Magischer Quadrant: Firewalls der nächsten Generation sind jetzt Mainstream

Laut einem Bericht des Magic Quadrant hat sich eine neue Generation der Firewalls als Mainstream etabliert. Kein Wunder, denn Stateful Firewalls gelten als überholt.

Die Skepsis gegenüber Firewalls der nächsten Generation schwindet. Dies geht aus der neuen Gartner-Veröffentlichung „Magic Quadrant“ für Firewalls hervor. Mittlerweile sind Unternehmen in großer Zahl dabei, diese Technologie zu implementieren, was nicht immer einfach ist. Stateful Firewalls, die bei ihren Entscheidungen Ports und Protokolle berücksichtigen, gelten jedenfalls mittlerweile als veraltet. Stattdessen werden vielfach Firewalls der nächsten Generation evaluiert und implementiert.

„In meinen Augen können traditionelle Firewalls die Mehrzahl der Bedrohungen, mit denen es Unternehmen zu tun haben, nicht stoppen“, sagt Mark Starry, CTO von Capital Region Healthcare und Concord Hospital im US-Bundesstaat New Hampshire. „Fast jeden Monat bekomme ich einen Anruf von einem Krankenhaus, das mit irgendetwas infiziert wurde. Die Leute verwenden Standard-Firewalls, auf die irgendeine Art System für Intrusion Detection (IPS) gesetzt wurde“.

Starry selbst hat seine alten Firewalls von Check Point Software und Juniper Networks vor zwei Jahren mit Geräten der nächsten Generation von Palo Alto Networks ersetzt. Auch alle anderen großen Krankenhäuser in New Hampshire haben nach seinen Beobachtungen in diesem Jahr den Umstieg auf Palo Alto vollzogen. „Ein Krankenhaus, das durch eine massive Infektion drei Arbeitstage verloren hat, ist derzeit im Evaluierungsprozess“, berichtet er.

Magischer Quadrant für Firewalls: Die nächste Generation setzt sich durch

Firewalls der nächsten Generation werden auch als anwendungsbewusste Firewalls bezeichnet. Wie Stateful Firewalls können sie Ports und Protokolle analysieren. Zusätzlich aber sind sie in der Lage, Datenverkehr auf Grundlage der Anwendungen zu evaluieren, von denen die Pakete auf den Leitungen generiert werden. Durch die Explosion bei Web-basierten Anwendungen in den vergangenen Jahren, die von Stateful Firewalls nur als HTTP-Traffic für Port 80 identifiziert werden, ist diese neue Fähigkeit entscheidend geworden.

Das Marktforschungshaus Gartner hatte bereits seit einigen Jahren argumentiert, dass Firewalls der nächsten Generation die Zukunft gehöre. Im neuesten Magischen Quadranten für Firewalls wird dieser Trend klarer als je zuvor. Palo Alto Networks, dessen Technologie in den Vorjahren noch als „visionär“ eingestuft wurde, wird jetzt neben Check Point Software als ein „Marktführer“ angesehen.

Juniper Networks mit seinen eher traditionellen Stateful Firewalls dagegen war im Magischen Quadranten lange Zeit als führend eingeordnet, wurde aber jetzt, zusammen mit Cisco Systems, McAfee und Fortinet, in den Quadranten „Herausforderer“ eingeteilt. Als solche gelten Unternehmen, die mit ihrer Vertriebsmannschaft und Support-Organisation vorhandene Lösungen umsetzen können, denen es aber an einer starken Technologie-Vision fehlt.

„Wir haben darauf gewartet, dass Firewall-Anbieter in den Bereich von Produkten der nächsten Generation vordringen“, sagt Greg Young, Vice President für Research bei Gartner, „aber sie haben immer weiter an IPS geglaubt. Dabei war die Qualität dieser IPS wirklich schlecht. Die Standalone-Angebote wurden immer umfangreicher, und die alten Anbieter haben die Marktentwicklung konsequent ignoriert. Dann kam es zu einem Punkt, an dem die Nachfrage der Kunden größer war als das gesamte Angebot in diesem Bereich. Also haben wir die Kriterien im Magischen Quadranten so verschärft, dass jeder, der als marktführend gelten will, sich rasch um das Thema nächste Generation kümmern muss“.

Nach Youngs Worten dreht sich die Mehrheit der Anrufe, die er von Gartner-Beratungskunden erhält, um Firewalls der nächsten Generation. Manche wollten direkt investieren, andere sich zumindest erst einmal erkundigen. „Vor ein paar Jahren war es in meinen Augen angemessen, dass Kunden in Bezug auf den Umstieg skeptisch waren“, sagt Young. Allmählich aber komme das Feld in Schwung.

Firewalls der nächsten Generation: Mögliche Schwierigkeiten bei der Implementation

Die Analysen auf Ebene von Anwendungen, die in Firewalls der nächsten Generation vorgenommen werden, sind rechenintensiv. Also sollten Organisationen, die solche Geräte implementieren wollen, vorsichtig vorgehen, rät Young. So würden viele Anbieter im Bereich Unified Threat Management (UTM) ihre Appliances als Firewalls der nächsten Generation vermarkten. Im Enterprise-Einsatz  zeige sich dann aber schnell, dass sich diese Geräte eher für kleinere Unternehmen eignen: Wenn alle Funktionen einschließlich Anwendungskontrolle aktiv seien, werde eine UTM-Appliance schnell zu einem gravierenden Engpass.

„Wir haben schon schlimme Größenprobleme gesehen“, sagt Young. „Meistens kam es dazu, wenn Funktionen eingeschaltet wurden, die nicht für den Enterprise-Einsatz ausgelegt sind. Bei UTM waren wir in diesem Punkt sehr kritisch. Viele weitere Performance-Probleme ergeben sich außerdem dadurch, dass Firewalls der nächsten Generation nicht wirklich integriert sind. Wenn es dabei nur um das Gehäuse geht, also viele Elemente in derselben Kiste, beginnen die Probleme, und man bekommt eine wirklich schwache Performance“.

Dabei haben viele Anbieter bereits starke und auch für große Unternehmen geeignete Firewall-Produkte der nächsten Generation im Programm, wie Young betont. Unter den Herstellern wird darüber gestritten, welches Produkt am besten ist. Deshalb sollten Käufer die Angebote selbst ausprobieren und so herausfinden, welches in ihrer Umgebung am besten funktioniert.

Firewalls der nächsten Generation bedeuten zudem einen kulturellen Wandel für das zuständige Team. Firewall-Administratoren, die seit Jahren an das Schreiben von Regeln für Ports und IP-Adressen gewohnt sind, werden sich umstellen müssen: Die neue Welt der Firewalls der nächsten Generation zwingt sie aus ihrer Komfort-Zone heraus.

„Die Idee der Firewall wird auf den Kopf gestellt“, erklärt Starry von Capital Region Healthcare. „Man schreibt anwendungsbasierte Regeln, nicht mehr nur zu Ports und IPs. Und Firewall-Administratoren haben oft Probleme damit, sich auf anwendungsbasierte Regeln umzustellen. Dabei ist beides möglich, und man muss heute auch beides haben“.

Firewalls der nächsten Generation: Über Anwendungsanalysen hinausgehen

Für Steve Gilmer, einen System-Administrator an der University of California-Irvine, war Anwendungsvisibilität ebenfalls ein Grund für die Suche nach einer Firewall der nächsten Generation – aber nicht der einzige, wie er sagt. Die Hörsäle seiner Universität werden jetzt mit WatchGuard-Firewalls geschützt.

Dazu musste er viel darüber lernen, wie unterschiedliche Produkte beim Entschlüsseln und Analysieren von HTTPS-Verkehr abschneiden, sagt Gilmer. HTTPS war nach seinen Analysen eine erhebliche Gefahr für das Einschleusen von Malware, jedoch empfehlen die meisten Firewall-Anbieter keine Analysen auf HTTPS-Ebene. Stattdessen, so sagen sie, können ihre Produkte jegliche Malware erkennen, wenn sie aus dem Netzwerk Aufrufe erzeugt, so dass Sicherheitspersonal infizierte Maschinen im Netz isolieren kann. „Doch dann ist die Malware schon im Netzwerk, und das ist ein Problem“, sagt Gilmer dazu.

Vor diesem Hintergrund möchte er mehr darüber erfahren, wie genau die einzelnen Firewall-Anbieter Malware detektieren. Viele verwenden dazu von Dritten zugelieferte Module, und es ist nicht einfach, hier Vergleiche der Leistungsfähigkeit verschiedener Produkte anzustellen.

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close