Next Generation Firewalls: Das bieten die Hersteller

Next Generation Firewalls arbeiten nicht mehr Protokoll- und Port-basiert, sondern anwendungsorientiert.

Viele Hersteller von Firewalls haben auch Produkte der sogenannten nächsten Generation im Angebot – und streiten darüber, welche Technik dafür am besten ist. Next Generation Firewalls sind „anwendungsbewusst“. Anders als traditionelle Stateful-Firewalls, die mit Ports und Protokollen zu tun haben, analysiert die nächste Generation den Datenverkehr daraufhin, welche Anwendungen das Netzwerk nutzen. Aktuell gibt es den Trend Anwendungen in die öffentliche Cloud oder zu Anbietern von Software as a Service (SaaS) auszulagern. Um sicherzustellen, dass nur angemessene Daten ins Netzwerk  gelangen, wird eine höhere Granularität benötigt.

Um Firewalls das erforderliche Anwendungsbewusstein zu verleihen, verfolgt jeder Anbieter einen eigenen Ansatz. Wir haben jeden der größeren Hersteller gebeten, zu erklären, wie sich sein Produkt der nächsten Generation von der Konkurrenz unterscheidet. Nachfolgend finden Sie die Antworten.

Astaro verwendet eine Datenbank mit Signaturen von Anwendungen von seinem Partner Vineyard Networks, um sein Astaro Security Gateway anwendungsbewusst zu machen. Durch die Partnerschaft kann die Astaro-Firewall unterschiedliche Anwendungen unterscheiden, die von derselben Website stammen. Außerdem kann sie für diese Anwendungen Optionen für Quality of Service zur Priorisierung und Zuweisung von Bandbreite  vorgeben. Die neueste Version des Astaro Security Gateway verbessert die Ansicht derartiger Informationen für den Administrator. So gibt es eine Netzwerk-weite Ansicht, mit deren Hilfe  rasch Sicherheitsregeln auf der Grundlage von Echtzeit-Situationen definiert werden können. Der Schlüssel liegt laut Astaro darin, auf neue Bedrohungen mittels schneller und komfortabler Konfiguration der Firewall zu reagieren.

Ein weiterer Schwerpunkt von Astaro liegt darin neue, unbekannte Anwendungstypen in einem Netzwerk zu identifzieren. Ein künftiges Release soll  Administratoren erlauben, auf Wunsch und anonym unbekannte Paket-Arten  an Astaro-Techniker zu schicken, um sie zu untersuchen. Mit den so zusammengekommenen Daten will das Unternehmen die Anwendungen identifizieren und sie in die Signatur-Datenbank aufnehmen.

Check Point Software hat die Anwendungsbibliothek AppWiki entwickelt, die nach Angaben des Unternehmens mehr als 5.000 Anwendungen und 100.000 Sozialnetz-Widgets identifizieren kann. Diese Anwendungssignaturen werden in die Application Control and Identity Awareness Software Blades des Unternehmens geladen. Diese sind außerdem mit Active Directory integriert, um Nutzer und Endpunkt zu identifizieren, was Administratoren eine feinkörnige Individualisierung von Sicherheitsregeln ermöglicht. Zudem bietet Check Point eine Möglichkeit, Nutzer in Echtzeit aufzuklären: Agenten-Software auf den PCs der Nutzer, genannt UserCheck, lässt ein Fenster erscheinen, wenn ein Nutzer gegen Sicherheitsregeln verstößt. Das Fenster erklärt die Art des Verstoßes und gibt Hinweise zur Abhilfe. Über die Software können Nutzer außerdem Feedback an ihre Administratoren schicken, was den Prozess der Individualisierung von Sicherheitsregeln als Reaktion auf Bedürfnisse der Nutzer optimiert.

Cisco Systems hat Pläne bekanntgegeben. Das Unternehmen will, mit seiner Adaptive Security Appliance (ASA) im Rahmen seiner neuen Sicherheitsarchitektur SecureX ein neues Niveau der Anwendungsvisibilität erreichen. Die neue Architektur soll nicht nur Anwendungsbewusstsein bieten, sondern auch eine Identifizierung von Nutzern und Geräten, wobei die einzelnen Funktionen im Laufe des Jahres 2011 eingeführt werden sollen. Allerdings sind bislang kaum Details darüber bekannt, wie Cisco die neuen Möglichkeiten realisieren will.

FortiGate-Geräte von Fortinet sind mit Funktionen zur Anwendungssteuerung ausgestattet. Diese identifzieren und entschlüsseln den Netzwerk-Verkehr mittels Protokoll-Decoder. Das unternehmenseigene FortiGuard Labs Team pflegt eine Datenbank mit Anwendungssignaturen, bei der regelmäßig neue Signaturen eingestellt und bestehende aktualisiert werden. Die Datenbank gibt Fortinet-Produkten die Möglichkeit verschiedene Anwendungen von derselben Site wie Facebook oder Google auseinander zu halten und getrennte Richtlinien dafür zu definieren. Nach Angaben von Fortinet besteht der  Performance- und Integration-Vorteil gegenüber der Konkurrenz darin, dass  sämtliche Technologien intern entwickelt werden.

Juniper Networks verleiht seinem SRX Services Gateway Next-GenerationFirewalls-Fähigkeiten mittels einer Suite von Software-Produkten mit der Bezeichnung AppSecure. Deren anwendungsbewusste Komponente nennt sich AppTrack und bietet auf der Grundlage der Signatur-Datenbank von Juniper Einblicke in das Netzwerk; ebenfalls möglich ist die Verwendung eigener Signaturen von Enterprise-Administratoren. AppTrack unterstützt  Visibilität. Die Komponenten AppFirewall und AppQoS der Suite sind für die Regeln und der Datenverkehrssteuerung der Anwendungen verantwortlich. Für seine Plattform beansprucht  Juniper eine hohe Skalierbarkeit, mit der der Anwendungsschutz bis zu einer Bandbreite von 100 Gigabit pro Sekunde möglich sei.

McAfee, vor kurzem von Intel übernommen, verwendet  die Mc-Afee-AppPrism-Technologie für das Entdecken und Erkennen von Anwendungen in der McAfee Firewall Enterprise. Diese identifiziert tausende von Anwendungen unabhängig von Port oder Protokoll. Die Grundlage dafür bilden Signaturen, die intern vom unternehmenseigenen Global Threat Intelligence-Team zusammengestellt werden. Zudem bietet AppPrism laut McAfee einen hohen Grad an Anwendungssteuerung, mit dem Administratoren nur die riskanteren Teile einer Anwendung aussperren können. Beispielsweise lassen sich damit Chat-Dienste bei File-Sharing blockieren, während Chats generell weiterhin möglich sind. McAfee sieht den besonderen Vorteil seiner Next Generation Firewall darin, dass die Firewall-Architektur-Technologie für Anwendungsbewusstsein sowie alle Komponenten wie die Anwendungssignaturen einen Kernbestandteil  darstellt. Diese werden intern entwickelt.

Palo Alto Networks war nach eigenen Angaben der erste Anbieter von Next Generation Firewalls und der erste, der Port-basierte Einordnung von Datenverkehr durch Anwendungsbewusstsein ersetzte. Die Produkte des Unternehmens basieren auf einer eigenen Klassifizierungs-Engine namens App-ID. Diese verwendet zur Identifikation von Anwendungen mehrere Techniken in Kombination. Dadurch kann die Engine alle Versionen einer Anwendung sowie alle Plattformen, auf der sie läuft, erkennen. Als Kern der Firewall von Palo Alto ist App-ID stets aktiv. Sie  kann auch erkennen, wenn eine Anwendung eine bestimmte Funktion wie einen Datei-Transfer ausführt, und spezielle Regeln auf diese Funktion anwenden. Zudem, so das Unternehmen, ist App-ID erweiterbar: Wenn neue Techniken entwickelt werden, können diese in die Klassifikationsengine übernommen werden.

Bei SonicWALL wird Anwendungsbewusstsein in der Next Generation Firewall durch eine Kombination von Deep Packet Inspection (DPI) und einer stetig wachsenden Signatur-Datenbank erreicht; derzeit kann sie gut 3.500 Anwendungen und -funktionen erkennen und kontrollieren. Die Reassembly-Free Deep Packet Inspection (RFDI) von SonicWALL inspiziert jedes Paket von jedem Protokoll und jeder Schnittstelle. Bei den Signaturen arbeitet das SonicWALL Research Team ständig an neuen Einträgen. Diese werden automatisch ausgeliefert und implementiert, ohne dass der Netzwerk-Administrator etwas tun muss. Bei Bedarf können Nutzer auch ihre eigenen Signaturen definieren.

Die Firewall-Lösung von SonicWALL enthält außerdem ein Visualization-Dashboard und einen Real-Time-Monitor. Damit können Administratoren einzelne Anwendungen im Netzwerk untersuchen, etwa daraufhin, wer sie verwendet und wie intensiv sie genutzt werden. Derartige Informationen sollen beim Definieren von Regeln und bei der Problembehandlung helfen.

Artikel wurde zuletzt im März 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close