NGFW der nächsten Generation – was die Firewall von Palo Alto von klassischen Netzwerklösungen unterscheidet

Der Begriff ‚Next-Generation Firewall‘ (NGFW) taucht im Marketing vieler Anbieter auf, aber nicht alle Anbieter meinen damit das Gleiche. Die klassische Definition von NGFW (Gartner, 2009) umfasst Zustandsüberprüfung, Anwendungs- und Benutzeridentifizierung und Integration mit IPS-Systemen. Palo Alto Networks hatte von Anfang an seine eigene, ehrgeizigere Vision davon, was eine Firewall der nächsten Generation sein sollte – und diese Vision hat das geprägt, was Palo Alto Networks heute von klassischen Netzwerklösungen unterscheidet.

Inhaltsverzeichnis

1. Was war die klassische Firewall und welche Einschränkungen hatte sie?
2. Wie definiert Palo Alto Networks die NGFW neu?
3. App-ID – Identifizierung von Anwendungen anstelle von Ports
4. Benutzer-ID – benutzerbasierte Richtlinien
5. Content-ID – Inhalts- und Risikoüberprüfung
6. Zero Trust Netzwerkzugang von Palo Alto
7. Integration mit dem Ökosystem von Palo Alto (Prisma, Cortex)
8. Wichtigste Schlussfolgerungen
9. FAQ
10. Zusammenfassung

Was war die klassische Firewall und welche Einschränkungen hatte sie?

Die klassische Firewall (Stateful Inspection) kontrollierte den Netzwerkzugang anhand von IP-Adressen, Ports und Transportprotokollen. Die Regel „erlaube TCP Port 80 vom LAN ins Internet“ schien in einer Ära sinnvoll, in der Port 80 für HTTP und HTTP für das Surfen stand. Diese Ära ist schon lange vorbei.

Heute läuft absolut alles über Port 443 (HTTPS): Netflix, Dropbox, Salesforce, Webmail, bösartige Anwendungen, C2-Malware-Tunnel, gestohlene Daten. Eine klassische Firewall sieht: „HTTPS-Verkehr zum Internet – erlaubt“. NGFW Palo Alto sieht: „Anwendung X, Benutzer Y, mit Datei Z, mit Risikoprofil W – erlauben/blockieren/einschränken“.

Dieser Unterschied in der Transparenz schlägt sich direkt in der Fähigkeit nieder, sinnvolle Sicherheitsrichtlinien durchzusetzen. Die Kombination mit NAC-Lösungen schafft einen umfassenden Schutz von der Netzwerkebene bis zum Endpunkt.

Wie definiert Palo Alto Networks die NGFW neu?

Palo Alto Networks hat seine NGFW auf drei Identifikations-Engines aufgebaut: App-ID (Anwendungsidentifizierung), User-ID (Benutzeridentifizierung) und Content-ID (Inhaltskontrolle). Alle drei laufen gleichzeitig auf jedem Paket, ohne dass Sie separate Module konfigurieren müssen. Es handelt sich um eine „Single-Pass“-Architektur – jedes Paket wird von allen Engines einmal analysiert, anstatt eine Kette von separaten Einheiten zu durchlaufen.

In der Praxis bedeutet dies, dass eine Sicherheitsrichtlinie lauten könnte: „Salesforce für die Vertriebsgruppe zulassen, nur während der Arbeitszeiten, Inhalte für DLP scannen, PDF-Uploads blockieren“. Keine klassische Firewall oder Kombination aus Firewall + Proxy + IPS erlaubt es, eine solche Regel an einer Stelle zu definieren und in einem Durchgang durchzusetzen.

App-ID – Identifizierung von Anwendungen anstelle von Ports

App-ID ist eine Technologie von Palo Alto, die eine Anwendung anhand ihres Verhaltens und nicht anhand ihrer Portnummer oder ihres Protokolls identifiziert. App-ID verfügt über eine Datenbank mit mehr als 3.000 Anwendungssignaturen – von Unternehmen (Salesforce, SAP, Teams) über soziale Medien (Facebook, TikTok) bis hin zu potenziell bösartigen Anwendungen (Tunneling-Tools, Anonymisierer, P2P-Anwendungen).

Die Identifizierung erfolgt auf mehreren Ebenen: Port und Transportprotokoll als Anhaltspunkt, Entschlüsselung des Anwendungsprotokolls, Analyse der Anwendungssignatur und, wenn dies nicht ausreicht, heuristische Verhaltensanalyse. App-ID funktioniert sogar bei verschlüsseltem HTTPS-Verkehr durch die Analyse von SNI, TLS-Zertifikaten und Verhaltensmustern.

Das Ergebnis ist die Möglichkeit, anwendungsorientierte Richtlinien zu schreiben: „BitTorrent unabhängig vom Port blockieren“ anstelle von „Port 6881-6889 blockieren“ (den BitTorrent ohnehin umgehen kann). Anwendungsorientierte Richtlinien sind semantischer und dauerhafter – sie müssen nicht aktualisiert werden, wenn eine Anwendung den Port wechselt.

Benutzer-ID – benutzerbasierte Richtlinien

User-ID ordnet IP-Adressen den Benutzeridentitäten aus Active Directory, LDAP, SSO-Systemen und anderen Identitätsquellen zu. Das Ergebnis ist die Möglichkeit, Richtlinien auf der Grundlage von Benutzern und Gruppen statt auf der Grundlage von IP-Adressen zu erstellen.

„YouTube für die Gruppe Marketing zulassen, für alle anderen sperren“. – ist eine Regel, die von einer klassischen Firewall nicht ordnungsgemäß ausgeführt werden kann, wenn die IP-Adressen der Benutzer dynamisch sind (DHCP) oder wenn sich mehrere Benutzer ein einziges Gerät teilen. User-ID löst dieses Problem durch die kontinuierliche Zuordnung von Identität und IP aus AD-Protokollen, Agenten auf Stationen und der Integration mit Captive Portal-Systemen.

Die Folge ist auch eine bessere Überprüfung: Firewall-Protokolle zeigen „John Smith hat sich mit Dropbox verbunden und 500 MB hochgeladen“ statt „IP-Adresse 192.168.1.45 verbunden mit IP 1.2.3.4 über Port 443“.

Content-ID – Inhalts- und Risikoüberprüfung

Content-ID ist eine Deep Packet Inspection (DPI)-Engine, die Folgendes umfasst: IPS (Intrusion Prevention System) mit einer Datenbank von Exploit- und Angriffssignaturen, Anti-Virus/Anti-Malware-Scanning von Dateien im Netzwerkverkehr, URL-Filterung mit Kategorisierung von Milliarden von URLs, Blockierung von Dateien nach Typ (nicht nur Erweiterung, sondern tatsächlicher Inhalt) und Erkennung sensibler Daten (grundlegende DLP im Netzwerkverkehr).

All diese Funktionen arbeiten „inline“ – in Echtzeit, bei fließendem Datenverkehr. Im Gegensatz zu einer Multi-Box-Architektur (separates IPS, separater Proxy, separater Virenschutz) verhindert die einheitliche Architektur von Palo Alto „Lücken“ zwischen Produkten, durch die Bedrohungen unbemerkt schlüpfen können.

Die Integration mit der Web-Sicherheit der nächsten Generation vervollständigt den Schutz durch fortschrittliche Filterung von Webinhalten.

Zero Trust Netzwerkzugang von Palo Alto

Zero Trust ist ein Sicherheitsmodell nach dem Motto „Niemals vertrauen, immer überprüfen“. – Jeder Zugriff muss autorisiert sein, unabhängig vom Standort des Benutzers. Palo Alto Networks implementiert Zero Trust über mehrere Produkte: Prisma Access (ZTNA für Remote-Benutzer), NGFW als Mikroperimeter zur Segmentierung des internen Netzwerks und Prisma Cloud für Cloud-Umgebungen.

Die NGFW von Palo Alto dient in einer Zero Trust-Umgebung als Durchsetzer von Zugriffsrichtlinien zwischen Netzwerksegmenten und ersetzt das traditionelle flache Netzwerkmodell mit freiem Ost-West-Verkehr, der durch App-ID + User-ID-Richtlinien eingeschränkt wird.

Integration mit dem Ökosystem von Palo Alto (Prisma, Cortex)

Die NGFW von Palo Alto ist kein eigenständiges Produkt, sondern Teil eines größeren Ökosystems. Cortex XDR sammelt Telemetriedaten von der NGFW für Korrelationsanalysen und Advanced Threat Detection (APT). Cortex XSOAR verwendet Daten von der NGFW, um die Reaktion auf Vorfälle zu automatisieren. Panorama ist die zentrale Verwaltung mehrerer NGFW-Geräte von einer einzigen Konsole aus.

Austausch von Bedrohungsdaten: alle Palo Alto-Geräte weltweit tragen zur WildFire-Bedrohungsdatenbank bei – unbekannte Dateien werden in einer Sandbox analysiert und Signaturen neuer Bedrohungen innerhalb von Minuten an die gesamte Flotte verteilt.

Wichtigste Schlussfolgerungen

• Die NGFW von Palo Alto geht über die klassische Definition hinaus – sie kombiniert App-ID, User-ID und Content-ID in einer Single-Pass-Architektur.
• App-ID identifiziert Anwendungen anhand ihres Verhaltens, nicht anhand des Ports – so lassen sich Anwendungen auf nicht standardmäßigen Ports nicht mehr verstecken.
• User-ID ordnet IP der AD-Identität zu – Richtlinien basieren auf Benutzer und Gruppe, nicht auf der IP-Adresse.
• Content-ID ist IPS, Anti-Virus, URL-Filterung und DLP in einer Engine, die inline läuft.
• Die Integration mit Cortex und Prisma schafft ein Ökosystem, in dem NGFW der Sammelpunkt für Telemetrie und Richtlinienausführung ist.

FAQ

Ersetzt die NGFW von Palo Alto ein dediziertes IPS und einen Proxy? In vielen Fällen, ja – App-ID, Content-ID und SSL-Prüfung machen separate Geräte überflüssig. Für spezielle Anwendungen (z.B. vollständiger Web-Proxy mit Kerberos-Authentifizierung) können dedizierte Lösungen eine Ergänzung sein.

Wie behandelt die Palo Alto NGFW verschlüsselten TLS 1.3-Datenverkehr? Palo Alto unterstützt die SSL/TLS-Entschlüsselung zur Überprüfung des verschlüsselten Datenverkehrs, einschließlich TLS 1.3 mit Perfect Forward Secrecy. Zertifikatsverwaltung und Ausnahmen sind für Kategorien (z.B. Bankwesen, Gesundheit) erforderlich, die nicht entschlüsselt werden sollen.

Wie verwalten Sie mehrere Palo Alto Geräte in einer großen Organisation? Panorama ist die zentrale Verwaltungskonsole für mehrere NGFWs, mit der Sie Richtlinien für die gesamte Flotte umsetzen, Protokolle sammeln und Berichte erstellen können.

Ist Palo Alto NGFW als VM in der Cloud verfügbar? Ja – VM-Series ist eine virtualisierte Version von NGFW, die für AWS, Azure, GCP und Virtualisierungsumgebungen (VMware, KVM) verfügbar ist.

Zusammenfassung

Die Palo Alto NGFW-Firewall ist eine Produktkategorie, die neu definiert, was eine moderne Firewall sein sollte – und zwar nicht durch das Hinzufügen von Funktionen zu einer alten Architektur, sondern durch ein von Grund auf neues Design mit Blick auf die Transparenz von Anwendungen, Identitäten und Inhalten. Für Unternehmen, deren Netzwerksicherheit immer noch auf Port- und IP-Regeln basiert, ist die Umstellung auf NGFW einer der wichtigsten Schritte auf dem Weg zu einer ausgereiften Sicherheit. Wenden Sie sich an Ramsdata, um herauszufinden, wie Palo Alto Networks die Netzwerksicherheit in Ihrem Unternehmen stärken kann.