Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Firewall und Next-Generation Firewall (NGFW): Netzwerkschutz verstehen

Von der klassischen Paketfilter-Firewall zur Next-Generation Firewall (NGFW) mit Deep Packet Inspection, IPS, SSL-Inspection und Application Control. Konfigurationsbeispiele, Firewall-Generationen und Entscheidungshilfe welche Lösung für welches Unternehmen passt.

Inhaltsverzeichnis (5 Abschnitte)

Firewalls sind das Fundament der Netzwerksicherheit - und gleichzeitig das am häufigsten misverstandene Sicherheitswerkzeug. “Wir haben eine Firewall” bedeutet heute wenig ohne Kontext: Welche Generation? Wie konfiguriert? Was gelogt? Was kann sie nicht?

Die 4 Generationen der Firewall

Generation 1: Paketfilter (1988)

Funktionsweise:
  Prüft: Quell-IP, Ziel-IP, Source-Port, Destination-Port, Protokoll
  Entscheidung: ALLOW oder DENY
  Kein Kontext: jedes Paket wird isoliert betrachtet

Beispiel-Regel (iptables):
  iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 443 -j ACCEPT
  iptables -A INPUT -j DROP  # Rest blockieren

Schwäche:
  → Kein Zustandskontext (stateless)
  → SYN-Flood möglich
  → Kein Anwendungsprotokoll-Verständnis

Generation 2: Stateful Inspection (1993)

Funktionsweise:
  Verfolgt Verbindungszustand (Connection State Table)
  TCP: SYN → SYN-ACK → ACK → Verbindung "established"
  Nur Pakete zu bestehenden Verbindungen durch

Vorteil gegenüber Gen 1:
  → SYN-Flood erkennbar (keine Verbindung ohne kompletten Handshake)
  → FIN-Scan erkennbar (FIN ohne vorherige Verbindung)
  → Return-Traffic automatisch erlaubt

Schwäche:
  → Kein Anwendungsprotokoll-Verständnis
  → Tunnel durch erlaubte Ports (HTTP/HTTPS auf Port 80/443)
  → Kein Content-Inspection

Generation 3: Application Layer / Proxy (1990er)

Funktionsweise:
  Terminiert Verbindung vollständig (als Proxy)
  → Versteht HTTP, FTP, SMTP-Protokolle
  → Kann HTTP-Methoden (GET, POST) erlauben/blockieren
  → Circuit-Level-Gateway vs. Application-Level-Proxy

Vorteil:
  → Verhindert Protokoll-Anomalien
  → HTTP-Tunneling erkennbar (z.B. DNS über HTTP)

Schwäche:
  → Langsam (jedes Paket vollständig verarbeitet)
  → HTTPS nicht inspizierbar ohne SSL Inspection

Generation 4: NGFW - Next-Generation Firewall (2000er bis heute)

NGFW kombiniert:
  ✓ Stateful Inspection (Gen 2)
  ✓ Deep Packet Inspection (DPI)
  ✓ Application Control (Layer 7)
  ✓ Intrusion Prevention System (IPS)
  ✓ SSL/TLS Inspection (Man-in-the-Middle im eigenen Netz)
  ✓ User Identity Awareness (User statt IP)
  ✓ Threat Intelligence Integration (URL-Filtering, IP-Reputation)
  ✓ Sandboxing (verdächtige Dateien analysieren)

NGFW-Kernfunktionen

Deep Packet Inspection (DPI)

Paketfilter: prüft Header (IP, TCP)
DPI:         prüft GESAMTEN Paketinhalt (Payload)

Beispiel: Port 443 (HTTPS)
  Paketfilter: erlaubt alles auf Port 443
  NGFW mit SSL-Inspection: entschlüsselt → prüft Inhalt → entscheidet

DPI kann erkennen:
  → C2-Beaconing-Muster auch über HTTPS
  → Malware-Signaturen in Dateien (auch komprimiert)
  → SQL-Injection in HTTP-Requests
  → DNS-Tunneling im DNS-Protokoll

Application Control (Layer 7)

NGFW versteht Anwendungen, nicht nur Ports:

Statt Regel: "TCP Port 80 ALLOW"
NGFW-Regel: "Facebook: DENY, LinkedIn: ALLOW nur Profil (kein Video)"

Beispiele:
  → Teams erlauben, aber keine Dateiübertragungen
  → WhatsApp Web blockieren
  → YouTube: nur Business-Kanäle
  → Gaming-Traffic priorisieren (nein) / drosseln (ja)
  → Tor und VPN-Client-Protokolle blockieren

Funktioniert auch wenn Anwendung Port wechselt
  oder HTTPS nutzt (mit SSL Inspection)

SSL/TLS Inspection

Problem: 90%+ des Datenverkehrs ist HTTPS
  → Klassische Firewall sieht nur verschlüsselte Pakete
  → Malware nutzt HTTPS für C2 (Command & Control)
  → Exfiltration über HTTPS nicht erkennbar

NGFW SSL-Inspection (Man-in-the-Middle):
  Client → NGFW: Client denkt mit Webserver zu sprechen
  NGFW → Server: NGFW stellt Verbindung her
  NGFW entschlüsselt, prüft, verschlüsselt wieder
  → Malware sichtbar!

Datenschutz-Aspekte:
  → Private Webseiten (Banking, Arzt) müssen ausgeschlossen werden
  → Mitarbeiter müssen über SSL-Inspection informiert sein (BetrVG §87)
  → Bypass-Kategorien: Banking, Healthcare, Government, Passwortmanager

Intrusion Prevention System (IPS)

IPS im NGFW:
  → Signaturbasiert: bekannte Angriffsmuster blockieren
  → Verhaltensbasiert: Anomalien erkennen
  → CVE-basiert: aktuelle Exploits blockieren

Beispiele:
  → EternalBlue-Exploit (MS17-010): Signatur vorhanden → blocken
  → Log4Shell-Payload in HTTP-Request: IPS erkennt → blocken
  → Port-Scan-Erkennung: 50 Ports in 10 Sekunden → Alert + Block

Unterschied IDS vs. IPS:
  IDS: erkennt und alarmiert (keine Aktion)
  IPS: erkennt, alarmiert UND blockiert automatisch

NGFW-Anbieter im Vergleich

AnbieterBeliebt fürStärke
Fortinet FortiGateKMU + EnterpriseASIC-basiert (sehr schnell), Preis-Leistung
Palo Alto NetworksEnterpriseMarktführer, beste App-Control
Check PointEnterpriseStarkes Management, viele Features
Cisco FirepowerCisco-ShopsIntegration in Cisco-Infrastruktur
Sophos XGSKMUEinfaches Management, gute SOHO-Optionen
pfSense/OPNsenseKMU, HeimnetzOpen Source, kostenlos, Community-Support

Firewall-Konfiguration: Best Practices

Grundregeln (Defense in Depth)

Default Deny Prinzip:
  Alles DENY by default
  Dann explizit ALLOW was nötig ist
  → Kein "ALLOW ALL" als letzte Regel!

Least Privilege:
  Nur die Ports und Protokolle erlauben die wirklich gebraucht werden
  Workstations → Server: nur auf Anwendungsports (443, 8080)
  Nicht: Workstations → Server auf allen Ports

Logging:
  ALLE DENY-Aktionen loggen
  Regelmäßig ALLOW-Logs analysieren (was kommuniziert wohin?)
  Log-Retention: mind. 90 Tage (BSI IT-Grundschutz), 1 Jahr empfohlen

Zonenmodell

DMZ (De-Militarized Zone):
  Öffentlich zugängliche Server (Web, Mail, DNS)
  Zwischen Internet und Intranet

Intranet:
  Interne Systeme, Workstations, Drucker
  Kein direkter Internetzugang von Servern (Proxy!)

Management-Zone:
  Firewall-Management, SIEM, Monitoring
  Nur für IT-Admins erreichbar

Guest-Zone:
  Besucher-WLAN
  Nur Internet, kein Zugang zu Intranet

Regeln zwischen Zonen (Beispiel):
  Internet → DMZ: 443 ALLOW (Web), 25 ALLOW (Mail)
  DMZ → Intranet: nur auf Backend-APIs (8080)
  Intranet → Internet: via Proxy (http/https)
  Guest → Intranet: DENY
  Management → alle Zonen: ALLOW (für Admins)

Typische Firewall-Fehlkonfigurationen

Fehler 1: "ALLOW ANY ANY" oder "ALLOW ALL to Internet"
  → Kein Schutz vor Exfiltration oder C2

Fehler 2: Management-Interface aus Internet erreichbar
  → CVE gegen Firewall-Webinterface → kompletter Zugang

Fehler 3: RDP (Port 3389) aus Internet erlaubt
  → Brute-Force, RDP-Vulnerabilities ausnutzbar

Fehler 4: Kein Logging oder Logging zu kurz aufbewahrt
  → Incident-Response blind

Fehler 5: Default Admin-Passwort nicht geändert
  → Standard-Credentials für alle Hersteller online verfügbar

Fehler 6: Kein regelmäßiges Firmware-Update
  → CVE-2023-27997 (Fortinet, CVSS 9.8): alle Appliances mit Default-Config kompromittierbar

WAF vs. NGFW

NGFW:
  → Schützt Netzwerkperimeter
  → Layer 3-7, allgemeiner Netzwerkschutz
  → Nicht spezialisiert auf HTTP/Web-Anwendungen

WAF (Web Application Firewall):
  → Schützt spezifisch Web-Anwendungen
  → Deep HTTP-Analyse: XSS, SQLi, CSRF, OWASP Top 10
  → Kein Netzwerkschutz außerhalb HTTP

Kombination:
  NGFW + WAF: optimaler Schutz
  NGFW schützt Netzwerkzugang
  WAF schützt Webanwendungen von Layer-7-Angriffen

Quellen & Referenzen

  1. [1] NIST SP 800-41 Guidelines on Firewalls and Firewall Policy - NIST
  2. [2] BSI IT-Grundschutz NET.3.2 Firewall - BSI

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung