V-Hub by Vodafone Business Security SicherheitNext-Generation-Firewalls (NGFW): Moderne Netzwerksicherheit für Unternehmen

Next Generation Firewalls als moderner IT-Schutz

Security

Next-Generation-Firewalls (NGFW)

Moderne Netzwerksicherheit für Unternehmen

Security Service: Umfassender Schutz

Freca Dumrese

Clemens Förster

27.01.2026

10 Min.

Die Unternehmens-IT ist heute auf Rechenzentren, Cloud-Umgebungen und mobile Geräte verteilt – klassische Grenzen haben sich längst aufgelöst. Gleichzeitig sind die Angriffe auf diese Strukturen raffinierter als früher, oft unterstützt durch KI. Next-Generation-Firewalls (NGFWs) bieten weit mehr Schutz als klassische Firewalls. Erfahren Sie hier, wie sie unter anderem durch neue Filterfunktionen und anwendungsbezogene Analysen selbst komplexe Malware und Cyberbedrohungen für Ihr Unternehmen in Echtzeit erkennen und blockieren.

Inhaltsverzeichnis

Next-Generation-Firewalls: Das Wichtigste in Kürze Was ist eine Next-Generation-Firewall?So funktionieren Next-Generation-Firewalls Vorteile der Next-Generation-Firewall

Next-Generation-Firewalls: Das Wichtigste in Kürze

Firewalls der nächsten Generation bieten gegenüber herkömmlichen Firewalls fortschrittliche Sicherheitsfunktionen. Sie sind dadurch in der Lage, hochentwickelte Cyberbedrohungen nicht nur zu erkennen, sondern auch abzuwehren.
Die wichtigsten Unterschiede zwischen Next-Generation-Firewalls (NGFWs) und traditionellen Firewalls liegen in der Anwendungserkennung und -kontrolle, Intrusion Prevention Systemen (IPS), Deep Packet Inspection sowie Identitäts- und Zugriffsmanagement.
Next-Generation-Firewalls spielen aufgrund ihrer modernen Funktionen auch eine wichtige Rolle in der Cloud-Security.
Weitere Merkmale von Next-Gen-Firewalls sind Protokollierung und Berichterstattung, Cloud-Sicherheit, Skalierbarkeit und hohe Performance.

Eine junge Frau betrachtet lächelnd ein Tablet.

Vodafone Business Security Services

Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

Rund um die Uhr
Immer aktuell
Alles auf einen Blick via Cyber Hub

Jetzt hier informieren

Was ist eine Next-Generation-Firewall?

Eine Next-Generation-Firewall (NGFW) ist eine weiterentwickelte Sicherheitslösung, die den Datenverkehr zwischen Netzwerken analysiert und dabei weit über klassische Firewall-Funktionen hinausgeht.

Der Begriff „Next-Generation-Firewall“ oder „Firewall der dritten Generation“ kam Anfang der 2000er-Jahre erstmals auf. Er beschreibt eine Firewall, die nicht nur wie eine klassische Firewall lediglich Ports und Protokolle überprüft und gegebenenfalls blockiert, sondern darüber hinaus komplexe Erkennungsverfahren wie beispielsweise die Deep Packet Inspection (DPI) anwendet.

Kernfunktionen einer NGFW

Analysiert Datenverkehr und setzt definierte Firewall‑Regeln um.
Bezieht Anwendungsebene und Kontextinformationen ein.
Erkennt und blockiert diverse Bedrohungen wie Malware, Viren, Würmer, Trojaner, Spyware, Adware und Ransomware

Von einem Wolkensymbol für das Internet geht ein Pfeil über ein Maersymbol, der Funktionen einer Next-Gen-Firewall zugeordnet sind hin zu der Bezeichnung "Granulare Segmentierung". Von dort gehen Pfeile zu Icons, die "Annehmen" und "Ablehnen" bezeichnen.

Schutz vor Cyberbedrohungen in Unternehmensnetzwerken setzt voraus, vollständige Informationen darüber zu haben, wer das Netzwerk nutzt und welche Art von Daten darin unterwegs sind.

Wesentliche Merkmale von NGFWs

Ein Beispiel dafür, wie eine Next-Generation-Firewall arbeitet, ist das Folgende: Wenn etwa Ihre Mitarbeiter:innen auf eine Internetseite oder eine Nachricht über WhatsApp zugreifen, prüft eine Next Gen Firewall nicht nur, ob der Port für die HTTPS-Verbindung erlaubt ist (beispielsweise Port 443), sondern auch, ob die Datenpakete, die an dieser Stelle übertragen werden, tatsächlich autorisierter HTTPS-Traffic sind oder nicht. Erst dann ist der Zugriff möglich. Eine NGFW warnt dabei nicht nur, sondern sie verhindert auch wirksam die Übertragung von infizierten Inhalten.

Zu den wesentlichen Merkmalen der NGFWs gehört also die Festlegung granularer Richtlinien wie

Identität
Standort
Anwendung
Inhaltsart

Da eine solche NGFW für ihre tiefgehenden Analysen viel mehr Rechenleistung benötigt als eine herkömmliche Firewall, kommt diese Technologie bevorzugt in Hardware-Firewalls zum Einsatz.

Security Service: Umfassender Schutz

So funktionieren Next-Generation-Firewalls

Alle Lösungen auf dem NGFW-Markt für Unternehmensnetzwerk-Firewalls bieten Funktionen der nächsten Generation. Diese können sich jedoch je nach Anbieter in Bezug auf Funktionsumfang, Tiefe und Stärke unterscheiden.

Dies sind die Hauptmerkmale von Next-Generation-Firewalls:

Anwendungserkennung (Application Awareness): NGFWs können spezifische Anwendungen und Protokolle identifizieren und kontrollieren. Die Anwendungskontrolle basiert auf einer granularen Richtliniendurchsetzung und geht weit über die begrenzte Durchsetzung auf Basis von Port, Protokoll und IP-Adresse hinaus.
Deep Packet Inspection (DPI): NGFWs inspizieren den gesamten Datenverkehr, einschließlich des Inhalts von Datenpaketen. So können sie Bedrohungen selbst im ansonsten legitimen Traffic erkennen und blockieren.
Intrusion Prevention System (IPS): Firewalls der nächsten Generation bieten Schutz vor bekannten und unbekannten Angriffen, indem sie den Datenverkehr auf verdächtige Muster und Verhaltensweisen untersuchen.
Integration von Bedrohungsinformationen: NGFWs nutzen aktuelle Bedrohungsdatenbanken und Analysen, um auch neue Bedrohungen schnell zu erkennen und abzuwehren.
Benutzeridentifizierung: Next-Generation-Firewalls können Netzwerkaktivitäten bestimmten Nutzer:innen und den Orten zuordnen, an denen sie eine Verbindung herstellen. Außerdem wenden sie benutzerdefinierte Richtlinien und Überwachungsfunktionen an. Sie können Muster im Verhalten von Nutzer:innen auswerten und Anomalien erkennen, die auf böswillige Akteur:innen hindeuten könnten: z.B. solche, die zu ungewöhnlichen Zeiten von ungewohnten Orten aus auf sensible Daten zugreifen.
SSL/TLS-Prüfung: NGFWs sind in der Lage, verschlüsselten Datenverkehr zu entschlüsseln und zu analysieren, um versteckte Bedrohungen zu erkennen.
Protokollierung: NGFWs bieten umfassende Funktionen für die Protokollierung und Berichterstattung. Damit können Administrator:innen Sicherheitsereignisse besser überwachen und Compliance-Anforderungen erfüllen.

Hintergrund der meisten neuen Funktionen ist, dass NGFWs im Gegensatz zu herkömmlichen Firewalls den Datenverkehr auf mehreren der insgesamt sieben Ebenen des sogenannten OSI-Modells (Open Systems Interconnection) verarbeiten können: also nicht nur auf Ebene 3 (Netzwerkebene) oder 4 (Transportebene), sondern auch auf Ebene 7 (Anwendungsebene). Dies ist relevant, weil Angreifer:innen zunehmend auf die Ebene 7 ausweichen, um Sicherheitsrichtlinien herkömmlicher Firewalls zu umgehen.

Grafische Darstellung der übereinander angeordneten sieben Schichten des ISO/OSI-Schichtenmodells mit der Anwendungsschicht als oberster bis hin zur Bitübertragungsschicht als unterster Ebene.

In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.

Vorteile der Next-Generation-Firewall

Bösartige E-Mails, Phishing-Tricks und andere versteckte Angriffe sind oft gut getarnt. Mit Firewalls der nächsten Generation können Unternehmen auch ausgefeilte Malware blockieren, bevor sie in das Unternehmensnetzwerk eindringt. Das war vorher nicht möglich.

Die wichtigsten Vorteile sind im Einzelnen:

Fortschrittliche Analyse: Next Gen Firewalls analysieren sowohl den verschlüsselten als auch unverschlüsselten Datenverkehr im Detail. Sie können bösartige Anwendungen, die auf ein Unternehmen abzielen, im Datenverkehr erkennen und durch Quarantäne oder Blockieren verhindern, dass sie in das Firmennetzwerk eindringen.
Detaillierte Protokolle: Firewalls der nächsten Generation verfügen über umfangreiche Protokollierungs- und Berichterstellungsfunktionen, die es Unternehmen ermöglichen, Sicherheitsvorfälle genauer zu protokollieren und zu überwachen. Gleichzeitig gewinnen sie einen besseren Einblick in die eigene Netzwerksicherheit.
Umfangreiche Managementfunktionen: NGFW bieten ein verbessertes Identitäts- und Zugriffsmanagement, was eine höhere Sicherheit und eine detaillierte Zugriffskontrolle ermöglicht.
Dezidierter Datenschutz: Next-Gen-Firewalls unterstützen Unternehmen dabei, die gesetzlichen Compliance-Anforderungen zu erfüllen. Datenschutzgesetze wie die europäische Datenschutz-Grundverordnung (DSGVO) verlangen von Betrieben, dass sie sensible Daten vor unbefugten Zugriffen schützen.
Optimierte Netzwerke: NGFWs tragen zu einer optimierten Netzwerkarchitektur bei. Sie vereinen die Funktionen mehrerer Geräte und Anwendungen in einer einzigen Plattform und reduzieren die Komplexität der Netzwerk- und Sicherheitsinfrastruktur.

Beachten Sie: Die konkreten Vorteile einer Next-Gen-Firewall hängen jeweils von ihrem Funktionsumfang sowie der Qualität der Sicherheitskomponenten ab. Mittlerweile sind leistungsfähige Sicherheitslösungen deutlich erschwinglicher als vor wenigen Jahren. In der Regel stellt es kein Problem mehr dar, auch mit der kleinsten Ausführung einer umfangreichen Lösung von einem großen Funktionsumfang zu profitieren.

Implementierung einer NGFW im Unternehmensumfeld

Um eine Next-Generation-Firewall in Ihrem Unternehmen zu implementieren, sollten Sie äußerst strukturiert und nach klaren Sicherheitsprinzipien vorgehen. Die folgende Vorgehensweise ist dabei zu empfehlen:

Sicherheitsbedarf analysieren: Erfassen Sie bestehende Netzwerke, Datenflüsse und Schwachstellen und identifizieren Sie kritische Systeme und sensible Bereiche. Prüfen Sie Anforderungen wie Cloud-Anbindungen, Remote-Work und Zero Trust.
NGFW platzieren: Positionieren Sie die NGFW an zentralen Übergängen wie Internet-Gateways, Rechenzentren und Cloud-Anbindungen (z.B. VPN, SD-WAN).
Grundeinstellungen konfigurieren: Nutzen Sie Einstellungen wie „Default Deny“, um zunächst alles zu blockieren und nur explizit Erlaubtes freizugeben. Führen Sie identitäts- und anwendungsbasierte Regeln sowie granulare Richtlinien für Benutzer:innen, Standorte und Anwendungen ein.
Sicherheitsdienste aktivieren: Schalten Sie Dienste wie Intrusion-Prevention-Systeme (IPS), URL-Filter, App-Kontrolle und Anti-Malware-Tools ein. Aktivieren Sie daneben SSL/TLS-Inspection, um verschlüsselte Angriffe zu erkennen, und stellen Sie sicher, dass Auto-Updates aktiviert sind.
Schrittweise migrieren: Testen Sie neue Regeln und Services zunächst im „Monitor Mode“, ohne diese final zu implementieren. So schließen Sie Fehlalarme aus und können Policies noch optimieren. Gehen Sie erst danach schrittweise in den „Block Mode“ über.
Monitoring einrichten: Etablieren Sie ein zentrales und kontinuierliches Monitoring. Nutzen Sie dessen Reports für Audits und Compliance-Anpassungen.
Personal schulen: Schulen Sie die zuständigen Personen in Ihrem Unternehmen im Umgang mit NGFWs.
Prozesse und Tools optimieren: Prüfen Sie Policies und alle einsetzten Tools regelmäßig und passen Sie diese ggf. an neue Geschäftsprozesse, IT-Systeme und Risiken an. Beziehen Sie dabei auch weitere Firmenstandorte und Remote-Arbeitsplätze mit ein.

Firewall vs. Next-Generation-Firewall: So unterscheiden sie sich

Inspektionstiefe

Arbeitet meist auf OSI‑Schicht 2-4; prüft Paketheader (IP‑Adressen, Ports, Protokolle)

Arbeitet bis OSI‑Schicht 7; erkennt Malware und komplexe Bedrohungen im gesamten Datenstrom

Anwendungserkennung und -kontrolle

Filtert Datenverkehr primär nach Portnummern; kann Anwendungen auf Standardports (z. B. HTTPS/443) nicht unterscheiden

Erkennt spezifische Anwendungen durch Paketinspektion; ermöglicht granulare Richtlinien und gezielte Kontrolle einzelner Anwendungen

Intrusion-Prevention-System (IPS)

Sendet hauptsächlich Warnmeldungen; IPS, Sandboxen und andere Systeme müssen separat betrieben werden; komplexere Verwaltung

IPS und weitere Sicherheitsfunktionen sind integriert; Erkennung und Blockierung von Angriffen in Echtzeit auf einer zentralen Plattform

SSL/TLS-Entschlüsselung

Kann verschlüsselten Datenverkehr nicht entschlüsseln oder analysieren

Entschlüsselt und analysiert SSL/TLS‑Traffic, um versteckte Bedrohungen zu erkennen

Identitäts- und Zugriffsmanagement

Kaum oder sehr eingeschränkte Identitätsfunktionen

Unterstützt Benutzer‑ und Geräteauthentifizierung; Zugriffe lassen sich identitätsbasiert steuern

Berichterstattung

Nur grundlegende Protokollierung und Reporting‑Funktionen

Erweiterte, detaillierte und anpassbare Berichte; erleichtert Compliance und Monitoring

NGFWs in der Cloud-Security

Die Next-Generation-Firewall spielt eine zentrale Rolle in der Cloud-Security, da sie dort Sicherheit gewährleistet, wo klassische Firewalls kaum noch greifen – in dynamischen, verteilten und oft verschlüsselten Cloud‑Umgebungen.

In modernen Cloud‑ und Hybridumgebungen sorgen Next-Generation-Firewalls beispielsweise für einheitliche Sicherheitsrichtlinien und umfassenden Schutz über sämtliche Plattformen hinweg. Sie erkennen Anwendungen und Identitäten auch in dynamischen Cloud‑Workloads, überwachen verschlüsselten Datenverkehr per SSL/TLS‑Inspection und verhindern auf diese Weise versteckte Angriffe.

Zudem unterstützen sie Mikrosegmentierung, schützen den Traffic zwischen Cloud‑Instanzen und bieten detaillierte Logs für Compliance‑Anforderungen. Durch ihre Integration mit Cloud‑Security‑Tools und Zero‑Trust‑Modellen werden NGFWs zu einem zentralen Baustein, um Cloud‑Ressourcen zuverlässig und transparent abzusichern.

Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

Sichere Kommunikation
Für Homeoffice und Büro
Globales, sicheres Log-in-Verfahren

Jetzt informieren

Auswahlkriterien für die passende Next-Generation-Firewall

Next-Generation-Firewalls werden immer flexibler und skalierbarer. Sie sind deshalb besonders für hybride und Multi-Cloud-Umgebungen geeignet. Zunehmend gibt es auch virtuelle NGFW-Versionen für die Nutzung in der Cloud.

Bevor Sie sich allerdings für ein Produkt entscheiden, sollten Sie die Eigenschaften der einzelnen NGFWs sorgfältig sichten, miteinander vergleichen und mit den Anforderungen und Einsatzfeldern in Ihrem Unternehmen abgleichen.

Die wichtigsten Fragen für die Auswahl von NGFW-Lösungen sind:

Wie hoch ist der Grad der Firewall-Funktionalität in Bezug auf Leistung, Funktionen, Automatisierung und Verwaltung?
Inwieweit passen die Funktionen zu den Anwendungsfällen in Ihrem Unternehmen? Wie ist das Netzwerk aufgebaut, das die NGFW schützen soll?
Welche Möglichkeiten bietet die NGFW für die Integration von Security-Produkten von Drittanbietern? Wie gut lässt sie sich mit den Sicherheits-, IT- und OT-Abläufen in Ihrem Unternehmen verknüpfen?
Wie einfach sind Installation und Bedienung?
Gibt es Transparenz zur Roadmap des Anbieters mit Bezug auf Zero Trust, Secure-Access-Service-Edge (SASE) und die zunehmende Verlagerung von Sicherheitsfunktionen in die Cloud?
Welches Preis- und Verbrauchsmodell passt zu Ihrem Unternehmen am besten?
Nutzen Sie im Zweifelsfall die Beratung durch erfahrene IT-Security-Expert:innen.

Jetzt zum Thema Cyber Security informieren

Sie haben Fragen zum Thema Cyber Security? Stellen Sie die IT-Sicherheit in Ihrem Unternehmen in den Mittelpunkt. Gerne helfen unsere Expert:innen Ihnen kostenlos weiter:

0800 5054539

Montag bis Freitag, 8 bis 18 Uhr (außer an Feiertagen)

Rückruf anfordern

NGFWs im Kontext von Compliance und Datenschutz

Eine Next-Generation-Firewall kann Ihr Unternehmen dabei unterstützen, gesetzliche Vorgaben zu Datenschutz und Compliance zuverlässig einzuhalten. Durch Funktionen wie Deep Packet Inspection, Identitäts- und Zugriffsmanagement sowie SSL/TLS‑Inspektion bieten sie eine präzise Kontrolle darüber, welche Daten Ihr Netzwerk verlassen oder betreten. Gleichzeitig helfen integrierte Sicherheitsmodule wie IPS, Malware-Schutz und App‑Kontrolle, dabei, unautorisierte Zugriffe und Datenabflüsse zu verhindern.

Für Compliance‑Rahmenwerke wie DSGVO, ISO 27001, die NIS2-Richtlinie oder branchenspezifische Vorgaben liefern NGFWs zudem detaillierte Protokolle und Audit‑Reports. Diese erleichtern es Ihnen, Sicherheitsvorfälle nachvollziehbar zu dokumentieren und Nachweispflichten gegenüber Behörden oder Auditoren zu erfüllen.

Wichtig ist dabei, dass Sie als Unternehmen die Inspektionsfunktionen datenschutzkonform konfigurieren – etwa auf Basis klar definierter Zugriffsrechte und transparenter Richtlinien für die Verarbeitung verschlüsselter Inhalte.

Unser Fazit: Deswegen sind Next-Generation-Firewalls so wichtig für Unternehmen

Herkömmliche Firewalls agieren meist auf den Schichten 3 und 4 des OSI-Modells, um den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten. Darüber hinaus treffen klassische Stateful-Firewalls ihre Entscheidungen auf der Grundlage fest definierter Sicherheitsrichtlinien. Dies hat es zum Beispiel fortschrittlicher Ransomware leicht gemacht, diese Firewalls zu umgehen. Infolgedessen sind herkömmliche Firewalls den Herausforderungen heutiger Cyberbedrohungen nicht mehr gewachsen.

Da Firewalls der nächsten Generation auch auf Schicht 7, also der Anwendungsebene arbeiten, können sie Bedrohungen bereits frühzeitig erkennen und blockieren, selbst wenn diese sehr ausgefeilt und hartnäckig sind. NGFWs enthalten aktuelle Bedrohungsinformationen und Optionen für die Netzwerk- und Sicherheitsautomatisierung. All dies spart Kosten und Zeit dabei, Sicherheitsverletzungen zu beheben.

Eine NGFW dient auch in der Cloud-Security als zentrales Kontroll- und Analysewerkzeug, das Ihnen dabei helfen kann, Ihre Cloud‑Workloads zu schützen, Compliance-Vorgaben einzuhalten und konsistente Sicherheitsrichtlinien über sämtliche IT‑Umgebungen in Ihrem Unternehmen hinweg durchzusetzen.

Als modern aufgestelltes Unternehmen, das seine Geschäftsprozesse vorwiegend digital abwickelt oder diese dahingehend umstellen möchte, kommen sie an einer Next-Generation-Firewall schlichtweg nicht mehr vorbei.

Vodafone Business Security Services

Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

Rund um die Uhr
Immer aktuell
Alles auf einen Blick via Cyber Hub

Jetzt hier informieren

Next-Generation-Firewalls: Häufig gestellte Fragen (FAQ)

Der Hauptunterschied liegt in der Prüftiefe und Intelligenz der Sicherheitsfunktionen. Eine klassische Firewall kontrolliert überwiegend Ports, Protokolle und IP‑Adressen. Sie entscheidet also, ob Verbindungen grundsätzlich erlaubt oder blockiert werden. Eine Next-Generation-Firewall geht deutlich weiter: Sie analysiert den Datenverkehr bis zur Anwendungsebene, erkennt spezifische Anwendungen und Nutzeridentitäten und nutzt Techniken wie Deep Packet Inspection (DPI) sowie integrierte Sicherheitsfunktionen wie IPS. Dadurch kann sie moderne, komplexe Angriffe erkennen und in Echtzeit verhindern. Dies können klassische Firewalls nicht oder nur sehr eingeschränkt leisten.

Freca Dumrese

Clemens Förster

27.01.2026

# Tags:Sicherheit Netz Business Basics

Datensicherung unter Windows 11: So sichern Sie Ihre Daten richtig

Ein regelmäßiges Back-up schützt Ihre Firmendaten und kann im Schadensfall viel Geld und Zeit sparen. Welche Bordmittel und externen Werkzeuge Sie für eine Datensicherung unter Windows 11 nutzen können, erfahren Sie in diesem Beitrag.