So viel Konvergenz und Sicherheit mag zwar auf den ersten Blick wie die ideale Lösung erscheinen, jedoch sollte man dabei ein paar Dinge bedenken. Bevor man sich auf ein solches Gerät einlässt, sind Aspekte wie der Verwaltungsaufwand und Einbußen bei der Netzwerk-Performance in Betracht zu ziehen und zu untersuchen.
Manche Firewalls beinhalten heute die so genannte Stateful Packet Inspection (SPI) sowie eine vereinfachte Form der Datenüberprüfung. Dabei werden die Daten Paket für Paket überprüft und zwar je nachdem, ob die Firewall die Daten als legitim einstuft oder nicht. Alle verdächtigen oder unaufgefordert eintreffenden Datenpakete werden dabei markiert, protokolliert oder einfach abgelehnt. Aus diesem Grunde dürfen die Datenpakete nur dann die Firewall passieren, wenn sie mit einer gültigen Sitzung assoziiert werden können, die innerhalb des Netzwerks eingeleitet wurde.
SPI-Firewalls können ihre Fähigkeiten voll ausspielen, wenn sie in Kombination mit anderen Methoden zur Datenüberprüfung innerhalb der Firewall oder in einer anderen im LAN befindlichen Firewall eingesetzt werden. SPI bietet ein gewisses Maß an Sicherheit, ohne die Performance im Netzwerk zu beeinträchtigen. Würde ein großes Unternehmen sein Firmennetzwerk schützen wollen und dazu sämtliche ein- und ausgehende Datenpakete erfassen, protokollieren, auf Auffälligkeiten überprüfen und anschließend zum Urheber zurückverfolgen, hätte dies schlicht inakzeptable Auswirkungen auf die verfügbare Bandbreite im Netzwerk. SPI kann (was allerdings auch keine ideale Lösung ist) diese Einbußen verringern, während gleichzeitig andere Sicherheitstechniken implementiert werden, die sich um die Defizite von SPI kümmern. SPI eignet sich gut als zusätzliche Technologie für den Schutz einer “demilitarisierten Zone“ beziehungsweise eines Netzwerks, in dem manche Rechner oder Server öffentlichen Zugriff benötigen, denn es verfügt über die Fähigkeit, bestimmten individuellen IP-Adressen oder Segmenten im LAN geöffnete Ports zu erlauben. Dies gibt dem Administrator die Möglichkeit, aus einer Liste von Ports genau diejenigen auszuwählen, die auf der IP-Adresse jedes beliebigen Rechners im LAN geöffnet oder geschlossen werden sollen.
Um kurz die schnelle technische Entwicklung von Firewalls aufzuzeigen sind hier nur ein Teil der Möglichkeiten heutiger Geräte aufgeführt. Interessanter sind jedoch die Tests bei welchen Produkte der Hersteller Lucent, Netgear, Netscreen, Nokia, Nortel, Symantec, 3Com, Trend Micro und Watchguard geprüft wurden.
- Keine Chance für Angreifer: Acht Firewalls im Test
- Einfache Bedienung gewünscht
- Lucent VPN Firewall Brick Model 80
- Netgear FVL328
- Netscreen NS50
- Nokia IP350
- Nortel Alteon Firewall Accelerator 5700
- Symantec Gateway Security 5420
- 3Com Superstack 3 Firewall
- Trend Micro Gatelock Remote Appliance 5000
- Watchguard Firebox X700
- Technische Daten
- Testablauf und Fazit
Neueste Kommentare
1 Kommentar zu Keine Chance für Angreifer: Acht Firewalls im Test
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
titel des artikels
"Keine Chance für Angreifer […]" ist eine propagandistische aussage. chancen fuer angreifer gibt es immer. totale sicherheit ist stets ausgeschlossen.
solche formulierungen erfuellen den zweck der werbung.