Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Firewall und Next-Generation Firewall (NGFW): Netzwerkschutz verstehen

Von der klassischen Paketfilter-Firewall zur Next-Generation Firewall (NGFW) mit Deep Packet Inspection, IPS, SSL-Inspection und Application Control. Konfigurationsbeispiele, Firewall-Generationen und Entscheidungshilfe welche Lösung für welches Unternehmen passt.

Inhaltsverzeichnis (5 Abschnitte)

Firewalls sind das Fundament der Netzwerksicherheit - und gleichzeitig das am häufigsten misverstandene Sicherheitswerkzeug. "Wir haben eine Firewall" bedeutet heute wenig ohne Kontext: Welche Generation? Wie konfiguriert? Was gelogt? Was kann sie nicht?

Die 4 Generationen der Firewall

Generation 1: Paketfilter (1988)

Der Paketfilter prüft Quell-IP, Ziel-IP, Source-Port, Destination-Port und Protokoll - und trifft dann eine einfache ALLOW- oder DENY-Entscheidung. Jedes Paket wird isoliert betrachtet, ohne Verbindungskontext.

# Beispiel-Regel (iptables)
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP  # Rest blockieren

Schwäche: Kein Zustandskontext (stateless), SYN-Flood möglich, kein Anwendungsprotokoll-Verständnis.

Generation 2: Stateful Inspection (1993)

Stateful Inspection verfolgt den Verbindungszustand in einer Connection State Table. TCP-Verbindungen müssen den vollständigen Handshake (SYN → SYN-ACK → ACK) durchlaufen, bevor Pakete zugelassen werden. Return-Traffic wird automatisch erlaubt, SYN-Floods und FIN-Scans werden erkennbar.

Schwäche: Kein Anwendungsprotokoll-Verständnis, Tunneling durch erlaubte Ports (HTTP/HTTPS auf Port 80/443) möglich, kein Content-Inspection.

Generation 3: Application Layer / Proxy (1990er)

Die Proxy-Firewall terminiert die Verbindung vollständig und versteht Anwendungsprotokolle wie HTTP, FTP und SMTP. Sie kann HTTP-Methoden (GET, POST) gezielt erlauben oder blockieren und Protokoll-Anomalien sowie HTTP-Tunneling erkennen.

Schwäche: Langsam durch vollständige Paketverarbeitung, HTTPS ohne SSL Inspection nicht inspizierbar.

Generation 4: NGFW - Next-Generation Firewall (2000er bis heute)

Die NGFW kombiniert alle Vorgängerfähigkeiten und erweitert sie: Stateful Inspection, Deep Packet Inspection (DPI), Application Control (Layer 7), Intrusion Prevention System (IPS), SSL/TLS Inspection, User Identity Awareness (User statt IP-Adresse), Threat Intelligence Integration (URL-Filtering, IP-Reputation) sowie Sandboxing für verdächtige Dateien.

NGFW-Kernfunktionen

Deep Packet Inspection (DPI)

Während ein Paketfilter nur Header (IP, TCP) prüft, analysiert DPI den gesamten Paketinhalt (Payload). Ein klassischer Paketfilter erlaubt alles auf Port 443 - eine NGFW mit SSL-Inspection entschlüsselt, prüft den Inhalt und entscheidet erst dann. DPI kann C2-Beaconing-Muster auch über HTTPS erkennen, Malware-Signaturen in Dateien (auch komprimierten), SQL-Injection in HTTP-Requests sowie DNS-Tunneling im DNS-Protokoll.

Application Control (Layer 7)

Die NGFW versteht Anwendungen, nicht nur Ports. Statt einer simplen Regel "TCP Port 80 ALLOW" kann eine NGFW-Regel lauten: "Facebook: DENY, LinkedIn: ALLOW nur Profil (kein Video)". Typische Anwendungsfälle sind: Teams erlauben, aber keine Dateiübertragungen; WhatsApp Web blockieren; Gaming-Traffic drosseln; Tor und VPN-Client-Protokolle blockieren. Diese Kontrolle funktioniert auch wenn die Anwendung den Port wechselt oder HTTPS nutzt (mit SSL Inspection).

SSL/TLS Inspection

Über 90% des Datenverkehrs ist heute HTTPS - klassische Firewalls sehen nur verschlüsselte Pakete und können weder C2-Kommunikation noch Exfiltration erkennen. Die NGFW-SSL-Inspection arbeitet als Man-in-the-Middle im eigenen Netz: Der Client verbindet sich zur NGFW (die er für den Webserver hält), die NGFW stellt die eigentliche Verbindung her, entschlüsselt, prüft und verschlüsselt wieder. Malware wird damit sichtbar.

Datenschutz-Aspekte: Private Webseiten (Banking, Arzt) müssen aus der Inspection ausgeschlossen werden, Mitarbeiter müssen über SSL-Inspection informiert sein (BetrVG §87), und Bypass-Kategorien müssen definiert sein (Banking, Healthcare, Government, Passwortmanager).

Intrusion Prevention System (IPS)

Das in die NGFW integrierte IPS arbeitet signaturbasiert (bekannte Angriffsmuster blockieren), verhaltensbasiert (Anomalien erkennen) und CVE-basiert (aktuelle Exploits blockieren). Beispiele: Der EternalBlue-Exploit (MS17-010) und Log4Shell-Payloads in HTTP-Requests werden durch Signaturen erkannt und blockiert; Port-Scans (50 Ports in 10 Sekunden) lösen Alert und Block aus.

Der Unterschied zwischen IDS und IPS: Ein IDS erkennt und alarmiert ohne Aktion, ein IPS erkennt, alarmiert und blockiert automatisch.

NGFW-Anbieter im Vergleich

AnbieterBeliebt fürStärke
Fortinet FortiGateKMU + EnterpriseASIC-basiert (sehr schnell), Preis-Leistung
Palo Alto NetworksEnterpriseMarktführer, beste App-Control
Check PointEnterpriseStarkes Management, viele Features
Cisco FirepowerCisco-ShopsIntegration in Cisco-Infrastruktur
Sophos XGSKMUEinfaches Management, gute SOHO-Optionen
pfSense/OPNsenseKMU, HeimnetzOpen Source, kostenlos, Community-Support

Firewall-Konfiguration: Best Practices

Grundregeln (Defense in Depth)

Default Deny Prinzip: Alles DENY by default, dann explizit ALLOW was nötig ist. Kein "ALLOW ALL" als letzte Regel.

Least Privilege: Nur die Ports und Protokolle erlauben, die wirklich gebraucht werden. Workstations sollten Server nur auf Anwendungsports (443, 8080) erreichen, nicht auf allen Ports.

Logging: Alle DENY-Aktionen loggen, ALLOW-Logs regelmäßig analysieren (was kommuniziert wohin?). Log-Retention: mindestens 90 Tage (BSI IT-Grundschutz), 1 Jahr empfohlen.

Zonenmodell

Ein bewährtes Zonenmodell umfasst vier Bereiche:

  • DMZ (De-Militarized Zone): Öffentlich zugängliche Server (Web, Mail, DNS), positioniert zwischen Internet und Intranet.
  • Intranet: Interne Systeme, Workstations, Drucker - kein direkter Internetzugang von Servern (Proxy!).
  • Management-Zone: Firewall-Management, SIEM, Monitoring - nur für IT-Admins erreichbar.
  • Guest-Zone: Besucher-WLAN mit ausschließlichem Internetzugang, kein Zugang zum Intranet.

Typische Regeln zwischen Zonen: Internet → DMZ nur Port 443 (Web) und 25 (Mail); DMZ → Intranet nur auf Backend-APIs (8080); Intranet → Internet via Proxy; Guest → Intranet DENY; Management → alle Zonen für Admins erreichbar.

Typische Firewall-Fehlkonfigurationen

Die häufigsten Konfigurationsfehler in der Praxis:

  • "ALLOW ANY ANY" oder "ALLOW ALL to Internet": Kein Schutz vor Exfiltration oder C2-Kommunikation.
  • Management-Interface aus Internet erreichbar: Eine CVE gegen das Webinterface führt zu vollständigem Zugang.
  • RDP (Port 3389) aus Internet erlaubt: Ermöglicht Brute-Force-Angriffe und Ausnutzung von RDP-Schwachstellen.
  • Kein Logging oder zu kurze Aufbewahrung: Incident-Response ist blind.
  • Default Admin-Passwort nicht geändert: Standard-Credentials für alle Hersteller sind online verfügbar.
  • Kein regelmäßiges Firmware-Update: Beispiel CVE-2023-27997 (Fortinet, CVSS 9.8): alle Appliances mit Default-Konfiguration kompromittierbar.

WAF vs. NGFW

NGFW und WAF schützen unterschiedliche Bereiche und ergänzen sich:

  • NGFW: Schützt den Netzwerkperimeter, arbeitet auf Layer 3-7 mit allgemeinem Netzwerkschutz - aber nicht spezialisiert auf HTTP-Web-Anwendungen.
  • WAF (Web Application Firewall): Schützt spezifisch Web-Anwendungen mit Deep-HTTP-Analyse gegen XSS, SQLi, CSRF und die OWASP Top 10 - bietet keinen Netzwerkschutz außerhalb HTTP.

Die Kombination NGFW + WAF ist optimal: Die NGFW schützt den Netzwerkzugang, die WAF schützt die Webanwendungen vor Layer-7-Angriffen.

Quellen & Referenzen

  1. [1] NIST SP 800-41 Guidelines on Firewalls and Firewall Policy - NIST
  2. [2] BSI IT-Grundschutz NET.3.2 Firewall - BSI

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de