Was ist ein NGFW-Leistungsverzeichnis?
Next-Generation Firewalls (NGFW) sind der zentrale Perimeterschutz moderner IT-Infrastrukturen. Im Gegensatz zu klassischen Firewalls bieten NGFWs Application Awareness, Intrusion Prevention (IPS), SSL-Inspektion und integrierte Threat Intelligence, alles in einem Gerät.
Unser Muster-LV für NGFW deckt alle relevanten Anforderungen für Behörden, Kommunen und Unternehmen ab: von technischen Spezifikationen über Hochverfügbarkeit bis hin zu zentraler Verwaltung und SIEM-Integration.
Leistungsumfang des Muster-LV NGFW
Firewall-Grundfunktionen
Next-Generation Firewalls sind im öffentlichen Sektor die Basis jeder Netzwerksicherheitsarchitektur, und doch beobachten wir in Ausschreibungen häufig, dass die technischen Grundanforderungen zu unscharf definiert werden. Wir haben Abschnitt A mit klaren Anforderungen an Stateful Packet Inspection, zonenbasierte Regelwerke und vollständige IPv4/IPv6-Dualstack-Unterstützung ausgestattet. Gerade der IPv6-Aspekt wird in vielen kommunalen Ausschreibungen noch immer vernachlässigt, obwohl moderne Netzwerkinfrastrukturen beide Protokollversionen gleichzeitig betreiben.
NAT/PAT-Unterstützung haben wir explizit aufgenommen, weil fehlende Anforderungen in der Vergabepraxis regelmäßig zu Missverständnissen zwischen Auftraggeber und Bieter führen. Das BSI IT-Grundschutz Kompendium beschreibt im Baustein NET.3.2 Firewall, dass für jede Behörde eine individuelle, dokumentierte Sicherheitsrichtlinie auf Basis der organisationseigenen Schutzbedarfsfeststellung zu erstellen ist – eine Anforderung, die unser Muster-LV als verbindliche Grundlage für die Konfigurationsdokumentation übernimmt.[1] Hersteller wie Palo Alto Networks PA-Series, Fortinet FortiGate, Cisco Secure Firewall und Check Point Quantum erfüllen diese Grundfunktionen vollständig, unterscheiden sich aber erheblich in der Umsetzung der Advanced-Features.
Advanced Security Features
Der entscheidende Unterschied zwischen einer klassischen Paketfilter-Firewall und einer NGFW liegt in den Layer-7-Fähigkeiten. Wir haben diesen Abschnitt als das Herzstück des Leistungsverzeichnisses gestaltet, weil Application Awareness und Control modernen Angriffsszenarien begegnen kann, denen ältere Firewall-Generationen schutzlos ausgeliefert sind. Fortinet FortiGate und Palo Alto Networks sind hier technologisch besonders weit entwickelt.
SSL/TLS-Inspektion ist eine Anforderung, die wir in vielen Behördenausschreibungen vermissen. Unser Muster-LV verlangt diese Funktion ausdrücklich, kombiniert mit URL-Filterung, IPS und Sandboxing-Anbindung. Sophos XGS bietet hier eine integrierte Sandbox-Lösung, während Check Point auf externe Integration mit Sandblast setzt.
VPN & Fernzugriff
Die Anforderungen an VPN und Fernzugriff haben wir aus der Post-Pandemie-Realität öffentlicher Verwaltungen abgeleitet. Site-to-Site IPSec-VPN verbindet Behördenstandorte zuverlässig, während SSL/TLS-Remote-Access-VPN für den einzelnen Telearbeitsplatz optimiert ist. Wer sich reale Vergabeunterlagen zu NGFW-Beschaffungen ansehen möchte, findet entsprechende Referenzdokumente im Vergabe-Archiv.
Zero Trust Network Access (ZTNA) haben wir als zukunftsorientierte Anforderung aufgenommen, weil immer mehr Bundesbehörden und Kommunen ihren Perimeter-zentrierten Ansatz durch Zero-Trust-Architekturen ergänzen. Palo Alto Prisma Access und Fortinet ZTNA sind hier führende Lösungen, die gleichzeitig in klassische NGFW-Umgebungen integrierbar sind.
Hochverfügbarkeit & Management
Für Behörden und KRITIS-Betreiber ist die Hochverfügbarkeit der Firewall keine optionale Ergänzung, sondern eine betriebliche Grundvoraussetzung. Wir haben sowohl Active/Passive als auch Active/Active Cluster-Betrieb als Anforderung verankert. Fortinet und Check Point haben hier besonders ausgereifte HA-Implementierungen, die im öffentlichen Sektor häufig anzutreffen sind.
Zentrale Management-Plattform, API-Schnittstellen für Automatisierung und SIEM-Integration über Syslog sind Mindestanforderungen, die das Leistungsverzeichnis vorsieht, weil ohne Protokollweiterleitung kein effektives Security-Monitoring möglich ist. Behörden mit mehreren Standorten produzieren ohne zentrale Verwaltung erheblich höhere Betriebskosten.
Quellen
- Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Kompendium: „NET.3.2 Firewall", Edition 2023, bsi.bund.de.
Technische Details
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 40 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Lieferung in 5 Werktagen |
Muster-LV: NGFW
- aus vergangenen Projekten entwickelt
- IPS, SSL-Inspektion, App Control
- HA / Clustering Anforderungen
- GWB / VgV / UVgO konform
- E-Mail Support inklusive
