Next-Generation Firewall (NGFW) im Vergleich: Kein Produkt ist perfekt

Vor dem Kauf einer Next-Generation Firewall (NGFW) sollten Firmen evaluieren, welche Funktionen sie wirklich für die Security des Netzwerks brauchen.

Dieser Artikel behandelt

Netzwerk-Sicherheitsanalyse

Seit einigen Jahren haben sich Next-Generation Firewalls (NGFW) etabliert. Die Hersteller versprechen seitdem,...

eine Vielfalt an Security-Funktionen zur Verfügung zu stellen. In erster Linie umfasst das Intrusion Prevention Systeme (IPS) und Applikations-Kontrolle, die in einer Appliance vereint sind. Dennoch verweisen Beobachter immer wieder darauf, dass nicht alle NGFW-Produkte die Funktionen liefern, die von den Unternehmen gewünscht oder benötigt werden. In einigen Fällen haben zu viele Funktionen sogar einen kontraproduktiven Effekt.

Im Magic Quadrant Report for Enterprise Network Firewalls von Gartner beurteilen die Analysten Check Point Software Technologies und Palo Alto Networks als klare Marktführer. Zu den Herausforderern zählt Gartner die Anbieter Fortinet, Cisco Systems und Juniper Networks. Fast ein Dutzend weiterer Hersteller wurden als Nischenanbieter einbezogen.

Greg Young, Research Vice President bei Gartner und Mitautor des Reports sagt, dass sich Check Point und Palo Alto durch eine große Bandbreite an Funktionen von der Konkurrenz abheben. Zudem würden sie in großen Enterprise-Umgebungen effizient skalieren. Gerade damit hätten viele der Nischenanbieter Probleme.

Im Magic Quadrant Report behaupten die Analysten, dass die meisten Check-Point-Kunden die Vorteile des Software-Blade-Abonnements des Anbieters nutzen, um damit typische NGFW-Funktionen zu aktivieren. Dazu zählen IPS, Applikations-Kontrolle und Funktionen für die Anwender-Identität. Optionen wie E-Mail-Security und Data Loss Prevention (DLP) würden dagegen selten gewählt.

Laut Young bieten weniger bekannte NGFW-Anbieter häufig ein effizienteres Produkt an. Sie würden Funktionen zur Verfügung stellen, die ein Unternehmen auch wirklich braucht. Damit sind die Firmen allerdings in der Pflicht, die eigenen Ansprüche zu identifizieren und darauf basierend die beste Wahl zu treffen.

„Es gibt kein Universalkonzept. Für jeden Anwendungsfall stehen verschiedene Produkte bereit“, erläutert Young. „Werfen Sie nicht nur einen Blick auf die Marktführer. Das wäre so, als würden Sie nur nach dem Hersteller schauen, der das schnellste Auto baut.“

Mehr Funktionen bringen mehr Probleme mit

Für einige Firmen scheint es attraktiv zu sein, viele Funktionen in eine einzelne Appliance zu stopfen. Young warnt allerdings davor, dass zu viele Funktionen einen negativen Effekt haben können. So weist der Analyst zum Beispiel darauf hin, dass diverse Anbieter ihren HGFW-Produkten mittlerweile Anti-Malware-Funktionen spendiert haben. „Aktivieren Sie diese Funktion, töten Sie damit die Performance der NGFW-Appliances“, erläutert Young. Nach Angaben des Analysten sind Antiviren-Feature besser bei Web-Gateways oder in anderen Security-Produkten aufgehoben.

„Können Sie alles über eine Konsole einsehen, ist das gut. Allerdings sollte sich nicht alles in einer Box befinden“, argumentiert Young. „Viele Next-Generation Firewalls bringen eine Antiviren-Option mit. Laut unseren Untersuchungen haben die meisten Unternehmen damit aber schlechte Erfahrungen gemacht.“

Robert Smithers ist CEO der unabhängigen Test-Firma Miercom. Er stimmte zu, dass die Performance vieler NGFW-Produkte leidet, wenn zusätzliche Funktionen aktiv sind. Laut Smithers hat sein Unternehmen zwölf Next-Generation Firewalls getestet. Unterm Strich erzielte Sophos die beste Performance, wenn alle relevanten Funktionen aktiviert sind. Auch die Produkte von Intel und McAfee zeigten im Test eine gute Leistung.

Smithers rät Unternehmen, die sich für eine NGFW interessieren, dass sie zunächst einmal evaluieren sollen, welche Funktionen sie in ihren Umgebungen überhaupt benötigen. Danach sollen sie nachforschen, wie es mit der Performance aussieht, wenn alle gewünschten Funktionen aktiviert sind.

„Aktivieren Sie alle Funktionen, wird das gesamte Konstrukt langsamer. Aus einer Zehn-Gbps-Maschine wird ein Drei-Gpbs-Produkt“, sagt Smithers. Er weist auch darauf hin, dass UTM-Appliances (Unified Threat Management) verglichen mit NGFW kleinen und mittelständischen Unternehmen möglicherweise ein besseres Preis-Leistungs-Verhältnis bieten. UTM-Maschinen sieht er in großen Enterprise-Umgebungen allerdings eher selten.

Ist eine NGFW das Richtige für Ihr Unternehmen?

Laut Young interessieren sich die meisten Unternehmen bei NGFW-Appliances für den Preis, die Funktionen und die Performance. Viele Firmen würden sich allerdings nicht genug Zeit für die Evaluierung nehmen, ob sie eine Next-Generation Firewall überhaupt effizient einsetzen und konfigurieren können.

Zum Beispiel ist Applikations-Kontrolle eine der Funktionen, die eine NGFW von einer herkömmlichen Firewall unterscheidet. Sollte ein Unternehmen allerdings nicht in der Lage sein, die richtigen Policies dafür bereitstellen zu können, ist die Funktion laut Young „nicht sehr nützlich“.

Manche Organisationen aktivieren gewisse NGFW-Funktionen nur, weil sie eben verfügbar sind, so Young. Um das Maximum aus diesen Produkten zu holen, benötigen Unternehmen für das Finetuning Fachwissen im eigenen Haus. In einigen Fällen ist diese Expertise speziell für ein Gerät notwendig. Smithers hat zum Beispiel herausgestellt, dass Check-Point-Systeme von Check-Point-Experten eingerichtet werden müssen. Ein Grund, warum einige Firmen zaudern.

Vor dem Einsatz einer NGFW müssen Unternehmen auch die Art des Netzwerks in Betracht ziehen, sagte Young. Solche Appliances tendieren in flachen Netzwerken zu vielen Warnmeldungen. „Wir haben Berichte von Nutzern, die mit Warnungen überflutet werden“ sagt Young. „Können Sie mit den Warnmeldungen nicht umgehen, sind Sie noch nicht bereit, eine NGFW-Appliance einzusetzen.“

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juni 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close