Was ist eine Next-Generation-Firewall (NGFW)? | NGFW vs. FWaaS

Eine Next-Generation-Firewall (NGFW) ist eine Firewall mit leistungsstarken modernen Features. Next-Generation-Firewalls können in der Cloud gehostet werden, das ist aber nicht bei allen der Fall.

Share facebook icon linkedin icon twitter icon email icon

Next-Generation-Firewall

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • „Next-Generation-Firewall“ definieren
  • Klassische Firewalls und Next-Generation-Firewalls einander gegenüberstellen
  • Erfahren, welche Überschneidungen zwischen Cloud-Firewalls und Next-Generation-Firewalls bestehen

Was ist eine Next-Generation-Firewall (NGFW)?

Eine Next-Generation-Firewall (NGFW) ist leistungsstärker als eine herkömmliche Firewall. NGFWs verfügen über die Fähigkeiten herkömmlicher Firewalls, zudem aber über eine Fülle zusätzlicher Features, die vielfältigere organisatorische Bedürfnisse abdecken und mehr potenzielle Bedrohungen blockieren. Sie werden als „Next-Generation-Firewall“ bezeichnet, um sie von älteren Firewalls, die nicht über diese Fähigkeiten verfügen, abzugrenzen.

Der Unterschied zwischen einer Next-Generation-Firewall und älteren Firewalls ist in etwa mit dem Unterschied zwischen einem Smartphone und einem alten Handy vergleichbar. Sie haben einige Funktionen gemeinsam: SMS, Anruffunktion, Kontaktliste usw. Das Smartphone verfügt jedoch über so viele erweiterte Features, dass es praktisch eine andere Art von Produkt ist, und daher wird es auch anders bezeichnet.

Was tut eine Firewall?

Eine Firewall ist ein Sicherheitsprodukt, das den Netzwerkdatenverkehr basierend auf einem Satz von Sicherheitsregeln überwacht und kontrolliert. Bei Firewalls kann es sich um auf einem Server oder Computer installierte Softwareanwendungen handeln oder um physische Hardwarevorrichtungen, die mit einem internen Netzwerk verbunden sind. Firewalls befinden sich in der Regel zwischen einem vertrauenswürdigen Netzwerk und einem nicht vertrauenswürdigen Netzwerk. Häufig handelt sich bei dem vertrauenswürdigen Netzwerk um das interne Netzwerk eines Unternehmens und bei dem nicht vertrauenswürdigen Netzwerk um das Internet.

Zu den typischen Fähigkeiten einer herkömmlichen Firewall gehören das Filtern, das zustandsabhängige Überwachen, Proxying sowie das Blockieren von IP-Adressen, Domain-Namen und Ports.

  • Paket-Filterung bezieht sich auf die Fähigkeit, potenziell gefährlichen Netzwerkverkehr herauszufiltern. Alle Daten, die über ein Netzwerk (wie das Internet) wandern, werden in kleinere Einheiten, so genannte Pakete, zerlegt. Eine Firewall kann sich jedes Paket ansehen und einem Paket den Zugang zu einem internen Netzwerk oder das Verlassen desselben verweigern, wenn es bestimmten vorab festgelegten Regeln entspricht.
  • Die zustandsabhängige Überwachung entspricht der Paketfilterung auf einer tieferen Ebene. Bei der zustandsabhängigen Überwachung können Firewalls Datenpakete im Kontext anderer Pakete, die die Firewall passiert haben, überprüfen. Ein einzelnes Datenpaket kann harmlos erscheinen, aber wenn es auf ein ungewöhnliches Ziel innerhalb des Netzwerks zusteuert, könnte es böswillig sein. (Beispielsweise ist eine SQL-Abfrage an und für sich nicht böswillig. Wird sie jedoch über ein Webformular gesendet, kann sie Teil eines SQL-Injection-Angriffs sein).
  • Proxying bedeutet im Kontext von Netzwerken, dass ein Computer im Namen anderer Computer Netzwerkdatenverkehr sendet oder empfängt. Eine Firewall kann als Proxy fungieren, der Anforderungen und Netzwerkantworten im Namen der Nutzergeräte innerhalb seines internen Netzwerks übermittelt und böswillige Daten herausfiltert, bevor sie diese Geräte erreichen können.
  • Blockierung von IP-Adressen und Domain-Namen bedeutet, dass die Firewall Nutzer daran hindern kann, auf bestimmte Websites oder Anwendungen zuzugreifen.
  • Die Port-Blockierung erlaubt Firewalls, bestimmte Arten von Netzwerkverkehr herauszufiltern. Im Kontext von Netzwerken ist ein Port ein Ort, an dem eine Verbindung zwischen zwei Computern endet. Ports sind virtuell bzw. softwarebasiert. Sie entsprechen also nicht physischen Komponenten des Computers. Bestimmte Ports sind für bestimmte Arten von Netzwerkverbindungen reserviert: HTTPS-Verbindungen werden beispielsweise über Port 443 hergestellt.

Durch welche Funktionen unterscheidet sich eine Next-Generation-Firewall von einer herkömmlichen Firewall?

NGFWs verfügen über alle oben genannten Features. Zudem enthalten sie neue Technologien, die für frühere Firewall-Produkte nicht zur Verfügung standen:

Intrusion Prevention System (IPS): Ein Intrusion Prevention System (System zur Prävention eines Eindringens) erkennt und blockiert aktiv Cyberangriffe. Das ist vergleichbar mit einem Sicherheitsbeamten, der aktiv in einem Gebäude auf Streife geht, statt lediglich am Haupteingang zu sitzen.

Deep Packet Inspection (DPI): Ältere Firewalls untersuchen in der Regel nur die Header* der Datenpakete, die sie passieren. NGFWs untersuchen sowohl die Header als auch die Nutzlast der Datenpakete, um Malware und andere Arten von böswilligem Datenverkehr zu erkennen. Das lässt sich mit einem Sicherheitsposten vergleichen, an dem die Sicherheitsbeamten das Gepäck einer Person tatsächlich überprüfen, statt sich lediglich von jeder Person sagen zu lassen, was sich in ihrem Gepäck befindet.

*Ein Paket-Header enthält Informationen über das Paket als Ganzes, z. B. wie lang es ist und woher es stammt.

Anwendungskontrolle: NGFWs können nicht nur den Netzwerkdatenverkehr analysieren, sondern auch identifizieren, von welcher Anwendung er kommt. Anhand dessen können NGFWs kontrollieren, auf welche Ressourcen verschiedene Anwendungen zugreifen dürfen, oder bestimmte Anwendungen gänzlich blockieren.

Verzeichnisintegration: Mithilfe der Nutzerverzeichnisse können die internen Teams einer Organisation verfolgen, welche Berechtigungen die einzelnen Nutzer haben. Einige NGFWs können den Netzwerkdatenverkehr oder die Anwendungen anhand dieser internen Nutzerverzeichnisse filtern. Wenn ein Nutzer nicht zum Zugriff auf eine bestimmte Anwendung berechtigt ist, dann wird diese Anwendung von der Firewall für den betreffenden Nutzer blockiert, selbst wenn diese Anwendung nicht als böswillig erkannt wurde.

Überprüfung des verschlüsselten Datenverkehrs: Einige NGFWs können sogar Datenverkehr entschlüsseln und analysieren, der mit SSL/TLS verschlüsselt ist. Um dies zu erreichen, verhalten sich die Firewalls wie ein Proxy für den TLS-Prozess. Der gesamte an eine Website gerichtete oder von ihr kommende Datenverkehr wird von der Firewall entschlüsselt, analysiert und wieder verschlüsselt. Aus Sicht der Nutzer ist dieses Proxying praktisch nahtlos, sodass sie wie üblich mit sicheren HTTPS-Websites interagieren können.

Werden NGFWs in der Cloud oder On-Premise bereitgestellt?

NGFWs können entweder in der Cloud oder On-Premise ausgeführt werden. Der Unterschied zwischen einer älteren Firewall und einer NGFW besteht nur in der Antwort auf die Frage, ob sie über die oben aufgeführten Fähigkeiten der nächsten Generation verfügt.

Was bedeutet Firewall-as-a-Service (FWaaS)?

Firewall-as-a-Service (FWaaS) ist eine Firewall, die von einem Fremdanbieter in der Cloud gehostet wird. Diese Art von Dienst wird auch als „Cloud-Firewall“ bezeichnet.

FWaaS ist keine physische Vorrichtung und wird auch nicht am Standort einer Organisation lokal gehostet. Ebenso wie andere „as-a-Service“-Kategorien, wie Software-as-a-Service oder Platform-as-a-Service, wird FWaaS in der Cloud ausgeführt, und es wird über das Internet darauf zugegriffen.

Bevor es Cloud-Computing gab, befand sich die Firewall zwischen einem vertrauenswürdigen Netzwerk und einem nicht vertrauenswürdigen Netzwerk. Es gab eine klare Grenze zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken. Allerdings gibt es im Cloud-Computing diese Grenze, die als „Netzwerkperimeter“ bezeichnet wird, nicht unbedingt, weil über ein nicht vertrauenswürdiges Netzwerk (Internet) auf vertrauenswürdige Cloud-Assets zugegriffen wird. In der Cloud gehostete Firewalls sorgen trotz des fehlenden Netzwerkperimeters für die Sicherheit dieser Assets.

Worin unterscheiden sich FWaaS (Cloud-Firewalls) von NGFWs?

Next-Generation Firewall vs Cloud Firewall

Die meisten modernen Firewalls, einschließlich FWaaS/Cloud-Firewalls, sind Next-Generation-Firewalls. Allerdings beschreiben die Begriffe „FWaaS“ und „Next-Generation“ unterschiedliche Merkmale einer Firewall. FWaaS beschreibt, wo sich die Firewall befindet. „Next-Generation“ beschreibt den Leistungsumfang einer Firewall.

Jede Firewall, die über Next-Generation-Fähigkeiten verfügt, ist eine NGFG, egal, wo sie gehostet wird. Eine Cloud-Firewall oder FWaaS wird in der Cloud gehostet – unabhängig davon, ob sie über Next-Generation-Fähigkeiten verfügt. Zudem werden in der Cloud gehostete Firewalls von einem Anbieter konfiguriert, gewartet und aktualisiert. Sie sind daher für Kunden einfacher zu pflegen und in der Regel aktueller und sicherer.

Welche Art von Firewall bietet Cloudflare an?

Die Cloudflare WAF (Web Application Firewall) ist eine Cloud-basierte Firewall, die Cloud-Assets und Webanwendungen schützt. Die Cloudflare WAF ist einzigartig, weil sie fortlaufend neue potenzielle Bedrohungen identifiziert und blockiert. Dazu analysiert sie die Daten des Datenverkehrs im gesamten globalen Cloudflare-Netzwerk.