Eine Next-Generation Firewall bietet nicht nur mehr Sicherheit, sie hilft auch bei der Konsolidierung der bislang eingesetzten Security-Systeme. Unterm Strich lassen sich damit außerdem unnötige Kosten sparen.

In der IT-Security ist in den vergangenen Jahren kein Stein auf dem anderen geblieben. Die von den Firmen genutzten Netzwerke sind einem stetigen Wandel ausgesetzt. Neue Anwendungen und Dienste sind zu integrieren. Dazu kommen Neuerungen wie das Internet der Dinge und Cloud Computing sowie eine kontinuierlich steigende Zahl von Nutzern, die von einem immer umfangreicheren Gerätepark sicher auf die IT-Umgebung von innen und außen zugreifen soll. Nicht vergessen werden darf auch der anhaltend hohe Druck durch Cyber-Angreifer. Kein Netz bleibt mehr von ihnen ungeschoren. Laufend versuchen kriminelle und teilweise auch staatliche Hacker Lücken in den etablierten Verteidigungslinien zu finden und für ihre Zwecke auszunutzen.

Sicherheit auch auf Anwendungsebene

Herkömmliche Firewalls sind dieser radikal veränderten Umgebung in den meisten Fällen nicht mehr gewachsen. Hersteller wie Cisco Systems, Palo Alto Networks und Juniper Networks haben reagiert und neue „Brandschutzmauern“ entwickelt, die nicht mehr nur Ports und Protokolle überwachen, sondern die auch die Anwendungsebene in ihre Schutzmaßnahmen mit einbeziehen. Moderne Firewalls der nächsten Generation oder im Englischen die neuen Next-Generation Firewalls (NGFWs) untersuchen auch den Inhalt des übertragenen Datenstroms und verlassen sich nicht mehr nur auf weitgehend starre Regeln, mit denen Verbindungen früher erlaubt oder verboten wurden.

In den vergangenen Jahren wurden zahlreiche neue Funktionen entwickelt, um Netzwerke effektiver vor Angreifern zu schützen. Nach den klassischen Paketfiltern und der Network Address Translation (NAT) kam Stateful Inspection und die damit mögliche dynamische Paketfilterung. Im nächsten Schritt wurden UTM-Appliances (Unified Threat Management) entwickelt, die nicht mehr nur als Firewall dienten, sondern die auch erstmals die Bereiche Antivirus, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), VPN (Virtual Private Networking), Content-Filter und sogar Load Balancing mit abdeckten.

Relativ schnell traten hier jedoch Performance-Probleme auf. UTM-Appliances richten sich deswegen bis heute vor allem an kleinere und mittlere Unternehmen (KMUs). Für größere Unternehmen wurden Firewall der nächsten Generation entwickelt, die weit mehr Leistung und Durchsatz bieten und deren Fokus auf einer Inspektion der Anwendungsebene beziehungsweise des Layer 7 liegt. Zusätzlich decken sie auch die Vermittlungsschicht, die Transportschicht, die Sitzungsschicht sowie die Darstellungsschicht ab, also alle Schichten von drei bis sieben im OSI-Modell (Open Systems Interconnection Model). Dadurch gewährleisten sie einen umfassenden Schutz.

Als Spezialist für die Produkte von Cisco Systems, Palo Alto Networks sowie Juniper Networks können wir Ihnen im Folgenden einen ersten Überblick über das Portfolio der drei führenden Netzwerk- und Security-Hersteller geben.

Next-Generation Firewalls von Cisco Systems

Die Bandbreite reicht bei Cisco von vergleichsweise kleinen NGFW-Lösungen wie der ASA-5500X bis zu Angeboten für Service-Provider und größere Rechenzentren wie die FirePOWER-Serie 9000. Die ASA-5500X richtet sich mit einem Firewall-Durchsatz von bis zu 1.750 MBit/s und einer Threat-Inspection-Rate von bis zu 1.250 MBit/s an kleine bis mittelgroße Unternehmen sowie an größere Firmen, die ihre Zweigstellen schützen wollen. Neben der Stateful-Firewall unterstützen diese NGFWs auch Application Visibility and Control, NGIPS (Next-Generation Intrusion Prevention System), Advanced Malware Protection sowie URL-Filterung.

Die FirePOWER-Serie richtet sich an größere Unternehmen, die einen Firewall-Durchsatz von 2 bis 225 GBit/s und eine Threat-Insprection von 2 bis 90 GBit/s benötigen. Neben den Funktionen, die bereits die ASA-5500X bietet, kommen hier zum Beispiel auch ein dedizierter Schutz vor DDoS-Angriffen dazu.

Für Software-defined Networks und virtuelle Infrastrukturen eignen sich die Cisco Adaptive Security Virtual Appliance (ASAv) und die Virtuelle Cisco Next-Generation Firewall (NGFWv). Sie wurden für die Cloud (zum Beispiel AWS und Azure) und für heterogene Rechenzentrumsumgebungen optimiert und unterstützen sowohl virtuelle Lösungen von VMware, Hyper-V als auch KVM. Der Durchsatz dieser Firewall-Lösungen erreicht bis zu 10 GBit/s.

Next-Generation Firewalls von Palo Alto Networks

Das 2005 gegründete amerikanische Unternehmen Palo Alto Networks ist auf Netzwerksicherheit sowie Firewalls mit einem deutlichen Schwerpunkt auf NGFWs spezialisiert. Die Palette von Palo Alto Networks reicht von NGFW-Appliances für KMUs bis zu Hochleistungslösungen für Service-Provider und große Rechenzentren. Das aktuell kleinste Modell ist die PA-200, die einen Firewall-Durchsatz von 100 MBit/s und einen Threat-Prevention-Durchsatz von 50 MBit/s erreicht. Weitere Appliances in dieser Leistungsklasse sind die PA-220 und die PA-500, die bis zu 500 MBit/s beim Firewall-Durchsatz und bis zu 150 MBit/s beim Threat-Prevention-Durchsatz bieten.

Im mittleren Bereich tummeln sich bei Palo Alto Networks besonders viele Modelle, die hier gar nicht alle aufgezählt werden können. Beispiel sind etwa die PA-850 mit einem Firewall-Durchsatz von bis zu 1,9 GBit/s und einem Threat-Prevention-Durchsatz von bis zu 780 MBit/s sowie am oberen Ende der Skala die PA-5280, deren Firewall-Leistung bei bis zu 68 GBit/s und die Threat-Prevention-Leistung bei bis zu 30 GBit/s liegt. High-End-Geräte sind die NGFWs der PA-7000er-Serie, die im Firewall-Durchsatz bis zu 200 GBit/s und bei der Verhinderung von Bedrohungen bis zu 100 GBit/s leisten.

Darüber hinaus bietet Palo Alto Networks auch virtuelle NGFWs wie zum Beispiel die VM-50, die VM-100 und die VM-700 an. Sie bieten eine Leistung von bis zu 16 GBit/s beim Firewall-Durchsatz und bis zu 8 GBit/s beim Threat-Prevention-Durchsatz. Dabei unterstützen sie sowohl VMware NSX, ESXi sowie vCloud Air. Interessierte Kunden können diese Leistungen auch mit dem Globalprotect Cloud Service direkt aus der Cloud beziehen. Damit kann der NGFW-Schutz auch auf mobile Mitarbeiter ausgedehnt werden.

Next-Generation Firewalls von Juniper Networks

Ein weiterer Hersteller mit einem breiten Angebot an modernen Firewalls der nächsten Generation ist Juniper Networks. Das Unternehmen ist nach Cisco Systems der weltweit zweitgrößte Netzwerkausrüster. Bereits die Einstiegs-NGFWs der SRX300er-Serie erreichen einen Firewall-Durchsatz zwischen 1 und 5 GBit/s. Damit eignen sich die Appliances für kleinere bis mittlere Unternehmen und verteilte Niederlassungen größerer Firmen. Weitere Produkte im Angebot von Juniper Networks sind die SRX550 sowie die SRX1500, die einen Durchsatz von 5,5 bis 10 GBit/s bieten. Die SRX4000 gibt es in zwei Varianten, deren Firewall-Durchsatz bei 20 beziehungsweise 40 GBit/s liegt.

Des Weiteren hat Juniper Networks auch noch leistungsfähigere Lösungen im Programm. So erreicht die SRX5400 65 GBit/s, die SRX4600 95 GBit/s, die SRX5600 130 GBit/s und die SRX5800 sogar beeindruckende 320 GBit/s. Dank dem von Juniper Networks angebotenen Mechanismus Express Path sind sogar bis zu 2 TByte/s möglich. Damit eignen sich letztere Geräte für High-End-Rechenzentren, umfangreiche Sammlungen an IoT-Devices sowie für die neuen 5G-Netze. Die NGFWs von Juniper Networks sind darüber hinaus mit erweiterten Funktionen wie IPS, Antivirus, Antispam und URL-Filterung ausgestattet.

Daneben bietet her Hersteller auch virtuelle Versionen seiner NGFW-Lösungen an. Zum einen handelt es sich um die vSRX Virtual Firewall, die dieselben Funktionen wie die physischen Produkte bietet, aber weit skalierbarer ist und Geschwindigkeiten von bis zu 100 GBit/s unterstützt. Zum anderen offeriert Juniper Networks auch die cSRX Container Firewall für auf Docker basierende Container-Umgebungen. Im Vergleich zur virtuellen Version überzeugt diese Variante mit einem geringeren Overhead und einem kleineren Footprint.

Fazit

Firewalls der nächsten Generation bieten einen deutlichen Mehrwert gegenüber klassischen Lösungen zum Schutz des Perimeters, deren Konzept mittlerweile als veraltet und nicht mehr zeitgemäß gilt. Neben den klassischen Firewall-Funktionen decken moderne NGFWs auch die Bereiche Antivirus, Antispam, IPS, IDS, VPN und vieles mehr ab – und das durchaus performant und mit der benötigten hohen Leistung wie die Hersteller Cisco Systems, Palo Alto Networks und Juniper Networks mit ihren Produkten beweisen.

Eine Next-Generation Firewall hebt die Sicherheit in Ihrem Netzwerk auf die nächste Stufe. Sprechen Sie uns an, wir helfen Ihnen bei der Wahl der zu Ihrem Unternehmen am besten passenden NGFW-Lösung.

(Andreas Th. Fischer)