What is a Virtual Firewall?

A virtual firewall is a cloud-based security appliance that sits at the perimeter of a network and examines the traffic coming into and out of it. While traditional firewall appliances would be deployed physically alongside their server stacks, modern virtualization has allowed the firewall to be deployed and managed as a cloud-based appliance. This allows the security team to define their SD-WAN network traffic from a visual dashboard, and more easily apply the firewall protection to cloud and virtual servers.

Cloud-Sicherheitsbericht Demo anfordern

What is a Virtual Firewall?

So funktioniert eine virtuelle Firewall

Virtuelle Firewall werden üblicherweise entweder als virtuelle Maschine in einer Cloud-basierten Umgebung oder über ein FWaaS-Angebot bereitgestellt. Dadurch kann ein Unternehmen die Flexibilität und Skalierbarkeit der Cloud auch im Hinblick auf seine Sicherheit nutzen.

Wie jede Firewall muss auch eine virtuelle oder Cloud-Firewall in der Lage sein, den in das geschützte Netzwerk ein- und ausgehenden Datenverkehr zu überprüfen. Eine virtuelle Firewall bietet hierfür mehrere Möglichkeiten:

  • Bridge-Modus: Eine virtuelle Firewall kann wie eine physische Firewall direkt im Verkehrsweg eingesetzt werden. Dies ermöglicht es, jeglichen Datenverkehr zu prüfen und zuzulassen oder zu blockieren, der versucht, über die Brücke in die virtuelle Umgebung einzudringen oder diese zu verlassen.
  • Cloud-native APIs: Viele Cloud-Dienste bieten eine API, wie z. B. AWS VPC Traffic Mirroring, die Einblick in die Verkehrsströme in die Cloud-Bereitstellung eines Unternehmens bietet. Virtual Firewall kann diesen Zugriff auf das virtuelle Netzwerk auch nutzen, um den Datenverkehr zu prüfen, der in die geschützte virtuelle Umgebung ein- und ausgeht.

Diese Transparenz ermöglicht es einer Cloud-Firewall, ihre integrierten Sicherheitsrichtlinien und alle integrierten Sicherheitsfunktionen anzuwenden, wie z. B. die Sandbox-Analyse verdächtiger Inhalte. Abhängig von der Bereitstellung und den Konfigurationseinstellungen kann die Firewall auch so konfiguriert werden, dass sie Angriffsversuche blockiert oder Warnungen generiert.

Verschiedene Arten virtueller Firewall verfügen möglicherweise über zusätzliche Funktionen, die sie ideal zum Schutz CloudUmgebungen geeignet machen. Durch die Verwendung dynamischer Objekte durch Check Point können beispielsweise Sicherheitsrichtlinien so definiert werden, dass bestimmte Werte von jedem Gateway, das die Richtlinie verwendet, unterschiedlich aufgelöst werden können. Dadurch ist es möglich, allgemeine Sicherheitsrichtlinien zu definieren, die in der gesamten IT-Infrastruktur des Unternehmens konsistent durchgesetzt werden und über spezifische Werte wie IP-Adressen verfügen, die auf der Grundlage der Integration der Firewall mit Cloud-Anwendungs-Tags festgelegt werden.

How is a Firewall Made Virtual?

Traditional networking appliances require dedicated hardware for each network function: the firewall is one of the most well-established pieces of hardware within the security stack. In this setup, incoming traffic is routed to the firewall that is plugged into the router, where it’s analyzed, before being forwarded to the internal network’s own switches. Sometimes, hardware firewall apps can be built into the router itself. The onboard memory then executes the security policies and routes traffic on to the internal networks. Usage trends are stored temporarily onboard; these can be extracted and analyzed by other security tools like security information and event management (SIEM).

 

The firewall analyzes every packet of data that is sent to the protected network, filtering traffic according to its criteria. This includes protocol type, source and destination IP addresses, port numbers, and previous behavior. If a packet does not comply with these rules, the firewall prevents it from passing through. In physical networks, these rules are uploaded to the physical appliance. However, continuing to rely on a hardware firewall can lock admin teams into expensive upgrade cycles as a business – and its network traffic – grows.

Separating  compute power from a physical machine has been the defining process of the last decade’s worth of cloud transformation. Network Function Virtualization (NFV) allows firewalls to be virtualized through a type of software called a hypervisor. This segments a physical machine into multiple virtual machines – each of which can run independently. This then allows a firewall to be purchased and deployed as software: traffic on-route to the network is routed via this cloud-based, virtual firewall. An organization then maintains the  virtual firewall, changing rules and viewing ongoing activity through a visual dashboard.

Warum eine virtuelle Firewall benötigt wird

Eine virtuelle Firewall soll viele der gleichen Schutzmaßnahmen wie herkömmliche physische Firewall-Appliances bieten – jedoch als Cloud-native Lösung. Dadurch können sie mehrere Sicherheitsanforderungen erfüllen:

  • Inspektion des Nord-Süd-Verkehrs: Cloudbasierte Ressourcen werden außerhalb des traditionellen Unternehmensnetzwerk-Perimeters bereitgestellt und sind direkt über das öffentliche Internet zugänglich. Der Einsatz einer virtuellen Firewall-Appliance zur Überprüfung und Filterung des ein- und ausgehenden Datenverkehrs für diese Cloud-basierten Ressourcen ist unerlässlich, um sie vor Gefährdungen und potenziellen Datenlecks zu schützen.
  • Inspektion des Ost-West-Verkehrs: Auch wenn ein Unternehmen den Zugriff auf seine Cloud-basierten Ressourcen kontrolliert, ist die Inspektion des Ost-West-Datenflusses innerhalb der Umgebung eines Unternehmens ebenfalls ein wichtiger Aspekt der Cybersicherheit. Cyberkriminelle, die Zugriff auf das Netzwerk einer Organisation haben, bewegen sich häufig seitlich darin, um an sensible Ressourcen zu gelangen und ihre endgültigen Ziele zu erreichen. Angesichts der wachsenden Menge sensibler Daten und Funktionen, die in der Cloud bereitgestellt werden, ist die Durchführung von Inhaltsprüfungen und die Durchsetzung von Sicherheitsrichtlinien dieser Ost-West-Verkehrsströme wichtig für den Schutz cloudbasierter Ressourcen, weshalb eine virtuelle Firewall unerlässlich ist.
  • Bereitstellungsort: Ein wachsender Prozentsatz der Infrastruktur eines Unternehmens wird in virtualisierten Umgebungen wie der Cloud bereitgestellt. Die Sicherung dieser Umgebungen mit einer physischen Firewall-Appliance ist oft keine praktikable Option, da diese Appliances nicht vor Ort bereitgestellt werden können und die Weiterleitung des Datenverkehrs über das Netzwerk der Zentrale zur Sicherheitsüberprüfung keine praktikable Option ist. Eine Cloud oder virtuelle Firewall ermöglicht es einem Unternehmen, das gleiche Maß an Sicherheit in einem Formfaktor bereitzustellen, der für seine Bereitstellungsumgebung konzipiert und gut geeignet ist.
  • Flexibilität und Skalierbarkeit: Virtuelle Firewall werden häufig als Sicherheitslösung in Cloud-Umgebungen eingesetzt. Unternehmen nutzen die Cloud häufig wegen ihrer integrierten Flexibilität und Skalierbarkeit, daher muss sich die Cloud-Sicherheit auch an sich ändernde Anforderungen anpassen können. Aus diesem Grund ist der Einsatz virtueller Firewalls – möglicherweise über einen Firewall as a Service (FWaaS)-Dienst, der bedarfsgesteuerten Zugriff auf Schutz bietet – eine ideale Lösung zur Sicherung dieser Cloud-basierten Umgebungen, insbesondere mit der Möglichkeit, die gemeinsame Bereitstellung zu automatisieren. Bereitstellungs- und Konfigurationsschritte.

Virtual vs Physical Firewall Use Cases

Since virtual firewalls are so different from their hardware-based counterparts, their ideal use cases differ accordingly. Virtual firewall solutions are best suited for cloud-native applications and rapidly changing network infrastructure. In contrast, physical firewalls excel in high-performance scenarios, centralized on-premises security, and protecting legacy systems.

Centralized, On-Premises Networks

Hardware firewalls are architecturally well-suited to centralized, hub-and-spoke model networks. This is because they are implemented as a single security device alongside a single serverstack. Should an enterprise rely on a simple, central network model similar to this, a hardware-based approach can prove effective.

Sprawling, Hybrid Networks

Virtual firewall benefits are best realized when an organization wants to secure sprawling, or cloud-based networks. Virtual firewalls provide a central management hub, even across swathes of an organization’s containerized applications, microservices, and private clouds. This means they are far better suited to hybrid or very distributed network environments, as one single management plane can allow a team to alter rules in different areas of the business. This helps build consistent firewall protection across different zones.

VPN Compatibility

When provisioning access for remote employees, many companies choose Virtual Private Network (VPN) tools. However, because these VPNs encrypt remote workers’ individual connections to internal resources, traditional firewalls can struggle to analyze the encrypted traffic. Both virtual and physical firewalls can effectively analyze VPN traffic, but they have different strengths depending on the network environment and use case.

Virtualized firewalls are a better fit for cloud-based VPN servers – they are also well-suited to new or temporary VPN accounts, such as those set up for temporary work staff and contractors.

Low Budget, or Time

In terms of initial cost and time, a software-based firewall is relatively cheap and rapid to implement. Some come with a free trial, and after that, a relatively low monthly fee. Most virtual firewalls charge based on usage, or throughput, allowing for costs to remain consistent with real usage.

Software-based firewalls are also faster to set up: virtual firewall configuration often requires installation and a few setting tweaks to begin securing traffic. Hardware firewalls, on the other hand, demand physical installation, suitable wiring and space dedication, and proper network positioning and design – changing these down the line then requires the same intensive process.  Plus adding new appliances or devices means electrical and cooling considerations must be taken for each firewall that is installed. On the other hand, public cloud providers are responsible for the physical infrastructure for virtual firewalls.

Data Center Protection

Physical firewall appliances are generally better suited to intensely high-throughput applications, like data centers. This is due to the proximity of their compute power, which can be provided instantaneously from the onboard memory. This also allows for drastic fluctuations in network traffic to be suitably analyzed and processed, with no perceivable impact on latency.

This robust processing capability makes hardware firewalls an ideal choice for organizations experiencing rapid growth or those operating in high-demand sectors where uninterrupted network availability is mission-critical. Some virtual firewall challenges in this use case can include volatile pricing structures and the added latency of traffic being re-routed to a cloud-based analysis engine. Hardware firewalls can be a better fit for data centers since they operate independently from other network components: this frees up server and device resources that can then be fully optimized for their primary network task.

Gain Cloud Security with Check Point CloudGuard

Choosing a virtual firewall can be a critical move toward securing your cloud infrastructure. Check Point CloudGuard Network Security offers a cloud-native firewall that delivers  unified, industry-leading threat prevention across hybrid and cloud-based networks.

Boasting a malware identification rate of 99.9%, operational efficiency is championed through automation and native integration with tools like Ansible and Terraforms, , CloudGuard Network Security supports automated playbooks and API-based responses. With a security blueprint that promotes architectural best practices and auto scaling up and down based on network traffic, CloudGuard Network Security customers are able to design highly available and secure deployments with tight network segmentation. Explore the wealth of CloudGuard Network Security firewall features with a demo today, or request pricing and start realizing cloud-first security.