Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Hardware-Firewalls haben dazugelernt: Als universelle Security Appliance schützen sie mittlere und große Unternehmen vor Risiken wie Spam, Eindringlingen oder auch Viren. ZDNet hat neun aktuelle Produkte getestet.

Firewalls sind inzwischen ein alter Hut. Der Mehrzahl der Firewall-Anbieter nutzt heutzutage ihre Firewall-Technologien und die zugehörige Hardware als Basis für Security Appliances, welche weitaus mehr Funktionen bieten als eine schlichte Firewall.

Aufgaben wie Antiviren-Filter, Intrusion Detection und/oder Prevention, Network Traffic Filtering, Content Filtering, Spyware Detection und/oder Filtering sowie viele weitere Features werden inzwischen standardmäßig in die Produkte integriert oder als optionale Extras angeboten.

Diese Konvergenz kann sich in zweierlei Hinsicht auswirken: Wenn die Geräte einfach zu verwalten sind und die Anwendung perfekt zur Umgebung passt, dann ist dies positiv, und einer Benutzung steht nichts im Wege. Wenn man allerdings alles auf eine Karte setzt, können eine schlecht durchgeführte Implementierung oder Situationen, in denen das Produkt nicht genau zur Umgebung passt, erhebliche Probleme bereiten. Falls das Gerät nicht die Redundanz bietet, die für die Implementierung erforderlich ist, kann ein einziger Ausfall in einem Subsystem bedeuten, dass das gesamte Gerät offline geht.

Außerdem kann ein Sicherheitsadministrator, der einen der Dienste fehlkonfiguriert, auch negative Auswirkungen auf weitere Dienste, die auf dem Gerät ausgeführt werden, hervorrufen. Selbst kleinere Störungen, die dazu führen, dass das redundante System aktiviert wird und den Betrieb übernimmt, können sich als Albtraum erweisen - besonders, wenn alle Verbindungszustände in einer gespiegelten Umgebung beibehalten werden müssen. Von daher sollte man unbedingt auf die Belastung des Netzwerks achten. Ehe man sich für ein bestimmtes Gerät entscheidet, sollte man auf jeden Fall sorgfältig vergleichen und testen.

Die grundlegende Firewall-Technologie hat sich in letzter Zeit kaum geändert. Sie lässt sich in einige grobe Kategorien aufteilen. Die meisten Anbieter integrieren einige oder alle davon in ihre Anwendungen.

Die gängigste der grundlegenden Funktionen ist heute SPI (Stateful Packet Inspection). Anbieter integrieren außerdem Funktionen, mit denen einzelne Pakte oder Ports gefiltert werden. Es gibt zwei weitere Features, die inzwischen in den meisten Firewalls für den allgemeinen Einsatz vorhanden sind: Sie können als Application Gateways oder Proxies dienen und mit regel- bzw. richtlinienbasierten Zugangskontrolllisten arbeiten, die beispielsweise IP-Adressen oder Adressbereiche, Netzwerkbenutzer-IDs auswerten. Einige Anbieter erlauben dem Administrator des Geräts auch das Festlegen erweiterter Regelsätze, um Sicherheitsrichtlinien und entsprechende Rahmen des Unternehmens durchzusetzen, seien es Content Filtering, Web Access/Content Control, Black Lists/White Lists oder sogar Bandwidth Shaping und Management.

Inzwischen gibt es auch immer häufiger virtuelle Firewalls und virtuelle Richtlinien und Regeln, was es ermöglicht, dass mehrere Administratoren auf einem einzigen Gerät Zugang zu eigenen Bereichen und Regeln haben.

Stateful Packet Inspection (SPI) ist eine einfache Form der Datenüberwachung, bei der die Daten paketweise darauf untersucht werden, ob die Firewall die Daten für legitim hält. Alle verdächtigen oder unangeforderten Pakete werden markiert, dokumentiert oder ganz einfach abgeblockt. Pakete dürfen die Firewall nur passieren, wenn sie mit einer gültigen Session verknüpft sind, die innerhalb des Netzwerks initiiert wurde.

Falls ein Trojaner es wegen eines nachlässigen Benutzers geschafft haben sollte, alle Sicherheitsvorkehrungen zu umgehen, wird eine SPI-Firewall die Daten durchlassen, da sie scheinbar von einer legitimen Anfrage aus dem LAN herrühren. SPI-Firewalls kommen daher vor allem in Kombination mit anderen Methoden der Datenuntersuchung innerhalb der Firewall oder mit einer weiteren Firewall im LAN zum Einsatz. SPI bietet ein gewisses Maß an Abdeckung, ohne die Performance im Netzwerk sonderlich zu beeinträchtigen.

Falls ein großes Unternehmen sein Unternehmensnetzwerk schützen wollte, und daher jedes einzelne ein- und ausgehende Datenpaket abgefangen, dokumentiert, auf Merkwürdigkeiten hin untersucht und dann verfolgt werden würde, dann wäre die Beeinträchtigung der Netzwerkbandbreite nicht mehr akzeptabel und die Firewall erwiese sich als Engpass. SPI ist daher zwar keine Ideallösung, kann aber für Erleichterung sorgen, während zusätzliche Techniken implementiert werden können, um die Schwachstellen auszugleichen. Ein Vorteil von SPI ist, dass es als zusätzliche Technologie eingesetzt werden kann, um eine DMZ (demilitarisierte Zone) oder ein Netzwerk zu schützen, das den öffentlichen Zugang auf einige Rechner oder Server erfordert. SPI kann bestimmten einzelnen IP-Adressen oder Segmenten des LAN offene Ports erlauben, so dass der Administrator diese im Prinzip aus einer Liste auswählen kann: zu öffnende oder zu schließende Ports für die IP-Adresse eines jeden Rechners im LAN.

Die Mehrzahl dieser Geräte ist mehr als nur eine Firewall, aber bei diesem Test ging es erst einmal um ihre Firewall-Funktionen. Was die Geräte noch an Zusatzfunktionen zu bieten haben, kann man der Tabelle mit der technischen Ausstattung entnehmen. Das 1RU große Gerät Cyberguard SG710 bietet zehn 10/100 Ethernet-Anschlüsse, außerdem gibt es einen seriellen Konsolenanschluss (9 Pins) und fünf Status-LEDs. An der Rückseite des Geräts befinden sich ein IEC-Netzanschluss, der Netzschalter, ein kleiner Lüfter sowie ein Erweiterungssteckplatz, der beim Testgerät allerdings nicht belegt war. Konfiguration, Administration und Verwaltung erfolgen alle über einen Webbrowser. Das Gerät bietet ein hohes Maß an Flexibilität, besonders die benutzerkonfigurierbaren Ports können etwa für das Load Balancing von WAN-Internetverbindungen, ADSL, Kabelanschlüssen verwendet werden.

Es gibt eine Reihe zusätzlicher Features wie ein Intrusion Detection- und VPN-System, einschließlich der Fähigkeit, als Server oder Client für PPTP oder L2TP IPSec zu dienen. GRE und Port Tunnelling werden ebenfalls unterstützt. Das Gerät verfügt außerdem über die Fähigkeit zum Quality-of-Service Traffic Shaping und Content Filtering über eine Blacklist.

Eine zentralisierte Verwaltung wird mit Syslog ebenfalls unterstützt. Die Log-Aufzeichnungen sind relativ begrenzt. Es gibt neun vordefinierte Kategorien, die an den Syslog-Serverport übermittelt werden. Alternativ kann das Systemlog auch an einen E-Mail-Account verschickt werden. Das Gerät enthält keine integrierten Tools zur Berichterstellung. Insgesamt ist das Gerät recht übersichtlich und einfach zu bedienen. Eine ausreichende Anzahl an Ports sorgt für die Flexibilität, wie sie kleine Unternehmen benötigen. Ein definites Plus ist die Fähigkeit, zwei WAN-Ports einzurichten, sowie die Möglichkeit zum Failover oder Load Balancing über zwei PPPoE ADSL- oder sogar Kabelverbindungen.

Testurteil Wertung Note Begründung Interoperabilität 6 Guter Funktionsumfang und ausreichende Verwaltungsfunktionen, Reporting und Logging nur in geringem Umfang. Zukunftssicherheit 8 Ausreichende Extras wie IDS, Failover etc. Investitionsrentabilität 7 Gutes Preis-/Leistungsverhältnis. Service 6 12 Monate sind offenbar der Durchschnitt für solche Geräte. Gesamtnote 7

Fortinet stellte für den Test ein besonders flaches Gerät in Schwarz und Silber zur Verfügung. An der Vorderseite des 1RU großen Geräts befinden sich acht Ethernet-Anschlüsse (vier interne, zwei für die DMZ und zwei fürs WAN), zwei USB-Anschlüsse, ein Konsolenanschluss sowie eine LED zur Anzeige der Netzspannung. Ebenfalls an der Vorderseite gibt es ein kleines LCD-Display mit beleuchtetem Hintergrund sowie vier Tasten für die Navigation. An der Rückseite befinden sich ein kleiner Lüfter, der Netzschalter sowie ein IEC-Netzanschluss. Das Gerät ist solide konstruiert und Verarbeitung und Design sind hervorragend.

Der Benutzer kann die IP-Adressen für die internen und externen Schnittstellen auswählen und einstellen. Sobald der Administrator mit dem internen Netzwerk verbunden ist, kann er über einen Browser und die angegebene IP-Adresse per HTTPS auf die Administrationskonsole zugreifen.

Ein mögliches Sicherheitsrisiko besteht darin, dass das Default-Administratorpasswort leer ist. Allerdings sollte man heutzutage annehmen können, dass die meisten Sicherheitsadministratoren, welche die Aufgabe haben, die Firewall eines Unternehmens einzurichten, unverzüglich ein sicheres Passwort einstellen.

Die Konsole selbst ist durchdacht, man findet sich leicht zurecht. Die wichtigsten Aktionen erreicht man über das Menüsystem auf der linken Seite. Es gibt auch ein praktisches Shortcut-Menü oben auf dem Bildschirm, mit dem Administratoren und Benutzer Zugriff auf einige nützliche Zusatztool wie eine Java-Konsolensession zum Command Line Iinterface (CLI) haben. (Hardcore-CLI-Techniker werden sich wundern: Auf die Fortinet 200A kann man über eine Konsole zugreifen.) Ein weiterer nützlicher Shortcut ermöglicht den Zugriff auf einen einfachen Setup-Assistenten.

Über Lizenzen ist eine umfangreiche Palette an Software-Add-ons verfügbar. Das Testgerät ist mit Spam-, Web- und Virus-Filtern ausgestattet sowie mit Intrusion- und Prevention-Systemen.

Filtering und Reporting sind recht umfangreich, besonders erwähnenswert ist die Granularität, mit der man den Logfilter konfigurieren kann, so dass man bei Bedarf unterschiedliche Ereignisse und Logs an unterschiedliche Logging-/Reporting-Systeme übermitteln kann.

Insgesamt ist dies ein technisch sehr ausgefeiltes und fortschrittliches System, das man auf jeden Fall enger in Betracht ziehen oder einmal testen sollte. Es ist relativ gut überschaubar und einfach zu benutzen - wie man es von einer Sicherheitsanwendung erwartet.

Testurteil Wertung Note Begründung Interoperabilität 7 Guter Guter Funktionsumfang und ausreichende Verwaltungsfunktionen. Zukunftssicherheit 8 Gutes Maß an Logging/Reporting verfügbar sowie umfangreiche Zusatzoptionen. Investitionsrentabilität 7 Gutes Preis-/Leistungsverhältnis. Service 6 12 Monate sind offenbar der Durchschnitt für solche Geräte. Gesamtnote 7

Das größte Gerät im Test ist Junipers ISG1000, gleichzeitig die größte Firewall aus dem Angebot von Juniper. Es ist schwierig, an diesem Gerät etwas zu finden, das man kritisieren kann - es gibt fast nichts, was es nicht kann. Man dürfte Schwierigkeiten haben, in einem Unternehmensnetzwerk eine ISG1000 zu finden, die für Engpässe sorgt. Die Tabelle mit den Informationen zur technischen Ausstattung zeigt, was die Firewall alles kann.

Die ISG1000 ist ein 3RU-Gerät. An der Rückseite findet sich ein einfach auszuwechselndes Netzgerät mit einem IEC-Netzanschluss sowie einem Netzschalter. An beiden Seiten hat das Gerät große Lüftungsgitter. Es gibt drei Lüfter in voller Bauhöhe, die vertikal auf einem auswechselbaren Tray montiert sind. An der Vorderseite des Geräts finden sich neun Status-LEDs, ein Compact Flash-Steckplatz sowie Anschlüsse für Konsole und Modem.

Es gibt einen speziellen Ethernet-Anschluss für Verwaltungszwecke, zusammen mit vier konfigurierbaren Ethernet-Anschlüssen. Darüber finden sich zwei Moduleinschubschächte. Beim Testgerät befindet sich im zweiten Schacht ein Ethernet-Modul mit acht Anschlüssen für Kupferkabel sowie in Schacht eins ein Modul mit zwei Glasfaseranschlüssen. Natürlich hat das modulare Design den Vorteil, dass Benutzer eine Vielzahl von Modulen erwerben und installieren können, die auf ihre individuellen Bedürfnisse und die Infrastruktur zugeschnitten sind. Aufgrund der großen Lüfter ist das Gerät im Betrieb relativ laut, aber dies ist auch kein Gerät, das man einfach noch auf den Server in der Ecke stellt, sondern man sollte schon etwas Platz in einem Rack reservieren.

Die Richtliniensteuerung für die Monitoring- und Reporting-Systeme ist beinahe so umfassend wie die übrigen Features des Geräts.

Insgesamt ist die ISG1000 deutlich für große Unternehmen oder sogar für Carrier und ISPs gedacht. Wer nach einer großen Firewall sucht, für den ist die ISG1000 genau das Richtige. Falls die 1000 außerhalb der Budgetvorstellungen ist, sollte man sich die übrigen Firewalls aus dem Juniper-Angebot anschauen.

Testurteil Wertung Note Begründung Interoperabilität 9 Guter Funktionsumfang und umfassende Verwaltungsfunktionen. Zukunftssicherheit 10 Modulares Design sorgt für hervorragende Skalierbarkeit. Investitionsrentabilität 8 Preis ist angesichts von Funktionsumfang und Performance sehr gut. Service 6 12 Monate sind offenbar der Durchschnitt für solche Geräte. Gesamtnote 9 Empfehlung der Redaktion

Das Konzept der Brick-Firewall von Lucent sowie der zugrunde liegenden Verwaltung sind hervorragend. Diese gesamte Familie von Firewall-Geräten ist für Unternehmen gedacht, die über mehrere geografische Standorte verteilt sind und unterschiedlich große Netzwerke aufweisen. So könnten zum Beispiel am Stammsitz eines Unternehmens mit 800 Mitarbeitern die größeren Brick-Lösungen zum Einsatz kommen, um das primäre Netzwerk sowie die Verbindungen zu externen Netzwerken zu schützen, während dasselbe Unternehmen kleinere Vertreter der Brick-Familie an den entfernten Vertriebs- und Verkaufsniederlassungen einsetzen könnte, um deren kleinere Netzwerke zu schützen. Und alles kann mit dem Lucent Security Management Server (LSMS) zu einer Einheit verbunden werden.

Alternativ kann die Lucent Brick-Technologie innerhalb einer einzelnen geografischen Netzwerkumgebung eines Unternehmens zum Einsatz kommen und als "Defence in Depth"-Strategie dienen, um unterschiedliche Netzwerke und Subnetzwerke zu trennen, zu überwachen und zu schützen. Das Besondere an diesem System ist die LSMS-Managementkonsole, welche Sicherheitsadministratoren die zentrale Kontrolle und Verwaltung von Hunderten oder gar Tausenden von registrierten Bricks von einem zentralen Ort aus ermöglicht - nach Angaben auf Lucents LSMS-Website bis zu 10.000 Geräte.

Im Test steht die Lucent Brick 150, ein robustes (also schweres) 1RU-Gerät. Ein nützliches Feature ist die Möglichkeit, virtuelle Firewalls und Richtlinien innerhalb des Geräts einzurichten. Der primäre Systemadministrator kann dann sehr granulare Zugriffsrechte und -privilegien an entsprechende Gruppen vergeben, so dass diese ihren eigenen Bereich verwalten und Berichte erstellen können, ohne dass die Benutzer vollen Zugriff auf das Gerät haben. Diese Regeln können sogar so eingerichtet werden, dass jede Richtlinienänderung zur Freigabe zuerst an den Systemadministrator geschickt wird, ehe sie wirksam wird.

Logging erfolgt äußerst elementar in Textform, die Logdatei wird in einem zentralen Verzeichnis gespeichert. Die Bricks können dann so eingerichtet werden, dass diese Logdatei an ein zentrales Repository oder einen Server übertragen wird, wo sie zu Berichtszwecken weiterverarbeitet wird. Es gibt eine ganze Reihe gängiger Tools, die verwendet werden können, um verwertbare Berichte zu erstellen. Der Administrator hat die Möglichkeit, mehrere Ebenen für das Logging für praktisch jede Funktion des Geräts einzurichten, was es ermöglicht, das Logging genau auf die eigenen Bedürfnisse zuzuschneiden.

Die Lucent-Brick-Familie ist auch für den Einsatz in Unternehmen mit VoIP-Netzen hervorragend geeignet. Eine Reihe spezieller Regeln und Richtlinien kann erstellt werden, so dass dynamische Pinholes in der Firewall eingerichtet werden, damit SIP- und H.323-Traffic ungehindert fließen. Damit erspart man sich, große Portbereiche offen zu halten, was ein Sicherheitsrisiko bedeuten würde. Auch hier können granulare Regeln und Richtlinien zum Einsatz kommen, um diesen Traffic zu kontrollieren - selbst zwischen virtuellen Richtliniengruppen auf demselben Gerät.

Die Brick-Familie ermöglicht dem Administrator den umfassenden Einsatz von Bandbreitenkontrollen, von der maximalen Session-Geschwindigkeit bis zur Gesamtgeschwindigkeit einzelner Gruppen. Auch die verfügbare Bandbreite kann den Benutzern gleichmäßig zur Verfügung gestellt werden, und für den Fall einer DNS-Attacke kann man einen bestimmten Prozentsatz reservieren.

Lucent sollte man auf jeden Fall in die engere Wahl ziehen, besonders wenn das Unternehmen über mehrere geografische Standorte verteilt ist oder man mehrere Firewall-Schichten benötigt.

Testurteil Wertung Note Begründung Interoperabilität 9 Guter Funktionsumfang und umfassende Verwaltungsfunktionen. Zukunftssicherheit 9 Umfangreiche Optionen verfügbar. Investitionsrentabilität 7 Sehr guter Preis. Service 6 12 Monate sind offenbar der Durchschnitt für solche Geräte. Gesamtnote 8

Netgear, eigentlich eher ein Anbieter von Hardware für Privatanwender und kleinere Firmen, hat mit der FVX538 jetzt auch größere Kunden ins Visier genommen. Wer die konsistente Qualität der Geräte von Netgear über die Jahre hinweg kennt, wird von der FVX538 nicht enttäuscht sein.

Das traditionelle, dunkelblaue und schnörkellose Stahlgehäuse dürfte einem bekannt vorkommen. Die Abmessungen entsprechen zwar nicht der 19-Zoll-Bauform, aber das Gerät wird mit Metallbügeln geliefert, die an der Seite angebracht werden können, so dass es auch in ein 19-Zoll-Rack passt. Ebenfalls im Lieferumfang enthalten sind kleine Gummifüße, die man anbringen kann, wenn man das Gerät in einem Geräteschrank oder auf dem Server aufstellen will.

Es gibt zwei WAN-Anschlüsse, einen 8-Port-100-MBit/s-Switch und einen Gigabit-Anschluss. Das Gerät verfügt über ein internes Netzteil mit einem Standard-IEC-Anschluss, so dass man kein störendes externes Netzteil anschließen muss, das sowieso nur bei jeder Gelegenheit aus der Steckdose fällt.

Administration und Konfiguration erfolgen über die von Netgear gewohnte Browseroberfläche. Diese mag auf den ersten Blick überfrachtet erscheinen, aber schon nach kurzer Zeit wird man damit zurechtkommen, nicht zuletzt dank der guten Hilfefunktion im rechten Fenster. Über einen Button im linken Fenster hat man außerdem Zugriff auf umfassenden Websupport.

Beide WAN-Anschlüsse unterstützen PPPoE. Die WAN-Anschlüsse können für automatisches Failover (Rollover) oder Load Balancing konfiguriert werden. Es gibt relativ umfassende Log-Aufzeichnungen sowie Funktionen für Alarmmeldungen - Syslog und E-Mail sind hier vorrangig zu nennen.

Insgesamt kann diese Firewall als sehr solides Gateway für Zweigstellen oder entfernte Niederlassungen dienen. Die WAN-Port-Funktionen sind sehr gut und für Unternehmen, die über einen ADSL-Anschluss verfügen, kann das Gerät sogar den Router ersetzen und Funktionen wie Failover oder Load Balancing ermöglichen.

Testurteil Wertung Note Begründung Interoperabilität 6 Angemessener Funktionsumfang angesichts der Zielgruppe. Zukunftssicherheit 4 Nur sehr wenige Upgrademöglichkeiten und Möglichkeiten zur individuellen Anpassung. Investitionsrentabilität 10 Angesichts des Funktionsumfangs dieses Geräts für kleine Unternehmen ist der Preis hervorragend. Service 8 Drei Jahre Garantie sind ebenfalls hervorragend. Gesamtnote 7

Wer nach einer sofort einsatzbereiten Lösung für eine Firewall sucht, für den ist das Konzept hinter der Network Box vielleicht das Richtige. Es handelt sich um ein fernverwaltetes Sicherheitsservicesystem. Die Network Box schickt einen Techniker vorbei, der das Gerät anliefert, installiert und eine Erstkonfiguration vornimmt. Aber damit endet die Unterstützung noch lange nicht.

Alle übrigen Sicherheitsfunktionen werden von den Network Box Operation Centres aus der Ferne verwaltet, überwacht, aktualisiert und konfiguriert (Einzelheiten hierzu finden sich ebenso wie die die NOC-Standorte auf der Website des Herstellers^[1]). Da das Gerät über das Internet gesteuert wird, ist es im Prinzip egal, wo sich das NOC befindet. Falls ein Unternehmen den Eindruck hat, die eigene IT-Abteilung habe Schwierigkeiten, bei den Sicherheitsbedrohungen und den entsprechenden Abwehrtechnologien auf dem Laufenden zu bleiben, oder wenn die Kosten für externe Sicherheitsberater überhand nehmen, dann sollte man vielleicht Network Box in Betracht ziehen.

Das Network Box-Gerät dient nicht nur als Firewall, sondern es bietet auch Gateway-Antiviren-Scanning, Gateway-Anti-Spam-Filter, Intrusion Detection, VPN-Verbindungen und Content Filtering.

Obwohl der Dienstleister die Verantwortung und die Verwaltung für die Gateway-Sicherheit übernimmt, sollte man doch Routine-Sicherheitschecks durchführen, um sicherzustellen, dass alles in Ordnung ist. Es empfiehlt sich außerdem, die bereitgestellte Reporting-Oberfläche regelmäßig zu überprüfen. Diese ist über eine sichere, interne, browserbasierte Adresse zugänglich.

Ein verwalteter Sicherheitsservice könnte für kleine bis mittlere Unternehmen attraktiv sein, die sich zwar der Gefahren von Sicherheitsverletzungen bewusst sind, aber unsicher, wie man das eigene Netzwerk am besten schützt und verteidigt. Selbst für Unternehmen, die ihrer bestehenden Infrastruktur eine weitere Sicherheitsebene hinzufügen wollen, könnte dieses Angebot interessant sein.

Testurteil Wertung Note Begründung Interoperabilität 7 Guter Funktionsumfang. Zukunftssicherheit 8 Ausreichend Managementfunktionen verfügbar sowie eine Auswahl an Zusatzoptionen. Investitionsrentabilität 7 Guter Preis angesichts der verfügbaren Optionen und Features sowie der Tatsache, dass dies ein verwalteter, überwachter Service ist. Service 10 Austauschgarantie über die gesamte Vertragslaufzeit des Managed Service - exzellent. Gesamtnote 8

Die Sonicwall PRO 5060c ist ein weiteres Gerät von Sonicwall mit dem Potential hat, die gesamte Palette an Sicherheitsservices abzudecken: von der Firewall bis zu sicheren Wireless-Gateway-Services unter Verwendung proprietärer SonicPoints (Access Points).

Sogar eine Anti-Spyware-Funktion ist dabei. Die 5060 ist die große Schwester der Sonicwall-Familie von Firewalls. Sie bietet sechs benutzerkonfigurierbare Gigabit-Anschlüsse für Kupferkabel, Glasfaserversionen sind ebenfalls erhältlich. Neben den Ethernet-Anschlüssen finden sich an der Vorderseite des 1RU-Geräts ein serieller Konsolenanschluss (9 Pins) sowie drei Status-LEDs (Netz, Test und Alarm). An der Rückseite des Geräts befinden sich fünf kleine Lüfter, die erstaunlich leise arbeiten.

Reporting und Verwaltung können bei einfachen Installationen über die webbasierte Konsole durchgeführt werden - oder über die Viewpoint-Software, wenn mehr Funktionen gewünscht werden. Noch mehr Kontrolle über viele Sonicwall-Geräte erzielt man mit dem ebenfalls erhältlichen Global Management System (GMS).

Besonders beeindruckend ist nach wie vor die Unmenge an Funktionen, welche die Sonicwall-Gerätefamilie zu bieten hat. Damit ist man zwar an einen einzigen Hersteller gebunden (und setzt damit alles auf eine Karte), aber falls es darauf ankommt, ist auch eine Redundanzfunktion verfügbar.

Diese beiden potentiellen Nachteile werden aber durch die Einfachheit der Installation und der Verwaltung aufgehoben - und der Gewissheit für alle kleinen und mittleren Unternehmen, die Sonicwall-Geräte einsetzen, dass auch ihre künftigen Sicherheitsanforderungen erfüllt werden. Das kann zum Beispiel relevant werden, falls drahtloser Netzwerkzugriff auf dem Plan steht.

Testurteil Wertung Note Begründung Interoperabilität 9 Hervorragender Funktionsumfang und Verwaltungsfunktionen. Zukunftssicherheit 10 Hochgradig skalierbar, viele einzigartige Optionen verfügbar. Investitionsrentabilität 8 Etwas teuer, aber angemessen angesichts des Funktionsumfangs. Service 6 12 Monate sind offenbar der Durchschnitt für solche Geräte. Gesamtnote 9 Empfehlung der Redaktion

Die Vorderseite des Symantec SGS 5420 zieren ein kleines LCD-Display sowie sechs kleine versenkte Tasten und fünf Status-LEDs (Netz, Temperatur, Netzwerk und Festplattenstatus/-aktivität). Die Anschlüsse befinden sich alle auf der Geräterückseite. Darunter sind ein serieller Anschluss für eine Konsole, zwei USB-Anschlüsse und sechs Netzwerkanschlüsse für Kupferkabel. Es gibt einen Standard-IEC-Netzanschluss sowie einen kleinen Netzschalter.

Sobald das Gerät gebootet und die wichtigsten Adressen (IP, Subnetz, Gateway) sowie das Passwort über das LCD-Display eingegeben wurden, startet das System neu und der Administrator hat über einen Browser per HTTPS und Port 2456 Zugriff darauf. Danach wird ein Assistent für eine vorläufige Konfiguration ausgeführt. Neben der Firewall hat das Gerät noch einige weitere Funktionen zu bieten: VPN, Content Filtering, Antiviren-Scans, Intrusion Detection und Prevention sowie Hardwareverschlüsselung.

Die Entwickler von Symantec haben sicherlich eine Menge an Java-Programmierung in diese Verwaltungsoberfläche investiert. Berichte können direkt über die Benutzeroberfläche erstellt werden und im PDF- oder HTML-Format gespeichert werden - sogar die Seitengröße kann man einstellen. Außerdem gibt es 38 unterschiedliche Arten von Berichten, die auf Knopfdruck generiert werden können.

Insgesamt ist dies ein wohldurchdachtes Gerät, das ausreichend Skalierbarkeit bietet. Allerdings wird man sich in die Benutzeroberfläche für Verwaltung und Administration erst etwas einarbeiten müssen.

Testurteil Wertung Note Begründung Interoperabilität 7 Guter Funktionsumfang und ausreichende Verwaltungsfunktionen. Zukunftssicherheit 8 Gutes Maß an Logging/Reporting verfügbar sowie umfangreiche Zusatzoptionen. Investitionsrentabilität 7 Gutes Preis-/Leistungsverhältnis angesichts der verfügbaren Optionen und Features. Service 8 3 Jahre Garantie sind hervorragend. Gesamtnote 7

Die Watchguard Firebox X1000 bietet gute Übersicht: Alle Anschlüsse und Tasten befinden sich an der Vorderseite des Geräts, darunter sechs Netzwerkanschlüsse für Kupferkabel, ein serieller Anschluss für eine Konsole, vier Konfigurationstasten, ein kleines beleuchtetes LCD-Display sowie zwölf Statusanzeigen, von denen zehn die Verbindungsgeschwindigkeit von jedem der Netzanschlüsse anzeigen (10 MBit/s oder 100 MBit/s). Die übrigen zwei LEDs zeigen Stromversorgung und den "Arm/Disarm"-Status an. An der Rückseite des Geräts befindet sich ein Standard-IEC-Netzanschluss sowie ein Netzschalter.

Wie schon bei früher getesteten Watchguard-Produkten erfolgen Konfiguration und Administration über eine clientbasierte Anwendung, den Watchguard System Manager (WSM). Sobald dieser installiert ist, hilft ein Assistent den Benutzer beim Einrichten, etwa bei der Eingabe des Lizenzschlüssels sowie der anfänglichen Porteinrichtung. Interessanterweise kann Fireware 8.0 eine Menge zusätzlicher Funktionen des Geräts freigeben. Watchguard verfolgt hier den Ansatz, dass das Gerät softwaremäßig zusammen mit dem Kunden wachsen kann, anstatt dass man die Hardware austauschen muss.

Die Administration erfolgt über WSM, und ein sehr klar strukturiertes Menüsystem ist verfügbar, ergänzt durch ein grafisches System von Buttons. Neben den üblichen Formaten können die Firebox-Logs auch als XML (mit Fireware Pro) und im Webtrends-Format (WELF) ausgegeben werden. Sobald der Firebox System Manager gestartet wird, zeigt er eine grafische Übersicht des Traffics sowie des Portstatus und weiterer wichtiger Systemdetails.

Insgesamt ist dies eine sehr gut durchdachte Firewall, mit einem Konfigurationssystem, das sich etwas von den üblichen browserbasierten Systemen unterscheidet. Das Konfigurationssystem von Watchguard ist zwar etwas komplexer als die üblichen browserbasierten Systeme, bietet dafür aber auch größere Flexibilität und mehr Sicherheit. Die WSM-Benutzeroberfläche und das Managementsystem sind wohldurchdacht, vor allem wenn man den Funktionsumfang des Geräts in Betracht zieht.

Testurteil Wertung Note Begründung Interoperabilität 9 Hervorragender Umfang an Features und Verwaltungsfunktionen. Zukunftssicherheit 9 Äußerst skalierbar dank vielfältiger verfügbarer Zusatzoptionen. Investitionsrentabilität 8 Sehr gutes Preis-/Leistungsverhältnis. Service 7 12 Monate, aber mit der Option auf eine teilweise Verlängerung zusammen mit der Verlängerung eines Supportvertrags. Gesamtnote 9

Ausstattung I Modell SG710 Fortigate 200A ISG1000 Hersteller Cyberguard Fortinet Juniper Networks Website www.cyberguard.com[2] www.fortinet.com[3] www.juniper.net[4] Preis Testkonfiguration ca. 2800 Euro 7900 Euro 27.000 Euro Preisbereich für das Produkt 300 - 4000 Euro 600 - 60.000 Euro nicht bekannt Garantie 1 Jahr 1 Jahr 1 Jahr Größe (mm) 483 Rackmount 44 x 432 x 270 13 x 44 x 58 Sicherheits-Zertifikate ICSA, VPNC Conformance and Interoperability AV, VPN, Firewall & IDS/IDP FCC class A, CE class A,C-Tick, VCCI class A Zahl konfigurierbarer Ethernet-Ports 4 Netzwerk-Segmente (2 x 4-Port-Switches, alle 10/100) 5 4 feste, 10/100/1000 Zahl der Trusted-Ethernet-Ports konfigurierbar konfigurierbar konfigurierbar Zahl der Untrusted-Ethernet-Ports konfigurierbar konfigurierbar konfigurierbar Zahl der DMZ-Ethernet-Ports konfigurierbar konfigurierbar konfigurierbar Weitere Anschlüsse Serielle Schnittstelle für Konfiguration oder Backup-Internet 1x Konsole + 2x USB Konsole / Modem Network Address Translation ja ja ja Packet Filtering ja ja ja Stateful Inspection ja ja ja Application Proxy No ja nein Policy-basiertes Traffic-Routing ja ja ja QoS ja ja ja VLAN ja ja ja Max. Port-Durchsatz bei aktiver Firewall (MBit/s) 300 150 Je nach Port bis zum Maximum des Geräts Max. Anzahl Sessions TCP: 100.000 / UDP: 150.000 400 250 Überwachungsmöglichkeiten Web, CMS, SNMP Fortimanager Appliance CMS, Web client SNMP, Console, Telnet, SSH, SYSLOG, CMS Reporting-Möglichkeiten SNMP, Syslog, SMTP Fortilog, Syslog, SNMP, WELF SNMP, Konsole, Telnet, SSH, Syslog, Security Manager Verwaltungsmöglichkeiten HTTP, HTTPS, Telnet, SSH, CMS Fortimanager Appliance, SSL, SSH. SNMP, Console, Telnet, SSH, HTTP, SSL, Security Manager VPN-Unterstützung ja ja ja VPN-Verschlüsselung DES, 3DES, AES PPTP, L2TP, IPSec, DES, 3DES, AES DES, 3DES, AES VPN-DES-Geschwindigkeit (MBit/s) 42 N/A 1024 VPN-3DES-Geschwindigkeit (MBit/s) 42 70 1024 VPN-AES-Geschwindigkeit (MBit/s) 42 nicht unterstützt 1024 Sonstige Optionen Snort IDS, Squid Proxy/Cache, NASL, Failover, Clam AV, Mailshell AS und HA IDS/IDP, Antiviren-Software, Dynamic Routing (Rip, OSPF, BGP), Anti-Spam, Content Filtering, Traffic Shaping, Diffserv Deep Inspection, IDP (nur optional)

Ausstattung II Modell Brick 150 FVX538 RM-300 Hersteller Lucent Technologies Netgear Network Box Website www.lucent.com/security[5] www.netgear.com[6] www.network-box.com[7] Preis Testkonfiguration ca. 1950 Euro 550 Euro 9900 Euro Preisbereich für das Produkt 1200 - 2000 Euro nicht bekannt ab 4000 Euro Garantie 1 Jahr 3 Jahre Ersatzgarantie je nach Dauer des Service-Vertrags Größe 45 x 279 x 182 44 x 330 x 203 2U Rackmount Sicherheits-Zertifikate ICSA V4.0 Firewall, ICSA V1.0B IPSec Radius client/ Groups and Hosts Keine, da verwalteter Dienst Zahl konfigurierbarer Ethernet-Ports 4 10/100 Base-TX Ethernet-Ports 8 4 bis 13 Zahl der Trusted-Ethernet-Ports konfigurierbar 8 konfigurierbar Zahl der Untrusted-Ethernet-Ports konfigurierbar 8 konfigurierbar Zahl der DMZ-Ethernet-Ports konfigurierbar 1 konfigurierbar Weitere Anschlüsse SVGA-Video, DB9 Seriell, Parellel, 2x USB Konsole keine Network Address Translation ja ja ja Packet Filtering ja ja ja Stateful Inspection ja ja ja Application Proxy ja ja ja Policy-basiertes Traffic-Routing ja ja ja QoS ja ja ja VLAN ja nein ja Max. Port-Durchsatz bei aktiver Firewall (MBit/s) 334 90 95 Max. Anzahl Sessions 245 200 gleichzeitige VPN-Tunnel 600 Überwachungsmöglichkeiten Via Security Management Server Navigator und Remote Navigator Web, Hypertrm Web-basiertes Reporting und zentralisierte Überwachung, da verwalteter Dienst Reporting-Möglichkeiten SNMP, Syslog, SMTP, direkte Seite, Konsolennachricht SNMP, Web-basiert, SMTP Verwaltungsmöglichkeiten Management Server, Remote Navigator, LSMS CLI Web, Hyperterminal Zentralisiertes Management VPN-Unterstützung ja ja ja VPN-Verschlüsselung DES, 3DES, AES 3DES, AES IPsec, L2TP, PPTP, GRE, DES, 3DES, AES, CAST, Blowfish, Serpent, Twofish VPN-DES-Geschwindigkeit (MBit/s) 150 80 82 VPN-3DES-Geschwindigkeit (MBit/s) 150 80 82 VPN-AES-Geschwindigkeit (MBit/s) nicht unterstützt 80 89 Sonstige Optionen IDS/IPS; via Lucent Proxy Agent sind Antiviren-Lösung und Content/URL-Filtering möglich Antiviren-Software (Trend Micro) IDP, Antiviren-Software, Spam-Filter, Web Content-Filter

Ausstattung III Modell PRO 5060c SGS 5420 Firebox X1000 Hersteller Sonicwall Symantec Watchguard Website www.sonicwall.com[8] www.symantec.de[9] www.watchguard.com[10] Preis Testkonfiguration ca. 12.000 Euro nicht bekannt 3700 Euro Preisbereich für das Produkt 12.000 bis 13.500 Euro 4000 bis 7000 Euro bis ca. 20.000 Euro Garantie 1 Jahr 3 Jahre 1 Jahr Größe 445 x 431 x 412 445 x 438 x 438 45 x 426 x 240 Sicherheits-Zertifikate ICSA Firewall, ICSA VPN, FIPS ELA4 Plus Augumented ISCA Firewall und Ipsec Zahl konfigurierbarer Ethernet-Ports 6 6 6 Zahl der Trusted-Ethernet-Ports konfigurierbar 5 1 initially, but user configurable Zahl der Untrusted-Ethernet-Ports konfigurierbar 1 bis 5 (konfigurierbar) standardmäßig 1 (konfigurierbar) Zahl der DMZ-Ethernet-Ports konfigurierbar 1 bis 5 (konfigurierbar) standardmäßig 1 (konfigurierbar) Weitere Anschlüsse Konsole USB, Seriell Konsole Network Address Translation ja ja ja Packet Filtering ja ja ja Stateful Inspection ja ja ja Application Proxy nein ja ja Policy-basiertes Traffic-Routing ja ja ja QoS ja limited ja VLAN ja Mit V3-Code verfügbar nein Max. Port-Durchsatz bei aktiver Firewall (MBit/s) 1000 200 240 Max. Anzahl Sessions 750 Gleichzeitige Verbindungen: 64.000 200.000 Überwachungsmöglichkeiten Web, E-Mail-Benachrichtigung, GMS, Viewpoint Web-basierter SSL-Java-Client Client-Anwendung Reporting-Möglichkeiten Syslog, SNMP, SMTP Internes Log, Extended SSL, SESA. SNMP, Syslog, SMTP, Windows-Popup Verwaltungsmöglichkeiten HTTP, HTTPS, GMS Web-basierter SSL-Java-Client Client-Anwendung VPN-Unterstützung ja ja ja VPN-Verschlüsselung DES, 3DES, AES AES, 3DES, DES, IPSEC, SHA1, MD5 DES, 3DES, AES VPN-DES-Geschwindigkeit (MBit/s) 500 140 100 VPN-3DES-Geschwindigkeit (MBit/s) 500 90 100 VPN-AES-Geschwindigkeit (MBit/s) 500 30 100 Sonstige Optionen IPS/IDS Gateway Antiviren-Software, Anti-Spyware, RBL, Content-Filter AV, IDS, CF,IPS, HA/LB, IDS Gateway Antiviren-Software, IPS, Web-Filter

Das Labor verfügt über einen eigenen öffentlich adressierbaren C-Class-Netzwerkbereich (253 öffentliche IP-Adressen). Daher konnten für einen Bereich des Netzwerks sämtliche Regeln der vorhandenen Firewall deaktiviert und jedes der Testgeräte mit einer eigenen IP-Adresse eingerichtet werden. Dies simuliert eine typische Firewall-Installation am Rand des Netzwerks. Jedes Gerät wurde mit einem oder zwei PCs oder Notebooks an den internen Anschlüssen verbunden (LAN), so dass Richtlinien aufgestellt werden und sowohl der eingehende wie ausgehende Traffic überwacht werden konnten.

Beim letzten Firewall-Vergleichstest^[11] ging es vor allem um die Grundfunktionalität. Mit einem simulierten Trojaner wurde damals von Inneren des Netzwerks aus auf Schwachstellen getestet. Außerdem wurden NMAP-Portscans gegen die Innen- und Außenseite der Geräte durchgeführt sowie ein entfernter Schwachstellenscan für jede Firewall und jedes Geräte im Netzwerk, so dass sichergestellt war, dass der Scan entfernt durchgeführt wurde.

Für interne Zwecke gibt es eine Menge zuverlässiger Software- und Hardwaretools für das Scannen nach Schwachstellen und die Berichterstellung, zum Beispiel Computer Associates' Etrust Vulnerability Manager Appliance oder Net IQs Vulnerability Manager-Software.

Dies Art von elementaren Tests ist notwendig, um eine Firewall in Bezug auf die spezifische Konfiguration einer Unternehmensumgebung zu beurteilen. Wenn die Firewall angeschafft und installiert ist, sollte man regelmäßig ähnliche Penetrationstests und Schwachstellenscans durchführen, um neue Bedrohungen aufzuspüren und Gegenmaßnahmen zu ergreifen.

Dieses Verfahren ist inzwischen überholt und überflüssig, wenn man es im Rahmen eines Testberichts verwendet, da es nur einen Schnappschuss der Gerätekonfiguration und der potentiellen Schwachstellen zu einem bestimmten Zeitpunkt liefert. Die meisten Benutzer werden aus einer Vielzahl von Gründen nicht einfach eine Firewall erwerben und diese dann anschließen und mit der Standardkonfiguration laufen lassen. Die meisten Anbieter von Sicherheitslösungen stellen ihre Geräte inzwischen sinnvollerweise fabrikmäßig auf "Alles blockieren" ein, so dass Administratoren und Benutzer ihre eigenen Regeln aufstellen müssen, wenn das Gerät im Netzwerk installiert und anfänglich konfiguriert wird. Falls ein Gerät eine Schwachstelle aufweist, die von einem Scanning-Tool erkannt oder entdeckt wurde, wird sich der Hersteller normalerweise sofort darum kümmern, so dass schnellstmöglich ein Patch bereitsteht.

Das bedeutet natürlich nicht, dass sich Sicherheitsadministratoren jetzt bequem zurücklehnen und den Herstellern die ganze Verantwortung überlassen können. Unternehmen sollten regelmäßig eigene Penetrationtests ihrer Netzwerkgeräte und -ressourcen planen und durchführen, um sicherzustellen, dass diese auf dem aktuellen Stand sind und ihr Netzwerk jederzeit bestmöglich geschützt ist.

Der nächste Test, der bei diesen Geräten durchgeführt werden kann, ist ein Last-, Durchsatz- oder Performance-Test. Zwar lassen sich solche Tests sehr gut im Labor durchführen, aber die Unterschiede bei den potentiellen Umgebungen, Geräten und Konfigurationen erschweren einen echten vergleichbaren Performance-Test. Letztlich wird doch jedes Unternehmen über seine eigenen Filter-Richtlinien und umzusetzende Verfahren verfügen, von der individuellen Netzwerklast ganz zu schweigen. Von daher hätte ein Performance-Test nur rein akademischen Wert und keinerlei Relevanz für die Praxis.

Daher hat sich ZDNet entschieden, die einzelnen Firewalls zu installieren und auszuprobieren und dabei die Geräte und ihre Verwaltungsfunktionen unter die Lupe zu nehmen, um Stärken und Schwächen herauszufinden, wobei besonders die einmaligen Funktionen der einzelnen Hersteller hervorgehoben werden sollen. Außerdem sollte die Logging- und Reporting-Systeme der einzelnen Anbieter verglichen werden, um zu sehen, wie gut sie mit Reporting- und Analyse-Systemen von Drittanbietern zusammenarbeiten.

Dabei erweist sich das Vorhandensein eigener öffentlicher IP-Bereiche als Vorteil. So kann jedes Gerät mit einer offenen Adresse eingerichtet und der gesamte Traffic für dieses Gerät von außen dokumentiert werden - "Script Kiddies", die Portscans durchführen und eine Reihe weiterer Tools, die ihre Spuren hinterließen. Angesichts der großen und auch heterogenen Auswahl an Firewall-Lösungen wäre es unfair, nur einen Hersteller mit der "Empfehlung der Redaktion" auszuzeichnen. Daher gibt es zwei Kategorien, je nach Unternehmensgröße (mittel und groß).

Die Empfehlung in der Kategorie für mittlere Unternehmen erhält das Gerät von Sonicwall, wobei Watchguard einen ehrenvollen zweiten Platz belegt. Beides sind hervorragende Geräte, die beide ihre einzigartigen Funktionen mitbringen, daher hängt es letztlich von den individuellen Anforderungen des Benutzers ab, für welches Gerät er sich entscheidet.

Die Empfehlung in der Kategorie für große Unternehmen geht an Juniper, wegen der physischen Konfigurierbarkeit und der Optionen, wegen der Redundanzoptionen sowie der relativen Einfachheit von Verwaltung und Administration, wenn man bedenkt, was für ein komplexes und leistungsfähiges Gerät dies ist.

Nicht unerwähnt soll auch Lucent bleiben. Falls es einmal eine Kategorie für eine einheitliche Familie von Firewalls mit leistungsfähigen und flexiblen Verwaltungsfunktionen geben sollte, wäre Lucent hier mit der Brick-Produktreihe und der Managementsoftware LSMS gewiss der Sieger.

URLs in diesem Artikel:
[1] = http://www.networkbox.com
[2] = http://www.cyberguard.com
[3] = http://www.fortinet.com
[4] = http://www.juniper.net
[5] = http://www.lucent.com/security
[6] = http://www.netgear.com
[7] = http://www.network-box.com
[8] = http://www.sonicwall.com
[9] = http://www.symantec.de
[10] = http://www.watchguard.com
[11] = http://www.zdnet.de/security/praxis/0,39029462,39124750,00.htm