Was eine fortschrittliche Firewall mitbringen muss, um wirklich Next Generation sein

Eine Firewall ist nur dann eine Next-Generation Firewall, wenn sie moderne Funktionen besitzt. Dazu gehören Skalierbarkeit und Cloud-Fähigkeit.

Dieser Artikel behandelt

Firewalls

Der Begriff Next-Generation Firewall (NGFW) beschriebt ursprünglich eine Kombination aus herkömmlicher Firewall,...

Applikations-Firewall, IDS- und IPS-Technolgie (Intrusion Detection System und Intrusion Prevention System). Diese Definition ist nun schon so alt, dass die meisten Firewalls auf dem Markt diese Leistungsmerkmale mit sich bringen. Wenn Sie sich also nach einem Update für ihre Firewall umsehen und nach etwas Next Generation suchen, dann wird die Auswahl ziemlich groß sein.

Die IT für Unternehmen ändert sich laufend. Man setzt auf Scale-Out-Architekturen und Container, sowie integrierte hybride Serviceumgebungen. Wer eine Firewall kaufen möchte, sollte sich nach ähnlich fortschrittlichen Funktionen umsehen. Das sind zentralisiertes Management, verteilte Durchsetzung (Distributed Enforcement), angemessene Skalierbarkeit und Integration mit TRC-Netzwerken (Threat, Risk, Compliance).

Zentralisiertes Management mit Distributed Enforcement ist eine natürliche Änderung im Hinblick auf fortschrittliche Firewalls in einer Zeit von Architekturen, die auf Mikroservices basieren und skalierbar sind. Bewegt man mehrere Enforcement-Punkte in Form von virtuellen Appliances, Containern oder eingebetteten Agents in einer Umgebung, dann erledigen diese Systeme das Filtern des Traffics. In so einem Fall skaliert man in die Breite und nicht in die Höhe. Jedem dieser Enforcement-Punkte lassen sich Computing- und Netzwerkressourcen zuweisen. Das hängt vom Traffic ab und von den Teilen der Umgebung, die geschützt werden sollen. Steigen die Anforderungen, dann lassen sich weitere Instanzen hochfahren. Das hängt in diesem Fall einfach davon ab, wie viele weitere Anwendungscontainer und virtuelle Maschinen (VM) zum Einsatz kommen, die der Firewall-Service schützen muss.

Solche fortschrittlichen Firewall-Technologien erlauben das Durchsetzen von Richtlinien, die eingehalten werden müssen. Das gilt auch dann, wenn sich die virtuellen oder die im Containern befindlichen Workloads bewegen. Dieser Umstand ist für die jungen Umgebungen mit Private Clouds sehr wichtig. Das gilt auch für sehr stark virtualisierte Umgebungen und für den Einsatz von entscheidenden Workloads in der Public Cloud.

Der Endpunkt der Verteilung ist eine aus Mikrosegmenten bestehende Umgebung. Das Zentrum ist der Kontrollmechanismus. Er bestimmt, welche Anwender und Services mit welchen Anwendungen und Servicekomponenten kommunizieren dürfen. Das gilt natürlich auch für das Wann und unter welchen Umständen. Es ist alles blockiert, was sich nicht in der Schicht befindet, auf die der Anwender direkten Einblick hat. Die Ausnahmen sind vorgefertigte Kommunikationspartner. Mit dieser Form an sehr feinem Whitelisting wird die Security gegen die Angriffe innerhalb einer Umgebung wesentlich verbessert. Damit sind kompromittierte Systeme gemeint, die alle anderen erreichbaren Systeme angreifen wollen.

Was ist nun eine wirklich fortschrittliche Firewall?

Skalierbarkeit ist ein kritischer Punkt. Eine echte Next-Generation Firewall sollte sich je nach Anforderungen und dem Wachstum der Services skalieren lassen. Verteilte Firewalls sind hier nur eine Option. Wir befinden uns in einer Zeit der virtuellen Appliances und containerisierten virtuellen Netzwerkfunktionen. Dennoch müssen Sie ihre Firewall beim Kauf nicht massiv überdimensionieren, um auch die Anforderungen in drei Jahren noch abdecken zu können. Das gilt auch dann, wenn Sie zum Einsatz sogenannter Choke-Point Firewalls gezwungen sind, die einen festen Platz im Netzwerk haben. Sie sollten die Möglichkeit haben, die Next-Generation Firewall für die momentanen Ansprüche zu kaufen und diese durch das Hinzufügen von Ressourcen oder Instanzen wachsen lassen zu können. Möglich ist auch das Hochfahren zusätzlicher Container oder virtueller Maschinen, um Load-balancierte Cluster an Service Nodes zu erstellen. Ebenso sollte die Option vorhanden sein, dass sie Lizenzen für zusätzliche Funktionen nachkaufen können.

Selbstverständlich gibt es Szenarien, bei denen man spezielle Hardware zur Unterstützung braucht, um die bestmögliche Performance zu erreichen. Das werden im Laufe der Zeit allerdings immer weniger. Für solche Situationen kann eine Überdimensionierung immer noch eine wichtige Strategie sein.

Cloud-basiertes Firewalling wird als erste Barriere für eine Filterung immer wichtiger. Das gilt für alle Unternehmen. Sie eliminieren aber nicht die Notwendigkeit für Verteidigungsmaßnahmen am eigenen Standort. Firewalls in der Cloud reduzieren allerdings die Last und ändern sowohl die Rolle als auch das Ausmaß dieser Technologie.

Die Cloud wird bei einer anderen Art der Verteidigung ebenfalls entscheidend sein. Eine echte fortschrittliche Firewall sollte ein globales TRC-Netzwerk im Rücken haben. So werden Bedrohungen sofort erkannt, wenn sie entstehen. Das TRC-Netzwerk liefert Informationen zu Risiken und Entschärfung für diese Ermittlungen. Damit schaffen Sie es, die Compliance aufrechtzuerhalten.

Fazit

Viele der Firewalls auf dem heutigen Markt tragen den Namen Next-Generation Firewall. Allerdings bringen einige davon nicht die echten fortschrittlichen Funktionen mit, um sich das Prädikat Next-Generation auch zu verdienen. Dafür muss eine Firewall so aufgerüstet werden, dass sie den Anforderungen der modernen Firmenumgebungen gerecht wird. Bei Ihrer nächsten Firewall sollten Sie auf Funktionen wie Kontrolle, Distributed Enforcement, Skalierbarkeit und Cloud-Fähigkeit achten. So wird sie dem Wachstum nicht im Weg stehen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close