5 Next-Generation Firewalls (NGFW) im Vergleich

Wichtige Funktionen von NGFWs

Next-Generation Firewalls sind hardware-, software- oder cloudbasierte Geräte, die die Funktionen herkömmlicher Firewalls um die Paketprüfung – das Filtern des Datenverkehrs nach IP-Adresse, Port und Protokoll – sowie die zustandsorientierte Überprüfung – die Verfolgung des Verbindungsstatus – erweitern. Zusätzlich zu diesen grundlegenden Kontrollmechanismen bieten NGFWs Deep Packet Inspection (DPI). Dabei werden nicht nur die Paket-Header, sondern auch die Nutzdaten des Netzwerkverkehrs untersucht. DPI ermöglicht es der Firewall, bösartige Inhalte in ansonsten legitimem Datenverkehr zu lokalisieren, zu identifizieren, zu klassifizieren und umzuleiten oder zu blockieren.

Moderne NGFWs bieten zudem Anwendungserkennung und -kontrolle, integrierte Intrusion-Prevention-Systeme (IPS), SSL/TLS-Prüfung, Erkennung von Benutzeridentitäten, Protokollierung und Berichterstellung, API-gesteuerte Automatisierung sowie automatisierte Richtlinienempfehlungen.

Zudem nutzen viele NGFWs Threat Intelligence Feeds, um die DNS- und URL-Filterung zu verbessern und die Erkennung von bösartigem Datenverkehr zu optimieren. Fortschrittliche NGFWs können Richtlinienverstöße erkennen, verdächtigen Datenverkehr automatisch blockieren oder unter Quarantäne stellen und bereinigen, bevor sie die Sicherheitsteams alarmieren. Anschließend vernetzen sie sich zur weiteren Untersuchung mit anderen Sicherheitstechnologien.

NGFWs dienen oft als zentraler Überblickspunkt für Netzwerkaktivitäten und helfen Unternehmen dabei, eine Zero-Trust-Architektur zu erreichen und aufrechtzuerhalten.

Führende NGFW-Produkte

Werfen wir einen Blick auf einige der am häufigsten eingesetzten NGFWs, die diese Funktionen bieten. Es gibt viele weitere NGFW-Technologien, von denen jede ihre eigenen Vor- und Nachteile hat. Die in diesem Artikel vorgestellten Lösungen wurden auf der Grundlage von Marktanalysen ausgewählt. Jede verfügt über einen beträchtlichen Kundenstamm, wird aktiv weiterentwickelt und hat zahlreiche öffentlich zugängliche Nutzerbewertungen von verifizierten Käufern von NGFWs. Diese Liste ist alphabetisch sortiert.

Check Point Quantum

Check Point Quantum ist die Next-Generation-Firewall-Familie von Check Point, die klassische Firewall-Funktionen mit der Infinity-Architektur kombiniert. Die Lösung bietet Skalierbarkeit für SMB bis Rechenzentren (bis 1,5 Tbps) mit zentraler Verwaltung über SmartConsole und Cloud-Integration.

Hauptmerkmale

• Nutzt KI-Technologien umfassend als Teil ihres Threat Intelligence.
• Lässt sich über die übergeordnete Check Point-Plattform in Endpunkt- und mobile Erkennungs- und Reaktionstechnologien integrieren.
• Bietet zusätzliche Sicherheitsfunktionen wie Antispam über das SandBlast-Paket für Bedrohungsschutz der nächsten Generation.

Vorteile

• Zeigt sich besonders stark bei der zentralen Verwaltung und bietet eine intuitive Benutzeroberfläche sowie ein Dashboard, das Administratoren Zeit spart.
• Wird für seine Zuverlässigkeit und Stabilität gelobt.

Nachteile

• Lizenzierung und Abonnements sind Berichten zufolge komplexer und teurer als bei Konkurrenzprodukten.
• Einigen Nutzerberichten zufolge versagt dei Lösung bei der Erkennung von Angriffen, die andere Anbieter erfolgreich aufdecken, und erzeugt wiederholt Fehlalarme, insbesondere bei E-Mails.

Vertrieb und Lizenzierung

• Bietet Dutzende von Hardwaremodellen für On-Premise-Bereitstellungen sowie SaaS an.

Cisco Secure Firewall

Die Secure Firewall (ehemals Firepower) ist die Next-Generation-Firewall-Familie von Cisco (1000 bis 9300 Serie) auf Basis der Firewall Threat Defense (FTD) Plattform. Sie bietet skalierbare Sicherheit für kleine Standorte bis hin zu Hyperscale-Rechenzentren sowie Cloud-Umgebungen (Azure/AWS) mit zentraler Orchestrierung über das Firewall Management Center (FMC) oder den Cisco Defense Orchestrator (CDO).

Hauptmerkmale

• Nutzt KI /Machine-Learning-Technologien, um die Erkennungs- und Schutzfunktionen zu verbessern sowie Administratoren die Verwaltung der Firewall zu erleichtern.
• Unterstützt die Identifizierung und Analyse von mehr als 6.500 Anwendungen und Anwendungsprotokollen.

Vorteile

• Die neueste Benutzeroberfläche ist einfach zu implementieren und zu bedienen.
• Lässt sich nahtlos in andere Cybersicherheitsprodukte von Cisco integrieren.

Nachteile

• Einige Nutzer berichten, dass die Dokumentation entweder fehlt oder veraltet ist.
• Upgrades und Updates können einige Zeit in Anspruch nehmen; Fragen hinsichtlich der Rollback-Fähigkeiten.

Vertrieb und Lizenzierung

• Cisco bietet mehrere Serien hardwarebasierter Modelle an, darunter eine robustes Version für industrielle Anwendungen und IoT-Umgebungen sowie Servicemodelle für öffentliche und private Clouds.
• Eine kostenlose Testversion ist verfügbar.

FortiGate NGFW

Die FortiGate-Reihe (40F bis 7000er Serie) ist die Next-Generation-Firewall-Familie von Fortinet auf Basis des FortiOS-Betriebssystems mit KI-gestützten FortiGuard Services. Sie bietet Sicherheit durch dedizierte ASIC-Hardwarebeschleunigung (NP7/CP9) für kleine Standorte bis hin zu Hyperscale-Rechenzentren mit zentraler Orchestrierung über die Fortinet Security Fabric.

Hauptmerkmale

• Nutzt KI als Teil der Bedrohungsanalyse, um die Effizienz von Schutz und Erkennung zu verbessern.
• Unterstützt quantensichere Mechanismen für die VPN-Verschlüsselung; unterstützt Quantum-Key-Distribution neben klassischen Algorithmen.

Vorteile

• Lässt sich in andere Fortinet-Technologien integrieren, um eine einheitliche Grundlage für die Netzwerksicherheit zu schaffen.
• Effektive, zuverlässige Leistung auch bei hoher Auslastung und in großen Implementierungen.

Nachteile

• Steile Lernkurve, insbesondere bei komplexeren Konfigurationen und solchen, die nur über die CLI durchgeführt werden können, was zum Teil daran liegt, dass einige Dokumentationen und Online-Ressourcen veraltet sind.
• Herausforderungen bei der Firmware-Aktualisierung, die unerwartet Funktionen verändern oder Fehler verursachen können.

Vertrieb und Lizenzierung

• Fortinet bietet mehr als 30 Appliance-Modelle für eine Vielzahl von Umgebungen und Anforderungen sowie drei As-a-Service-Versionen.

Palo Alto Networks PA

Die PA-Produktreihe (PA-400 bis PA-7000 Series) ist die Next-Generation Firewall-Familie von Palo Alto Networks mit ML-gestützter PAN-OS-Plattform. Sie bietet hohe Performance für Filialen bis Hyperscale-Rechenzentren mit zentraler Panorama-Verwaltung und Post-Quantum-fähigen ASICs (FE400).

Hauptmerkmale

• Integrierte Verwaltung von Palo Alto-Produkten über eine einzige Schnittstelle, den Strata Cloud Manager.
• Einfache Anpassung von Sicherheitsrichtlinien, die auf verschiedene Bereiche des Unternehmens zugeschnitten sind.

Vorteile

• Eine benutzerfreundliche Oberfläche mit großer Flexibilität; beispielsweise die gleichzeitige Bereitstellung von Richtlinienaktualisierungen auf allen Firewalls des Unternehmens.
• Unterstützt Optionen für post-quanten-kryptografische Verfahren.

Nachteile

• Steile Lernkurve, die zusätzliche Schulungen und Aufwand für Administratoren erfordert, um die Funktionen des Produkts voll nutzen zu können.
• Produktsupport, insbesondere in bestimmten Regionen der Welt.

Vertrieb und Lizenzierung

• Palo Alto bietet mehrere Modellreihen von Hardware-Appliances der PA-Serie für verschiedene Umgebungen und Leistungsanforderungen, darunter ein Modell für Zweigstellen mit integriertem 5G-Netzwerk. Cloud-native, virtuelle und SaaS-Versionen sind ebenfalls verfügbar.

Sophos Firewall

Die XGS-Serie (XGS 87 bis XGS 8500) ist die Next-Generation Firewall-Familie  von Sophos mit Xstream-Architektur und SFOS-Betriebssystem. Sie bietet skalierbare Performance für kleine Standorte bis hin zu Enterprise-Umgebungen mit zentraler Verwaltung über Sophos Central und dedizierten Xstream Flow-Prozessoren (NPU) zur Hardware-Beschleunigung von verschlüsseltem Datenverkehr.

Hauptmerkmale

• Vielfältige Möglichkeiten zur Analyse des Datenverkehrs, darunter die Entschlüsselung von TLS 1.3-geschütztem Datenverkehr, der Einsatz von maschinellem Lernen zur Erkennung von Zero-Day-Angriffen und die Nutzung von Cloud-Sandboxing zur sicheren Ausführung verdächtiger Payloads.
• Lässt sich mit verschiedenen Sophos-Technologien für Endpoint- und Mobile-Security integrieren, um die Reaktionsfähigkeit zu verbessern; integriert sich auch mit anderen Sophos-Produkten und -Diensten zur Unterstützung von Zero Trust.

Vorteile

• Benutzerfreundliche Oberfläche für Verwaltung, Überwachung, Berichterstellung und Benachrichtigungen.
• Solide Integration mit anderen Sophos-Technologien für Verwaltungs-, Überwachungs- und Erkennungszwecke.

Nachteile

• Die Erstellung von Berichten kann langsamer als gewünscht sein, insbesondere bei größeren Implementierungen.
• Die Lernkurve für die Implementierung einiger der fortschrittlichsten Funktionen ist steiler als erwartet.

Vertrieb und Lizenzierung

• Verfügbar für den Einsatz in Cloud- und virtuellen Umgebungen, als Hardware sowie als Software, die auf der unternehmenseigenen Hardware bereitgestellt wird; je nach Umfang der Bereitstellung stehen mehrere Modelle für jede Option zur Verfügung.
• Zahlreiche Optionen für die Lizenzierung bestimmter Funktionen oder Funktionspakete, zusätzlich zu Support-Abonnements, Schutzlizenzen und -abonnements sowie der Integration mit anderen Sophos-Anwendungen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.