Next-Generation Firewall-Appliances im Fokus: Ein Grundstein der Netzwerksicherheit

Autor: Dr. Götz Güttich

In unserem aktuellen Themenfokus befassten wir uns bei Sysbus mit Next-Generation Firewall-Appliances. Diese stellen einen der wichtigsten Bausteine der IT-Security dar und verfügen über eine Vielzahl an Funktionen. Dieser Beitrag geht darauf ein, was man bei der Auswahl einer solchen Appliance beachten sollte.

Die Check Point 3200 Appliances sind für kleine Unternehmen gedacht (Bild: Check Point)

Next-Generation Firewalls, oder kurz NGFWs, kommen in der Regel zwischen dem lokalen Netz eines Unternehmens und dem Internet zum Einsatz. Dort überwachen und filtern sie den Datenverkehr in beide Richtungen, also sowohl vom Unternehmensnetz aus ins Internet, als auch vom Internet ins LAN.

Die Check Point 6500 fungiert als Security Gateway für große Unternehmen (Bild: Check Point)

Damit haben sie nicht nur die Aufgabe, die Datenübertragungen abzusichern, sondern stellen in der Regel auch zusätzliche Funktionen bereit. Beispielsweise bieten sie Web-Filter, die dabei helfen, den Zugriff der User im Netz auf erlaubte Internet-Ressourcen zu beschränken. In der Regel verfügen sie darüber hinaus auch noch über Virtual Private Network-Funktionalitäten (VPN) und sorgen so dafür, dass mobile Anwender und Außenstellen von der Ferne aus auf eine sichere Art auf Weise auf die Ressourcen des Unternehmens zugreifen können.

Die Firepower 2100-Serie von Cisco (Bild: Cisco)

Sicherheits-Features

Wenden wir uns an dieser Stelle aber den Sicherheits-Funktionen zu, mit denen die NGFWs den Datenverkehr zwischen LAN und WAN schützen. Diese stellen die Grundfunktionalität der genannten Appliances dar. Zunächst einmal ist in diesem Zusammenhang eine Paketfilter-Firewall zu nennen. Diese ermöglicht es dem Administrator, Firewall-Regeln zu definieren, die beispielsweise sämtlichen HTTP- und HTTPS-Verkehr vom LAN ins Internet zulassen, um den Benutzern im Unternehmensnetz Zugriff auf das World Wide Web zu ermöglichen. Parallel dazu lassen sich andere Regeln implementieren, die zum Beispiel den E-Mail-Zugriff via IMAP und POP3 auf Mail-Server erlauben oder auch FTP- und Telnet-Zugriffe ins Internet untersagen, damit keine unverschlüsselten Passwörter über unsichere Netze übertragen werden.

Die Barracuda CGF Status Map zeigt die Status Map eines Firewall Control Centers. Die Status Map präsentiert alle notwendigen Daten über den Sicherheitsstatus auf einen Blick und bietet auch die Möglichkeit gezielter Drill-Downs. (Bild: Barracuda)

Gleichzeitig besteht bei Bedarf auch die Option, SSH-Zugriffe zu Wartungszwecken von außen in das Unternehmensnetz zuzulassen. Diese Beispiele zeigen bereits, dass es in professionellen Umgebungen nicht ausreicht, eine Firewall zu implementieren, die allen Verkehr von innen nach außen zulässt und gleichzeitig alle Datenübertragungen von außen nach innen unterbindet. Eine solche Konfiguration kann bestenfalls ein Notnagel sein, der zum Einsatz kommt, während die Administratoren den genauen Bedarf an zu erlaubenden Protokollen ermitteln und die entsprechenden Policies anlegen.

Die Barracuda Web Application Firewall 460 (Bild: Barracuda)

Um dieses Vorgehen reibungslos umzusetzen, sollten die verwendeten Sicherheitslösungen einen Monitor-Only-Modus anbieten. Dieser lässt sich nach der Regelerstellung nutzen, um über Dashboards und Log-Dateien zu überprüfen, welche Aktionen die Firewall durchführen würde, wenn die Regeln aktiv wären. Legt man die Policies fest und überwacht die Datenübertragungen dann einige Zeit lang mit dem Monitor-Modus, so können die zuständigen Mitarbeiter vor dem „Scharfschalten“ der Regeln relativ gut sicherstellen, dass nicht aus Versehen irgendwelche wesentlichen Verbindungen unterbrochen werden. Die Arbeit kann also auch bei Inbetriebnahme einer neuen Firewall nahtlos weiter gehen.

Die Firebox M5600 von Watchguard (Bild: Watchguard)