Darauf sollten Sie beim Kauf einer Next-Generation Firewall (NGFW) achten

Beim Kauf von Next-Generation Firewalls (NGFW) gibt es einige Dinge zu beachten. Wir zeigen, was Ihre NGFW unbedingt können sollte.

Dieser Artikel behandelt

Firewalls

Die Firewall ist einer der elementarsten Mechanismen für die Netzwerksicherheit und war lange Zeit einfach nur...

ein Paket-Filter-Gerät. In den letzten beiden Jahrzehnten hat sich die Technologie allerdings stetig weiterentwickelt und so sind Firewalls heutzutage komplexe Systeme, die den Status mehrerer Netzwerk-Traffic-Sessions gleichzeitig überwachen können. Sie stellen mehr fortgeschrittene Funktionen und höhere Durchsatzraten als jemals zuvor zur Verfügung, und dennoch befinden sich Firewalls in einer Identitätskrise. Da sich die Bedrohungslandschaft mit rasender Geschwindigkeit ändert, reicht es längst nicht mehr aus, lediglich Ports und IP-Adressen zu filtern. Deswegen liebäugeln viele Unternehmen mit so genannten Next-Generation Firewalls (NGFW), die neue und fortschrittliche Leistungsmerkmale mit sich bringen.

Diese Funktionen einer NGFW sollten Sie vor dem Kauf überprüfen

Der Kauf einer Next-Generation Firewall kann viele Gründe haben. Vielleicht suchen Sie einen Ersatz für existierende Firewalls, vielleicht brauchen Sie aber auch ein Intrusion Detection System (IDS). Allerdings gibt es diverse Funktionen, die für eine maximale Effizienz zwingend erforderlich sind. Dazu gehören:

Applikations-Identifikation und -Kontrolle: Die wichtigste Funktion einer NGFW ist das Parsen, Dekodieren und Analysieren des Applikations-Traffics. Wir beziehen uns hier auf die Erkennung von Anomalien und bekannten Bedrohungen, wofür das System Signaturen verwendet. Viele der geschäftskritischen Applikationen sind mit raffinierten Policy-Variationen versehen, damit man bestimmte Funktionalitäten erlauben kann. Firewalls müssen mit diesen Nuancen umgehen können, damit sie richtige Policy-Entscheidungen treffen können. Eine effiziente Next-Generation Firewall muss sich bezüglich dieser Policies sehr fein einstellen lassen. Außerdem muss die Parsing- und Prozess-Engine aktualisierbar sein, damit das Gerät die Regeln evaluieren und entsprechend einsetzen kann. Das ist vor allem deshalb wichtig, weil sich die Traffic-Muster im Laufe der Zeit ändern.

Protokoll-Zergliederung und Anomalien-Erkennung: Eine Next-Generation Firewall sollte in der Lage sein, Protokolle schnell in die entsprechenden Einzelteile zerlegen zu können. Viele Angreifer setzen komplexe Tunneling-Technologien ein, um Befehls-Traffic oder sensible Daten in andere Protokolle einzubetten. Aus diesem Grund müssen Next-Generation Firewalls erkennen können, ob ICMP, HTTP und andere Traffic-Arten echt sind oder manipuliert wurden, um Angriffs-Daten zu transportieren.

Identifizierung von Anwendern: Alle Next-Generation Firewalls der Enterprise-Klasse sollten in der Lage sein, sich mit diversen Verzeichnisdiensten, wie zum Beispiel Active Directory, verbinden zu können. Somit lassen sich Aktivitäten in der Umgebung mit diversen Anwendern in Beziehung stellen. Im Idealfall kann ein System eine IP-Adresse mit einem System-Namen und dem darauf angemeldeten Anwender verknüpfen. Die Firewall ist dann in der Lage, dem Anwender rollenbasierte Policies zuzuweisen. Somit kann die Firewall erkennen, ob sich der Traffic in Bezug auf das Protokoll oder die Applikation im akzeptablen Rahmen befindet oder unübliche Eigenschaften aufweist. Auch die Nutzungsmuster, die von bestimmten Anwendern und Gruppen erwartet werden, werden auf diese Art überwacht. Für viele potenzielle Käufer dürfte es die wohl wichtigste Eigenschaft sein, ob die Plattform Benutzer-Verzeichnisse unterstützt oder nicht.

Geschwindigkeit und Performance: Eine NGFW ist ein Inline-Gerät, um Datenverkehr zu parsen und zu filtern. Aus diesem Grund ist Geschwindigkeit ein weiteres essenzielles Attribut. Durch Next-Generation Firewalls fließen enorme Paket-Mengen, die alle verarbeitet und analysiert werden wollen. Deswegen ist Latenz in Bezug auf den Traffic eine große Schwachstelle. Die meisten Produkte bewirbt man mit konstanten Geschwindigkeiten von zehn Gbps und mehr. Dies sollten Sie allerdings ausgiebig mit realem Datenverkehr aus einer produktiven Umgebung testen, wenn Sie die Möglichkeit dazu haben. Danach können Sie eine fundierte Kaufentscheidung treffen.

Wahrscheinlich nicht kaufentscheidend: Nette Zusatzfunktionen für eine NGFW

Die nachfolgenden Funktionen sind nicht zwingend erforderlich. Allerdings gehören sie in die Kategorie „netter Zusatz“ für eine Next-Generation Firewall:

Filtern von URLs: Einige Firewalls stellen URL-basierte Inhalts-Filter und Reputation-Analytik zur Verfügung. Wahrscheinlich sind alleinstehende Produkte von zum Beispiel Websense, BlueCoat Systems und anderen Anbietern robuster und bieten mehr Funktionen. Allerdings ist URL-Filtering eine nützliche Zusatzfunktion für Ihre Applikations- und Traffic-Analytik.

SSL-Terminierung und -Inspektion: Angreifer sind schlau. Sie entwerfen Malware und Toolkits, die für den Transport sensibler Daten und Bot-Befehlen verschlüsselte Kanäle wie zum Beispiel Secure Sockets Layer (SSL) benutzen. Für einige Firmen ist diese Funktion in einer Next-Generation Firewall möglicherweise zwingend erforderlich, allerdings können viele NGFWs den SSL-Traffic nicht überwachen. Ein möglicher Grund gegen den Einsatz ist u.U. der Schutz der Privatsphäre.

Virtuelle Malware Sandbox: Einige der neueren NGFW-Plattformen bringen die Funktionalität des Malware-Sandboxing und eine dazugehörige Analytik mit sich. Diese digitalen Gummizellen sind nützlich, wenn Sie fortschrittliche Malware-Infektionen erkennen wollen.

Zusätzliche Bereiche, die man im Hinterkopf behalten sollte, sind natürlich Anwenderfreundlichkeit und eine einfache Implementierung. Auch die Integration mit anderen Tools und Technologien in der existierenden Umgebung sind zu beachten. Weiterhin sollten Sie in der Lage sein, Ereignisse und Log-Dateien der Geräte auswerten zu können.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close