Next-Generation Firewalls Die 7 besten NGFW-Anbieter

Foto: miri019 – shutterstock.com

Next-Generation-Firewalls (NGFWs) bieten alle Funktionen herkömmlicher Firewalls, bringen jedoch zusätzliche Features mit, beispielsweise:

• Deep Packet Inspection (DPI),

• Integrated Intrusion Protection (IIP),

• Web Filtering,

• Antivirus,

• Antispam,

• Anti-Malware,

• SSL- und SSH-Traffic-Inspection.

All diese Funktionen sind darauf ausgerichtet, Bedrohungen in Echzeit zu erkennen und zu isolieren und werden in der Regel über eine Konsole gemanagt. Next-Gen-Firewalls sind einfacher zu warten als traditionelle Firewalls und in Sachen Hersteller-Support komfortabler, weil alle Funktionen von einem einzigen Anbieter bereitgestellt werden. Allerdings ist die Firewall heute nicht mehr nur eine Appliance im Rechenzentrum: Der Siegeszug der Cloud sorgt dafür, dass Firewalls Funktionen bieten müssen, die über physische Geräte hinausgehen, zum Beispiel:

• virtualisierte Appliances,

• Firewall as a Service (FWaaS) und

• containerisierte Versionen.

Daneben ist insbesondere Secure Access Service Edge (SASE) ein aufstrebendes Servicemodell, das WAN-Optimierung und andere Sicherheitsdienste wie Secure Web Gateway (SWG) und Zero Trust Network Access (ZTNA) über eine Cloud-basierte Implementierung integriert. Zukunftsorientierte NGFW-Anbieter unterstützen diese Funktionen in ihre Produktlinien. Auch wenn SASE weit davon entfernt ist, weit verbreitet zu sein – die Produkt-Roadmap der Anbieter steht bereits.

Next-Generation Firewalls: Top 7 Anbieter

Wenn es um Hackerangriffe – und insbesondere um Ransomware – geht, ist die Netzwerksicherheit von entscheidender Bedeutung. Jedes NGFW-Produkt sollte deshalb gründlich bewertet werden, bevor es in die Infrastruktur integriert wird. Die Arbeit, die Sie sich an dieser Stelle im Vorfeld machen, wird sich langfristig auszahlen – unter anderem in ruhigem Schlaf. Im Folgenden finden Sie eine Analyse der wichtigsten Anbieter von Next-Generation Firewalls – basierend auf Berichten von Branchenanalysten wie Gartner und IDC.

Palo Alto Networks

Das US-Unternehmen bietet eine große Auswahl an NGFW-Funktionen, die es hardwarebasiert (PA-Serie), virtuell (VM-Serie), als FWaaS (Prisma Access) und containerisiert (CN-Serie) zur Verfügung stellt. Alle Produkte werden über dieselbe Software verwaltet und bieten zusätzliche (Abonnement-basierte) Funktionen, um IoT-Security, Data Loss Prevention, SaaS-Security und DNS-Security zu managen. Die WildFire Malware Analysis Engine kann erkannte Bedrohungen in eine Sandbox packen.

Palo Alto Networks bietet eine konsolidierte Lösung für diverse Sicherheitsanforderungen. Diese Produkte haben allerdings ihren Preis und gehören zu den teuersten Angeboten am Markt. Darüber hinaus ist für das SD-WAN-Produkt eine separate Lizenz erforderlich – bei anderen Anbietern ist das im Basisangebot enthalten. Bemerkenswert ist auch, dass Palo Alto Networks keinen Cloud-basierten Firewall-Manager in Panorama anbietet und stattdessen auf ein Plug-in setzt, das auf den Clients installiert werden muss.

• Pro: breite Produktpalette, konsolidierte Verwaltung

• Kontra: teuer

Fortinet

Die NGFW-Produktlinie von Fortinet heißt FortiGate und ist in Hardware-Form, als virtuelle Appliance und als FWaaS (FortiSASE) erhältlich. Mit den Produkten FortiManager und FortiGate Cloud bietet das Unternehmen zentralisierte Management-Plattformen. Die Produkte von Fortinet bietet Funktionen wie Secure Email Gateway (SEG), Web Application and API Protection (WAAP), Network Access Control (NAC), Identity and Access Management (IAM), Security Operations Center (SOC) as a Service, SASE und Zero Trust Network Access (ZTNA).

Mit seinem Fabric Management Center bietet das Unternehmen auch die Möglichkeit, Network Operations Center (NOC) und SOC-Betrieb zu integrieren. Darüber hinaus ermöglicht es Fortinet Endpoint Detection and Response (EDR), erkannte Bedrohungen zu Analysezwecken in einer Sandbox zu isolieren, um eine Ausbreitung zu verhindern.

Fortinet verfügt nicht über eine spezielle Container-Firewall und benötigt grundlegende Verwaltungsfunktionen über ein verteiltes Plug-in. Außerdem hinkt das Unternehmen bei der Einführung von Cloud Points of Presence (PoPs) und der geografischen Verteilung seiner PoPs im Vergleich zu anderen Anbietern hinterher.

• Pro: starke Produktlinie, integriertes Management

• Kontra: fehlende globale PoPs

Cisco

Mit seinen Produkten Cisco Secure Firewall, Cisco Secure Workload und der Meraki MX-Serie Intrusion Prevention bietet Cisco unter anderem erweiterten Malware-Schutz, Cloud-basiertes Sandboxing, URL-Filtering, Network-Traffic-Analysen un einen Cloud Access Security Broker (CASB). Zentral gemanagt werden die Funktionen über das Umbrella Secure Internet Gateway für FWaaS, das Cisco Firewall Management Center für On-Premises-Appliances und den Cisco Defense Orchestrator für Cloud-basierte Lösungen sowie ein Multi-Cloud-Management- und Kontrollprodukt.

Die SecureX Extended Detection and Response (XDR)-Plattform bietet XDR ohne zusätzliche Kosten und ermöglicht es, Bedrohungen zu erkennen, zu verfolgen und zu beseitigen. Darüber hinaus unterstützt Cisco das quelloffene Snort Intrusion Detection System/Intrusion Prevention System (IDS/IPS).

Cisco bietet mehrere Firewall-Produktlinien für unterschiedliche Anwendungsfälle an, statt nur eine Plattform zu verwenden. Das Umbrella-Produkt bietet keine integrierte SASE-Lösung und erfordert mehrere verschiedene Abonnements um zusätzliche Produkte wie Cloudlock (Ciscos eigenständige CASB) und ein SD-WAN über die Meraki-Produkte nutzen zu können.

• Pro: umfangreiches Produktangebot

• Kontra: eventuell zu umfangreich

Check Point Software

Angriffe zu verhindern und zu blockieren ist der Fokus von Check Point. Das Unternehmen bietet sowohl Hardware-basierte (Quantum) als auch virtuelle Appliances und Cloud-Sicherheitsprodukte (unter der Marke CloudGuard) an. Als Teil seiner SASE-Lösung bietet Check Point auch ein FWaaS-Produkt (Harmony).

Check Point bietet zentralisierte Management- und Monitoring-Portale sowohl On-Premises (Quantum Security Management) als auch in der Cloud (Infinity Portal) sowie Infinity SOC, das SOAR (Security Orchestration, Automation and Response) und CloudGuard (das Gegenstück zur Cloud Security) umfasst. In Sachen SD-WAN bietet Check Poit keine eigene Lösung an, sondern arbeitet stattdessen mit Partnern zusammen.

• Pro: fokussierte Sicherheitslösungen

• Kontra: kein integriertes SD-WAN

Juniper

Seine Service-Gateways der SRX-Serie bietet Juniper als Appliances auf Hardware-, virtueller (vSRX) und Container-Basis (cSRX) an. vSRX kann auf dem kundeneigenen Hypervisor, in AWS, Azure, Google Cloud, IBM Cloud und Oracle Cloud gehostet werden. Darüber hinaus bietet das Unternehmen etwa Security Information and Event Management (SIEM), Distributed Denial of Service (DDoS) Mitigation und Threat Intelligence, sowie erweiterte Funktionen zur Erkennung von Bedrohungen im Bereich IoT-Sicherheit.Juniper unterhält außerdem Partnerschaften für ICS- und SCADA-Umgebungen und kombiniert dazu Daten seines eigenen Threat Prevention Service mit denen einer Drittquelle, um Firewalls flexibel an neue Bedrohungen anpassen zu können, sobald diese auftauchen.

In Sachen FWaaS und SASE ist Juniper erst spät auf den Zug aufgesprungen. Das Unternehmen konzentriert sich mehr auf Netzwerke und seine Sicherheitsprodukte spiegeln das wider. Deshalb stuft Gartner das Unternehmen im NGFW-Bereich als Herausforderer ein. Das Cloud-basierte Sicherheitspaket Juniper Secure Edge ist Teil von Junipers SASE-Architektur, ergänzt Firewall-as-a-Service-Funktionen und erweitert die Security-Director- Cloud-Management-Plattform.

• Pro: erweiterte Bedrohungserkennung

• Kontra: behäbige Einführung von FWaaS und SASE

SonicWall

Next-Generation Firewalls gibt es bei Sonic Wall in drei verschiedenen Hardware-Appliance-Produktlinien (TZ-, NSa- und NSsp-Serie). Darüber hinaus bietet das Unternehmen auch eine Virtual Appliance Firewall (NSv-Serie). Die NSv-Produkte können auf dem kundeneigenen Hypervisor gehostet werden oder sind auf den Marktplätzen von Amazon und Azure zu finden. Darüber hinaus bietet SonicWall mit Cloud Edge integrierte EDR-, SEG-, ZTNA- und CASB-Funktionen sowie einen SD-WAN-Workflow, um das Onboarding von Zweigstellen zu vereinfachen.

SonicWall Cloud App Security bietet zudem CASB-Funktionen für SaaS-Anwendungen – mit Schwerpunkt auf Microsoft 365, Google Workspace, Box und Dropbox. Mit dem Network Security Manager bietet SonicWall eine zentrale Verwaltung für SonicWall Switch, SonicWall Access Point und SonicWall Next-Gen Endpoints. Eine containerisierte Firewall, FWaaS oder identitätsbasierte Produktangebote fehlen in der Produktpalette.

• Pro: hochwertige Produkte

• Kontra: FWaaS und Container fehlen

Sophos

Der Sicherheitsanbieter hat Hardware-Firewalls (XGS Series und SD-RED), ein Cloud Security Posture Management (CSPM)-Produkt (Cloud Optix), Endpoint- und Server-Schutz (Intercept X) sowie Produkte für EDR und ZTNA im Programm. Mit Managed Threat Response bietet Sophos zudem SOC-Funktionen als Managed Service über ein zentrales Management-Portal (Sophos Central) an. FWaaS oder eine containerisierte Firewall gehört jedoch nicht zum Portfolio.

Das CSPM-Produkt nutzt die Vorteile von Infrastructure as a Service (IaaS)-Tags nicht in vollem Umfang, was die Implementierung von Firewall-Regeln erschwert.

• Pro: Managed Threat Response

• Kontra: weder FWaaS noch Container

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.