High Resistance Firewall genugate: Gut gerüstet gegen Angriffe
An der Nahtstelle zwischen Internet und lokalem Netz entscheidet sich maßgeblich das Niveau Ihrer IT-Sicherheit. Hier kommen die Zugriffe von außen und die von innen versandten Daten vorbei.
Je sorgfältiger dieser Datenverkehr kontrolliert wird, desto stärkeren Schutz erreichen Sie für Ihr gesamtes Netzwerk. Deshalb sollte an dieser kritischen Stelle die IT-Sicherheit höchste Priorität genießen. Ein zentraler Baustein ist dabei die Content-Analyse: Sie sollten nur Daten in Ihr Netz lassen, deren Inhalt komplett geprüft wurde. Denn nur so kann gefährlicher Content sicher erkannt und geblockt werden. Die High Resistance Firewall genugate erfüllt höchste Anforderungen: Zwei unterschiedliche Firewall-Systeme – ein Application Level Gateway und ein Paketfilter jeweils auf separater Hardware – sind zu einer kompakten Lösung kombiniert.
Top Highlights
Zweistufig: Application Level Gateway und Paketfilter
Zertifizierung nach Common Criteria (CC): Einzige "Highly Resistant" Firewall weltweit
Zulassung für VS-NfD, NATO RESTRICTED und RESTREINT UE/EU RESTRICTED
Ihre Vorteile auf einen Blick
- Zugelassen für den Einsatz im VS-NfD-Umfeld
- Zertifiziert nach Common Criteria (CC) EAL4+ mit AVA_VAN.5 (Advanced Methodical Vulnerability Analysis)
- Bester Selbstschutz: einzige vom BSI als "highly resistant" eingestufte Firewall der Welt
- 2-stufige Firewall: Implementierung der zwei Komponenten in zwei unabhängigen Rechnern: innen ein Paketfilter (PFL), außen ein Application Level Gateway (ALG)
- Application Level Gateway: Gesamtheitliche, vollständige Inhaltsanalyse – nicht nur eine Stichprobe
- Paketfilter-Firewall mit individuell konfigurierbarem Regelwerk
- Integrierte Web Application Firewall (WAF) schützt zuverlässig vor Angriffen auf Webanwendungen
- GEO-IP Filtering ermöglicht die länderbasierte Steuerung des Netzwerkzugriffs
- Offline-Modus: Die Lizenz ist offline aktivierbar, Patches und Updates lassen sich manuell ausführen.
- REST-API-Support zur Automation von Administrationsaufgaben
- Hochsicherer Update-Mechanismus schützt vor Angriffen mit Quantencomputern
Application Level Gateway
Inhaltskontrolle: Gefährlicher Content wird abgeblockt
Kernstück von genugate ist das Application Level Gateway. Dieses anspruchsvolle Sicherheitssystem prüft den Inhalt des kompletten Datenstroms. Dazu werden die ankommenden Datenpakete zunächst gestoppt – das Application Level Gateway lässt keine durchgehende Verbindung zwischen Internet und lokalem Netz zu. Der Sicherheitsgewinn durch dieses Feature: Angriffe auf der Netzebene sind nicht möglich. So werden viele Risiken bspw. durch die erweiterten Header bei IPv6 ausgeschlossen.
Nach der Verbindungstrennung werden die Pakete wie ein Puzzle zusammengesetzt, denn nur anhand kompletter Datensätze ist eine inhaltliche Prüfung möglich. Jetzt wird gefiltert und je nach Konfiguration werden unerwünschte und gefährliche Daten wie aktiver Content, Viren oder auch Spam zuverlässig abgeblockt. Erst anschließend werden die Daten über eine neue Verbindung weitergeleitet.
Auch die Cloud-Nutzung kann das Application Level Gateway absichern, indem z. B. Uploads zu externen Services nur zugelassen werden, wenn die Daten verschlüsselt sind.
Mit der umfassenden Content-Analyse durch das Application Level Gateway bietet genugate ein deutlich höheres Sicherheitsniveau als sogenannte Next Generation Firewalls, die zumeist mit Deep Packet Inspection oder Pattern Matching arbeiten und den Dateninhalt lediglich stichprobenartig prüfen.
Firewall ist nach CC in der Stufe EAL 4+ zertifiziert
Diese Lösung hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überzeugt, das genugate nach dem Standard Common Criteria (CC) in der anspruchsvollen Stufe EAL 4+ zertifiziert hat.
Damit wird von unabhängiger Seite die hohe Vertrauenswürdigkeit der Sicherheitsleistung unserer Firewall-Lösung bestätigt. Zusätzlich wurde genugate als "highly resistant" eingestuft. Denn die Firewall setzt direkten Angriffen höchsten Widerstand entgegen – die Sicherheitsleistung entspricht den Anforderungen von Stufe EAL 7.
Die Application Gateway Firewall genugate ist die einzige Firewall weltweit, die diesen hohen Sicherheits-Level bietet.
Stateful Packet Filter
Teamarbeit mit Paketfilter
Ein Stateful Packet Filter arbeitet bei genugate als zweites Firewall-System auf der Innenseite in Richtung lokales Netzwerk. Er kontrolliert die Datenpakete anhand der Header-Informationen IP-Adresse, Protokolltyp und Port-Nummer.
Das bedeutet: Alle Daten müssen zwei Firewall-Systeme passieren, deren Schutzmechanismen sich auf unterschiedlichen Ebenen optimal ergänzen. Durch die abgestimmte Teamarbeit sichern sich die beiden Systeme auch gegenseitig ab. Die Zweistufigkeit ermöglicht zudem den Aufbau von Demilitarisierten Zonen (DMZ) genau nach Ihren Anforderungen: Server lassen sich über weitere Schnittstellen sowohl an das Application Level Gateway als auch an den Paketfilter anschließen. So können Sie Dienste im Internet anbieten, die durch das leistungsstarke Application Level Gateway gesichert werden, oder Sie koppeln Server über den Paketfilter eng an Ihr LAN.
Optimale Basis für P-A-P-Lösung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, an der kritischen Nahtstelle zwischen Internet und lokalem Netz eine Firewall-Kombination aus zwei Paketfiltern und einem Application Level Gateway – kurz P-A-P-Aufbau – einzusetzen. Denn durch die vorgelagerten Paketfilter wird das hochwertige Application Level Gateway an beiden Seiten sowohl gegen direkte Angriffe als auch gegen hohe Belastungen optimal geschützt.
Mit genugate können Sie diesen hohen Sicherheits-Level komfortabel erreichen: Wenn Sie bspw. Ihren Internet-Router mit Regeln als Paketfilter konfigurieren oder zusätzlich eine Firewall des Typs genuscreen von genua einsetzen, ergibt sich im Zusammenspiel mit der zweistufigen Lösung genugate die angestrebte P-A-P-Kombination.
Voice-over-IP-Kommunikation
Zusatzoption SIP-Modul
All-IP und weitere Entwicklungen erfordern die breite Umstellung auf Voice-over-IP-Kommunikation, für die das Session Initiation Protocol (SIP) von zentraler Bedeutung ist.
Da sich aus den neuen Technologien auch neue Angriffsvektoren ergeben, muss die IT Security einen rundum sicheren Betrieb gewährleisten. Mit der Zusatzoption SIP-Modul erhalten Sie eine spezialisierte Prüfinstanz, welche die Datenkommunikation nur dann zulässt, wenn die entsprechende Verbindung vollständig analysiert und als sicher bewertet wurde. Das SIP-Modul ist auch auf SSL/TLS-Verbindungen anwendbar. Durch Session-Border-Controller (SBC)-Funktionalitäten verhindert es Angriffe auf Telefone sowie Telefonanlagen und ermöglicht die Durchsetzung von Sicherheitsrichtlinien. Das SIP-Modul gewährleistet zudem die Interoperabilität von Systemen, die bspw. verschiedene Verschlüsselungsstandards verwenden, und vereinfacht die Zertifikatsverwaltung.
Komplettlösung für höchste Sicherheit
Abgestimmte Komplettlösung
Der deutsche Hersteller genua bietet mit der High Resistance Firewall genugate eine Lösung für kritische Schnittstellen. Die Application Gateway genugate ist eine Komplettlösung aus Hardware, Betriebssystem und Firewall-Software.
Alle Komponenten sind exakt aufeinander abgestimmt und auf höchste Sicherheit ausgelegt. So garantiert das eingesetzte Betriebssystem OpenBSD hohe Sicherheitsstandards, und die beiden Firewall-Systeme – das Application Level Gateway und der Paketfilter – laufen auf physisch getrennten Rechnern.
Beide Firewalls werden jedoch über eine einheitliche Oberfläche bedient, dies ermöglicht eine komfortable Administration und spart Support-Kosten. Durch die Zweistufigkeit unterscheidet sich genugate von anderen Firewalls und garantiert massiven Schutz an der kritischen Schnittstelle zwischen Ihrem Netzwerk und dem Internet.
Hardware und Cluster für alle Anforderungen
Wir bieten genugate in verschiedenen Hardware-Varianten an, um unterschiedliche Anforderungen abzudecken. Darüber hinausgehende Ansprüche bei Datendurchsatz sowie Verfügbarkeit erfüllen wir mit Clustern:
Alle Varianten können zu beliebig leistungsfähigen Clustern gebündelt werden. Administriert wird die zweistufige Lösung genugate über ein einheitliches Web-GUI.
Falls Sie mehrere Firewalls des Typs genugate einsetzen, können Sie bspw. IP-Adressen oder Server-Namen komfortabel über eine Central Management Station zentral anlegen und verteilen.
Über eine Schnittstelle können Sie genugate zudem an Ihr Security Information and Event Management (SIEM), z. B. QRadar von IBM, anbinden. Denn die Log-Daten des Firewall-Systems liefern einen wichtigen Beitrag zu Ihrer zentralen Ereignis- und Risikoanalyse.
Web Application Firewall (WAF) auf Basis einer Zertifizierung nach CC EAL4+ mit AVA_VAN.5
genugate verfügt über die einzige Web Application Firewall (WAF) auf dem Markt, die auf einer durch das BSI nach Common Criteria (CC) EAL4+ mit AVA_VAN.5 (Advanced Methodical Vulnerability Analysis) zertifizierten Grundlage basiert. Die Bezeichnung AVA_VAN.5 steht für ein hohes Maß an Selbstschutz, durch den die Firewall nachweislich selbst Angreifern mit hohem Angriffspotential standhält. Besonders gefährdete Organisationen wie Sicherheitsbehörden oder Betreiber kritischer Infrastrukturen (KRITIS) können mit genugate ihre Server zuverlässig vor Angriffen schützen.
Neu: genugate Virtual – die einzige virtualisierte Firewall mit VS-NfD-Zulassung
genugate Virtual ist die einzige virtuelle Firewall, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Verarbeitung von VS-NfD-eingestuften Daten in Deutschland zugelassen ist.
Die High Resistance Firewall genugate Virtual kombiniert die bewährten Sicherheitsstandards der Firewall Appliance genugate mit den Vorteilen der Virtualisierung. Sie gewährleistet eine konsistente Sicherheitsarchitektur durch ihre erweiterten Funktionen als Application Level Gateway (ALG), die eine tiefgreifende Überprüfung des Netzwerkverkehrs ermöglichen. In virtuellen Umgebungen überzeugt sie durch zuverlässige Sicherheit und hohe Verfügbarkeit.
