Pavel Ignatov - Fotolia

6 Kaufkriterien für Next-Generation Firewalls

Next-Generation Firewalls sind zu einer wichtigen Sicherheitskomponente geworden. Im zweiten Teil der NGFW-Serie geben wir Tipps zur Kaufentscheidung.

Im ersten Teil unserer Serie zu Next-Generation Firewalls wurden die wichtigsten Fakten zu diesen Lösungen zusammengetragen. Im zweiten Teil beschäftigt sich unser Experte mit den Kaufkriterien für NGFW und fasst die sechs wichtigsten zusammen.

NGFWs sind Security-Produkte, die auf Hard- und Software basieren. Sie erkennen und blockieren Angriffe besser als herkömmliche Firewalls. Es gibt derzeit mehr als ein Dutzend NGFWs und obwohl sie alle mehr oder weniger die gleichen Schutzfunktionen wie punktuelle Lösungen bieten (IDS, IPS, QoS, Applikations-Kontroll-Systeme), verfügen sie doch über vergleichsweise signifikante Unterschiede. So offerieren einige Hersteller UTM-Produkte und NGFWs separat für kleine und mittelgroße Unternehmen (KMU), während andere Anbieter UTM-Funktionen in ihren NGFW-Produkten integrieren.

Egal, was die Hersteller als NGFW-Produkt bezeichnen, der Anwender muss die genauen Features der NGFW-Produkte kennen, um Entscheidungen treffen zu können. Um die beste Wahl für die eigene Unternehmensumgebung treffen zu können, haben wir hier einige Bewertungskriterien zusammengefasst. Zudem sind hier Fragen aufgelistet, die beim Vergleich helfen sollen.

Typ der Plattform

Wie wird die NGFW bereitgestellt? Die meisten NGFWs sind hardware- oder softwarebasiert oder sind Cloud-basiert (SaaS). Hardwarebasierte NGFWs sind besser für große und mittelständische Unternehmen geeignet. Softwareprodukte eignen sich für kleine Firmen mit einfachen Netzwerkstrukturen. Cloud-basierte Lösungen lassen sich in dezentralisierten, Multi-Standort-Umgebungen oder in Unternehmen einsetzen, in denen die Verwaltungsfachkräfte fehlen oder versetzt werden sollen.

Funktionsumfang

Nicht alle NGFW-Funktionen sind bei allen Herstellern gleich verfügbar. Zu den Funktionen gehören üblicherweise inline DPI, IDS/IPS, Applikations-Inspektion und -Kontrolle, SSH/SSL-Inspektion, Webseitenfilter und QoS/Bandbreiten-Management. Mit diesen lassen sich Netzwerke gegen aktuelle Bedrohungen, Angriffe und Eindringlinge schützen. Zudem offerieren die meisten NGFWs Threat Intelligence, Mobile Device Security, DLP, Active-Directory-Integration sowie eine offene Architektur, die es Anwendern ermöglicht, Applikationskontrollen und Firewall-Regeln anzupassen.

Die zahlreichen Funktionen der NGFWs mögen nicht immer komplementär zu traditionellen Produkten sein, was das Abwehren von Angriffen erschweren könnte. Ein Beispiel: Die NGFW-DLP ist nicht auf dem gleichen Stand eines umfassenden DLP-Produkts. Ebenso kann es sein, dass die NGFW-Applikations-Kontrolle zwar Identifizierung und Authentifizierung bestimmter Anwendungen, Nutzerzugriffe und zusätzliche Genehmigungen (Time-of-Day, Upload/Download) zur Verfügung stellt, nicht aber ein Filtern von Deep Packets oder des Inhalts der Anwendung.

Hier muss das Unternehmen wissen, was es erwirbt und ob das Produkt das gewünschte Niveau an Schutz für jeden spezifischen Security-Bereich bereitstellen kann.

Performance

Da NGFWs viele Funktionen integrieren, sind sie für viele Firmen interessant. Allerdings könnte das Aktivieren aller Funktionen zu Performance-Problemen führen. Die NGFW-Metriken wurden über die Jahre zwar verbessert, aber der Anwender muss sich über diese Korrelation im Klaren sein, bevor er sich für ein NGFW-Produkt entscheidet. Dementsprechend muss er abwägen, welche Funktionen er unbedingt nutzen will und wie sich dies auf die Performance auswirken könnte.

Im Oktober 2014 veröffentlichte NSS Labs eine vergleichende Studie von 12 NGFWs, die drei Kriterien abdeckte: Security, Performance und Total Cost of Ownership (TCO). Im Resultat erhielten sieben Produkte ein „empfehlenswert“, da sie einen guten TCO pro geschützten Mbps bieten. Beim Test der Performance stellte NSS Labs Durchsatzunterschiede von 719 Mbps bis 18.771 Mbps. Dabei lagen die Herstellerangaben bei zwei Produkten weitaus höher als der eigentlich ermittelte Performance-Wert.

Verwaltbarkeit

Dieses Kriterium umfasst die Konfigurationsanforderungen und die Bedienbarkeit der Management-Konsole des Systems. Im Magic Quadrant für Enterprise Network Firewalls von Gartner gehörten der Betrieb und die Verwaltbarkeit zu den wichtigsten Bewertungskriterien. Hier wurde vor allem geprüft, wie die NGFW komplexe Umgebungen mit vielen Firewalls, zahlreichen Nutzern und kleinen Zeitfenstern für Firewall-Veränderungen verwaltet.

Konfigurationsänderungen und das Nutzer-Interface der Management-Konsole sollten umfassend, flexibel und einfach zu nutzen sein. Es sollte somit genügend Funktionen bereitstellen, so dass keine weiteren punktuellen Lösungen mehr erforderlich sind. Des Weiteren sollten aber Funktionen, die nicht gebraucht werden, auch nicht vorhanden sein. Darüber hinaus sollte die Verwaltungskonsole einfache Bedienung gewährleisten, indem sie individuelle, intuitive Feature-Dashboards und Reportings offerieren.

Preis

Die Preise von NGFW-Hardware, Softwareprodukten und Cloud-basierten Lösungen variieren stark, je nach Hersteller und Modell. Preise können zwischen 600 und 80.000 US-Dollar pro Gerät liegen. Manche Angebote werden nach Nutzeranzahl lizensiert. Alle Anbieter haben separate Serviceverträge.

Hier muss der Anwender sehr genau darauf achten, welche Funktionen er benötigt, wie hoch das Budget ist und worauf das Unternehmen definitiv nicht verzichten kann. Wenn möglich sollte man keine Einzelhandelspreise zahlen. Viele Hersteller geben Mengenrabatt oder einen Preisnachlass, wenn zukünftige Käufe in Aussicht stehen.

Im Allgemeinen ist der Preis ein Faktor, der den TCO bestimmt, die Kosten der NGFW und deren Betrieb. Das heißt, der TCO setzt sich nicht nur aus der Kaufinvestition zusammen, sondern auch aus Kosten für Betrieb, Wartung, Support und Nutzung.

Support

Im Magic Quadrant für NGFW wurde auch der Support als Bewertungskriterium betrachtet. Da NGFWs unternehmenskritische Komponenten sind, ist ein schneller und korrekter Support essentiell. Fragen Sie nach Referenzen und fragen Sie den Hersteller nach Kundenreferenzen oder -kontakten.

Zu den Support-Kriterien für NGFWs gehört die Reaktionsfähigkeit, gelistet je nach Serviceanfrage, Qualität und Genauigkeit des Service, Aktualität der Updates sowie Kundenschulungen und der Reaktionsfähigkeit auf aktuelle Geschehnisse.

Zusammenfassung

Um Attacken des Netzwerks zu vereiteln, geht man auch immer ein gewisses Risiko ein. Der Grad an Schutz (Kontrolle) sollte dem Wert der Ressourcen (Risiko) entsprechen. Ein Unternehmen muss sich Hersteller von NGFWs und deren Produkte genau ansehen und dann ein Produkt wählen, das ihrer IT-Umgebung und dem Geschäftsmodell entspricht.

Um dies tun zu können, müssen die oben aufgeführten sechs Kriterien in Betrachtung gezogen werden. Danach muss der Anwender noch den TCO der in Frage kommenden Produkte prüfen und das wählen, das den Unternehmensvorgaben am ehesten entspricht.

Darüber lässt sich mit Proof-of-Concept-Tests feststellen, ob die ausgewählte NGFW auch in die Unternehmens-IT-Infrastruktur passt. Einige Hersteller bieten hier einfache Installationen an, für andere Produkte muss genau geplant und getestet werden, bevor sie implementiert werden.

Ebenso wichtig ist es, erfahrene Fachleute in der IT-Mannschaft zu haben. Und nicht zuletzt: Kaufen Sie am Quartals- oder Monatsende, da hier oft mehr Verhandlungsspielraum vorhanden ist.

Im nächsten Teil unserer NGFW-Serie beschäftigen wir uns mit Herstellern und Produkten und schauen, wie sie die hier aufgeführten Kriterien bedienen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit