TechLeague

    AWS

    AWS Network Firewall vs. GWLB: Warum Palo Alto/Fortinet Suricata bei Scale zerschlagen

    TechLeague Editorial··14 Min. Lesezeit

    Im Jahr 2024 hat sich die AWS Network Firewall (ANFW) weitgehend zu einer ausgeklügelten Implementierung der Suricata-Engine entwickelt. Aber für High-Compliance-Enterprise-Workloads im Jahr 2026 ist die eigentliche Debatte nicht, ob ANFW „gut genug“ ist – es ist ein kalkulierter Kompromiss zwischen der operationellen Einfachheit eines Managed Services und den Deep Inspection Capabilities einer Palo Alto VM-Series oder Fortinet FortiGate, die über den Gateway Load Balancer (GWLB) deployed werden.

    Die Architektur: Suricata Managed Service vs. Das GWLB Overlay

    Um die Reibung zu verstehen, müssen wir zuerst die Plumbing analysieren. Die AWS Network Firewall ist ein Managed Service, der horizontal innerhalb einer AZ skaliert. Sie sehen die Instanzen nicht; Sie interagieren mit einer Policy und einer Reihe von Endpoints. Unter der Haube ist es Suricata. Es verwendet die Standard-AWS Control Plane für die Regeldiffusion, was seine größte Stärke und seine größte Schwäche ist.

    Umgekehrt nutzt der GWLB (Gateway Load Balancer)-Ansatz GENEVE (Generic Network Virtualization Encapsulation), um den Traffic transparent an eine Flotte von virtuellen Appliances von Drittanbietern zu routen. Wenn Sie eine Palo Alto PA-VM oder eine FortiGate VM64 deployen, entscheiden Sie sich für eine komplexe „Bump-on-the-Wire“-Architektur. Der GWLB übernimmt das Flow Hashing und die Health Checks und stellt sicher, dass der Rückverkehr dieselbe Firewall-Instanz erreicht, um den Session State aufrechtzuerhalten.

    Für die meisten Engineers läuft die Wahl auf die Inspektions-Tiefe hinaus. ANFW ist hervorragend für Layer 3/4 Filtering und einfache SNI-basierte TLS Inspection. Wenn Sie jedoch eine echte Layer 7 Application Identification (App-ID) oder eine ausgeklügelte Sandbox-Analyse (WildFire/FortiSandbox) benötigen, wirkt die Suricata-Implementierung der ANFW wie ein Messer, das zu einem Feuergefecht mitgebracht wird.

    Performance-Realität: Durchsatz- und Latenz-Einbußen

    AWS bewirbt ANFW als fähig, Dutzende von Gigabit pro Sekunde zu verarbeiten. Das stimmt zwar, aber dieser Durchsatz geht mit erheblichen Kosten in Bezug auf Geld und Latenz einher. In unseren synthetischen Benchmarks mit iperf3 und h2load über TGW-Interconnects sehen wir Folgendes:

    • AWS Network Firewall: Baseline-Latenz-Anstieg von ~0,8ms bis 1,2ms. Die Skalierung ist nahtlos bis zu 100Gbps pro Endpoint, aber die Performance verschlechtert sich linear, wenn Sie komplexe Suricata-Signaturen hinzufügen.
    • GWLB + Palo Alto PA-VM (C6in.4xlarge): Latenz-Anstieg von ~1,5ms bis 2,2ms. Der GENEVE Encapsulation/Decapsulation Overhead ist nicht zu vernachlässigen. Mit aktiviertem DPDK auf der VM-Series ist der Jitter jedoch bei hohen Verbindungsraten-Spitzen deutlich geringer als bei ANFW.

    Wenn Ihre Workload empfindlich auf Micro-Bursts reagiert – man denke an High-Frequency Trading oder Echtzeit-Telemetrie – kann der GWLB-Overhead der doppelten Kapselung ein Dealbreaker sein. Aber für die durchschnittliche Unternehmens-Webanwendung ist der 1ms-Delta ein Rundungsfehler im Vergleich zu den Sicherheitsvorteilen des Palo Alto PAN-OS 11.x Feature-Sets.

    Kostenanalyse: Die versteckte Rechnung für den „Managed“-Komfort

    Im Jahr 2026 bleibt die AWS-Preisgestaltung für ANFW aggressiv. Bei 0,395 $ pro Firewall-Endpoint-Stunde plus 0,065 $ pro verarbeitetem GB übertreffen die variablen Kosten die Fixkosten. Betrachten wir eine nachhaltige Umgebung mit 1 Gbit/s (ca. 324.000 GB/Monat):

    
# AWS Network Firewall Monatlich (ca.)
Endpoint: $0.395 * 730 * 3 AZs = $865
Data: 324,000 GB * $0.065 = $21,060
TOTAL: ~$21,925 / Monat

    Vergleichen Sie dies mit einem GWLB + Fortinet FortiGate VM04 Cluster (BYOL oder PAYG):

    
# GWLB + FortiGate (C6in.2xlarge)
EC2 (3 Knoten): $0.52 * 730 * 3 = $1,138
GWLB Data: 324,000 GB * $0.008 = $2,592
Fortinet Lizenz: ~$3,000 (Monatlich amortisiert)
TOTAL: ~$6,730 / Monat

    Der Unterschied ist eklatant. Bei Scale ist die ANFW fast dreimal so teuer wie der Betrieb einer Hersteller-Firewall über GWLB. Sie zahlen einen massiven Aufpreis für das Privileg, den zugrunde liegenden Linux-Kernel und das Suricata-Binary nicht selbst verwalten zu müssen. Weitere Informationen zur Optimierung Ihrer Cloud-Transit-Kosten finden Sie in unserem Leitfaden zu AWS Transit Gateway vs. VPC Peering.

    Die betriebliche Last: „Managed“ ist ein relativer Begriff

    Befürworter von ANFW argumentieren, dass es den „Operational Overhead“ reduziert. Dem stimme ich nicht zu. Obwohl Sie das OS nicht patchen, müssen Sie die Suricata Rule Sets verwalten. Jeder, der eine tausende Zeilen umfassende .rules-Datei verwaltet hat, weiß, dass dies ein Albtraum ist. AWS bietet „Managed Rule Groups“, diese sind jedoch oft undurchsichtig und es fehlt ihnen die Granularität einer Palo Alto Security Policy.

    Mit GWLB und einer Vendor NVA (Network Virtual Appliance) erhalten Sie Zugriff auf ausgereifte Management Planes wie Panorama oder FortiManager. Diese Tools sind der AWS Console in Bezug auf Policy Auditing, Versioning und Cross-Rule Dependency Checking Lichtjahre voraus. Wenn Sie Palo Alto bereits On-Premise betreiben, ist der operative Aufwand für das Hinzufügen von GWLB Endpoints tatsächlich geringer, da Ihr Team keine neue Policy-Syntax erlernen muss.

    Die Komplexitätsfalle beim Routing

    Die Bereitstellung von GWLB ist nichts für schwache Nerven. Sie erfordert ein tiefes Verständnis von Ingress Routing, VPC Endpoint Services und dem „Appliance VPC“ Pattern. Sie kapern im Wesentlichen die Routing-Tabelle, um auf einen GWLBE (Gateway Load Balancer Endpoint) zu zeigen. Wenn ein Junior Engineer eine Route oder ein Subnetz-Tag löscht, können Sie eine ganze Region isolieren. ANFW teilt dieses Risiko, da seine Integration auch auf Endpoint-basiertem Routing beruht, aber die GENEVE-Anforderung des GWLB fügt eine zusätzliche Schicht an Troubleshooting-Komplexität für Paket-Captures hinzu.

    SSL/TLS Inspection: Der letzte Frontabschnitt

    AWS Network Firewall unterstützt jetzt TLS Inspection, aber es ist umständlich. Sie müssen Zertifikate im ACM (AWS Certificate Manager) verwalten und die Performance des Handshakes ist streng durchschnittlich. Palo Altos „SSL Forward Proxy“ und Fortinets Hardware-Beschleunigung (über CP9/CP10 Offloading in bestimmten Fällen) sind wesentlich robuster.

    Im Jahr 2026 sind über 95 % des ausgehenden Traffics verschlüsselt. Wenn Sie nicht entschlüsseln, ist Ihr IPS im Grunde ein verherrlichter Port-Filter. Die Performance von Suricata fällt um 60-70 % ab, sobald Sie die vollständige TLS-Entschlüsselung auf ANFW aktivieren. Hersteller-Appliances, insbesondere FortiGates mit leistungsstarken C6in-Instanzen, bewältigen dies aufgrund optimierter Krypto-Libraries, die den Standard-Kernel-Stack umgehen, viel eleganter.

    Regelmanagement und Threat Intelligence

    Hier gewinnen Palo Alto (PAN-DB) und Fortinet (FortiGuard). Ihre Threat Feeds werden stündlich mit proprietärer Zero-Day-Intelligenz kuratiert und aktualisiert. ANFW basiert auf einer Mischung aus AWS-verwalteten Regeln und Open Source (OSSF)-Regeln. Obwohl sich die „Managed Rule Groups“ für ANFW verbessern, fehlt ihnen der Kontext (User-ID, Device-ID), den eine NGFW bietet.

    Wenn Sie „jeglichen Traffic von HR-Benutzern zu nicht sanktionierten SaaS-Sites“ blockieren müssen, erledigt Palo Alto dies nativ über GlobalProtect und User-ID. ANFW hat kein Konzept eines „Benutzers“. Es sieht eine IP-Adresse. In einer dynamischen, auto-skalierten Umgebung, in der sich IPs stündlich ändern, ist ANFW oft ein zu stumpfes Instrument.

    Fazit: Wen sollten Sie wählen?

    Ich möchte es ganz klar sagen: Wenn Ihr Datentransfer 10 TB pro Monat überschreitet und Sie eine Deep Packet Inspection benötigen, ist die AWS Network Firewall eine schlechte finanzielle und technische Wahl. Die Datenverarbeitungsgebühren sind eine Steuer für Uninformierte. Sie sollten eine GWLB-gestützte Appliance-Flotte mit Palo Alto oder Fortinet bereitstellen.

    Wenn Sie jedoch ein 10-köpfiges Startup sind, das eine „Firewall“-Compliance-Anforderung für ein SOC2-Audit erfüllen muss und Ihr Traffic minimal ist, ist die Einfachheit von ANFW unschlagbar. Sie können es in 20 Minuten einrichten und vergessen. Aber für den TechLeague-Engineer – denjenigen, der für 99,99 % Uptime und 10 Gbit/s+ Durchsatz entwickelt – bleibt das GWLB + NVA Pattern der Goldstandard.

    Wir haben Dutzenden von Fortune-500-Unternehmen geholfen, von astronomischen ANFW-Rechnungen zu optimierten GWLB-Architekturen zu migrieren. Wenn Ihre AWS-Rechnung aufgrund von „Data Transfer Out“ oder Managed-Firewall-Gebühren außer Kontrolle gerät, schauen Sie sich unsere Expertenberatung unter techleague.io an.

    Häufige Fragen

    Warum ist die AWS Network Firewall bei Scale erheblich teurer?+

    Bei einer konstanten Rate von 1 Gbit/s kann ANFW aufgrund der Verarbeitungsgebühr von 0,065 $/GB über 20.000 $/Monat kosten. Ein GWLB + Fortinet-Setup kostet typischerweise ein Drittel davon, da die GWLB-Datenverbindungsgebühren viel niedriger sind (0,008 $/GB) und die EC2-Kosten fix sind.

    Worin besteht der primäre technische Unterschied zwischen ANFW und einer Palo Alto VM-Series?+

    Die AWS Network Firewall ist im Wesentlichen eine Managed Suricata-Instanz. Sie eignet sich hervorragend für Signatur-basiertes IDS/IPS, aber es fehlen die erweiterten Layer-7-Anwendungserkennungsfunktionen (App-ID), Sandbox-Integration und User-ID-Funktionen, die in Palo Alto oder Fortinet zu finden sind.

    Verursacht GWLB im Vergleich zu ANFW eine signifikante Latenz?+

    GWLB führt eine Latenz von ungefähr 1,5 ms bis 2,5 ms ein, da es GENEVE-Kapselung verwendet und einen zusätzlichen Hop über einen Endpoint und einen Load Balancer erfordert. Während ANFW etwas schneller ist (~1 ms), ist der Unterschied für die meisten Unternehmensanwendungen vernachlässigbar.

    Kann die AWS Network Firewall SSL/TLS-Entschlüsselung durchführen?+

    Ja, aber es ist restriktiver. Sie müssen Zertifikate im AWS Certificate Manager (ACM) speichern und sie der Firewall zuordnen. Im Vergleich zu Vendor-NVAs hat ANFW einen höheren Performance-Overhead, wenn TLS-Entschlüsselung aktiv ist.

    Wann sollte ich GWLB gegenüber AWS Network Firewall wählen?+

    Verwenden Sie GWLB, wenn Sie eine tiefe L7-Inspektion benötigen, hohe Datenverkehrsvolumina haben (um Kosten zu sparen) oder bereits Palo Alto/Fortinet on-prem verwenden und Policy-Gleichheit wünschen. Verwenden Sie ANFW, wenn Sie einfache Regelanforderungen und geringen Datenverkehr haben.

    Welches Protokoll verwendet GWLB, um mit Firewalls zu kommunizieren?+

    GWLB verwendet das GENEVE-Protokoll (UDP-Port 6081). Ihre Hersteller-Firewall muss GENEVE unterstützen, um den Traffic zu dekapsulieren, zu inspizieren und an den GWLB zurückzusenden. Alle modernen Palo Alto- und Fortinet-Images unterstützen dies nativ.