Zpedia 

/ Netzwerk-Firewall vs. Firewall der nächsten Generation vs. Zero Trust Firewall

Netzwerk-Firewall vs. Firewall der nächsten Generation vs. Zero Trust Firewall

Entdecken Sie die wichtigsten Unterschiede zwischen herkömmlichen Netzwerk-Firewalls, Firewalls der nächsten Generation (NGFW) und Zero Trust Firewall.

Zum Datenblatt
Zero Trust
  1. Überblick
  2. Firewalls im Vergleich
  3. Für welche Firewall sollten Sie sich entscheiden?
  4. Zscaler Advanced Zero Trust Firewall
  5. FAQs
  6. Ähnliche Themen

Nicht jede Firewall ist geeignet

Firewalls werden oft mit Cybersicherheit gleichgesetzt. Da sich Netzwerke und Cyberbedrohungen weiterentwickelt und Trends wie Cloud und Mobilität an Bedeutung gewonnen haben, haben sich auch die Anforderungen von Unternehmen an Firewalls geändert.

Die unterschiedlichen Firewall-Lösungen lassen sich in drei grundlegende Kategorien einteilen: herkömmliche Netzwerk-Firewalls, Firewalls der nächsten Generation und Zero-Trust-Firewalls.

Perimeter-Sicherheit und lückenhafte Überprüfungen bieten keinen vollständigen Schutz.

  • Bei mehr als 3 von 10 Sicherheitsverletzungen werden gestohlene Zugangsdaten verwendet (Verizon)
  • Mehr als 85 % der Bedrohungen werden über verschlüsselte Kanäle übermittelt (Zscaler)
  • Mehr als 78 % der Unternehmen implementieren aktiv Zero Trust (Zscaler)

Firewalls im Vergleich

Filterkriterien

Netzwerk-Firewall

Filtert Traffic basierend auf statischen Regeln für IP-Adressen, Ports und Protokolle

Next Generation Firewall

Beinhaltet Anwendungserkennung und Schutz vor Eindringversuchen (zusätzlich zu IP-, Port- und protokollbasiertem Filtern)

Zero-Trust-Firewall

Filtert basierend auf kontextbezogenen Richtlinien und dynamischer Überprüfung, einschließlich Quell- und Ziel-IPs, Ports und Protokolle, User-Identität, Risiko und Unternehmensrichtlinien

Grad der Überprüfung

Netzwerk-Firewall

Oberflächliche Paketfilterung auf Basis von Header-Überprüfung (nur L2-, L3- und L4-Header)

Next Generation Firewall

Deep Packet Inspection (DPI) zur Anwendungs- und Payload-Analyse (L2, L3, L4, L7)

Zero-Trust-Firewall

Ergänzt DPI durch zusätzliche Mikrosegmentierung und kontinuierliche Überprüfung

Anwendungserkennung

Netzwerk-Firewall

Nicht unterstützt

Next Generation Firewall

Wird unterstützt

Zero-Trust-Firewall

Wird unterstützt, mit Zugriff mit minimaler Rechtevergabe

Integration von Useridentität

Netzwerk-Firewall

Nicht unterstützt

Next Generation Firewall

Wird unterstützt durch Integration mit Identitätsanbietern (LDAP, AD usw.)

Zero-Trust-Firewall

Kernfunktion, nahtlos integriert mit Identity & Access Management (IAM)

Sicherheitsfunktionen

Netzwerk-Firewall

Einfach (IP-/Port-Blockierung, Network Address Translation [NAT])

Next Generation Firewall

Beinhaltet oft IPS, Sandboxing, Antivirus, URL-Filterung

Zero-Trust-Firewall

IDS/IPS, DNS-Kontrolle, Verifizierung von Usergeräten

Skalierbarkeit

Netzwerk-Firewall

Schlecht

  • Anfällig für Engpässe aufgrund prozessorintensiver TLS/SSL-Überprüfung
  • Erfordert dedizierte Hardware an jedem Standort
  • Muss ersetzt werden, wenn der Verarbeitungsbedarf steigt

Next Generation Firewall

Eingeschränkt

  • Ähnliche Probleme wie Netzwerk-Firewalls
  • Oftmals durch Traffic und Überprüfungskapazität eingeschränkt, wie bei Netzwerk-Firewalls

Zero-Trust-Firewall

Unlimitiert

  • Cloud-nativ; keine Appliances, die verwaltet oder skaliert werden müssen
  • Kann sofort neue Funktionen und Kapazitäten bereitstellen
Verwaltung

Netzwerk-Firewall

Aufwendig

  • Für die Absicherung von On-Premise-Umgebungen konzipiert, nicht für die Cloud
  • Richtlinien müssen für jeden Standort neu erstellt werden
  • Muss neu konfiguriert werden, wenn sich die Netzwerkarchitektur ändert
  • Zugriffskontrollisten müssen umständlich manuell aktualisiert werden

Next Generation Firewall

Komplex

  • Nach wie vor grundsätzlich für statische Netzwerke ausgelegt
  • Statische Richtlinien sind nicht flexibel oder skalierbar genug für dynamische, verteilte Clouds
  • Inkonsistente Richtliniendurchsetzung in mehreren Umgebungen

Zero-Trust-Firewall

Einfach

  • Zentrale Definition, Bereitstellung und Durchsetzung von Richtlinien für alle User und Standorte
  • Zentralisierte, granulare Regeln basierend auf User, Anwendung, Standort, Gruppe und Abteilung
  • Forensisch vollständige Protokolle verbessern die Untersuchung und Reaktion
Kosten

Netzwerk-Firewall

Unvorhersehbar

  • Hohe Investitionskosten für Erstkauf, Bereitstellung und Aktualisierung
  • Dauerhafte Abhängigkeit von einem großen Sicherheits-Stack

Next Generation Firewall

Inkonsistent

  • Hohe Anfangskosten und moderate laufende Kosten durch Abonnement
  • Skalierung erfordert zusätzliche Hardware oder virtuelle Appliances in der Cloud

Zero-Trust-Firewall

Stabil

  • Betriebskostenbasiert; kalkulierbare Kosten durch Abonnementmodell
  • Keine Skalierungsbeschränkungen
  • Keine physischen und virtuellen NGFWs, IPS-Geräte sowie Protokollierungs- und Monitoringsysteme
Anwendungsfälle

Netzwerk-Firewall

Einfach

Absicherung interner Umgebungen mit geringem Risiko, die grundlegenden Perimeterschutz erfordern

Next Generation Firewall

Speziell

Absicherung komplexer On-Premise-Netzwerke, die Perimeterschutz erfordern

Zero-Trust-Firewall

Umfassend

Schutz kritischer Ressourcen, Cloud-Services und hybrider Netzwerke, die dynamische Zero-Trust-Kontrollen erfordern – unabhängig davon, wo sich User, Geräte und Ressourcen befinden

Hardware-Firewalls vs. virtualisierte Firewalls vs. Cloud-native Firewalls

Virtuelle Firewalls erweitern Ihr Netzwerk auf Cloud-Ressourcen und haben die gleichen Kapazitätsbeschränkungen wie physische Firewalls.

Für welche Firewall sollten Sie sich entscheiden?

Die Zero Trust Firewall wurde eigens für die Anforderungen einer digitalen Welt entwickelt. Sie gewährleistet standortunabhängig sicheren Zugriff auf das Internet und verarbeitet den gesamten Web- und sonstigen Traffic über alle Ports und Protokolle mit unbegrenzter Skalierbarkeit und hoher Performance.

Geräte- und standortunabhängig wird für sämtliche User – im Homeoffice, im Büro oder auch unterwegs – ein identisches Schutzniveau gewährleistet. Die Kosten, Komplexität und Performance-Einschränkungen von herkömmlicher Netzwerksicherheit und Firewalls der nächsten Generation gehören der Vergangenheit an.

Zscaler Advanced Zero Trust Firewall

Über 1.000 Firewall- und DNS-Regeln

Präzise Parameter, um eine größere Bandbreite an Angriffen mit zusätzlichen Regeln zu stoppen

Erkennung und Kategorisierung von DNS-Tunneln

Erkennung und Blockierung von DNS-basierten Angriffen, bevor sie das Netzwerk kompromittieren

Unterstützung für userdefinierte IPS-Signaturen

Verwendung userdefinierter IPS-Signaturen, die auf die Anforderungen Ihres Unternehmens zugeschnitten sind

Richtlinienkontrollen anhand von Useridentitäten

Definition von Sicherheitsrichtlinien basierend auf User, Identität, Rolle, Abteilung, Gruppe und Standort

Deep Packet Inspection (DPI)/L7-Netzwerkanwendung

Nicht nur Überprüfung des Datenpaket-Headers, sondern auch des tatsächlichen Inhalts der Daten, die das Netzwerk passieren

Detaillierte Protokollierung

Detaillierte Einblicke in Netzwerkaktivitäten mit einer vollständigen Übersicht über alle Aktionen und Funktionen (User-ID, Anwendungs-ID, IPS usw.)

Optimierte Kosten für Technologie

Keine physischen und virtuellen NGFWs, IPS-Geräte sowie Protokollierungs- und Monitoringsysteme

FAQs

Häufig gestellte Fragen

  • Netzwerk-Firewall: Bietet minimalen Schutz vor Insider-Bedrohungen, da interner Traffic standardmäßig als vertrauenswürdig eingestuft wird.
  • NGFW: Verbessert die Sicherheit durch Überwachung des Userverhaltens und der Anwendungen, stuft jedoch möglicherweise den Traffic innerhalb des internen Netzwerks in bestimmtem Ausmaß als vertrauenswürdig ein.
  • Zero Trust Firewall: Gewährleistet den stärksten Schutz vor internen Bedrohungen, indem für jede Aktion eine Authentifizierung erforderlich ist, auch für User oder Geräte innerhalb des Netzwerks. Sie schränkt laterale Bewegungen von Angreifern erheblich ein.
  • Netzwerk-Firewall: Kann laterale Bewegungen nicht zuverlässig verhindern, da sie auf perimeterbasierter Sicherheit beruht.
  • NGFW: Bietet verbesserten Schutz durch Kontrollen auf Anwendungsebene und Intrusion Detection Systems, stuft jedoch möglicherweise den Traffic innerhalb des internen Netzwerks in bestimmtem Ausmaß als vertrauenswürdig ein.
  • Zero Trust Firewall: Bietet die beste Lösung zur Verhinderung lateraler Bewegungen, indem sichergestellt wird, dass keine Verbindung innerhalb des Netzwerks automatisch als vertrauenswürdig eingestuft wird. Jede Verbindungsanfrage wird überprüft, wodurch die laterale Bewegungsfreiheit von Angreifern eingeschränkt wird.
  • Netzwerk-Firewall: Unzureichend für die Implementierung von Zero Trust, da sie auf statischen Annahmen über die Vertrauenswürdigkeit von Verbindungen beruht.
  • NGFW: Kann einige Zero-Trust-Prinzipien unterstützen, wie etwa Erkennung des User- und Anwendungskontexts, erfordert aber normalerweise zusätzliche Tools für die vollständige Implementierung von Zero Trust.
  • Zero Trust Firewall: Speziell für die Ausrichtung auf Zero-Trust-Strategien konzipiert und daher die bevorzugte Lösung für Unternehmen, die dieses Modell vollständig umsetzen.