Next-Generation-Firewall (NGFW) vs. Firewall-as-a-Service (FWaaS)

Eine Firewall der nächsten Generation (NGFW) ist eine Firewall mit erweiterten Funktionen, während Firewall-as-a-Service (FWaaS) eine in der Cloud bereitgestellte Firewall zum Schutz von Netzwerken und Cloud-Infrastrukturen ist.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Next-Generation-Firewall (NGFW) und Firewall-as-a-Service (FWaaS) definieren
  • NGFWs und FWaaS vergleichen
  • Erfahren, welche Überschneidungen zwischen Cloud-Firewalls und Next-Generation-Firewalls bestehen

Link zum Artikel kopieren

Next-Generation-Firewall (NGFW) vs. Firewall-as-a-Service (FWaaS)

Diese Begriffe beschreiben zwei unterschiedliche Aspekte einer Firewallall – was sie leisten kann (NGFW) und wo und wie sie eingesetzt wird (FWaaS). Eine Next-Generation-Firewall (NGFW) verfügt über eine bestimmte Anzahl von Sicherheitsfunktionen. Firewall-as-a-Service (FWaaS) beschreibt eine Firewall, die in der Cloud gehostet und als Service angeboten wird (eine solche Firewall kann auch als „Cloud Firewall“ bezeichnet werden).

Eine FWaaS kann über Funktionen der nächsten Generation verfügen, und eine NGFW kann in der Cloud gehostet werden.

NGFW vs. FWaaS Venn-Diagramm

Welche Art von Firewall ein Unternehmen benötigt, hängt von seiner Infrastruktur ab. Wenn sich die gesamte Netzwerkinfrastruktur und alle Anwendungen vor Ort befinden, kann eine hardwarebasierte NGFW ausreichen. Die meisten modernen Unternehmen führen jedoch einige Workloads in der Cloud aus, sodass eine FWaaS notwendig ist (idealerweise eine FWaaS-Lösung mit Next-Gen-Funktionen).

Was tut eine Firewall?

Eine Firewall ist ein Sicherheitsprodukt, das den Netzwerkdatenverkehr basierend auf einem Satz von Sicherheitsregeln überwacht und kontrolliert. Bei Firewalls kann es sich um auf einem Server oder Computer installierte Softwareanwendungen handeln oder um physische Hardwarevorrichtungen, die mit einem internen Netzwerk verbunden sind. Firewalls befinden sich in der Regel zwischen einem vertrauenswürdigen Netzwerk und einem nicht vertrauenswürdigen Netzwerk. Häufig handelt sich bei dem vertrauenswürdigen Netzwerk um das interne Netzwerk eines Unternehmens und bei dem nicht vertrauenswürdigen Netzwerk um das Internet.

Zu den Standardfunktionen einer Firewall gehören:

  • Paketfilterung: Analysiert einzelne Datenpakete und blockiert sie bei Bedarf
  • Stateful Inspection: Bewertet Pakete im Kontext aktiver Netzwerkverbindungen
  • Erkennung von virtuellen privaten Netzwerken (VPN): Identifiziert verschlüsselten VPN-Traffic und lässt ihn passieren

Was ist eine Next-Generation-Firewall (NGFW)?

NGFWs verfügen über die Featuers herkömmlicher Firewalls, zudem aber über eine Fülle zusätzlicher Features, die vielfältigere organisatorische Bedürfnisse abdecken und mehr potenzielle Bedrohungen blockieren. Sie werden als „Next-Generation-Firewall“ bezeichnet, um sie von älteren Firewalls, die nicht über diese Fähigkeiten verfügen, abzugrenzen.

Zu den NGFW-Technologien gehören:

  • Intrusion Prevention System (IPS): Scannt den Netzwerk-Traffic, identifiziert Malware und blockiert sie
  • Deep Packet Inspection (DPI): Verbessert die Paketfilterung, indem zusätzlich zum Header auch der Body jedes Pakets analysiert wird
  • Anwendungserkennung und -kontrolle: Identifiziert und blockiert den Traffic auf der Grundlage der Anwendungen, für die der Traffic bestimmt ist
  • Feeds zu Bedrohungsdaten: Integriert Ströme von aktualisierten Bedrohungsdaten, um die neuesten Bedrohungen zu identifizieren

Was bedeutet Firewall-as-a-Service (FWaaS)?

FWaaS ist eine Firewall, die von einem Fremdanbieter in der Cloud gehostet wird. Diese Art von Dienst wird auch als „Cloud-Firewall“ bezeichnet.

FWaaS ist keine physische Vorrichtung und wird auch nicht am Standort einer Organisation lokal gehostet. Ebenso wie andere „as-a-Service“-Kategorien, wie Infrastructure-as-a-Service (IaaS) oder Software-as-a-Service, (SaaS) wird FWaaS in der Cloud ausgeführt, und es wird über das Internet darauf zugegriffen.

Vor dem Aufkommen des Cloud Computing befand sich eine Firewall zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk, und es gab eine klare Grenze (das so genannte „Netzwerkperimeter“) zwischen den vertrauenswürdigen und den nicht vertrauenswürdigen Netzwerken. Beim Cloud Computing existiert diese Grenze jedoch nicht, da der Zugriff auf vertrauenswürdige Cloud-Ressourcen über ein nicht vertrauenswürdiges Netzwerk (das Internet) erfolgt. In der Cloud gehostete Firewalls schützen diese Ressourcen auch ohne ein Netzwerkperimeter. Außerdem werden Firewalls, die in der Cloud gehostet werden, vom Firewall-Anbieter konfiguriert, gewartet und aktualisiert, nicht vom Kunden.

Was ist die Cloudflare Magic Firewall?

Cloudflare Magic Firewall ist eine Cloud-Firewall mit Next-Gen-Funktionen, die im globalen Cloudflare-Netzwerk gehostet wird. Sie schützt Rechenzentren, Remote-Nutzer, Zweigstellen und Cloud-Infrastrukturen und ist eng mit der Cloudflare One-Plattform integriert. Erfahren Sie mehr über Magic Firewall.