Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Das Konzept der Brick-Firewall von Lucent sowie der zugrunde liegenden Verwaltung sind hervorragend. Diese gesamte Familie von Firewall-Geräten ist für Unternehmen gedacht, die über mehrere geografische Standorte verteilt sind und unterschiedlich große Netzwerke aufweisen. So könnten zum Beispiel am Stammsitz eines Unternehmens mit 800 Mitarbeitern die größeren Brick-Lösungen zum Einsatz kommen, um das primäre Netzwerk sowie die Verbindungen zu externen Netzwerken zu schützen, während dasselbe Unternehmen kleinere Vertreter der Brick-Familie an den entfernten Vertriebs- und Verkaufsniederlassungen einsetzen könnte, um deren kleinere Netzwerke zu schützen. Und alles kann mit dem Lucent Security Management Server (LSMS) zu einer Einheit verbunden werden.

Alternativ kann die Lucent Brick-Technologie innerhalb einer einzelnen geografischen Netzwerkumgebung eines Unternehmens zum Einsatz kommen und als „Defence in Depth“-Strategie dienen, um unterschiedliche Netzwerke und Subnetzwerke zu trennen, zu überwachen und zu schützen. Das Besondere an diesem System ist die LSMS-Managementkonsole, welche Sicherheitsadministratoren die zentrale Kontrolle und Verwaltung von Hunderten oder gar Tausenden von registrierten Bricks von einem zentralen Ort aus ermöglicht – nach Angaben auf Lucents LSMS-Website bis zu 10.000 Geräte.

Im Test steht die Lucent Brick 150, ein robustes (also schweres) 1RU-Gerät. Ein nützliches Feature ist die Möglichkeit, virtuelle Firewalls und Richtlinien innerhalb des Geräts einzurichten. Der primäre Systemadministrator kann dann sehr granulare Zugriffsrechte und -privilegien an entsprechende Gruppen vergeben, so dass diese ihren eigenen Bereich verwalten und Berichte erstellen können, ohne dass die Benutzer vollen Zugriff auf das Gerät haben. Diese Regeln können sogar so eingerichtet werden, dass jede Richtlinienänderung zur Freigabe zuerst an den Systemadministrator geschickt wird, ehe sie wirksam wird.

Logging erfolgt äußerst elementar in Textform, die Logdatei wird in einem zentralen Verzeichnis gespeichert. Die Bricks können dann so eingerichtet werden, dass diese Logdatei an ein zentrales Repository oder einen Server übertragen wird, wo sie zu Berichtszwecken weiterverarbeitet wird. Es gibt eine ganze Reihe gängiger Tools, die verwendet werden können, um verwertbare Berichte zu erstellen. Der Administrator hat die Möglichkeit, mehrere Ebenen für das Logging für praktisch jede Funktion des Geräts einzurichten, was es ermöglicht, das Logging genau auf die eigenen Bedürfnisse zuzuschneiden.

Die Lucent-Brick-Familie ist auch für den Einsatz in Unternehmen mit VoIP-Netzen hervorragend geeignet. Eine Reihe spezieller Regeln und Richtlinien kann erstellt werden, so dass dynamische Pinholes in der Firewall eingerichtet werden, damit SIP- und H.323-Traffic ungehindert fließen. Damit erspart man sich, große Portbereiche offen zu halten, was ein Sicherheitsrisiko bedeuten würde. Auch hier können granulare Regeln und Richtlinien zum Einsatz kommen, um diesen Traffic zu kontrollieren – selbst zwischen virtuellen Richtliniengruppen auf demselben Gerät.

Die Brick-Familie ermöglicht dem Administrator den umfassenden Einsatz von Bandbreitenkontrollen, von der maximalen Session-Geschwindigkeit bis zur Gesamtgeschwindigkeit einzelner Gruppen. Auch die verfügbare Bandbreite kann den Benutzern gleichmäßig zur Verfügung gestellt werden, und für den Fall einer DNS-Attacke kann man einen bestimmten Prozentsatz reservieren.

Lucent sollte man auf jeden Fall in die engere Wahl ziehen, besonders wenn das Unternehmen über mehrere geografische Standorte verteilt ist oder man mehrere Firewall-Schichten benötigt.