top of page

Die perfekte Firewall? Gibt es.

Lesen Sie jetzt unsere Markteinschätzung.
Unsere betrachteten diese Firewallhersteller:
 
firewall.png

Vorwort

 

Die IT-Sicherheit wird seit Jahrzehnten durch Firewalls-Komponente bestimmt, welche Datenpakete anhand festgelegter Regeln weiterleitet oder eben blockiert. Ursprünglich filterte die Firewall anhand von IP-Adressen und logischen Kommunikationsportnummern. Sie erkannte automatisch den antwortenden Datenpakete, so dass die Verbindungen vereinfacht nur einmal, bspw. vom Innennetz Richtung Internet, freigeschaltet werden müssen.

Im Laufe der Zeit kamen weitere Funktionen hinzu, mit welchen sich zeitgemäße IT-Sicherheitszonen und kluge Ernennungen abbilden lassen.

(Eine DMZ wird bzw. durch zwei Firewalls eingegrenzt, siehe -> DMZ.)

Stateful Firewall

Eine klassische "stateful" Firewall verfügt über ein Regelwerk, in dem die Verbindungswege einseitig erlaubt werden. Der dazugehörige zurückkommende Antwort-Traffic wird automatisch erlaubt.

(Technik: Die Firewall erkannt anhand der TCP- u. UDP-Parameter, das eine Verbindung aufgebaut wird, und merkt sich die dazugehörigen IP-Adressen und die logischen Portnummern. Komme die IP-Adressen und Portnummern invertiert als Antworttraffic zurück, werden die IP-Pakete ebenso erlaubt.

 

Next-Generation Firewall (NGFW)

Was ist eine Next-Generation Firewall (NGFW)? Eine Next-Generation Firewall (NGFW) berücksichtigt neben den IP-Adressen und den TCP- u. UDP-Portnummern auch noch Parameter aus höheren Kommunikationsschichten.

Dazu gehören:

  • User (User Identity) und

  • Applikationen (Application Awareness).

 

Zudem verfügt eine Next-Generation Firewall (NGFW) über weitere Enterprise Funktionen, wie dem erweiterten Logging und die Kopplungsmöglichkeit mit anderen IT-Systemen.

 

Da eine Next-Generation Firewall (NGFW) die Datenpakete betrachten kann, sind die weiteren Sicherheitsfunktionen "Advanced Thread Prevention", "Intrusion Detection/Prevetion System" und "Data Loss Prevention" (DLP) zusätzlich nutzbar.

Firewall in Zeiten von Zero Trust und Microsegmentierung

Hat die Firewall in Zeiten von Zero Trust und Microsegmentierung noch Ihren Platz?

Unverändert ja.

Denn: der Schutz von IT-Infrastruktur wird unverändert durch spezialisierte Komponenten erfolgen. Zudem wird es zukünftig eher ein Kombinationen von verschiedenen IT-Sicherheitsumgebungen geben. Daher glauben wird, das eine Firewall bis mindestens 2040 Ihren Stellenwert behalten wird. Ergänzend wird das "Policy Enforcement" an die Schnittstellen zu den IT-Komponenten erfolgen.

Betrachtungsweise

Nachfolgend betrachten wir die Firewalls anhand unserer Erfahrung beim Kunden und anhand der Rückmeldung durch unsere Kunden.

Relevant sind dabei

  • technische Integration in die IT-Sicherheitsumgebung 

  • Anwendung im Betrieb in Hinblick auf eine hohe IT-Sicherheit

  • technische Flexibilität

 

Die Bewertung ist subjektiv, spiegelt jedoch ausreichend interne und externe Erfahrung wieder.

Vorweg: Welcher Firewallhersteller ist am besten geeignet? Der, mit dem sie im täglichen IT-Betrieb am besten klarkommen. Die IT-Sicherheit ist bei allen Produkten hoch und sehr hoch. Die professionelle Anwendung und die gute Integration in die Betriebsprozesse entscheidet über die IT-Sicherheit.

Check Point

 

Check Point Firewalls - der Klassiker schlechthin.​

Gilt das auch noch heute? Ja.​

Wir konnten ab circa 2022 beobachten, das Check Point, früher fest gesetzt bei allen großen Unternehmen, sich aktiv um das Marketing kümmert, und damit die Qualität zeitgemäß kommuniziert.

Die zwischenzeitlich aufbekomme Kritik bei der Software rund um R.80 empfanden auch wir als berechtigt. Allerdings: Ausgehend, dass man bei Check Point keine Fehler erwartet. 

Funktion

Check Point bietet ein breites Spektrum an Sicherheitslösungen. Die nun als "Quantum Gateways" bezeichneten Firewalls sind sicherlich momentan noch unverändert in der allgemeinen Wahrnehmung der Kern von Check Point. Allerdings sind die weiteren Lösungen zum Teil noch spektakulärer.

Quantum Gateway:
Die bewährte Next-Generation Firewall (NGFW) mit einer Angriffserkennung auf allen Ebenen und mit Hardwarelösungen vom Homeoffice bis zum Datacenter mit bis zu 1,5 Terrabits pro Sekunde!

Ist es die fast 100% Erkennungsrate, welche die Check Point Firewalls so präsent im Markt hält? Vermutlich ist das eine notwendige Bedienung. Die Rückmeldungen besagen, es ist das führenden Firewallmanagement.

Durch die Trennung des Betriebssystem Gaia und der eigentlichen Firewallsoftware lassen sich Funktionen wie Routing vom Firewallregelwerk getrennt betrachten und betreiben.

Hinzugekommen ist die SD-WAN-Funktionalität, welche sehr ausgereift wirkt, aktuell jedoch noch nicht für IPv6 verfügbar ist. Auf Nachfrage versicherte uns Check Point, das IPv6 im SD-WAN fest auf der Roadmap steht.

Check Point lässt sich gut in die gängigen Cloud-Plattformen integrieren.

Betrieb und Firewallmanagement

Ein separates Firewallmanagementsystem, welche sehr angenehmen alle Securityänderungen ermöglicht und revisionssicher vorhält, und (bei Bedarf zeitverzögert) auf allen betroffenen Firewalls ausrollt - perfekt!

Eine Bedienung der Firewalls ist zudem auch per Weboberfläche möglich. Diese Möglichkeit kam neu hinzu und ist hier und dort noch etwas eingeschränkt, aber die Tendenz geht klar in Richtung Webbedienung als zusätzliche Möglichkeit.

(Die Smartconsole wird die Weboberfläche vermutlich nicht ersetzten.)

Eine API-Steuerung ist zudem sehr gut möglich.

 

Für potentielle Kunden ist es wichtig zu wissen, das eine Check Point Firewall sehr viele Funktion, inclusive "advanced thread prevetion", bereits am Board hat. Im Sinne des umfassenden Schutzes ist dies in den meisten Anwendungsfällen sinnvoll.

Die Funktion "Sandblast" prüft zudem in einer abgegrenzten Umgebung fragwürdigen Traffic.

Fazit

In professionellen Umgebungen und in Umgebungen mit wenig IT-Personal empfehlen wir Check Point, da die angenehme, fast schon intuitive Bedienung ein operativer Vorteil ist. Die hohe Sicherheit und die ausgereifte, sehr stabile Software sind weiter Gründe für Check Point Firewalls.

Zudem lassen sich alle Check Point Gateway, egal ob das Check Point Firewall mit WLAN für das Homeoffice, also auch die skalierbaren Datacenter-Firewalls in der gleicher angenehmen Managementoberfläche betreuen.​

Cisco ASA / Firepower

 

Die Cisco ASA Firewalls waren seinerzeit sehr weiter verbreitete und beliebte Firewalls, wenn es um Übergang ins Internet und um die VPN-Kopplung ging. Die Betriebsstabilität der Cisco ASA ist sehr hoch, der Funktionsumfang in Hinblick auf die "Next Generation"-Features ist eingeschränkt.
​​

Funktion

Mittlerweile setzt die ASA auf eine Cisco-Hardware auf, welche eher an einem Server mit einer Virtualisierung erinnert.​ Das "Serverbetriebessystem" heißt FXOS (FirePOWER Extensible Operating System)

Die neue Cisco Firewall "Firepower" stellt sich als moderne und optisch ansprechend "Next Generation"-Firewall dar. Mit einer klaren, frische Benutzeroberfläche, einer guten Benutzerführung und viele FW-Funktionen wirkt die Cisco Firepower Firewall sehr angenehm. 

Für kleinere und mittlere Kunden ist diese Firewall interessant. Für den Betrieb in sehr großen Umgebungen fehlt es der Firewall unserer Meinung nach noch an ausreichend Referenzen. Hier mag das relativ neue Produkt und an Grenzen stoßen. Zudem wirkt "Snort" als tiefe Paketerkennung immer noch etwas separat und noch nicht voll integriert.

Ebenso ist es im Troubleshooting gewöhnungsbedürftig, dass unterschiedliche Ebenen der Virtualisierung die Bedienung per CLI erschweren.

Betrieb und Firewallmanagement

Die ASA lässt sich per ASDM, oder in größeren Umgebungen per CSM bedienen.

- ASDM: Liest die Konfig der ASA ein, und andert die Konfig durch direktem Zugriff, vergleichbar mit einem Webbrowser

- Der "Cisco Security Manager" CSM bearbeitet dagegen die ASA-Konfig offline, und scheibt die gesamte (geändert) Konfig auf Knopfdruck komplett auf di ASA.

Fazit

In professionellen Umgebungen und in Umgebungen mit wenig IT-Personal empfehlen wir Check Point, da die angenehme, fast schon intuitive Bedienung ein operativer Vorteil ist. Die hohe Sicherheit und die ausgereifte, sehr stabile Software sind weiter Gründe für Check Point Firewalls.

Zudem lassen sich alle Check Point Gateway, egal ob das Check Point Firewall mit WLAN für das Homeoffice, also auch die skalierbaren Datacenter-Firewalls in der gleicher angenehmen Managementoberfläche betreuen.​

Fortinet

 

Fortinet schafft es mit seinen eigenen Chips und FPGAs, sehr performante Firewalls abzuliefern. Diese Performance ist zudem oft preiswert zu erhalten.

Die Funktion und Bedienung sind ebenfalls angenehm. 

Funktion

Eine sehr betriebsstabile Firewall, ein gut funktionierendes Failover und eine fast gut zu bediene CLI sorgen für einen robustes Eindruck. 

Den Firewalls nimmt man eine gewissenhafte Sicherheitsüberprüfung ab, auch wenn die erweiterten Funktionen sicherlich sehr gut vorhanden, aber eben nicht "native" der Fokus dieser Netzwerkfirewalls sind.

Natürlich bietet Fortinet von der Endgerätesicherheit über NAC, Proxy und WAF alle Produkte im IT-Securityumfeld, die man im engagierten Kundenumfeld benötigt.

Zudem möchte Fortinet auch weitere Komponenten, wie aktuell die LAN-Switches und WLAN-Accesspoints beim Kunden platzieren.

Ebenso wird der FortiSIEM bspw. auch von Kunden ohne Fortinet-FW gerne als zentrale Ereignismonitor verwendet.

Betrieb und Firewallmanagement

Die hohen Betriebsstabilität und die guten Troubleshootingmöglichkeiten per CLI sind fallen positiv aus. Ebenso gestaltet sich der Updateprozess unkompliziert.

Die Firewall kann sehr gut per Webbrowser und per CLI bedient werden.

Fazit Fortinet

 

Fortinet hat sich sehr stabile Kundenbasis, insbesondere im Industrieumfeld, erarbeitet. Eine sehr betriebsstabile Firewall mit einer zuverlässigen Sicherheit sorgen bei mittleren Kunden für einen unauffälligen Betrieb.

Die vielen Funktionen aus dem Netzwerkumfeld fühlen sich gut an.

Hier und dort mag in komplexeren Situationen die technische Flexibilität fehlen und die Integration der Softwarelösungen mehr oder weniger perfekt sein. Leider fällt das oft nicht auf, da die Firewalls ihren überwiegenden Einsatz unter ihren eigentlichen Möglichkeiten haben.

OPNsense

 

Bei der freien Open source Firewall "OPNsense" schlagen zwei Herzen in unserer Brust.

 

Die OPNsense-Firewall ermöglicht es engagierte Unternehmen, einen hohen Grad an Netzwerksicherheit zu erreichen. Die Funktionen der OPNsense-Firewalls im Sicherheits- und Netzwerkumfeld lassen wenig Wünsche offen. Allerdings: Man muß sich mit einer OPNsense fachlich auseinander setzten.

 

Die open Source Firewall garantiert nichts (ohne passenden Wartungsvertrag) und hält sehr viel.

Funktion

Basierend auf FreeBSD und dem dortigen Firewallmodul "pf" entstand eine gute stateful-Firewall. (Entstand: OPNsense trägt die Gedanken der pfsense als open Source weiter.)

Die erweiterten Funktionen bieten die zum Teil gleich mit installierten Module. Damit gibt es eigentliche alle Möglichkeiten, mit der OPNsense eine Netzwerkabsicherung vorzunehmen, und sein LAN, DC und WAN zu betreiben.

Betrieb und Firewallmanagement

Perfekt ist, dass die Konfiguration als XML-File exportiert werden kann. (Kann die Datei auf eine andere Hardware übertragen werden? Nein, dazu ist oft eine Anpassung der Interfacenamen im XML-File notwendig.

Für den professionellen Einsatz empfehlen wir die kostenpflichtige Businessedtionen.

Darüber hinaus ist die Firewall per Weboberfläche, per API und zum Teil per ssh steuerbar.

Fazit OPNsense

 

Schnelle Projekte: Perfekt.
In einer Linux/Unix-affinen Firma: perfekt.

Erwarten, dass die Firewall jahrelang und ohne spezielles Wissen betrieben werden kann? Eher nein.

Bedenkenlos Updates ohne Fachwissen durchführen? Das ist bei allen Firewall riskant. Sollten sie über kein OPNsense Know-how verfügen, sollten sie sich den Support über einen Wartungsvertrag hinzukaufen.

iternas Blogbeitrag: OPNsense-Firewall: Eine Übersicht

Palo Alto

 

Das Verwenden von Applikations- und Usererkennung anstelle von IP-Adressen und logischen Portnummer ist jeher das entscheidende Merkmal von Palo Alo Firewalls. Ehemalige Entwickler von Check Point Firewalls führten diesen Paradigmenwechsel marketingwirksam bei Palo Alto durch.

Unterstütz durch einen sehr aktiven Vertrieb gelang es Palo Alto, seine Firewalls gut sichtbar am Markt zu platzieren.

Funktion

Der integrierte Software, welche Firewall und Betriebssystem vereint, merkt man seine Netzwerkwurzeln an. Neben Firewalls bietet Palo Alto auch Client-Schutz an. Alle Produkte greifen nahtlos ineinander über und schaffen somit eine runde Geschichte, die im Marketing sehr gut aufbereitet wird. 

Betrieb und Firewallmanagement

Für erfahren Netzwerker ist die Firewall daher angenehm über eine umständliche CLI als auch gut über das Webfrontend bedienbar.

Am Ende läuft es, nach Willen von Palo Alto, auf die Verwaltungsserver "Panorama" hinaus.

Gut ist, das die Konfig als xml-Datei oder als Textdatei mit "set"-Befehlen lesbar abgespeichert werden kann.

Fazit Palo Alto

 

Palo Alto ist sehr vertriebsstark, zum Teil wird das Verhalten als agressiv wahrgenommen. Ist man einmal in den "Fängen" von Palo Alto, können vertrieblich getriebene Telefonate von Palo Alto an verschiedene Entscheider beim Endkunden erfolgen. Das führt mitunter zu Irritationen beim Kunden.
Das hohe Selbstbewusstsein von Palo Alto mag erfolgreich sein, mag aber ebenfalls als irritierend empfunden werden.

Wir bei iternas supporten die Komponenten von Palo Alto gerne und viel. Allerdings haben wir uns gegen ein Partnermodell mit Palo Alto entschieden, da die Art der Kundenzusammenarbeit und der Zeithorizont bei uns abweichend ist.

Betrieb und BSI

Die Dokumentation ist eine wichtige Basis für den Nachweis zur Erfüllung der BSI-Anforderungen.Ein aktives Schwachstellenmanagement und ein SOC/NOC bilden die operativen IT-Seczrutybetrieb ab.

 

 

Neben dem Baustein Net.3.2 sind neben dem Kompletten  folgende Anforderungen aus dem BSI IT-Grundschutzkompendium zu beachten:

Text

Des Weiteren sind auch folgende Anforderungen aus dem BSI IT-Grundschutzkompendium zu beachten:

Basis-Anforderungen
NET.1.1.A2 Dokumentation des Netzes (B) [IT-Betrieb]
NET.1.1.A3 Anforderungsspezifikation für das Netz (B)
NET.1.1.A8 Grundlegende Absicherung des Internetzugangs (B)
NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauens-würdigen Netzen (B)
NET.1.1.A10 DMZ-Segmentierung für Zugriffe aus dem Internet (B)
NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das inter-ne Netz (B)
NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B)
NET.1.1.A15 Regelmäßiger Soll-Ist-Vergleich (B)

Standard-Anforderungen:
NET.1.1.A18 P-A-P-Struktur für die Internet-Anbindung (S)
NET.1.1.A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen (S)
NET.1.1.A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design (S)
NET.1.1.A26 Spezifikation von Betriebsprozessen für das Netz (S)
NET.1.1.A27 Einbindung der Netzarchitektur in die Notfallplanung (S) [ITBetrieb]


Da viele Firewallsysteme auf die Informationen eines Active Directory zurückgreifen, um bspw. die User unabhängig ihrer IP-Adressen erkennen zu können, sollte auch der Baustein „APP.2.2 Active Directory Domain Services“ vorhanden sein.  

 

Zusätzlich relevant können durch die neue Einbindung des AD auch Bausteine wie „APP.2.2 Active Directory Domain Services“ sein. Ein Beispiel: APP.2.2.A6 Sichere Konfiguration von Vertrauensbeziehungen (B)

...

Text​

Funktion

Eine sehr betriebsstabile Firewall, ein gut funktionierendes Failover und eine fast gut zu bediene CLI sorgen für einen robustes Eindruck. 

Den Firewalls nimmt man eine gewissenhafte Sicherheitsüberprüfung ab, auch wenn die erweiterten Funktionen sicherlich sehr gut vorhanden, aber eben nicht "native" der Fokus dieser Netzwerkfirewalls sind.

Natürlich bietet Fortinet von der Endgerätesicherheit über NAC, Proxy und WAF alle Produkte im IT-Securityumfeld, die man im engagierten Kundenumfeld benötigt.

Zudem möchte Fortinet auch weitere Komponenten, wie aktuell die LAN-Switches und WLAN-Accesspoints beim Kunden platzieren.

Ebenso wird der FortiSIEM bspw. auch von Kunden ohne Fortinet-FW gerne als zentrale Ereignismonitor verwendet.

Betrieb und Firewallmanagement

Die hohen Betriebsstabilität und die guten Troubleshootingmöglichkeiten per CLI sind fallen positiv aus. Ebenso gestaltet sich der Updateprozess unkompliziert.

Die Firewall kann sehr gut per Webbrowser und per CLI bedient werden.

Fazit Fortinet

 

Fortinet hat sich sehr stabile Kundenbasis, insbesondere im Industrieumfeld, erarbeitet. Eine sehr betriebsstabile Firewall mit einer zuverlässigen Sicherheit sorgen bei mittleren Kunden für einen unauffälligen Betrieb.

Die vielen Funktionen aus dem Netzwerkumfeld fühlen sich gut an.

Hier und dort mag in komplexeren Situationen die technische Flexibilität fehlen und die Integration der Softwarelösungen mehr oder weniger perfekt sein. Leider fällt das oft nicht auf, da die Firewalls ihren überwiegenden Einsatz unter ihren eigentlichen Möglichkeiten haben.

bottom of page