High Resistance Firewall genugate: Gut gerüstet gegen Angriffe
An der Nahtstelle zwischen Internet und lokalem Netz entscheidet sich maßgeblich das Niveau Ihrer IT-Sicherheit. Hier kommen die Zugriffe von außen und die von innen versandten Daten vorbei.
Je sorgfältiger dieser Datenverkehr kontrolliert wird, desto stärkeren Schutz erreichen Sie für Ihr gesamtes Netzwerk. Deshalb sollte an dieser kritischen Stelle die IT-Sicherheit höchste Priorität genießen. Ein zentraler Baustein ist dabei die Content-Analyse: Sie sollten nur Daten in Ihr Netz lassen, deren Inhalt komplett geprüft wurde. Denn nur so kann gefährlicher Content sicher erkannt und geblockt werden.
Die High Resistance Firewall genugate erfüllt höchste Anforderungen: Zwei unterschiedliche Firewall-Systeme – ein Application Level Gateway und ein Paketfilter jeweils auf separater Hardware – sind zu einer kompakten Lösung kombiniert.
Top Highlights
-
Zweistufig: Application Level Gateway und Paketfilter
-
Zertifizierung nach Common Criteria (CC): Einzige „Highly Resistant“ Firewall weltweit
-
Zulassung für VS-NfD, NATO RESTRICTED und RESTREINT UE / EU RESTRICTED
genugate ist zugelassen für VS-NfD, NATO RESTRICTED und RESTREINT UE/EU RESTRICTED
genugate ist zertifiziert nach CC EAL 4+
Hochsicherer Update-Mechanismus schützt vor Angriffen mit Quantencomputern
Ihre Vorteile auf einen Blick
- Zugelassen für den Einsatz im VS-NfD-Umfeld
- Zertifiziert nach Common Criteria (CC) EAL4+ mit AVA_VAN.5 (Advanced Methodical Vulnerability Analysis)
- Bester Selbstschutz: einzige vom BSI als „highly resistant“ eingestufte Firewall der Welt
- 2-stufige Firewall: Implementierung der zwei Komponenten in zwei unabhängigen Rechnern: innen ein Paketfilter (PFL), außen ein Application Level Gateway (ALG)
- Application Level Gateway: Gesamtheitliche, vollständige Inhaltsanalyse – nicht nur eine Stichprobe
- Paketfilter-Firewall mit individuell konfigurierbarem Regelwerk
- Integrierte Web Application Firewall (WAF) schützt zuverlässig gegen Angriffe auf Webanwendungen
- Offline-Modus: Die Lizenz ist offline aktivierbar, Patches und Updates lassen sich manuell ausführen.
- REST-API-Support zur Automation von Administrationsaufgaben
- Hochsicherer Update-Mechanismus schützt vor Angriffen mit Quantencomputern
-
Grundlegende Informationen zur High Resistance Firewall
Inhaltskontrolle: Gefährlicher Content wird abgeblockt
Das Application Level Gateway analysiert den Inhalt des kompletten Datenstroms. Gefährliche oder unerwünschte Inhalte wie aktiver Content, Viren oder Spam werden hier zuverlässig erkannt und abgeblockt.
Durch diese umfassende Inhaltskontrolle bietet die Application Gateway Firewall genugate ein deutlich höheres Sicherheitsniveau als sogenannte Next Generation Firewalls, die zumeist mit Deep Packet Inspection arbeiten und den Dateninhalt lediglich stichprobenartig kontrollieren.
Auch die Cloud-Nutzung kann mit der Firewall kontrolliert werden, indem z. B. Uploads zu externen Services nur zugelassen werden, wenn die Daten verschlüsselt sind.
Zusätzlich zum Application Level Gateway prüft ein Paketfilter als zweites Sicherheitssystem formale Kriterien wie Absenderadresse und Protokolltyp. Durch die Zweistufigkeit und die Inhaltskontrolle aller Daten unterscheidet sich genugate von anderen Firewalls und garantiert massiven Schutz an kritischen Netzübergängen.
Firewall ist nach CC in der Stufe EAL 4+ zertifiziert
Diese Lösung hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überzeugt, das genugate nach dem Standard Common Criteria (CC) in der anspruchsvollen Stufe EAL 4+ zertifiziert hat.
Damit wird von unabhängiger Seite die hohe Vertrauenswürdigkeit der Sicherheitsleistung unserer Firewall-Lösung bestätigt. Zusätzlich wurde genugate als "highly resistant" eingestuft. Denn die Firewall setzt direkten Angriffen höchsten Widerstand entgegen – die Sicherheitsleistung entspricht den Anforderungen von Stufe EAL 7.
Die Application Gateway Firewall genugate ist die einzige Firewall weltweit, die diesen hohen Sicherheits-Level bietet.
Abgestimmte Komplettlösung
Der deutsche Hersteller genua bietet mit der High Resistance Firewall genugate eine Lösung für kritische Schnittstellen. Die Application Gateway genugate ist eine Komplettlösung aus Hardware, Betriebssystem und Firewall-Software.
Alle Komponenten sind exakt aufeinander abgestimmt und auf höchste Sicherheit ausgelegt. So garantiert das eingesetzte Betriebssystem OpenBSD hohe Sicherheitsstandards, und die beiden Firewall-Systeme – das Application Level Gateway und der Paketfilter – laufen auf physisch getrennten Rechnern. Beide Firewalls werden jedoch über eine einheitliche Oberfläche bedient, dies ermöglicht eine komfortable Administration und spart Support-Kosten. Durch die Zweistufigkeit unterscheidet sich genugate von anderen Firewalls und garantiert massiven Schutz an der kritischen Schnittstelle zwischen Ihrem Netzwerk und dem Internet.
Application Level Gateway kontrolliert Dateninhalt
Kernstück von genugate ist das Application Level Gateway. Dieses anspruchsvolle Sicherheitssystem prüft den Inhalt des kompletten Datenstroms. Dazu werden die ankommenden Datenpakete zunächst gestoppt – das Application Level Gateway lässt keine durchgehende Verbindung zwischen Internet und lokalem Netz zu. Der Sicherheitsgewinn durch dieses Feature: Angriffe auf der Netzebene sind nicht möglich. So werden viele Risiken bspw. durch die erweiterten Header bei IPv6 ausgeschlossen.
Nach der Verbindungstrennung werden die Pakete wie ein Puzzle zusammengesetzt, denn nur anhand kompletter Datensätze ist eine inhaltliche Prüfung möglich. Jetzt wird gefiltert und je nach Konfiguration werden unerwünschte und gefährliche Daten wie aktiver Content, Viren oder auch Spam zuverlässig abgeblockt. Erst anschließend werden die Daten über eine neue Verbindung weitergeleitet. Auch die Cloud-Nutzung kann das Application Level Gateway absichern, indem z. B. Uploads zu externen Services nur zugelassen werden, wenn die Daten verschlüsselt sind. Mit der umfassenden Content-Analyse durch das Application Level Gateway bietet genugate ein deutlich höheres Sicherheitsniveau als sogenannte Next Generation Firewalls, die zumeist mit Deep Packet Inspection oder Pattern Matching arbeiten und den Dateninhalt lediglich stichprobenartig prüfen.
Teamarbeit mit Paketfilter
Ein Stateful Packet Filter arbeitet bei genugate als zweites Firewall-System auf der Innenseite in Richtung lokales Netzwerk. Er kontrolliert die Datenpakete anhand der Header-Informationen IP-Adresse, Protokolltyp und Port-Nummer.
Das bedeutet: Alle Daten müssen zwei Firewall-Systeme passieren, deren Schutzmechanismen sich auf unterschiedlichen Ebenen optimal ergänzen. Durch die abgestimmte Teamarbeit sichern sich die beiden Systeme auch gegenseitig ab. Die Zweistufigkeit ermöglicht zudem den Aufbau von Demilitarisierten Zonen (DMZ) genau nach Ihren Anforderungen: Server lassen sich über weitere Schnittstellen sowohl an das Application Level Gateway als auch an den Paketfilter anschließen. So können Sie Dienste im Internet anbieten, die durch das leistungsstarke Application Level Gateway gesichert werden, oder Sie koppeln Server über den Paketfilter eng an Ihr LAN.
Sicherheit vs. Performance
All-IP und weitere Entwicklungen erfordern die breite Umstellung auf Voice-over-IP-Kommunikation, für die das Session Initiation Protocol (SIP) von zentraler Bedeutung ist.
Da sich aus den neuen Technologien auch neue Angriffsvektoren ergeben, muss die IT Security einen rundum sicheren Betrieb gewährleisten. Mit der Zusatzoption SIP-Modul erhalten Sie eine spezialisierte Prüfinstanz, welche die Datenkommunikation nur dann zulässt, wenn die entsprechende Verbindung vollständig analysiert und als sicher bewertet wurde. Das SIP-Modul ist auch auf SSL/TLS-Verbindungen anwendbar. Durch Session-Border-Controller(SBC)-Funktionalitäten verhindert es Angriffe auf Telefone sowie Telefonanlagen und ermöglicht die Durchsetzung von Sicherheitsrichtlinien. Das SIP-Modul gewährleistet zudem die Interoperabilität von Systemen, die bspw. verschiedene Verschlüsselungsstandards verwenden, und vereinfacht die Zertifikatsverwaltung.
genugate: Optimale Basis für P-A-P-Lösung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, an der kritischen Nahtstelle zwischen Internet und lokalem Netz eine Firewall-Kombination aus zwei Paketfiltern und einem Application Level Gateway – kurz P-A-P-Aufbau – einzusetzen. Denn durch die vorgelagerten Paketfilter wird das hochwertige Application Level Gateway an beiden Seiten sowohl gegen direkte Angriffe als auch gegen hohe Belastungen optimal geschützt.
Mit genugate können Sie diesen hohen Sicherheits-Level komfortabel erreichen: Wenn Sie bspw. Ihren Internet-Router mit Regeln als Paketfilter konfigurieren oder zusätzlich eine Firewall des Typs genuscreen von genua einsetzen, ergibt sich im Zusammenspiel mit der zweistufigen Lösung genugate die angestrebte P-A-P-Kombination.
Web Application Firewall (WAF) auf Basis einer Zertifizierung nach CC EAL4+ mit AVA_VAN.5
genugate verfügt über die einzige Web Application Firewall (WAF) auf dem Markt, die auf einer durch das BSI nach Common Criteria (CC) EAL4+ mit AVA_VAN.5 (Advanced Methodical Vulnerability Analysis) zertifizierten Grundlage basiert. Die Bezeichnung AVA_VAN.5 steht für ein hohes Maß an Selbstschutz, durch den die Firewall nachweislich selbst Angreifern mit hohem Angriffspotential standhält. Besonders gefährdete Organisationen wie Sicherheitsbehörden oder Betreiber kritischer Infrastrukturen (KRITIS) können mit genugate ihre Server zuverlässig vor Angriffen schützen.
Hardware und Cluster für alle Anforderungen
Wir bieten genugate in verschiedenen Hardware-Varianten an, um unterschiedliche Anforderungen abzudecken. Darüber hinausgehende Ansprüche bei Datendurchsatz sowie Verfügbarkeit erfüllen wir mit Clustern:
Alle Varianten können zu beliebig leistungsfähigen Clustern gebündelt werden. Administriert wird die zweistufige Lösung genugate über ein einheitliches Web-GUI. Falls Sie mehrere Firewalls des Typs genugate einsetzen, können Sie bspw. IP-Adressen oder Server-Namen komfortabel über eine Central Management Station zentral anlegen und verteilen. Über eine Schnittstelle können Sie genugate zudem an Ihr Security Information and Event Management (SIEM), z. B. QRadar von IBM, anbinden. Denn die Log-Daten des Firewall-Systems liefern einen wichtigen Beitrag zu Ihrer zentralen Ereignis- und Risikoanalyse.
Einzige Highly Resistant Firewall der Welt
Aufgrund der starken Leistung beim Selbstschutz hat das BSI genugate als "highly resistant" eingestuft – als einzige Firewall der Welt.
Mit diesem Prädikat haben unsere Kunden von unabhängiger Seite die Gewähr, eine hochsichere Lösung zu erwerben. Um die hochwertige Qualität der High Resistance Firewall genugate fortlaufend zu sichern, führen wir die BSI-Zertifizierung bei jedem großen Release-Wechsel erneut durch.
Neu: genugate Virtual – die einzige virtualisierte Firewall mit VS-NfD-Zulassung
genugate Virtual ist die einzige virtuelle Firewall, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Verarbeitung von VS-NfD-eingestuften Daten in Deutschland zugelassen ist.
Die High Resistance Firewall genugate Virtual kombiniert die bewährten Sicherheitsstandards der Firewall Appliance genugate mit den Vorteilen der Virtualisierung. Sie gewährleistet eine konsistente Sicherheitsarchitektur durch ihre erweiterten Funktionen als Application Level Gateway (ALG), die eine tiefgreifende Überprüfung des Netzwerkverkehrs ermöglichen. In virtuellen Umgebungen überzeugt sie durch zuverlässige Sicherheit und hohe Verfügbarkeit.
Post-Quanten-Kryptografie: genua erfüllt zukünftige Sicherheitsanforderungen
Mit Produkten von genua gelingt Ihnen der Übergang in die Post-Quanten-Kryptografie. Unser Update-Mechanismus gewährleistet heute und in Zukunft vertrauenswürdige Produktaktualisierungen: Neben einer digitalen Signatur für höchste Sicherheit nach aktuellen Maßstäben schützt die Erweiterung um eine quantenresistente Signatur schon jetzt wirksam vor Angriffen mit Quantencomputern.
Eine sichere Investition gemäß BSI-Empfehlung
Experten gehen davon aus, dass Quantencomputer in einigen Jahren derzeit verbreitete kryptographische Verfahren schwächen oder gar brechen können. Die Sicherheit des von genua in Kooperation mit der TU Darmstadt und der TU Eindhoven entwickelten Verfahrens XMSS ist heute wohlverstanden. Durch dessen Anwendung erfüllen wir die Empfehlungen für zukunftssichere Software-Updates gemäß Bundesamt für Sicherheit in der Informationstechnik (BSI) und National Institute of Standards and Technology (NIST).
Trainings
Produkttrainings genugate
Damit unsere Kunden die Firewall genugate sicher administrieren und alle Möglichkeiten nutzen können, bieten wir ein zweiteiliges Trainingsprogramm: das zweitägige genugate Administrator Training und darauf aufbauend das dreitägige Training zum genugate Specialist. Diese Veranstaltungen beschäftigen sich stets mit der aktuellen Version der Firewall und finden an unserem Firmensitz in Kirchheim bei München statt.
Knowledgebase
Als kollaborativ lernendes Unternehmen ist es unsere Mission, unser Wissen über IT-Sicherheit stetig zu verbessern und mit Ihnen zu teilen. In unserer Knowledge Base bieten wir Ihnen Artikel, White Papers, Analystenberichte, Forschungsergebnisse, Videos und mehr aus dem Themengebiet der IT-Sicherheit.