Jedes Unternehmen benötigt heute eine Firewall, doch welche ist die richtige und welche Unterschiede gibt es? Zwei gängige Kategorien sind Next Generation Firewalls (NGFW) und Web Application Firewalls (WAF).
Eine „Firewall der nächsten Generation“ ist ein Begriff, den das Analystenhaus Gartner erstmals bereits 2003 ins Spiel brachte. Next Generation Firewalls ermöglichen eine richtliniengestützte Sichtbarkeit und Kontrolle über Anwendungen, Benutzer und Inhalte. Das Wissen darüber, welche Anwendung und wer das Netzwerk nutzt, wird herangezogen, um Firewall-Sicherheitsrichtlinien – einschließlich Zugriffskontrolle, SSL-Entschlüsselung, Bedrohungsprävention und URL-Filterung – zu erstellen.
Im Gegensatz dazu ist eine Web Application Firewall konzipiert, um Web- Applikationen auf mögliche Sicherheitsprobleme hin zu überwachen, die aufgrund von Codierungsfehlern auftreten können. Die einzige Ähnlichkeit zwischen den beiden Lösungen ist die Tatsache, dass sie den Begriff „Firewall“ im Namen verwenden. Nur Unternehmen, die Sicherheitslücken durch mögliche Codierungsfehler in ihren eigenen Web-Applikationen vorbeugen wollen, benötigen eine WAF.
Next Generation Firewall
Zur besseren Unterscheidung der beiden Arten von Firewalls sind im Folgenden wichtige Merkmale einer Next Generation Firewall aufgelistet:
- Eine Next Generation Firewall ist konzipiert für den Einsatz als primäre Firewall, indem sie Anwendungen, Benutzer und Inhalte, die das Netzwerk durchqueren, identifiziert, kontrolliert und absichert.
- Die Anwendungsüberwachung identifiziert und überwacht Anwendungen aller Art, unabhängig von Port, Protokoll, SSL-Verschlüsselung oder ausweichenden Taktiken.
- Die Benutzerüberwachung verwendet Benutzerdaten aus z.B. Active Directory für Richtlinienerstellung, -protokollierung und -berichterstattung.
- Die Inhaltsüberwachung blockiert ein breites Spektrum an Malware, überwacht die Webaktivität und erkennt Datenmuster, die das Netzwerk durchqueren.
- Protokollierung und Reporting: Der gesamte Traffic von Anwendungen, Benutzern und Bedrohungen wird zu Analyse- und forensischen Zwecken protokolliert.
- Performance: Eine Next Generation Firewall ist für den Einsatz als primäre Firewall für Unternehmen aller Größen konzipiert und muss einen hohen Durchsatz unter Last liefern. Dies wird erzielt durch eine Kombination von benutzerdefinierter Hardware, funktionsspezifischer Verarbeitung und speziellem Softwaredesign für hohe Leistung und Durchsatz mit geringer Latenz.
Web Application Firewall
Web Application Firewalls unterscheiden sich demgegenüber durch folgende Merkmale:
- Eine Web Application Firewall ist konzipiert, um mögliche Schwachstellen infolge fehlerhafter Programmierung von Web-Applikationen zu kompensieren.
- Eine WAF kontrolliert zwar die Anwendung hinsichtlich Schwachstellen, ignoriert aber die unzähligen Angriffe, die das Netzwerk durchlaufen können.
- Sie ist besonders anpassbar für jede Umgebung und kann überwachen, ob die Web-Applikation sich wie vorgesehen verhält.
- Sie überwacht nur den spezifischen Layer-7-Bereich einer Web-Applikation – und keine der anderen Schichten im OSI-Referenzmodell.
- Aktuelle Web Application Firewall- Lösungen sind darauf ausgelegt, nur eine sehr kleine Teilmenge des Anwendungsverkehrs zu betrachten und können daher nicht die Leistungsanforderungen einer primären Firewall abdecken.
Die Architektur entscheidet
Next Generation Firewalls und Web Application Firewalls sind beide Firewalls in dem Sinne, dass sie bestimmten Netzwerkverkehr erlauben oder verweigern, aber hier enden auch bereits die Gemeinsamkeiten. Eine WAF inspiziert nur den Applikations-Traffic in einem engen Protokollbereich, während eine NGFW einen umfassenderen Ansatz verfolgt – für eine richtliniengestützte Kontrolle und Sichtbarkeit aller Anwendungen, Benutzer und Inhalte.
Die IT sieht sich mit einer wachsenden Anzahl von Sicherheitsherausforderungen konfrontiert. Gleichzeitig werden Cyberattacken immer ausgeklügelter. Indem sie sich häufig phasenweise entfalten, können sie unkoordinierte Sicherheitsschichten umgehen.
Generell folgen Netzwerksicherheitsarchitekturen entweder einem sequenziellen, schichtenbasierten Ansatz oder einem ganzheitlichen, integrierten Design. Hier lassen sich NGFW und WAFs klar abgrenzen:
1. Schichtenbasierte Ansätze: Stück für Stück aus Schichten von Punktprodukten oder Funktionen (z. B. UTM) entstandene Architekturen, bei denen der Kontext oder die Bedrohungsfaktoren des Datenverkehrs individuell betrachtet werden. Sicherheitsmaßnahmen werden dabei in begrenztem Umfang in sequenziellen Schritten angewendet. Jede Schicht ist auf einen speziellen Kontext fokussiert und kann keine vollständigen Informationen an nachfolgende Schichten weiterleiten. Dies begrenzt die möglichen Sicherheitsoptionen.
2. Integrierte Architekturen: Einheitliche Sicherheitsdesigns zur Klassifizierung des gesamten Datenverkehrs innerhalb eines vollständigen Kontexts. Erst im Anschluss werden in einem Durchgang eine Reihe flexibler Sicherheitsregeln angewendet. Integrierte Netzwerksicherheitsarchitekturen folgen im Gegensatz zu schichtenbasierten Ansätzen einem gezielten Konzept, um den gesamten Datenverkehr zu klassifizieren und flexibel zu kontrollieren. Zu den Vorteilen dieser integrierten Single-Pass-Architektur zählt die sichere Aktivierung neuer Apps und zugrunde liegender Infrastrukturen. Als Grundlage für umfangreiche, genaue Sicherheitsleitlinien dient ein umfassenderer Kontext, als dieser bei einem schichtenbasierten Ansatz möglich wäre. Das Resultat einer integrierten Netzwerksicherheitsarchitektur ist:
- Ein vereinfachtes Management einschließlich einer geradlinigen Übersetzung von Geschäftsrichtlinien,
- eine erheblich reduzierte Angriffsfläche innerhalb des Unternehmens und
- der detaillierte Einblick in den vormals unkontrollierten Datenverkehr.
Die meisten Firewalls bieten eine Kombination verschiedener Firewall-Technologien. So können in NGFWs zwar WAF-ähnliche Funktionen enthalten sein, doch es wird keine Verschmelzung geben, sondern der jeweilige Ansatz und Anwendungsbereich weiterverfolgt wird. NGFWs und WAFs dürften uns als separate Produktkategorien in einem weitgefassten Umfeld von Firewalls weiter erhalten bleiben.
Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks