Was ist eine Next-Generation-Firewall (NGFW)?

Eine Firewall der nächsten Generation (NGFW) hat zusätzliche Funktionen, die sie von einer herkömmlichen Firewall unterscheiden. NGFWs sind oft besser in der Lage, die neuesten Bedrohungen zu erkennen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Eine Firewall der nächsten Generation (NGFW) definieren
  • NGFW-Funktionen beschreiben
  • Unterscheidung zwischen Paketfilterung und Deep Packet Inspection (DPI)

Link zum Artikel kopieren

Was ist eine Next-Generation-Firewall (NGFW)?

Eine Firewall der nächsten Generation (NGFW) ist eine Sicherheitsanwendung, die den Netzwerk-Traffic verarbeitet und Regeln anwendet, um potenziell gefährlichen Traffic zu blockieren. NGFWs erweitern die Fähigkeiten der traditionellen Firewalls. Sie erfüllen alle Funktionen von Firewalls, sind aber leistungsfähiger und haben zusätzliche Features.

Stellen Sie sich zwei Flughafensicherheitsbehörden vor. Die eine prüft, ob die Fluggäste auf einer Flugverbotsliste stehen, ob ihre Identität mit den Angaben auf der Bordkarte übereinstimmt und ob sie zu den Zielen fliegen, die der Flughafen tatsächlich bedient. Die zweite Behörde prüft nicht nur die Flugverbotslisten und die anderen Punkte, sondern auch, was das Handgepäck der Fluggäste, und achtet darauf, dass sie keine gefährlichen oder verbotenen Gegenstände mit sich führen. Die erste Behörde schützt die Flughäfen vor offensichtlichen Bedrohungen; die zweite Behörde sucht auch nach weniger offensichtliche Bedrohungen.

Eine gewöhnliche Firewall ist wie die erste Sicherheitsbehörde: Sie blockiert oder erlaubt Daten (Passagiere), je nachdem, wohin sie gehen, ob sie Teil einer legitimen Netzwerkverbindung sind und woher sie kommen. Eine NGFW ist eher wie die zweite Sicherheitsbehörde: Sie prüft Daten auf einer tieferen Ebene, um Bedrohungen zu erkennen und zu blockieren, die sich in ansonsten ganz gewöhnlichen Traffic verbergen.

Was kann ein NGFW?

NGFWs können alles, was normale Firewalls auch können. Dies beinhaltet:

  • Paketfilterung: Prüfung jedes einzelnen Datenpakets und Blockierung gefährlicher oder unerwarteter Pakete. Dazu gleich mehr.
  • Stateful Inspection: Betrachtung von Paketen im Kontext, um sicherzustellen, dass sie Teil einer legitimen Netzwerkverbindung sind.
  • VPN Awareness: Firewalls können verschlüsselten VPN-Traffic erkennen und ihn durchlassen.
Eine herkömmliche Firewall hat keine NGFW-Funktionen (Next-Generation-Firewall) und lässt Pakete durch

NGFWs bieten außerdem mehrere Funktionen, die ältere Firewalls nicht haben. NGFWs verwenden neben der Paketfilterung auch Deep Packet Inspection (DPI). Und laut Gartner, einem globalen Forschungs- und Beratungsunternehmen, umfasst eine NGFW:

  • Application Awareness und -kontrolle
  • Intrusion Prevention
  • Bedrohungsdaten
  • Pfade für Upgrades, um künftige Informations-Feeds hinzuzufügen
  • Techniken zur Bewältigung sich entwickelnder Sicherheitsbedrohungen
Next-Generation-Firewall (NGFW) blockiert böswillige Pakete

Diese Fähigkeiten werden im Folgenden ausführlich erläutert.

Die meisten dieser Funktionen sind möglich, weil NGFWs im Gegensatz zu normalen Firewalls den Traffic auf mehreren Ebenen des OSI-Modells verarbeiten können, nicht nur auf den Ebenen 3 (der Netzwerkebene) und 4 (der Transportebene). NGFWs können sich den HTTP-Traffic auf Ebene 7 ansehen und beispielsweise erkennen, welche Anwendungen verwendet werden. Dies ist eine wichtige Fähigkeit, da Angreifer zunehmend auf die Ebene 7 (die Anwendungsebene) ausweichen, um die Sicherheitsrichtlinien herkömmlicher Firewalls auf den Ebenen 3 und 4 zu umgehen.

(Weitere Informationen über die OSI-Ebenen finden Sie im Artikel Was ist das OSI-Modell?)

Was sind Paketfilterung und Deep Packet Inspection (DPI)?

Paketfilterung

Alle Daten, die ein Netzwerk oder das Internet durchqueren, werden in kleinere Teile, so genannte Pakete, aufgeteilt. Da diese Pakete den Inhalt enthalten, der in ein Netzwerk gelangt, werden sie von Firewalls untersucht und dann blockiert oder genehmigt. So verhindert die Firewall, dass böswillige Inhalte (wie z. B. ein Malware-Angriff) durchgelassen werden. Alle Firewalls können Pakete auf diese Weise filtern.

Bei der Paketfilterung werden die mit jedem Paket verbundenen Quell- und Ziel-IP-Adressen, Ports und Protokolle untersucht – mit anderen Worten, woher jedes Paket kommt, wohin es unterwegs ist und wie es dorthin gelangt. Firewalls genehmigen oder blockieren Pakete auf der Grundlage dieser Bewertung und filtern die nicht zugelassenen Pakete heraus.

Beispielsweise versuchen Angreifer manchmal, Schwachstellen im Zusammenhang mit dem Remote Desktop Protocol (RDP) auszunutzen. Dafür senden sie speziell gestaltete Pakete an den von diesem Protokoll verwendeten Port 3389. Eine Firewall kann jedoch ein Paket untersuchen, um festzustellen, an welchen Port es gerichtet ist, und dann alle an diesen Port gerichteten Pakete blockieren – es sei denn, sie kommen von einer ausdrücklich zugelassenen IP-Adresse. Dazu wird der Netzwerk-Traffic auf den Ebenen 3 (zur Ermittlung der Quell- und Ziel-IP-Adressen) und der Ebene 4 (zur Ermittlung des Ports) untersucht.

Deep Packet Inspection (DPI)

NGFWs verbessern die Paketfilterung, indem sie stattdessen eine Deep Packet Inspection (DPI) durchführen. Wie bei der Paketfilterung wird bei der DPI jedes einzelne Paket auf Informationen wie Quell- und Ziel-IP-Adresse, Quell- und Ziel-Port untersucht. Diese Informationen sind alle in den Ebene-3- und Ebene-4-Headern eines Pakets enthalten.

DPI prüft aber auch den Textkörper jedes Pakets, nicht nur den Header. DPI prüft ihn insbesondere auf Malware-Signaturen und andere potenzielle Bedrohungen. Es vergleicht den Inhalt jedes Pakets mit dem Inhalt bekannter böswilliger Angriffe.

Was bedeutet Application Awareness und -kontrolle?

NGFWs blockieren oder erlauben Pakete je nachdem, für welche Anwendung sie bestimmt sind. Sie tun dies, indem sie den Traffic auf Ebene 7, der Anwendungsebene, analysieren. Herkömmliche Firewalls haben diese Fähigkeit nicht, da sie nur den Daten-Traffic auf den Ebenen 3 und 4 im Blick haben.

Mit Application Awareness können Administratoren potenziell riskante Anwendungen blockieren. Wenn die Daten einer Anwendung die Firewall nicht passieren können, kann diese Anwendung auch keine Bedrohungen in das Netzwerk einbringen.

Nach den Begriffsdefinitionen von Gartner wird DPI sowohl durch diese Fähigkeit als auch durch Intrusion Prevention (siehe unten) ausgezeichnet.

Was ist Intrusion Prevention?

Intrusion Prevention analysiert den eingehenden Traffic, identifiziert bekannte und potenzielle Bedrohungen und blockiert diese. Eine solche Funktion wird häufig als Intrusion Prevention System (IPS) bezeichnet. NGFWs umfassen IPSs als Teil ihrer DPI-Funktionen.

IPS können verschiedene Methoden zur Erkennung von Bedrohungen anwenden, darunter:

  • Signaturerkennung: Scannen der Informationen in eingehenden Paketen und Abgleich mit bekannten Bedrohungen
  • Statistische Erkennung von Anomalien: Scannen des Traffics zur Erkennung ungewöhnlicher Verhaltensänderungen im Vergleich zu einer Basislinie
  • Stateful Protocol Analysis Detection: Ähnlich wie bei der statistischen Erkennung von Anomalien, aber mit dem Schwerpunkt auf den verwendeten Netzwerkprotokollen und dem Vergleich mit der typischen Protokollnutzung

Was sind Bedrohungsdaten?

Bedrohungsdaten sind Informationen über potenzielle Angriffe. Da sich Angriffstechniken und Malware-Stämme laufend ändern, sind aktuelle Bedrohungsdaten für die Abwehr dieser Angriffe entscheidend. NGFWs sind in der Lage, Bedrohungsdaten aus externen Quellen zu empfangen und darauf zu reagieren.

Bedrohungsdaten sorgen für eine effektive IPS-Signaturerkennung durch Bereitstellung der neuesten Malware-Signaturen.

Bedrohungsdaten können auch Informationen zur IP-Reputation liefern. „IP-Reputation“ identifiziert IP-Adressen, von denen häufig Angriffe (insbesondere Bot-Angriffe) ausgehen. Ein Feed von Bedrohungsdaten zur IP-Reputation liefert die neuesten bekannten böswilligen IP-Adressen, die eine NGFW dann blockieren kann.

Sind die Firewalls der nächsten Generation hardware- oder softwarebasiert?

Einige NGFWs sind Hardware-Geräte, die für den Schutz eines internen privaten Netzes konzipiert sind. NGFWs können auch als Software bereitgestellt werden, aber sie müssen nicht unbedingt softwarebasiert sein, um als nächste Generation zu gelten.

Schließlich kann eine NGFW auch als Cloud-Dienst bereitgestellt werden; dies wird als Cloud Firewall oder Firewall-as-a-Service (FWaaS) bezeichnet. FWaaS ist eine wichtige Komponente von (SASE)-Netzwerkmodellen (Secure Access Service Edge). (Vergleiche NGFW und FWaaS im Detail.)

Was ist die Cloudflare Magic Firewall?

Die Cloudflare Magic Firewall ist eine Firewall auf Netzwerkebene, die über das globale Cloudflare-Netzwerk bereitgestellt wird. Sie schützt Nutzer, Büronetzwerke und Cloud-Infrastrukturen und wurde entwickelt, um hardwarebasierte Firewalls durch fortschrittlichen, skalierbaren Schutz zu ersetzen.

Die Magic Firewall ist eng mit Cloudflare One integriert, einer SASE-Plattform, die Netzwerk- und Sicherheitsdienste kombiniert.