Dieser Buyers Guide soll Ihnen dabei helfen, die richtige Firewall für Ihr Unternehmen zu finden, damit Sie Ihre Kaufentscheidung später nicht wie die von uns befragten IT-Netzwerk-Manager bereuen. Wir gehen auf alle Features und Funktionen ein, auf die Sie beim Kauf Ihrer nächsten Firewall achten sollten. Außerdem haben wir eine Reihe wichtiger Fragen für Sie zusammengestellt, die Sie Ihrem IT-Partner oder -Anbieter stellen sollten, um herauszufinden, ob das jeweilige Produkt auch wirklich Ihre Anforderungen erfüllt. Auf der letzten Seite finden Sie zudem eine praktische Übersicht, die Ihnen dabei hilft, geeignete Firewall-Anbieter in die engere Auswahl zu ziehen.
Next-Generation Firewall Awareness und Control
Die Anbieter von Next-Gen-Firewalls werben seit langem damit, Transparenz über den Anwendungsverkehr und das Nutzungsverhalten im Netzwerk zu schaffen, jedoch scheitern die meisten an dieser wichtigen Aufgabe. Dies liegt an der traditionellen, signaturbasierten Technologie zur Identifizierung von Anwendungen, die alle modernen Firewalls nutzen. Sie ist nicht mehr wirksam bei der Erkennung von verschlüsselten, evasiven oder benutzerdefinierten Anwendungen oder von Anwendungen, die sich mit generischen HTTP oder HTTPS als Internet-Browser tarnen. Deshalb werden P2P-Anwendungen, VPN-Tunnel-Clients und Games in den meisten Netzwerken überhaupt nicht erkannt. Es werden neue Vorgehensweisen und Technologien zur Lösung dieses Problems benötigt.
Um adäquate Next-Generation Awareness und Control zu bieten, muss Ihre Firewall über vier Schlüsseltechnologien verfügen:
Application Control – Application Control ermöglicht Ihnen, wichtigen Anwendungsverkehr zu priorisieren und unerwünschten Datenverkehr zu beschränken oder zu blockieren. Die meisten Next-Gen-Firewalls sind oft nicht in der Lage, für genügend Transparenz und Kontrolle zu sorgen, da die Effektivität signaturbasierter Erkennungstechniken für Anwendungen beschränkt ist. Daher sollten Sie darauf achten, dass Ihre nächste Firewall unterschiedliche und innovative Techniken zur Lösung dieses Problems nutzt. So werden Hunderte von Anwendungen erkannt, die in Ihrem Netzwerk bislang vermutlich unerkannt bleiben.
Web Control – URL-Filter-Richtlinien sind wichtig zur Durchsetzung der Compliance und gewährleisten eine sichere Umgebung für alle Benutzer, insbesondere im Bildungswesen. Zwar verfügen mittlerweile fast alle Firewalls über diese Funktion, es gibt jedoch eklatante Unterschiede bei der Benutzerfreundlichkeit, mit der komplexe benutzer- und gruppenbasierte Richtlinien implementiert und täglich verwaltet werden können. Sorgen Sie dafür, dass Ihre nächste Firewall einfache und flexible Richtlinientools bietet, mit denen die tägliche Verwaltung einfach und zeitsparender wird.
Transparenz über Risiken – Informationen über Ihre riskantesten Benutzer und Anwendungen sind entscheidend, damit Sie geeignete Richtlinien durchsetzen können, bevor es zu einem schweren Sicherheitsvorfall kommt. Stellen Sie sicher, dass Ihre nächste Firewall einen Report zur Risikobewertung für Benutzer generieren kann, der Netzwerkaktivitäten korreliert, um die riskantesten Benutzer zu identifizieren. Dazu sollte es klare Hinweise geben bei verdächtiger Nutzung von Cloud-Anwendungen, Schatten-IT, riskanten Downloads, bedenklichen Websites und vorhandenen Bedrohungen.
HTTPS-Scans – Da der meiste Internet-Verkehr heutzutage verschlüsselt ist, kann eine lückenlose Compliance-Durchsetzung nur mit adäquaten HTTPS-Scans sichergestellt werden. HTTPS-Scans können allerdings in einigen Fällen aufdringlich und störend sein. Daher sollten Sie darauf achten, dass Ihre nächste Firewall selektive Scans und einfache Lösungen zur Verwaltung von Ausschlüssen bietet.
| Empfohlene Funktionen | Beschreibung | Fragen an Ihren Anbieter |
|---|---|---|
| Advanced Threat Protection | Identifiziert Bots und andere komplexe Bedrohungen sowie Malware, die Call-Home-Versuche startet oder versucht, mit Command-and-Control- Servern zu kommunizieren. |
|
| Erkennen kompromittierter Systeme | Identifiziert infizierte Systeme in Ihrem Netzwerk. |
|
| Isolieren kompromittierter Systeme | Nutzt Firewall-Regeln, um kompromittierte Systeme zu isolieren, bis diese bereinigt werden können. |
|
| Sandboxing | Schützt vor Zero-Day-Bedrohungen, indem potenziell schädliche Dateien zur Cloud Sandbox gesendet und dort in einer sicheren Umgebung kontrolliert ausgeführt und beobachtet werden. |
|
| Web Protection | Schützt vor webbasierter Malware, kompromittierten Websites und Downloads aus dem Internet. |
|
| HTTPS-Scans | Bietet Einblick in verschlüsselten Internet- Datenverkehr, um das Netzwerk vor Bedrohungen zu schützen, die über HTTPS übertragen werden können. |
|
| Anti-Spam und Anti- Phishing für E-Mails | Stoppt die Zustellung von Spam, Phishing und anderen unerwünschten E-Mails in die Posteingänge von Mitarbeitern. |
|
| Web Application Firewall | Schützt Server und Geschäftsanwendungen, die über das Internet erreichbar sind. |
|
Firewall-Lösungen vergleichen
Beim Vergleich von Firewall-Lösungen sollten Sie neben Sicherheits- und Kontrollfunktionen eine Reihe weiterer Punkte beachten.
SD-WAN-, VPN- und Wireless-Konnektivität
SD-WAN-Funktionen spielen beim Kauf einer neuen Firewall eine immer wichtigere Rolle. Stellen Sie sicher, dass Ihre Firewall mehrere WAN-Links unterstützt, einschließlich Optionen für Priorisierung, Routing und Failover. Wenn Sie sich für eine Firewall-Lösung mit integriertem SD-WAN entscheiden, können Sie zu einem Bruchteil der Kosten von MPLS Remote-Standorte anbinden, Anwendungen bereitstellen und Daten austauschen. Jede Firewall-Lösung sollte über Standort-zu-Standort- und Remote-Zugriff-VPN verfügen. Stellen Sie sicher, dass Ihre nächste Firewall alle von Ihnen benötigten standardbasierten VPNAnbindungen unterstützt, und prüfen Sie, welche anderen Optionen zur Verbindung von Benutzern mit internen Ressourcen und zur Absicherung Ihrer Remote-Standorte verfügbar sind. Achten Sie darauf, dass diese anderen Optionen leichtgewichtig und benutzerfreundlich sind. WLAN gehört in praktisch jedem Netzwerk heute zum Standard. Ziehen Sie daher eine Firewall in Betracht, die mit einem funktionsstarken Wireless Controller ausgestattet ist, der eine Vielzahl von Hochleistungs-Wireless-Access-Points unterstützt.
Flexible Bereitstellungsoptionen
Achten Sie bei der Wahl Ihrer nächsten Firewall-Lösung darauf, dass diese zu Ihrem Unternehmen passt und nicht andersherum. Berücksichtigen Sie nicht nur Ihre aktuelle Topologie und Infrastruktur, sondern auch die zukünftige Entwicklung in ein oder mehreren Jahren. Entscheiden Sie sich unbedingt für eine Firewall, die eine flexible Auswahl an lokalen und Cloud-Bereitstellungsmodellen mit darauf abgestimmten Verwaltungstools bietet. Wenn Sie mehrere kleine Remote-Standorte haben, sollten Sie Technologien wie SD-WAN in Betracht ziehen, mit denen Sie diese sicher und ohne viel Kosten- und Zeitaufwand an Ihr Netzwerk anbinden können.
Performance
Berücksichtigen Sie unbedingt Ihre Anforderungen an die Netzwerk-Performance. Planen Sie dabei nicht zu knapp, um auch für wachsende Anforderungen an Ihr Netzwerk in der Zukunft gewappnet zu sein. Benutzer nutzen mehrere Geräte und immer mehr Services ziehen in die Cloud um. Demzufolge werden Netzwerk-Bandbreite und Firewall-Durchsatz immer höheren Belastungen ausgesetzt. Entscheiden Sie sich für eine Lösung, die Sie einfach skalieren und mit Funktionen wie Hochverfügbarkeit und WAN Link Balancing für Redundanz oder Performance auf Ihre wachsenden Anforderungen anpassen können. Achten Sie außerdem auf Firewalls mit leistungssteigernden Technologien wie FastPath Packet Optimization, die bekannten Datenverkehr zur Beschleunigung der Performance über den Schnellpfad durch den Firewall Stack schicken.
Integration mit anderen IT-Security-Lösungen
Die Integration von IT-Security-Lösungen (z. B. Firewall und Endpoint) bietet entscheidende Vorteile, u. a. koordinierter Schutz, sofortige Identifizierung infizierter Systeme im Netzwerk, verbesserte App- Control-Funktionen und automatische Reaktion durch Isolieren infizierter Systeme bis zur Bereinigung. Dieses relativ neue Prinzip der Sicherheits-Synchronisierung hat sich als äußerst effektiv erwiesen und wird von immer mehr Unternehmen als unverzichtbare Funktion eingestuft. Entscheiden Sie sich nach Möglichkeit für einen Anbieter, der führende Technologien sowohl im Bereich Firewall als auch in anderen IT-Security-Bereichen wie Endpoint-, Server-, Daten- und Mobile-Security vorweisen kann sowie eine koordinierte und synchronisierte Zusammenarbeit dieser Komponenten ermöglicht.
Reporting und Alarmmeldungen
Wie bereits erwähnt, ist mangelnde Transparenz über die Vorgänge im Netzwerk eines der Hauptprobleme heutiger Firewalls. Um diesem Problem aus dem Weg zu gehen, sollten Sie sich für eine Firewall entscheiden, die umfassende Verlaufsreports beinhaltet mit der Flexibilität, bei Bedarf ein zentrales Reporting für alle Firewalls in Ihrer Umgebung zu ergänzen. Prüfen Sie außerdem, wie viel Transparenz die Firewall im Dashboard und in anderen wichtigen Bereichen der Firewall bietet. Vermeiden Sie Firewalls, bei denen Sie viel Zeit für die Suche nach erforderlichen Informationen aufwenden müssen.
Benutzerfreundlichkeit
Die Konfiguration und Verwaltung einer Firewall kann je nach Modell einfach bis nervenaufreibend sein. Sie sollten nicht bei der Einrichtung Ihrer Firewall verzweifeln müssen, weil der Anbieter keinen Wert auf Benutzerfreundlichkeit gelegt hat. Entscheiden Sie sich für eine Lösung, die denkt wie Sie und von einem Anbieter stammt, dem es wichtig ist, die tägliche Verwaltung für Sie so einfach und effizient wie möglich zu gestalten. Ein weiterer zeitsparender Faktor wird häufig übersehen: Ihre Nutzer sollten die Möglichkeit haben, sich in bestimmten Fällen selbst zu helfen. Suchen Sie nach einer Firewall, die ein sicheres Self-Service-Portal für Benutzer zum Download von VPN-Clients und zur Verwaltung der E-Mail-Quarantäne bietet.
Direktvergleich
Entscheiden Sie anhand der Checkliste zum Produktvergleich auf der folgenden Seite, welche Lösungen Sie in die engere Auswahl nehmen möchten. Testen Sie diese Lösungen anschließend und bewerten Sie das Preis-Leistungs-Verhältnis.
Checkliste zum Produktvergleich
Nachdem Sie anhand der vorhergehenden Abschnitte Ihre Mindestanforderungen ermittelt haben, können Sie mit der folgenden Tabelle die verschiedenen Lösungen vergleichen und entscheiden, welche in die engere Auswahl kommen. Bei Bedarf können Sie die Checkliste mit spezifischen Anforderungen Ihres Unternehmens ergänzen.
| Sophos XG | Cisco Meraki | Fortinet FortiGate | SonicWall NSa | WatchGuard Firebox | |
|---|---|---|---|---|---|
| NEXT-GEN FIREWALL FEATURES | |||||
| Testsimulator für Firewall- Regeln und Web-Richtlinien | |||||
| Zwei Antivirus-Engines | |||||
| Intrusion Protection System | |||||
| Application Control | Teilweise | ||||
| Synchronized App Control (auf Basis von Endpoint-Telemetrie) | |||||
| Cloud App Visibility für Schatten-IT | |||||
| Blockierung potenziell unerwünschter Anwendungen (PUAs) | |||||
| Web Protection and Control | |||||
| Web Keyword Monitoring und Durchsetzung | |||||
| Transparenz über Benutzer- und Anwendungsrisiko (UTQ) | Teilweise | ||||
| Filterung von HTTPS-Daten | |||||
| ADVANCED THREAT PROTECTION | |||||
| Advanced Threat Protection | |||||
| Erkennen kompromittierter Systeme | +1Box * | ||||
| Isolieren kompromittierter Systeme | +1Box * | ||||
| Lateral Movement Protection | |||||
| Sandboxing | |||||
| SERVER UND EMAIL PROTECTION | |||||
| Funktionsstarke WAF | +1Box * | +1Box * | |||
| Komplette E-Mail-Security: Antivirus, Anti-Spam, Verschlüsselung, DLP | +1Box * | +1Box * | |||
| ANBINDUNG VON BENUTZERN/REMOTE-STANDORTEN | |||||
| IPSec und SSL VPN | Kein SSL VPN | ||||
| HTML5 VPN Portal | |||||
| Vermaschte WLANs | |||||
| Sofort einsetzbare Lösung zur Sicherung von Außenstellen (RED) | |||||
| SD-WAN | |||||
| EINFACHE BEREITSTELLUNG UND NUTZUNG | |||||
| Flexible Bereitstellung (HW, SW, WM, IaaS) | Nur HW | Keine SW | Keine SW | Keine SW | |
| Mögliche Integration mit anderen ITSecurity- Produkten (z. B. Endpoint) | |||||
| Synchronized Security in Discover (TAP)-Modus-Bereitstellungen | |||||
| Vollständige Verlaufsreports | +1Box * | +1Box * | +1Box * | ||
| Kostenlose zentrale Verwaltung | Teilweise | ||||
| Zentrale Verwaltung für Partner | |||||
| Self-Service-Portal für Benutzer | |||||
| * Zur Nutzung dieser Funktionen benötigen Sie ein zusätzliches Produkt/Gerät. Dadurch entstehen Ihnen mehr Kosten und Komplexität. | |||||
In diesem Dokument enthaltene Aussagen basieren auf öffentlich verfügbaren Informationen (Stand: November 2019). Dieses Dokument wurde von Sophos und nicht von den anderen aufgeführten Anbietern erstellt. Änderungen der Eigenschaften und Funktionen der verglichenen Produkte, die direkten Einfluss auf die Richtigkeit oder Gültigkeit dieses Vergleichs haben können, sind vorbehalten. Die in diesem Vergleich enthaltenen Informationen sollen ein allgemeines Verständnis sachlicher Informationen zu verschiedenen Produkten vermitteln und sind möglicherweise nicht vollständig. Alle dieses Dokument verwendenden Personen sollten auf Basis ihrer individuellen Anforderungen ihre eigene Kaufentscheidung treffen und sollten auch Originalinformationsquellen zu Rate ziehen und sich bei der Wahl eines Produkts nicht nur auf diesen Vergleich verlassen. Sophos gibt keine Garantie für die Zuverlässigkeit, Richtigkeit, Zweckmäßigkeit oder Vollständigkeit dieses Dokuments. Die Informationen in diesem Dokument werden in der vorliegenden Form und ohne jegliche Garantie, weder ausdrücklich noch implizit, bereitgestellt. Sophos behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zurückzuziehen.