Next Generation Firewall

Die Stateful Inspection ist gut im Verfolgen von Verbindungen – aber sie kennt den Inhalt dieser Verbindungen nicht. Ein Angreifer, der Schadcode über Port 443 einschleust oder legitime Cloud-Dienste für Command-and-Control-Kommunikation missbraucht, bleibt für eine klassische Firewall unsichtbar. Die Next Generation Firewall (NGFW) geht einen entscheidenden Schritt weiter: Sie analysiert nicht nur Ports und IP-Adressen, sondern den tatsächlichen Anwendungsinhalt des Datenstroms.

Der Begriff „Next Generation" wurde von Gartner 2003 geprägt. Die NGFW kombiniert klassische Firewall-Funktionen mit Deep Packet Inspection, Anwendungserkennung, Benutzeridentität und integrierter Bedrohungsintelligenz. Statt zu fragen „Ist Port 443 offen?", fragt sie: „Welche Anwendung verwendet diese Verbindung, wer ist der Benutzer, und verhält sich der Traffic normal?"

1) Die NGFW-Features im Detail

Die folgende Übersicht zeigt die wichtigsten Features einer modernen NGFW. In der Praxis sind diese Funktionen eng verzahnt – die Anwendungserkennung liefert den Kontext für IPS-Signaturen, und die Benutzeridentität fließt in Richtlinienentscheidungen ein.

NGFW-Features – Klicke für Details

Deep Packet Inspection (DPI)

Layer-7-Analyse · Inhaltsprüfung

Application Control

Erkennung nach Anwendung, nicht Port

User Identity Awareness

Regeln nach Benutzer/Gruppe statt IP

Integriertes IPS

Erkennt und blockt Exploits inline

SSL/TLS-Inspection

Entschlüsseln · Prüfen · Neu verschlüsseln

Threat Intelligence

Cloud-basierte Bedrohungsdatenbank

Klicke auf ein Feature für eine ausführliche Erklärung und Praxisbeispiel.

NGFW-Produkte führender Hersteller: Palo Alto Networks (Marktführer), Fortinet FortiGate, Check Point, Cisco Firepower, Sophos XGS. Die Unterschiede liegen in Performance, Verwaltbarkeit und der Qualität der Threat-Intelligence-Datenbanken.

2) Wie eine NGFW Traffic verarbeitet

Die Verarbeitungspipeline einer NGFW ist deutlich komplexer als bei einem klassischen Paketfilter. Jedes Paket durchläuft mehrere Prüfstufen nacheinander. Die Reihenfolge ist entscheidend: Ressourcenintensive Prüfungen (wie DPI oder Malware-Scanning) kommen erst, nachdem günstigere Checks (IP-Reputation, Protokollvalidierung) passiert sind.

NGFW-Verarbeitungspipeline – eingehender Traffic

①

Paket empfangen + Protokoll-Decode (Layer 2–4)

Klassifikation

②

IP-Reputation prüfen (Blocklisten, Threat Intelligence)

TI-Check

③

State Table prüfen – Teil einer bekannten Verbindung?

Stateful

④

Anwendungserkennung (App-ID) – welche App sendet diesen Traffic?

App-ID

⑤

Benutzeridentität (User-ID) – wer ist der Absender?

User-ID

⑥

Richtlinienprüfung: App + User + Ziel + Uhrzeit → erlaubt?

Policy

✗

DENY: Traffic verletzt Richtlinie → Block + Log

BLOCKIERT

⑦

IPS-Signaturen prüfen – bekannte Exploits und Angriffsmuster?

IPS

⑧

SSL-Inspection: TLS entschlüsseln, Inhalt prüfen, re-verschlüsseln

SSL-Inspect

⑨

Datei-Scanning: Malware-Erkennung (Hash, Sandbox)

AV/Sand.

✓

ALLOW: Traffic ist legitim → Weiterleiten + Log

ERLAUBT

SSL-Inspection (Schritt 8) ist datenschutzrechtlich sensibel: Die NGFW wird zum Man-in-the-Middle zwischen Client und Server. Mitarbeiter müssen darüber informiert werden; in Deutschland ist eine Betriebsvereinbarung erforderlich. Bestimmte Kategorien (Bankverbindungen, Gewerkschaftsseiten) werden typischerweise von der SSL-Inspection ausgenommen.

3) Die Firewall-Generationen

Firewall-Evolution – drei Generationen

1. Generation

Paketfilter

OSI Layer 3–4

IP, Port, Protokoll

Kein Verbindungskontext

Sehr schnell

Einsatz: Router-ACLs

2. Generation

Stateful Inspection

OSI Layer 3–4 + State

+ Verbindungsverfolgung

+ Keine Rückregeln nötig

Schnell, etwas Overhead

Einsatz: Standard-FW

3. Generation

NGFW

OSI Layer 3–7

+ App-Erkennung, User-ID

+ IPS, DPI, TLS-Inspect

+ Threat Intelligence

Einsatz: Enterprise, DC

Zusammenfassung

Die NGFW erweitert Stateful Inspection um Layer-7-Analyse: Anwendungserkennung (App-ID), Benutzeridentität (User-ID), integriertes IPS, Deep Packet Inspection und SSL/TLS-Inspection. Richtlinien lauten nicht mehr „Port 80 erlauben", sondern „Facebook-Video für Entwickler zwischen 12 und 13 Uhr erlauben". Der Preis: höherer Ressourcenbedarf und datenschutzrechtliche Anforderungen bei SSL-Inspection. Für die Platzierung im Netzwerk: Sicherheitszonen und DMZ.

Next Generation Firewall

1) Die NGFW-Features im Detail

2) Wie eine NGFW Traffic verarbeitet

3) Die Firewall-Generationen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title