{"id":41378,"date":"2026-04-12T23:13:41","date_gmt":"2026-04-12T23:13:41","guid":{"rendered":"https:\/\/ramsdata.com.pl\/ngfw-der-naechsten-generation-was-die-firewall-von-palo-alto-von-klassischen-netzwerkloesungen-unterscheidet\/"},"modified":"2026-04-12T23:13:41","modified_gmt":"2026-04-12T23:13:41","slug":"ngfw-der-naechsten-generation-was-die-firewall-von-palo-alto-von-klassischen-netzwerkloesungen-unterscheidet","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/de\/ngfw-der-naechsten-generation-was-die-firewall-von-palo-alto-von-klassischen-netzwerkloesungen-unterscheidet\/","title":{"rendered":"NGFW der n\u00e4chsten Generation – was die Firewall von Palo Alto von klassischen Netzwerkl\u00f6sungen unterscheidet"},"content":{"rendered":"

Der Begriff ‚Next-Generation Firewall‘ (NGFW) taucht im Marketing vieler Anbieter auf, aber nicht alle Anbieter meinen damit das Gleiche. Die klassische Definition von NGFW (Gartner, 2009) umfasst Zustands\u00fcberpr\u00fcfung, Anwendungs- und Benutzeridentifizierung und Integration mit IPS-Systemen. Palo Alto Networks hatte von Anfang an seine eigene, ehrgeizigere Vision davon, was eine Firewall der n\u00e4chsten Generation sein sollte – und diese Vision hat das gepr\u00e4gt, was Palo Alto Networks<\/a> heute von klassischen Netzwerkl\u00f6sungen unterscheidet. <\/p>\n

Inhaltsverzeichnis<\/h3>\n
    \n
  1. Was war die klassische Firewall und welche Einschr\u00e4nkungen hatte sie?<\/li>\n
  2. Wie definiert Palo Alto Networks die NGFW neu?<\/li>\n
  3. App-ID – Identifizierung von Anwendungen anstelle von Ports<\/li>\n
  4. Benutzer-ID – benutzerbasierte Richtlinien<\/li>\n
  5. Content-ID – Inhalts- und Risiko\u00fcberpr\u00fcfung<\/li>\n
  6. Zero Trust Netzwerkzugang von Palo Alto<\/li>\n
  7. Integration mit dem \u00d6kosystem von Palo Alto (Prisma, Cortex)<\/li>\n
  8. Wichtigste Schlussfolgerungen<\/li>\n
  9. FAQ<\/li>\n
  10. Zusammenfassung<\/li>\n<\/ol>\n

    Was war die klassische Firewall und welche Einschr\u00e4nkungen hatte sie?<\/h3>\n

    Die klassische Firewall (Stateful Inspection) kontrollierte den Netzwerkzugang anhand von IP-Adressen, Ports und Transportprotokollen. Die Regel „erlaube TCP Port 80 vom LAN ins Internet“ schien in einer \u00c4ra sinnvoll, in der Port 80 f\u00fcr HTTP und HTTP f\u00fcr das Surfen stand. Diese \u00c4ra ist schon lange vorbei. <\/p>\n

    Heute l\u00e4uft absolut alles \u00fcber Port 443 (HTTPS): Netflix, Dropbox, Salesforce, Webmail, b\u00f6sartige Anwendungen, C2-Malware-Tunnel, gestohlene Daten. Eine klassische Firewall sieht: „HTTPS-Verkehr zum Internet – erlaubt“. NGFW Palo Alto sieht: „Anwendung X, Benutzer Y, mit Datei Z, mit Risikoprofil W – erlauben\/blockieren\/einschr\u00e4nken“. <\/p>\n

    Dieser Unterschied in der Transparenz schl\u00e4gt sich direkt in der F\u00e4higkeit nieder, sinnvolle Sicherheitsrichtlinien durchzusetzen. Die Kombination mit NAC-L\u00f6sungen<\/a> schafft einen umfassenden Schutz von der Netzwerkebene bis zum Endpunkt. <\/p>\n

    Wie definiert Palo Alto Networks die NGFW neu?<\/h3>\n

    Palo Alto Networks hat seine NGFW auf drei Identifikations-Engines aufgebaut: App-ID (Anwendungsidentifizierung), User-ID (Benutzeridentifizierung) und Content-ID (Inhaltskontrolle). Alle drei laufen gleichzeitig auf jedem Paket, ohne dass Sie separate Module konfigurieren m\u00fcssen. Es handelt sich um eine „Single-Pass“-Architektur – jedes Paket wird von allen Engines einmal analysiert, anstatt eine Kette von separaten Einheiten zu durchlaufen. <\/p>\n

    In der Praxis bedeutet dies, dass eine Sicherheitsrichtlinie lauten k\u00f6nnte: „Salesforce f\u00fcr die Vertriebsgruppe zulassen, nur w\u00e4hrend der Arbeitszeiten, Inhalte f\u00fcr DLP scannen, PDF-Uploads blockieren“. Keine klassische Firewall oder Kombination aus Firewall + Proxy + IPS erlaubt es, eine solche Regel an einer Stelle zu definieren und in einem Durchgang durchzusetzen. <\/p>\n

    App-ID – Identifizierung von Anwendungen anstelle von Ports<\/h3>\n

    App-ID ist eine Technologie von Palo Alto, die eine Anwendung anhand ihres Verhaltens und nicht anhand ihrer Portnummer oder ihres Protokolls identifiziert. App-ID verf\u00fcgt \u00fcber eine Datenbank mit mehr als 3.000 Anwendungssignaturen – von Unternehmen (Salesforce, SAP, Teams) \u00fcber soziale Medien (Facebook, TikTok) bis hin zu potenziell b\u00f6sartigen Anwendungen (Tunneling-Tools, Anonymisierer, P2P-Anwendungen). <\/p>\n

    Die Identifizierung erfolgt auf mehreren Ebenen: Port und Transportprotokoll als Anhaltspunkt, Entschl\u00fcsselung des Anwendungsprotokolls, Analyse der Anwendungssignatur und, wenn dies nicht ausreicht, heuristische Verhaltensanalyse. App-ID funktioniert sogar bei verschl\u00fcsseltem HTTPS-Verkehr durch die Analyse von SNI, TLS-Zertifikaten und Verhaltensmustern. <\/p>\n

    Das Ergebnis ist die M\u00f6glichkeit, anwendungsorientierte Richtlinien zu schreiben: „BitTorrent unabh\u00e4ngig vom Port blockieren“ anstelle von „Port 6881-6889 blockieren“ (den BitTorrent ohnehin umgehen kann). Anwendungsorientierte Richtlinien sind semantischer und dauerhafter – sie m\u00fcssen nicht aktualisiert werden, wenn eine Anwendung den Port wechselt. <\/p>\n

    Benutzer-ID – benutzerbasierte Richtlinien<\/h3>\n

    User-ID ordnet IP-Adressen den Benutzeridentit\u00e4ten aus Active Directory, LDAP, SSO-Systemen und anderen Identit\u00e4tsquellen zu. Das Ergebnis ist die M\u00f6glichkeit, Richtlinien auf der Grundlage von Benutzern und Gruppen statt auf der Grundlage von IP-Adressen zu erstellen. <\/p>\n

    „YouTube f\u00fcr die Gruppe Marketing zulassen, f\u00fcr alle anderen sperren“. – ist eine Regel, die von einer klassischen Firewall nicht ordnungsgem\u00e4\u00df ausgef\u00fchrt werden kann, wenn die IP-Adressen der Benutzer dynamisch sind (DHCP) oder wenn sich mehrere Benutzer ein einziges Ger\u00e4t teilen. User-ID l\u00f6st dieses Problem durch die kontinuierliche Zuordnung von Identit\u00e4t und IP aus AD-Protokollen, Agenten auf Stationen und der Integration mit Captive Portal-Systemen. <\/p>\n

    Die Folge ist auch eine bessere \u00dcberpr\u00fcfung: Firewall-Protokolle zeigen „John Smith hat sich mit Dropbox verbunden und 500 MB hochgeladen“ statt „IP-Adresse 192.168.1.45 verbunden mit IP 1.2.3.4 \u00fcber Port 443“.<\/p>\n

    Content-ID – Inhalts- und Risiko\u00fcberpr\u00fcfung<\/h3>\n

    Content-ID ist eine Deep Packet Inspection (DPI)-Engine, die Folgendes umfasst: IPS (Intrusion Prevention System) mit einer Datenbank von Exploit- und Angriffssignaturen, Anti-Virus\/Anti-Malware-Scanning von Dateien im Netzwerkverkehr, URL-Filterung mit Kategorisierung von Milliarden von URLs, Blockierung von Dateien nach Typ (nicht nur Erweiterung, sondern tats\u00e4chlicher Inhalt) und Erkennung sensibler Daten (grundlegende DLP im Netzwerkverkehr).<\/p>\n

    All diese Funktionen arbeiten „inline“ – in Echtzeit, bei flie\u00dfendem Datenverkehr. Im Gegensatz zu einer Multi-Box-Architektur (separates IPS, separater Proxy, separater Virenschutz) verhindert die einheitliche Architektur von Palo Alto „L\u00fccken“ zwischen Produkten, durch die Bedrohungen unbemerkt schl\u00fcpfen k\u00f6nnen. <\/p>\n

    Die Integration mit der Web-Sicherheit der n\u00e4chsten Generation<\/a> vervollst\u00e4ndigt den Schutz durch fortschrittliche Filterung von Webinhalten.<\/p>\n

    Zero Trust Netzwerkzugang von Palo Alto<\/h3>\n

    Zero Trust ist ein Sicherheitsmodell nach dem Motto „Niemals vertrauen, immer \u00fcberpr\u00fcfen“. – Jeder Zugriff muss autorisiert sein, unabh\u00e4ngig vom Standort des Benutzers. Palo Alto Networks implementiert Zero Trust \u00fcber mehrere Produkte: Prisma Access (ZTNA f\u00fcr Remote-Benutzer), NGFW als Mikroperimeter zur Segmentierung des internen Netzwerks und Prisma Cloud f\u00fcr Cloud-Umgebungen. <\/p>\n

    Die NGFW von Palo Alto dient in einer Zero Trust-Umgebung als Durchsetzer von Zugriffsrichtlinien zwischen Netzwerksegmenten und ersetzt das traditionelle flache Netzwerkmodell mit freiem Ost-West-Verkehr, der durch App-ID + User-ID-Richtlinien eingeschr\u00e4nkt wird.<\/p>\n

    Integration mit dem \u00d6kosystem von Palo Alto (Prisma, Cortex)<\/h3>\n

    Die NGFW von Palo Alto ist kein eigenst\u00e4ndiges Produkt, sondern Teil eines gr\u00f6\u00dferen \u00d6kosystems. Cortex XDR sammelt Telemetriedaten von der NGFW f\u00fcr Korrelationsanalysen und Advanced Threat Detection (APT). Cortex XSOAR verwendet Daten von der NGFW, um die Reaktion auf Vorf\u00e4lle zu automatisieren. Panorama ist die zentrale Verwaltung mehrerer NGFW-Ger\u00e4te von einer einzigen Konsole aus. <\/p>\n

    Austausch von Bedrohungsdaten: alle Palo Alto-Ger\u00e4te weltweit tragen zur WildFire-Bedrohungsdatenbank bei – unbekannte Dateien werden in einer Sandbox analysiert und Signaturen neuer Bedrohungen innerhalb von Minuten an die gesamte Flotte verteilt.<\/p>\n

    Wichtigste Schlussfolgerungen<\/h3>\n