Im Vergleich: Die besten verfügbaren Next-Generation Firewalls

Für wen eignen sich NGFWs?

Alle NGFWs wurden für mittelständische und große Unternehmen konzipiert. Cisco, Check Point, Fortinet, Barracuda und Juniper offerieren allerdings auch Produkte für kleine und mittelgroße Firmen (KMU). Die NGFWs in diesem Beitrag unterstützen virtuelle und physische Implementierungen sowie Installationen in Cloud-Umgebungen wie beispielsweise Azure oder AWS.

Welche Funktionen sind verfügbar?

Zu den häufigsten verfügbaren Funktionen von NGFW-Produkten gehören:

• Unified Threat Management (UTM)
• unterbrechungsfreie Bump-in-the-Wire-Konfiguration
• NAT
• Stateful Packet Inspection
• Virtual Private Network (VPN),
• integrierte, signaturbasierte IPS-Engine- und Applikations-Erkennung

Oftmals umfassen sie auch die Fähigkeit, Informationen außerhalb der Firewall zu integrieren. Das können Director-basierte Policys, Blacklists oder Whitelists sein. Darüber hinaus offerieren NGFWs oft einen Upgrade-Pfad, um künftige Informations-Feeds und Security-Bedrohungen zu erkennen, sowie SSL-Entschlüsselung, um ungewünschte verschlüsselte Anwendungen zu identifizieren.

Nicht so geläufige Funktionen variieren ja nach Anbieter. Hier können Unternehmen anfangen, die Produkte zu unterscheiden und die beste NGFW für sich herauszukristallisieren.

Einige Beispiele:

• Dell SonicWall bietet Security-Services wie Gateway-Antimalware, Inhalts-Filtering und Client-Antivirus und -Antispyware an, die mit einem jährlichen Vertrag lizensiert werden. Dell SecureWorks Premium Global Threat Intelligence Service ist eine zusätzliche Lizenz.
• Cisco verfügt über Anwendungssichtbarkeit und -kontrolle als Teil seiner Basiskonfiguration ohne Zusatzkosten. Allerdings werden separate Lizenzen für Next-Generation Intrusion Preventing Systems (NGIPS), erweiterten Malware-Schutz und URL-Filtering notwendig.
• McAfee integriert Clustering und Multilinks als Standardfunktion in seiner McAfee Next-Generation-Firewall-Lizenz.
• Barracuda verlangt ein optionales Abo für seinen Malware-Schutz (AV Engine von Avira), die Threat Intelligence sowie die Funktionen zur erweiterten Client Network Access Control und VPN/SSL.
• Juniper offeriert erweiterte Software-Security-Services (NGFW/UTM/IPS/Threat Intelligence Service) in seinen SRX Series Service Gateways, die sich über eine zusätzliche Lizenz freischalten lassen. Das kann entweder als Abo oder unbefristet realisiert werden. Bei keinen anderen Komponenten ist ein An- oder Abschalten des Services erforderlich.
• Check Point stellt eine umfassende NGFW-Lösung mit allen Software-Blades bereit, für die nur eine einzige Lizenz nötig ist. Allerdings verfügt es nicht über Kontrolle für mobile Geräte oder Wi-Fi-Netzwerkkontrolle. Dafür muss man ein anderes CheckPoint-Produkt erwerben.

Das wirklich Wichtige für Unternehmen ist, in Erfahrung zu bringen, welche zusätzlichen Funktionen über das Basisangebot hinaus auch Zusatzlizenzen erfordern. Darüber hinaus muss die Firma entscheiden, ob diese Zusatzfunktionen signifikant genug sind, dass es sich lohnt ein spezifisches Produkt zu kaufen. Benötigt ein Unternehmen zum Beispiel Data Loss Prevention (DLP), so kann es eines NGFW mit DLP in Erwägung ziehen, beispielsweise Check Point. Sollten die DLP-Komponenten der NGFW aber nicht leistungsstark genug für die Firma sein, so ist ein Stand-alone-Produkt einer DLP eventuell die bessere Wahl.

Das Gleiche gilt für Web-Application-Firewall-Technologie wie in der Dell SonicWall NGFW. Zwar gibt es WAF-Funktionen, aber kein umfassendes WAF. Ein anderes Beispiel ist Cisco. Obwohl Malware-Schutz vorhanden ist, benötigt man zusätzliche Lizenzen für die Advanced Malware Protection, NGIPS und URL-Filtering. Auch die Barracuda NGFW erfordert zusätzliche Lizenzen für Malware-Schutz.

Darüber hinaus gibt es Hersteller, die Threat Intelligence Services als Teil ihres NGFW-Angebots offerieren, wie Fortinet, McAfee und HP TippingPoint. Juniper liefert seinen Threat Intelligence Service zwar mit seiner SRX NGFW aus, dieser muss aber erst durch den Erwerb einer Lizenz freigeschaltet werden.

Wie wird die NGFW vertrieben und was kostet sie?

Erwirbt ein Unternehmen ein Produkt, erhält es eine Kopie der Software oder die Appliance und eine Lizenz, um diese zu nutzen. Dabei besitzt man die Software nicht, die Besitzrechte gehören dem Softwareunternehmen und Kunden sind an die Geschäftsbedingungen der Lizenz gebunden. Alle NGFW-Produkte werden pro physisches Gerät lizensiert. Zusätzliche Lizenzen fallen für nicht übliche Funktionen an. Lesen Sie die AGBs sorgfältig durch und klären Sie, welche Services in der Basisversion des Produkts enthalten sind und welche Zusatzlizenzen erfordern.

Während Check Point und Fortinent über Channel-Partner vertrieben werden, verkaufen die verbleibenden NGFW-Hersteller direkt oder über Channel-Partner. Alle Produkte werden nach Größe berechnet, je nachdem, welche Hardware genutzt und welcher Servicevertrag gewählt wird. Besonders wichtig sind die großen Preisunterschiede nicht nur zwischen den Herstellern, sondern auch zwischen den verschiedenen Angeboten einzelner Anbieter.

Cisco beispielsweise rechnet nach Anwendern ab. Die Kostenstruktur liegt bei 1.100 US-Dollar für 1 bis 99 Anwender, 6.500 Dollar für 100 bis 999 Nutzer, 25.000 Dollar für 1.000 bis 4.999 Anwender und 100.000 Dollar für 5.000 und mehr Nutzer. Palo Alto – basierend auf ihren Datenblättern – hat 2.707 verschiedene Preisoptionen, von 1.300 bis 38.640.000 Dollar.

Die Preisstrukturen erscheinen unterschiedlich und doch existieren Gemeinsamkeiten in den Low-end-Produktserien. Je kleiner die NGFW, desto einfacher die Preisstruktur. Je größer das Unternehmen und der erworbene Leistungsumfang, desto größer die Unterschiede. Allerdings werden dann auch die Rabattmöglichkeiten für den Kunden größer.

Lizenzen sind üblicherweise für ein, zwei oder drei Jahre erhältlich. Da sich die Zahl der Anwender ständig vergrößert, kommen oft Mengenrabatte zum Tragen. Wir empfehlen generell, keine Listenpreise zu bezahlen. Denken Sie daran, dass Hersteller bei Einzelkäufen eher unflexibel sind. Eine Möglichkeit ist es, am Monatsende oder Quartalsende etwas zu erwerben, da die Anbieter dann oft unter Druck stehen, ihre Verkaufszahlen zu erfüllen.

Gibt es kostenfreie Testversionen von NGFWs?

Der derzeit einzige Hersteller von NGFWs, der keine kostenfreien Testversionen anbietet ist HP TippingPoint. Alle anderen Anbieter stellen gratis eine herunterladbare virtuelle Appliance oder virtuelle Maschine für 30 Tage zum Testen zur Verfügung. Juniper ist hier ein wenig besser als andere Hersteller, da es hier eine Testversion für 30 bis 90 Tage gibt, die der Anwender in aller Ruhe in seinem Netzwerk ausprobieren kann.

Hauptunterschiede zwischen den NGFW-Produkten

Am interessantesten ist natürlich, was die NGFWs von anderen unterschiedet. Hier sind einige dieser Unterschiede aufgelistet.

• Check Point ist der Erfinder der Stateful Firewall. Sie hat die höchste IPS-Block-Rate gegenüber den Wettbewerbern und die größte Applikations-Firewall (über 5.000). Darüber hinaus verfügt die DLP über 600 Dateitypen, das Change-Management ist anders als bei der Konkurrenz und der Hersteller bietet agentenbasierte und agentenlose Active-Directory-Integration an.
• Dell SonicWall verfügt über patentierte Reassembly-Free Deep Packet Inspection, eine Technologie, die ein zentrales Management ermöglicht, um tausende Firewalls über einen zentralen Punkt zu implementieren, verwalten und überwachen.
• Cisco ASA mit FirePOWER Services offeriert eine integrierte Abwehrlösung mit mehr Firewall-Funktionen für Detection und Protection Threat Services als andere Hersteller.
• Fortinet hat seit elf Jahren ein internes dediziertes Security-Research-Team, das FortiGuard Labs. Damit ist das Unternehmen einer der wenigen Anbieter mit einem eigenen Team, da die meisten dies als OEM-Service auslagern. Darüber hinaus bietet die NGFW FortiGate laut Herstellerangaben eine fünfmal bessere Performance als andere, preislich vergleichbare Produkte.
• HP TippingPoint ist bekannt für die einfache, effiziente und zuverlässige Implementierung seiner NGFW. Die Sicherheitsabdeckung ist sehr viel höher, da 8.200 Filter bekannte und unbekannte Bedrohungen blocken. Hinzu kamen 383 Zero-Day-Filter (in 2014).
• Die McAffee NGFW verfügt über so genannte „Intelligence-aware“ Sicherheitskontrollen, erweiterte Evasion Prevention sowie ein einheitliches (unified) Design des Softwarekerns.
• Barracuda offeriert den geringsten TCO der Branche, da sie erweiterte Fehlerbehebungsfunktionen und intelligente Lifecycle-Management-Features in ihrem hochskalierbaren zentralen Management-Server integrieren. Darüber hinaus ist diese NGFW die einzige, die NGFW-Applikations-Kontrolle und Nutzeridentitätsfunktionen für KMUs bietet.
• Juniper SRX ist die erste NGFW, die eine hohe Verfügbarkeit bietet, die von Kunden mit 99,9999 Prozent bewertet wurde (SRX 5000). Ebenso ist es die erste NGFW, die den Programmierungs-Tools automatisierte Firewall-Funktionen über JunoScript und offene APIs zur Verfügung stellt. „Open Attack Signatures“ im IPS ermöglichen es Kunden, Signaturen hinzuzufügen oder individuell anzupassen, damit diese ihrem Netzwerk gerecht werden.

Es wird deutlich, dass jeder Hersteller sich ein Standbein in den außergewöhnlichen Bereichen geschaffen hat, um sich von Wettbewerbern abzuheben. Für Kunden ist es wichtig, diese Besonderheiten und Unterschiede zu erkennen und dann zu entscheiden, ob diese ihre Anforderungen erfüllen oder mehr bieten.

Was ist das beste NGFW-Produkt?

Attacken auf Unternehmensnetzwerke zu vereiteln wird immer auf Risiken basiert sein. Der Grad des Schutzes (Kontrolle) sollte dem Wert der zu schützenden Ressourcen entsprechen. Benötigt man für diesen Schutz eine NGFW, so ist es essentiell sich mit den unterschiedlichen Marktangeboten vertraut zu machen und festzustellen, welche zum jeweiligen Unternehmen und Geschäftsmodell passen.

Handelt es sich beispielsweise um ein kleines bis mittelständische Unternehmen, so könnte man hier die McAffee NGFW in Erwägung ziehen, da die KMU-Appliance nur die Firewall-Lizenz erfordert, die allerdings etwas eingeschränkte Funktionen offeriert. Ebenso hat Barracuda Angebote für KMUs und für große Unternehmen, mit unterschiedlichen Appliances und Lizenzen.

Aller hier gelisteten Hersteller bieten NGFWs für große Unternehmen. Insbesondere Check Point, Palo Alto, Fortinet und Cisco stachen im April 2015 im Gartner Magic Quadrant for Enterprise Network Firewalls hervor. Die restlichen Hersteller wurden hier als Nischenanbieter positioniert. Dazu gehören unter anderem diejenigen, die nur KMU-Lösungen offerieren.

Beachten Sie folgende Kriterien, wenn Sie sich für einen NGFW-Hersteller und ein Modell für ihre Firma entscheiden wollen:

• Identifizieren Sie Hersteller,
• Erstellen Sie eine Auswahlliste,
• Führen Sie ein Proof of Concept (POC) durch,
• Erfragen Sie Referenzen,
• Wägen Sie die Kosten ab,
• Überlegen Sie Vertragsverhandlungen,
• Erwägen Sie ein Management Buy-In (MBI),
• Prüfen Sie die TCO,
• Prüfen Sie die Fähigkeiten der eigenen Mitarbeiter,
• Überprüfen Sie Ihr Geschäftsmodell und die Wachstumserwartungen.

Mit diesen wichtigen Faktoren lässt sich letztlich eine umfassende Entscheidung treffen, welche NGFW sich wirklich für Ihr Unternehmen und Ihre IT-Umgebung eignet.

Über den Autor:
Miguel (Mike) O. Villegas ist Vice President der Consulting-Firma für Zahlungsabwicklungen und Technologie K3DES LLC. Mike hat als CISO für einen großen Online-Händler gearbeitet und war Partner für ein „Big Four“-Consulting-Unternehmen. Auch als VP von IT Risk Management und IT-Audit-Direktor für große kommerzielle Banken war er angestellt. Weiterhin war er über 30 Jahre lang Besitzer einer professionellen Informations-Security-Firma.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!