Next Gen Firewalls
Worum es geht
Mehr als eine Firewall
Next Generation Firewalls fügen klassischen Firewalls weitere Funktionen hinzu, zum Beispiel das Überwachen und Filtern von Datenpaketen (Deep Packet Inspection), MalwareSchutz, VPN- und SD-WANSupport.
Gesamtpaket ist wichtig
Manche Anbieter bündeln Produkte wie E-Mail- und WebSicherheit, Data Leakage Prevention oder Schutz von DDoS mit der Firewall. Gelegentlich schließen die Anbieter dafür auch Kooperationen ab.
Sizing ist eine Kunst
Wer sich für die Investition in eine Next Gen Firewall entscheidet, sollte eine Vorstellung davon haben, wie viel Traffic er oder sie auf mittlere Sicht erwartet und – bei VPNund SD-WAN-Nutzung – wie viele Connections unterstützt werden sollen.
Herausforderung Management
Ein benutzerfreundliches Benutzer-Interface und eine gute Methode, Regeln und Verhaltensweisen einfach anzupassen, erhöhen den Spaß am System signifikant. Gerade bei vielen Firewalls im laufenden Betrieb sind ein zentrales Management und eine einfache Konfiguration wichtig.
Check Point Advanced Threat Protection
Check Point Software Technologies gehört seit Jahren zu den bekanntesten Firewall-Anbietern und hat auch im Bereich der Next Generation Firewalls einiges zu bieten: Weit über 20 einschlägige Produkte offeriert das Unternehmen. Die NGFWs schützen lokale Netzwerke, aber auch Hybrid-Cloud-Umgebungen. Sie unterstützen Data Loss Protection, Identity Awareness, IPS, VPN, URL-Filterung, AntivirusScans und Application Control. Auch der Schutz vor Ransomware ist mit den Check Point NGFWs möglich.
Sophos XG
Die Sophos XG-Serie deckt ebenfalls alle Aspekte ab, die eine NGFW adressieren sollte. Neben standardmäßigen Funktionen unterstützt die NGFW-Reihe auch Technologien wie SD-WAN. Ein Virenschutz ist ebenso an Bord wie eine Schutzfunktion für Public- und Hybrid-Cloud-Umgebungen. AWS, Azure und Google Cloud Platform können so angebunden werden. Die XG Firewalls sind daher auch für Remote-Work- und Home-Office-Szenarien geeignet. Mobile Geräte wie Smartphones und Tablets können sich per IPSec oder SSL-VPN über die XG Firewall ins interne Netzwerk einwählen.
Sonicwall Network Security Appliance
Sonicwall bietet mit seiner Network Security Appliance (NSa) eine NGFW, die in mittelgroßen und großen Unternehmensnetzwerken für Schutz sorgen soll – auch durch die Integration von künstlicher Intelligenz beziehungsweise Machine und Deep Learning. Die Systeme von Sonicwall kommen unter anderem mit integrierter Advanced Threat Protection (ATP) und Realtime Deep Memory Inspection (RTDMI). Mit dieser Technik kann die Appliance direkt den Speicher durchsuchen und erkennt dadurch auch unbekannte Malware oder Zero-DayBedrohungen nahezu in Echtzeit. Der Vorteil dieser Funktion liegt auch darin, dass sich sehr komplexe Angriffsszenarien abdecken lassen. Die Firewall erkennt Malware auch dann, wenn der Schadcode nur 100 Nanosekunden lang sichtbar war. Zusammen mit anderen Funktionen in der NSa können die NGFWs alle Pakete umfassend durchsuchen.
Parallel zu den NGFW-Funktionen unterstützt die Appliance Funktionen wie Intrusion Prevention, Anti-Malware und Web-/URLFilterung. Dazu kommt die Sonicwall Capture Cloud, um Bedrohungen am Gateway zu stoppen. Die Sonicwall NGFW kann, unabhängig vom verwendeten Port und Protokoll, auch eine vollständige Entschlüsselung von TLS-/ SSL- und SSH-verschlüsselten Verbindungen durchführen. Verborgene Angriffe, zum Beispiel mit kryptografischer Malware, werden dadurch erkannt und blockiert. Um Compliance-Anforderungen und rechtliche Vorgaben zu erfüllen, kann durch Regeln festgelegt werden, welcher Datenverkehr entschlüsselt und geprüft werden soll.
Gleichzeitig hat Sonicwall seine NGFWs für eine bessere Leistung optimiert. Werden viele Sicherheitsfunktionen aktiviert, kann es bei anderen Systemen schnell passieren, dass die Leistung im Netzwerk einbricht. Die SonicwallLösung setzt auf eine Multicore-Architektur und integrierte Sicherheitsfunktionen. Die patentierten RTDMI- und RFDPI-Funktionen sollen ebenfalls dafür sorgen, dass sich Leistung und Sicherheit auf gleichbleibend hohem Niveau bewegen.
Watchguard Firebox
Watchguard bietet mit seiner Firebox-Serie zahlreiche Firewalls an, auch im Bereich der Next Generation Firewalls. Für Netzwerke gibt es unterschiedliche Geräte, die vor allem als Appliance zur Verfügung stehen. Die Watchguard Firewalls bieten neben den StandardFunktionen auch UTM Features wie Intrusion Prevention Service, Gateway Antivirus,
URL-Filtering, Application Control, SpamSchutz und Reputations-Suche. Dazu kommt eine zentrale Verwaltung der Firewalls, die auch Netzwerk-Virtualisierungen unterstützen.
Cisco FPR-4100-Serie
Auch Cisco hat in Sachen Next Generation Firewalls verschiedene Lösungen in petto – zum Beispiel die FPR-4100-Serie. Die NGFWs von Cisco ermöglichen eine Überprüfung des TLS-verschlüsselten Web-Verkehrs durch Hardware-Beschleunigung. DDoS-Angriffe können mit dem integriertem Radware Virtual DefensePro (vDP) blockiert werden. Automatisierte Risikoeinstufung und Impact Flags sind ebenfalls Bestandteil der Lösungen.
Zscaler
Seine „Cloud Firewall“bewirbt Zscaler mit dem Argument, die Zeiten herkömmlicher, oft Appliance-basierter Systeme seien vorbei. Unternehmen bräuchten Lösungen für das CloudZeitalter, die an der Schnittstelle von privatem Unternehmensnetz und öffentlichem Internet den Traffic aller Nutzer, Anwendungen, Geräte und Lokationen entsprechend den Voreinstellungen überwachen und filtern. Der Ansatz von Zscaler besteht darin, einen HTTPS-Tunnel zu schaffen, durch den der gesamte Netzwerkverkehr zu seinem zentralen Cloud-Gateway fließt. Dort durchlaufen die Daten diverse Prüfungen, zum Beispiel SSL-Entschlüsselung für eine bessere Sichtbarkeit versteckter Malware, Sandboxing in Realtime oder auch unternehmensweites Berechtigungsmanagement.
Entsprechend gehört die Möglichkeit, Zugangs- und Sicherheits-Policies umzusetzen, zum Produkt. Außerdem verhindert die Zscaler Cloud Firewall den Zugriff auf bösartige Domains sowie polymorphe Malware-Angriffe mit Cloud-IPS. Ebenso analysiert sie den nativen FTP-Traffic für die Datenfilterung. Große Konzerne wie Siemens, Schneider Electric, MAN und Johnson Controls gehören inzwischen zum Kundenkreis des aufstrebenden Cloud-Sicherheitsunternehmens.
Barracuda
Auch Barracuda hat eine „Cloudgen Firewall“im Angebot, die als Hardware- und virtuelle Appliance oder in der Cloud zur Verfügung steht. Für Sicherheit sorgen neben der Firewall-Funktion ein Intrusion Protection System, URL-Filtering, dualer Virenschutz, Applikationskontrolle und ein Schutzmechanismus zur Abwehr von Ransomware durch Sandboxing. Wichtig sind dem Hersteller zudem die integrierte SD-WAN-Vernetzungsoptimierung, VPN-Unterstützung und das unkomplizierte zentrale Management.
Forcepoint
Genauso wie Barracuda und viele Wettbewerber nutzt auch Forcepoint SD-WAN, um kostspieliges MPLS in Filialen und Niederlassungen durch eine Breitbandanbindung an die Cloud zu ersetzen. Nutzer vertrauen Forcepoint aber vor allem, weil sie ein übergreifendes Policy-Management über mehrere Firewall-Cluster umsetzen und den Adminund Konfigurationsaufwand durch ein zentrales Management senken können. Ausgefeilte Firewall- und DLP-Funktionen sprechen ebenso wie der DSGVO-konforme Schutz sensibler Daten für das Produkt. Einfachheit und Skalierbarkeit führen dazu, dass einige von Ransomware-Angriffen besonders bedrohte Krankenhäuser zu den Kunden zählen.
Bei der Anschaffung von Firewalls der nächsten Generation kann der 5G-Support wichtig werden, sofern Unternehmen mit der neuen Mobilfunkgeneration planen.