eventually replaced, which can quickly get prohibitively complex and expensive.

Inspecting TLS/SSL-Encrypted Traffic

Almost all of today’s web traffic is encrypted. To perform SSL inspection, most NGFWs use bolt-on proxy capabilities that execute the inspection in software, rather than at the chip level. This heavily impacts performance, which hurts the user experience—but without inspection, you’re blind to more than 85% of attacks.

Types of NGFW

By definition, NGFWs are deep-packet inspection firewalls that operate at the application level and include intrusion prevention as well as threat intelligence integration. Core functionality aside, NGFWs come in three distinct form factors:

  • Hardware NGFWs are physical appliances built for on-premises deployment. As dedicated security hardware, these NGFWs are used mostly in data centers or for other use cases that call for physical appliances.
  • Virtual NGFWs are software-based and run on virtual machines (VMs). They're flexible and scalable enough to be better suited for virtualized and cloud-based apps and services than hardware-only NGFWs, but they still rely on their organization’s own infrastructure, and are constrained by the processing power of the hardware from which they’re partitioned.
  • Cloud-based NGFWs deliver third-party firewall services from the cloud, enabling them to secure traffic that doesn't pass through a traditional data center. They're designed for securing cloud native environments, distributed networks, and remote users, offering increased scalability and centralized security management.

Cloud Firewalls als Lösung der Zukunft

Die Firewalls der nächsten Generation (NGFWs), die heute im Einsatz sind, wurden vor über einem Jahrzehnt entwickelt. Inzwischen setzen Unternehmen verstärkt auf die Cloud und benötigen dynamische, zukunftsfähige Funktionen für die Einrichtung von Sicherheits- und Zugriffskontrollen zum Schutz ihrer Daten. Für derartige Funktionen sind NGFWs jedoch nicht ausgelegt.

Insbesondere Unternehmen, die die Cloud-Umgebungen von Anbietern wie AWS und Azure nutzen, brauchen nach wie vor unternehmensfähige Firewall-Funktionen für ihre lokalen Internet-Breakouts. NGFWs wurden allerdings nicht für die Unterstützung von Cloud-Anwendungen und -Infrastrukturen entwickelt. Selbst virtuelle Firewalls unterliegen ähnlichen Einschränkungen und weisen die gleichen Nachteile wie herkömmliche NGFW-Appliances auf.

Daher ist es sinnvoll, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.

Die vier wichtigsten Vorteile von Cloud Firewalls

  • Proxy-basierte Architektur: Bei diesem Modell wird der Netzwerk-Traffic aller User, Anwendungen und Geräte an allen Standorten dynamisch überprüft. Zur Erkennung von Malware, die im verschlüsselten Traffic versteckt ist, wird der SSL/TLS-Traffic auch bei hohen Volumen nativ überprüft. Darüber hinaus können granulare Netzwerk-Firewall-Richtlinien auf mehreren Layern basierend auf Netzwerkanwendung, Cloud-Anwendung, vollständigem Domainnamen (Fully Qualified Domain Name, FQDN) und URL durchgesetzt werden.
  • Cloud-IPS: Ein Cloud-basiertes IPS bietet kontinuierlichen Schutz vor Bedrohungen, unabhängig von Verbindungstyp oder Standort. Der gesamte User-Traffic innerhalb und außerhalb des Netzwerks, einschließlich SSL-Traffic, wird überprüft, um vollständige Transparenz über User, Anwendungen und Internetverbindungen zu gewährleisten.
  • DNS-Sicherheit und -Kontrolle: Mithilfe einer Cloud Firewall kann verhindert werden, dass User auf schädliche Domains zugreifen. Sie optimiert die DNS-Auflösung und verbessert so die Anwendererfahrung sowie die Performance von Cloud-Anwendungen, insbesondere von CDN-basierten Anwendungen. Außerdem bietet sie granulare Kontrollen zur Erkennung und Verhinderung von DNS-Tunneling.
  • Transparenz und vereinfachtes Management: Eine Cloud-basierte Firewall bietet Transparenz, Kontrolle und sofortige Durchsetzung von Sicherheitsrichtlinien in Echtzeit auf der gesamten Plattform. Sie protokolliert jede Sitzung detailliert und verwendet erweiterte Analysefunktionen, um Ereignisse zu korrelieren und mittels einer zentralen Konsole Einblicke in Bedrohungen und Sicherheitsrisiken für alle User, Anwendungen, APIs und Standorte zu bieten.

Nur wenige Anbieter können eine vollständige Suite von Cloud-Firewall-Funktionen implementieren. Und nur ein Anbieter kann sie als Teil einer umfassenden und bewährten Cloud-Sicherheitsplattform bereitstellen.

Zscaler Cloud Firewall

Die Zscaler Cloud Firewall bietet mehr Leistung als NGFW-Appliances bei geringerer Komplexität und niedrigeren Kosten. Im Rahmen der integrierten Zscaler Zero Trust Exchange™ stellt sie die Kontrollfunktionen einer Firewall der nächsten Generation in Kombination mit erweiterter Sicherheit für alle User an allen Standorten sowie für alle Ports und Protokolle bereit. Die Zscaler Cloud Firewall ermöglicht schnelle und sichere lokale Internet-Breakouts. Da sie komplett über die Cloud bereitgestellt wird, entfällt die Anschaffung, Installation und Verwaltung von Hardware.

Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Cloud Firewall bietet hingegen folgende Vorteile:

  • Festlegung und sofortige Durchsetzung granularer Firewall-Richtlinien
  • Von umfassender Transparenz zu umsetzbaren Informationen in Echtzeit
  • Ununterbrochenes IPS für alle User

Setzen Sie immer noch auf herkömmliche NGFWs? Ist Ihre Organisation damit ausreichend geschützt? Am besten fordern Sie gleich heute eine Demo an, um sich von den Vorteilen einer Cloud-Firewall gegenüber NFGWs zu überzeugen.

Weitere Ressourcen

  • Cloud-Transformation bei AutoNation

    Zum video

  • Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall

    E-Book lesen

  • Die Next-Generation Cloud Firewall von Zscaler

    Zum video

  • Zscaler Cloud Firewall: Ein Leitfaden für die sichere Cloud-Migration

    Whitepaper lesen

  • SD-WAN ohne Cloud Firewall? Kommt gar nicht in Frage!

    Zum Blogbeitrag

  • Gartner | The Future of Network Security Is in the Cloud

    REPORT LESEN

Häufig gestellte Fragen

What Is the Difference Between a Firewall and a NGFW?

The key difference between a traditional “stateful inspection” firewall and a next-generation firewall is the way they process network traffic. Stateful inspection firewalls rely mainly on static allow/deny rules based on connection ports, protocols, and IP addresses. NGFWs, on the other hand, can understand specific applications and their traffic, inspect the content of network packets and encrypted traffic, apply identity-based policies, and more, enabling the enforcement of more granular context-based traffic controls.

What Layer Is NGFW?

Next-generation firewalls (NGFWs) operate mainly at Layer 7 (the Application Layer) of the OSI model. Using deep packet inspection and advanced application awareness, an NGFW can identify specific applications and services, inspect their content, and assess context to inform policy enforcement. By going beyond the basic port-and-protocol inspection of traditional stateful inspection firewalls, NGFWs can more effectively defend against sophisticated threats hiding in legitimate traffic.

Where Is a NGFW Used?

Next-generation firewalls (NGFWs) typically sit at the network perimeter, between the internal network and external environments such as the internet. They may also be deployed between internal network segments to enforce security policies and segment sensitive resources. They continue to play a role in securing remote access through VPNs, protecting traditional data center perimeters, and remain in the hardware stacks of many organizations’ remote and branch locations, although the efficacy of this approach is faltering as more and more resources and data move to the cloud, blurring the definition of the “secure perimeter.”