NGFW: Was ist unter einer Firewall der nächsten Generation zu verstehen?

Eine Firewall der nächsten Generation ( NGFW ) vereint herkömmliche Firewall-Technologien mit anderen Filterfunktionen für Netzwerkgeräte – z. B. Inline-Anwendungskontrolle, integriertes Eindringschutzsystem, Funktionen zur Abwehr von Bedrohungen und Virenschutz –, um die Sicherheit von Unternehmensnetzwerken zu verbessern. Weiterlesen .

NGFW: Was ist eine Next Generation Fire Wall?

Q: Funktionen von Firewalls der nächsten Generation

Anwendungskontrolle: NGFWs überwachen aktiv, von welchen Anwendungen (und Usern) der eingehende Netzwerk-Traffic ausgeht. Sie sind dazu in der Lage, den Netzwerk-Traffic zu analysieren, um den Anwendungs-Traffic unabhängig von Port oder Protokoll zu erkennen, wodurch die gesamte Transparenz erhöht wird. IPS: Ein IPS überwacht Netzwerke kontinuierlich, sucht nach schädlichen Ereignissen und ergreift Maßnahmen, um sie zu verhindern. Das IPS kann Warnungen an Administratoren senden, Pakete verwerfen, Traffic blockieren oder die Verbindung vollständig zurücksetzen. Bedrohungsinformationen: Dabei handelt es sich um alle Daten, die von einer Vielzahl von Knoten in einem Netzwerk oder IT-Ökosystem erfasst werden. Anhand dieser Informationen können IT-Teams sowohl aktuelle als auch frühere Bedrohungen besser verstehen und analysieren. Sie stellen also eine wichtige Grundlage für die Cybersicherheit dar. Virenschutz: Wie der Name schon sagt, erkennt Antivirus-Software Viren, reagiert auf sie und aktualisiert die Erkennungsfunktionen, um die sich ständig verändernden Bedrohungen abzuwehren. Weiterlesen

Firewalls der nächsten Generation im Vergleich zu herkömmlichen Firewalls

Herkömmliche Firewalls agieren nur auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren, den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten und vollständige Datenübertragungen sicherzustellen. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien.

Als komplexe Bedrohungen wie Ransomware aufkamen, war es ihnen ein Leichtes, diese Stateful Firewalls zu umgehen. Dementsprechend gefragt war eine optimierte, intelligentere Sicherheitslösung.

Der Begriff „Firewall der nächsten Generation“ wurde vor mehr als einem Jahrzehnt von Gartner geprägt und definiert als „eine Deep-Packet-Inspection-Firewall, die nicht nur Ports und Protokolle überprüft und blockiert, sondern diese Funktionen mit der Überprüfung auf Anwendungsebene, einem Eindringschutzsystem sowie Informationen außerhalb der Firewall kombiniert.“ Sie sollten das gesamte Leistungsspektrum herkömmlicher Firewalls bereitstellen, jedoch mit granularen Funktionen, die noch strengere Kontrollmaßnahmen zur Überprüfung von Identität, User, Standort und Anwendung unterstützen.

Die Funktionen einer NGFW sind eigentlich eine Grundvoraussetzung. Das war einer der Hauptgründe, warum wir uns für Zscaler entschieden haben. Kein anderer Cloud-Service stellt einen kompletten NGFW-Funktionsumfang bereit.

Ken Athanasiou, CISO und Vice President von AutoNation

Funktionen von Firewalls der nächsten Generation

Firewalls der nächsten Generation werden nach wie vor verwendet und bieten gegenüber ihren Vorgängern einige Vorteile hinsichtlich der Sicherheit von On-Premise-Netzwerken und -Anwendungen.

Anwendungskontrolle: NGFWs überwachen aktiv, von welchen Anwendungen (und Usern) der eingehende Netzwerk-Traffic ausgeht. Sie sind dazu in der Lage, den Netzwerk-Traffic zu analysieren, um den Anwendungs-Traffic unabhängig von Port oder Protokoll zu erkennen, wodurch die gesamte Transparenz erhöht wird.
IPS: Ein IPS überwacht Netzwerke kontinuierlich, sucht nach schädlichen Ereignissen und ergreift Maßnahmen, um sie zu verhindern. Das IPS kann Warnungen an Administratoren senden, Pakete verwerfen, Traffic blockieren oder die Verbindung vollständig zurücksetzen.
Bedrohungsinformationen: Dabei handelt es sich um alle Daten, die von einer Vielzahl von Knoten in einem Netzwerk oder IT-Ökosystem erfasst werden. Anhand dieser Informationen können IT-Teams sowohl aktuelle als auch frühere Bedrohungen besser verstehen und analysieren. Sie stellen also eine wichtige Grundlage für die Cybersicherheit dar.
Virenschutz: Wie der Name schon sagt, erkennt Antivirus-Software Viren, reagiert auf sie und aktualisiert die Erkennungsfunktionen, um die sich ständig verändernden Bedrohungen abzuwehren.

Funktionsweise einer Firewall der nächsten Generation

Beim Schutz von Unternehmensnetzwerken leisten Firewalls der nächsten Generation deutlich mehr als herkömmliche Firewalls. Sie analysieren den Netzwerk-Traffic umfassend, um dessen Ursprung zu ermitteln. Dadurch sind sie in der Lage, mehr Informationen über schädlichen Traffic und die darin verborgenen Bedrohungen zu erfassen, die ständig versuchen, den Netzwerkperimeter zu infiltrieren, auf Unternehmensdaten zuzugreifen und den Ruf von Unternehmen zu schädigen.

Während herkömmliche Firewalls nur auf der Vermittlungs- und der Transportschicht des OSI-Referenzmodells agieren, können NGFWs auf sämtlichen Schichten inklusive der Anwendungsschicht (Layer 7) betrieben werden. Daher werden Bedrohungen auf Anwendungsebene – darunter einige besonders gefährliche und hartnäckige – frühzeitig erkannt und abgewehrt, sodass der Kosten- und Zeitaufwand für die Behebung von Sicherheitsverletzungen entfällt.

Warum sind Firewalls der nächsten Generation notwendig?

In der Cyberbedrohungslandschaft der heutigen Zeit ist ein umfassender Schutz vor Bedrohungen unverzichtbar – herkömmliche Firewalls sind dieser Aufgabe nicht gewachsen. Firewalls der nächsten Generation können Malware blockieren und sind zudem besser für die Abwehr von Advanced Persistent Threats (APTs) geeignet, hinter denen Akteure stecken wie die Hackergruppe Cozy Bear, die für den Angriff auf die Lieferkette von SUNBURST im Jahr 2020 verantwortlich zeichnete, oder die Cyberspionagegruppe Deep Panda, die mehrfach die Sicherheitslücke „Log4Shell“ ausnutzte.

Darüber hinaus beinhalten Firewalls der nächsten Generation integrierte Bedrohungsinformationen und Optionen für Netzwerk- und Sicherheitsautomatisierung. So können Unternehmen nicht nur ihre Sicherheitsabläufe vereinfachen, sondern auch ein umfassendes Security Operations Center (SOC) einrichten.

All diese potenziellen Vorteile sind jedoch mit einer Reihe von Nachteilen verbunden.

Herausforderungen im Zusammenhang mit Firewalls der nächsten Generation

Zwar bieten die sogenannten NGFWs erhebliche Vorteile, doch es mangelt ihnen an der nötigen Funktionalität, um die verteilten Belegschaften von heute zu unterstützen.

Traffic-Backhauling zur Firewall der nächsten Generation war sinnvoll, als sich die Anwendungen noch im Rechenzentrum und Mitarbeiter – und somit auch die Endgeräte – in der Unternehmenszentrale oder in Zweigstellen befanden. Mittlerweile wurden Anwendungen jedoch in die Cloud verlagert, um standortunabhängige Arbeitsmodelle zu unterstützen. Dem sind herkömmliche Netzwerk- und Sicherheitstools wie NGFWs und VPNs aufgrund der mangelnden Skalierbarkeit nicht mehr gewachsen.

Die am häufigsten verwendeten Cloud-Anwendungen wie Microsoft 365 wurden für den direkten Zugriff über das Internet konzipiert. Um solche Verbindungen herzustellen, müssen Unternehmen den Internet-Traffic lokal routen, damit eine schnelle Anwendererfahrung gewährleistet ist. Es ist also nicht mehr sinnvoll, den Traffic zurück zu Firewalls der nächsten Generation im Unternehmensrechenzentrum zu leiten, um ins Internet zu gelangen.

Lokale Internet-Breakouts mit derartigen NGFWs absichern zu wollen, würde damit einhergehen, den gesamten Security-Stack an jedem einzelnen Standort und damit in sämtlichen Zweigstellen replizieren zu müssen und wäre mit viel zu hohen Kosten und enormem Arbeitsaufwand verbunden.

Außerdem wurden Firewalls der nächsten Generation nicht für Cloud-basierte Anwendungen konzipiert. Entsprechend sind sie von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert und können somit standardmäßig nur schlecht mit Cloud-Anwendungen kombiniert werden.

Sie können jedoch SSL-verschlüsselten Traffic nicht nativ überprüfen. Da mittlerweile fast der gesamte Webverkehr verschlüsselt ist, fällt dieses Manko verstärkt ins Gewicht. Damit eine SSL-Überprüfung überhaupt möglich wird, müssen NGFWs durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was nicht nur die Performance und damit auch die User Experience empfindlich beeinträchtigt, sondern auch neuen Sicherheitsbedrohungen wie komplexer Malware Tür und Tor öffnet.

Cloud Firewalls als Lösung der Zukunft

Die Firewalls der nächsten Generation (NGFWs), die heute im Einsatz sind, wurden vor über einem Jahrzehnt entwickelt. Inzwischen setzen Unternehmen verstärkt auf die Cloud und benötigen dynamische, zukunftsfähige Funktionen für die Einrichtung von Sicherheits- und Zugriffskontrollen zum Schutz ihrer Daten. Für derartige Funktionen sind NGFWs jedoch nicht ausgelegt.

Insbesondere Unternehmen, die die Cloud-Umgebungen von Anbietern wie AWS und Azure nutzen, brauchen nach wie vor unternehmensfähige Firewall-Funktionen für ihre lokalen Internet-Breakouts. NGFWs wurden allerdings nicht für die Unterstützung von Cloud-Anwendungen und -Infrastrukturen entwickelt. Selbst virtuelle Firewalls unterliegen ähnlichen Einschränkungen und weisen die gleichen Nachteile wie herkömmliche NGFW-Appliances auf.

Daher ist es sinnvoll, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.

Die vier wichtigsten Vorteile von Cloud Firewalls

Proxy-basierte Architektur: Bei diesem Modell wird der Netzwerk-Traffic aller User, Anwendungen und Geräte an allen Standorten dynamisch überprüft. Zur Erkennung von Malware, die im verschlüsselten Traffic versteckt ist, wird der SSL/TLS-Traffic auch bei hohen Volumen nativ überprüft. Darüber hinaus können granulare Netzwerk-Firewall-Richtlinien auf mehreren Layern basierend auf Netzwerkanwendung, Cloud-Anwendung, vollständigem Domainnamen (Fully Qualified Domain Name, FQDN) und URL durchgesetzt werden.
Cloud-IPS: Ein Cloud-basiertes IPS bietet kontinuierlichen Schutz vor Bedrohungen, unabhängig von Verbindungstyp oder Standort. Der gesamte User-Traffic innerhalb und außerhalb des Netzwerks, einschließlich SSL-Traffic, wird überprüft, um vollständige Transparenz über User, Anwendungen und Internetverbindungen zu gewährleisten.
DNS-Sicherheit und -Kontrolle: Mithilfe einer Cloud Firewall kann verhindert werden, dass User auf schädliche Domains zugreifen. Sie optimiert die DNS-Auflösung und verbessert so die Anwendererfahrung sowie die Performance von Cloud-Anwendungen, insbesondere von CDN-basierten Anwendungen. Außerdem bietet sie granulare Kontrollen zur Erkennung und Verhinderung von DNS-Tunneling.
Transparenz und vereinfachtes Management: Eine Cloud-basierte Firewall bietet Transparenz, Kontrolle und sofortige Durchsetzung von Sicherheitsrichtlinien in Echtzeit auf der gesamten Plattform. Sie protokolliert jede Sitzung detailliert und verwendet erweiterte Analysefunktionen, um Ereignisse zu korrelieren und mittels einer zentralen Konsole Einblicke in Bedrohungen und Sicherheitsrisiken für alle User, Anwendungen, APIs und Standorte zu bieten.

Nur wenige Anbieter können eine vollständige Suite von Cloud-Firewall-Funktionen implementieren. Und nur ein Anbieter kann sie als Teil einer umfassenden und bewährten Cloud-Sicherheitsplattform bereitstellen.

Zscaler Cloud Firewall

Die Zscaler Cloud Firewall bietet mehr Leistung als NGFW-Appliances bei geringerer Komplexität und niedrigeren Kosten. Im Rahmen der integrierten Zscaler Zero Trust Exchange™ stellt sie die Kontrollfunktionen einer Firewall der nächsten Generation in Kombination mit erweiterter Sicherheit für alle User an allen Standorten sowie für alle Ports und Protokolle bereit. Die Zscaler Cloud Firewall ermöglicht schnelle und sichere lokale Internet-Breakouts. Da sie komplett über die Cloud bereitgestellt wird, entfällt die Anschaffung, Installation und Verwaltung von Hardware.

Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Cloud Firewall bietet hingegen folgende Vorteile:

Festlegung und sofortige Durchsetzung granularer Firewall-Richtlinien
Von umfassender Transparenz zu umsetzbaren Informationen in Echtzeit
Ununterbrochenes IPS für alle User

Setzen Sie immer noch auf herkömmliche NGFWs? Ist Ihre Organisation damit ausreichend geschützt? Am besten fordern Sie gleich heute eine Demo an, um sich von den Vorteilen einer Cloud-Firewall gegenüber NFGWs zu überzeugen.

Weitere Ressourcen

Cloud-Transformation bei AutoNation
Zum video
Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
Read the ebook
Die Next-Generation Cloud Firewall von Zscaler
Zum video
Zscaler Cloud Firewall: Ein Leitfaden für die sichere Cloud-Migration
Read the white paper
SD-WAN ohne Cloud Firewall? Kommt gar nicht in Frage!
Read the blog
Gartner | The Future of Network Security Is in the Cloud
Read the report

Zscaler als ein Leader im Gartner® Magic Quadrant™ für Security Service Edge 2023 (SSE) gewürdigt

Ihre Welt, sicher

Zscaler: Ein Leader im Gartner® Magic Quadrant™ 2023 für Security Service Edge (SSE)

Der Unterschied durch Zscaler

Grundlagen von Zero Trust

Zuverlässiger Schutz für User

Schutz von Workloads

Sicherheit für IoT- und OT-Geräte

Produkte

Lösungsbereiche

Zero-Trust-Exchange-Plattform

Transformation dank Zero-Trust-Architektur

Sicherheit für Ihre Geschäftsziele

Schulung, Austausch und Support.

Ressourcen-Center

Events und Schulungen

Studien und Services zum Thema Sicherheit

Instrumente

Community und Support

Branchen- und marktspezifische Lösungen

Über Zscaler

Partner

News und Ankündigungen

Führungsteam

Partnerintegrationen

Für Investoren

Umwelt, Soziales und Governance

Karriere

Pressezentrum

Compliance

Zenith Ventures