Firewall-Lösungen und -Hersteller im Überblick Next Generation Firewalls für alle Firmengrößen

Autor / Redakteur: Michael Matzer / Stephan Augsten

Ob Hardware, virtuelle Appliance und in der Cloud: Next Generation Firewalls unterscheiden sich vornehmlich in Datendurchsatz und Funktionsumfang. Neben den Funktionen klassischer Firewalls bieten sie zum Beispiel Applikations- und Nutzerkontrolle. Welcher Hersteller der richtige ist, hängt von den Bedürfnissen des Unternehmens ab.

Firma zum Thema

Next Generation Firewalls gibt es für Unternehmen jeglicher Größe, vom kleinen Unternehmen bis hin zum Carrier.
Next Generation Firewalls gibt es für Unternehmen jeglicher Größe, vom kleinen Unternehmen bis hin zum Carrier.
(Bild: karelnoppe - Fotolia.com)

Next-Generation Firewalls (NGFW) umfassen die traditionellen Firewall-Funktionen wie Packet Filtering, Network Adress Translation (NAT), Stateful Inspection und VPN-Support. Doch die Bedrohungen haben inzwischen die OSI-Schichten 7 und 8, also Anwendungs- und Anwenderebene, erreicht. Eine NGFW sollte also auch die Nutzeridentität verifizieren und eine rollenbasierte Policy umsetzen können.

Die tiefergehende Inspektion der Datenpakete, Applikationskontrolle und der signaturbasierte Vergleich mit Bedrohungen sowie deren Blockierung gehören heute ebenfalls zum Funktionsumfang. Diese Aufgaben werden gemäß einer Definition der Gartner Group u.a. von einer IPS Engine erfüllt. Diese Gartner-Definition dient vielen Anbietern als Referenz, um ihre eigenen Leistungsmerkmale herauszustellen.

Der folgende kurze Überblick über die wichtigsten Anbieter im Firewall-Markt erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie noch weitere Anbieter kenne, so können Sie sich auch gerne an unserer Leserumfrage zum Thema „Firewall & UTM“beteiligen. Die ausgewählten Produkte sind in der Regel die leistungsstärksten Modelle im jeweiligen Portfolio, es finden sich in aller Regel also auch Modelle, die weniger leisten und folglich weniger kosten.

Barracuda Networks

Barracuda Networks bietet für Firewalls wie die NG-F900 etliche optionale Funktionen an.
Barracuda Networks bietet für Firewalls wie die NG-F900 etliche optionale Funktionen an.
(Bild: Barracuda Networks)
Barracuda bietet zehn Appliance-Modelle an. Das leistungsstärkste, die F900, erlaubt einen Firewall-Datendurchsatz von 22,2 Gigabit pro Sekunde (Gbps) und einen VPN-Durchsatz von 7,6 Gbps in seiner IPS. Es kann laut Hersteller 2,8 Mio. gleichzeitige Sessions oder 160.000 neue Sitzungen pro Sekunde überwachen. Es kontrolliert Applikationen auf OSI-Ebene 7.

Zu beachten ist bei Barracuda, dass etliche Leistungsmerkmale optional und zusätzlich zu erwerben sind. Dazu gehören: ein 3G USB Modem, Web Security Flex, Web Filter, Malware Protection und SSL VPN mit NAC. Auf diese Weise lässt sich beinahe ein Unified Threat Management abbilden.

Check Point Software

Die Modelle 41000 und 61000 sind die Appliance-Flaggschiffe von Check Point.
Die Modelle 41000 und 61000 sind die Appliance-Flaggschiffe von Check Point.
(Bild: Check Point Software)
Der israelische Anbieter Check Point verfügt über eine breite Palette von Appliances, virtuellen Cloud Appliances und hat 2014 eine neue Software-defininierte Schutzarchitektur (SDP) vorgestellt. Sein Betriebssystem GAiA ist in praktisch all seinen Produkten zu finden. Die Modelle 61000 und 41000 stellen die Flaggschiffe unter den Appliances dar. Sie werden in Rechenzentren und Telekommunikationszentralen eingesetzt, wo Ausfallsicherheit und maximale Skalierbarkeit gefragt sind.

Eine Nummer kleiner sind die 13000er-Appliances, die sich bereits für große Unternehmen eignen. Kleinen und mittelgroßen Unternehmen (KMU) reichen die neuen Smart1-Appliances, die es erlauben, das Firmennetzwerk in 200 kleine, geschützte Unterzonen aufzuteilen. Fünf Smart1 sollen ausreichen, um bis 5000 Gateways zu schützen.

SourceFire (Cisco)

SourceFire ist mittlerweile ein Teil des Netzwerk-Spezialisten Cisco.
SourceFire ist mittlerweile ein Teil des Netzwerk-Spezialisten Cisco.
(Bild: SourceFire)
SourceFire bietet in seinen FirePower-Appliances die standardmäßigen NGFW-Features, nämlich IPS, NG-IPS mit Kontexterkennung, Applikationskontrolle, URL-Filtering, NGFW sowie Malware-Schutz. Die 8000er-Serie umfasst die Topmodelle für den Enterprise-Einsatz: 7 verschiedene Modelle mit IPS-Durchsatzraten von 2 bis 40 Gbit/s sowie Netzwerkmodule in neun Konfigurationen.

Bemerkenswert sind zwei Dinge: SourceFire lässt seine Modelle von den NSS Labs unabhängig testen und beurteilen sowie die Berichte auf seiner Webseite gratis herunterladen. NSS Labs attestiert regelmäßig eine Schutz-Erfolgsquote von über 99% - unter Real-World-Bedingungen. Zweitens legt SourceFire großen Wert darauf, den niedrigsten TCO-Wert unter allen NGFWs zu ermöglichen, bei gleichzeitig höchster Gesamtleistung.

Dell SonicWall

Dell Sonicwall hat mit der Supermassive E10000 eine Appliance für Carrier und MSPs im Angebot.
Dell Sonicwall hat mit der Supermassive E10000 eine Appliance für Carrier und MSPs im Angebot.
(Bild: Dell Sonicwall)
Das Spitzenmodell E10000 skaliert auf bis zu 96 Rechenkerne und erlaubt so einen Firewall-Durchsatz über 40 Gbps, IPS-Durchsatz über 30 Gbps und Malwareschutz für über 10 Gbps. Die NGFWs von Dell SonicWall bieten Deep Packet Inspection, Malware-Schutz, Applikationskontrolle und Echtzeit-Visualisierung sowie Überwachung von SSL-verschlüsselten Sitzungen. Das SonicOS-Betriebssystem mit Multicore-Architektur soll für minimale Latenz sorgen.

Die Clean VPN-Technologie unterstützt Windows-, Mac- und Linux-Geräte sowie Smartphones und bietet bei Remotezugriff Application Intelligence & Control für mobile Mitarbeiter. Als zentrale Konsole dient das Global Management System (GMS). GMS soll großen Unternehmen, Resellern und MSPs flexible, leistungsfähige und intuitive Tools bieten, mit denen sich Konfigurationen verwalten, Kennzahlen in Echtzeit überwachen sowie Richtlinien und Compliance-Berichte erstellen lassen.

Interessant ist der integrierte, sichere Wireless-Controller von SonicOS. Auf Grundlage der sicheren SonicPoint-Access Points können Nutzer nahtlose und sichere Drahtlosnetzwerke mit 802.11a/b/g/n bereitstellen, die durch die Clean Wireless-Technologie und Application Intelligence & Control geschützt werden. „SonicPoints werden von der Firewall automatisch provisioniert und aktualisiert und zeichnen sich durch einfache Konfiguration und Verwaltung aus", so der Hersteller.

Fortinet

Die Appliance FG-5140 von Fortinet eignet sich ebenfalls für MSPs und Carrier.
Die Appliance FG-5140 von Fortinet eignet sich ebenfalls für MSPs und Carrier.
(Bild: Fortinet)
Die Fortinet Fortigate NGFW verfügt laut Hersteller über folgende Leistungsmerkmale: Firewall, VPN (SSL und IPsec), Layer 2 & 3 Routing, IPS/IDS, Antivirus einschließlich Sandboxing, AntiSpam, URL-Filter, Applikationskontrolle und Data Loss Prevention. WAN-Optimierung, WLAN-Sicherheit, WLAN Controller für FortiAPs, Switch Controller für FortiSwitch, Web Proxy, SSL Inspection, Netzwerkzugriffskontrolle (NAC) und End Point Control kommen ebenfalls hinzu.

Darüber hinaus bieten die Appliances integriertes Schwachstellen-Management, Bandbreitenverwaltung & QoS, Server Load Balancing, 2-Faktor-Authentifizierung (mit FortiToken), Client Reputation, Device- und OS-Erkennung, IPv6 UTM Security, Virtuelle Systeme (VDOMs), HA-/Cluster-Funktionalität sowie Logging- und Reporting.

Fortinet hat kürzlich mit FortiGate-300D und FortiGate-500D zwei neue Modelle vorgestellt. Sie sollen mittelgroßen Unternehmen die fünffache NGFW-Performance im Vergleich zur Vorgänger-Generation bieten. FortiGate-Modelle der 1000er-Serie eignen sich ebenfalls für KMUs, die 3000er-Serie ist für Großunternehmen gedacht und die 5000er-Serie eignet sich für Carrier. Die Fortigate 5101 bewältigt laut Hersteller bis zu 560 Gbps Firewall-Durchsatz in 10GbE-Netzen und bis zu 413 Mio. gleichzeitige Sessions.

GateProtect

Die Appliance Network Protect L-800 von GateProtect eignet ist auf Großunternehmen ausgelegt.
Die Appliance Network Protect L-800 von GateProtect eignet ist auf Großunternehmen ausgelegt.
(Bild: GateProtect)
Der deutsche Anbieter GateProtect, der mittlerweile Rohde&Schwarz gehört, setzt auf die drei Basismodelle Small (S), Medium-sized (M) und Large (L). Die beiden leistungsstärksten Geräte sind folglich die L500 und die L800-Appliance. Letztere bewältigt einen Firewall-Durchsatz von bis zu acht Gbps, einen VPN-Durchsatz von 500 Mbps und einen UTM-Durchsatz bis vier Gbps.

Alle Gateprotect-Firewalls schützen laut Hersteller mit einer „Kombination aus port-unabhängiger Applikationsidentifikation, Traffic Management, Anti-Virus und Malware-Filter sowie IPS und Webfilter“. Eine Single-Pass-Engine erlaube mehrere simultane Operationen auf dem Datenverkehr, die den Inhalt jeder einzelnen Datenübertragung detailliert durchleuchten. Diese Engine nutze eine Signaturdatenbank für Hunderte Applikationen, Tausende von Bedrohungen und Millionen Web-Adressen.

IBM

Die IBM XGS 5100 ist zwar keine echte Next Generation Firewall, bietet aber viele entsprechende Funktionen an.
Die IBM XGS 5100 ist zwar keine echte Next Generation Firewall, bietet aber viele entsprechende Funktionen an.
(Bild: IBM)
IBM bietet keine Hardware-Firewalls im eigentlichen Sinne sondern vielmehr einen Managed Service an. IBM hat jedoch mit den XGS-Lösungen und insbesondere der XGS 5100 eine mit dem Rest dieses Feldes vergleichbare Appliance im Portfolio. Zusammen mit der IPFIX-fähigen Management-Konsole SiteProtector System v3.0 soll sie die Netzwerksichtbarkeit erhöhen, um Applikationsaktivitäten zu überwachen und zu steuern.

Die XGS 5100 sichert 10-GbE-Netzwerke gegen Botnetze und Malware ab. Auf OSI-Schicht 7 und 8 überwacht sie Aktivitäten von Applikationen und Nutzern mit URL- und Web-Content-Filtering. Für Linux-Systeme steht das IBM Proventia Server Intrusion Prevention System (IPS) mit seinen Begleitprodukten zur Verfügung.

Juniper Networks

Die Juniper-Firewall IGS2000 liefert einen Traffic-Durchsatz von bis zu vier Gbps.
Die Juniper-Firewall IGS2000 liefert einen Traffic-Durchsatz von bis zu vier Gbps.
(Bild: Juniper Networks)
Juniper ist nicht unbedingt als Anbieter von NGFWs bekannt. Der Hersteller offeriert zwei Integrated Security Gateways. Das größere, ISG2000, liefert bis zu vier Gbps Firewall-Durchsatz, bis zu zwei Gbps VPN-Durchsatz sowie optional bis zu zwei Gbps Durchsatz beim integrierten IDP-Modul. Die maximale Anzahl der Sitzungen ist auf eine Million begrenzt, die der gleichzeitigen VPN-Tunnel auf 10.000. Hier ist noch eine Menge Luft nach oben.

Palo Alto Networks

Die PA-7050 ist Palo Altos Flaggschiff unter den Firewall-Appliances.
Die PA-7050 ist Palo Altos Flaggschiff unter den Firewall-Appliances.
(Bild: Palo Alto Networks)
Palo Alto packt seine sehr fortschrittliche Technologie sowohl in Hardware-Appliances als auch in virtuelle Appliances. Die PA-7050 ist sein Spitzenmodell für Carrier und Rechenzentren. Steckt man in das Chassis sechs Network Processing Cards, so lässt sich damit ein Firewall-Durchsatz von bis zu 120 Gbps (6x20) bewältigen.

Fügt man die Switch Management Card hinzu, so erhält man einen First Packet Processor, eine Switch Fabric für 1,2 Terabit pro Sekunde und das Management-Subsystem. Das sollte eigentlich ausreichen, um die meisten Aufgaben zu bewältigen, die in einem Rechenzentrum anfallen. Insbesondere für Managed Service Provider ist die Appliance interessant.

Sophos

Die Sophos-Geräte der SG-Reihe, hier die SG 450, lassen sich modular erweitern.
Die Sophos-Geräte der SG-Reihe, hier die SG 450, lassen sich modular erweitern.
(Bild: Sophos)
Die NGFWs von Sophos sind als Hardware, Software, virtuelle Appliance oder in der Cloud über Amazon Virtual Private Cloud erhältlich. Sie umfasst Firewall, VPN, Advanced Threat Protection mit doppelter Antivirus Engine, Multicore-gestützter IPS, Web-Filterung sowie App Control und unterstützt Secure SSL-oder IPsec-VPNs für sicheren Remotezugriff.

Die NGFW kann mit nur einem Klick Datenverkehr beschleunigen, drosseln oder sperren. Schnelle, automatische App Control und IPS-Muster-Updates verstehen sich fast von selbst. Wichtiger Hinweis des Herstellers: Für die Sophos NGFW ist eine Kombination der lizenzpflichtigen Module UTM Network Protection und UTM Web Protection notwendig.

Trend Micro

Trend Micro hat keine Next Generation Firewall im klassischen Sinne, da nach Meinung des Herstellers nach der Schutz einer Umgebung mittlerweile nicht mehr ausschließlich am Perimeter stattfinden kann. „Alleine im Rechenzentrum ermöglichen Virtualisierung und Cloud-Auslagerungen eine Umgehung von Firewall-Funktionen, weshalb wir unsere Absicherung in diesem Bereich hostbasierend gestaltet haben“, meint Pressesprecher Udo Schneider.

„Auch ist unsere Firewall nur Teil einer größeren Lösung, die neben IDS/IPS und Anti-Malware auch Integritätsüberwachung und Log-Analysen anbietet.“ Da diese Maßnahmen auf den einzelnen Host abgestimmt seien, erreiche Trend Micro maximalen Schutz sowie eine Früherkennung von bis dato nicht bekannten Angriffsvektoren. Schneider weiter: „Wir sind nicht ‚wire basiert‘, auch fehlen klassische Elemente wie VPN und machen auch kein SSL-Decrypt, da wir host-basiert arbeiten.“

Watchguard

XTM steht bei Watchguard für Extensible Threat Management, die leistungsfähigste Appliance ist die XTM 2520.
XTM steht bei Watchguard für Extensible Threat Management, die leistungsfähigste Appliance ist die XTM 2520.
(Bild: Watchguard)
Die Spitzenmodelle der NGFW-Appliances von Watchguard heißen XTM 1520, 1525 und 2520. Sie decken die Gartner-Definition komplett ab und unterstützen zudem DLP und einen Cloud-basierten Blocker für Advanced Persistent Threats (APT) - eine runde Sache also.

Entsprechend gut sehen auch die Leistungsdaten aus: ein Firewall-Durchsatz von bis zu 35 Gbps und einen UTM-Durchsatz von bis zu 10 Gbps bei erhöhter Sicherheit. Für WAN und VPN bietet der Hersteller Failover-Ausfallsicherheit. Die Spitzenmodelle XTM 1525-RP und XTM 2520 verfügen über vier 10-Gb-Fiber-Ports.

Fazit

Mittlerweile bieten die Security-Hersteller für jede Firmengröße entsprechende Firewalls in unterschiedliche Bereitstellungsmodellen an. Der Interessent ist also gut beraten, sich vorher bei einem großen Spektrum von Anbietern nach ihren Modellen zu erkundigen. Unabhängige Laborwerte sind rar. Die Datendurchsätze für Firewall und IPS bieten eine gute Orientierung, um Spitzenmodelle zu beurteilen.

Ein Wert, der selten genannt wird (außer von SourceFire), aber auf Dauer relevant wird, sind die TCO-Kosten pro Mbps. Ein Einsatzbereich, der vielfach ausgeblendet wird, ist der Schutz von Mobilgeräten und WLANs. Hier trennt sich die Spreu vom Weizen. Und nicht immer mag ein führender Sicherheitsanbieter wie Trend Micro oder IBM sich aufs Feld der Firewall-Appliances wagen, aus welchen Gründen auch immer.

(ID:42983487)