Profi-Schutz für kleine Netze: Die Fünf-Minuten-Firewall

Mittlerweile nutzen viele kommerzielle Firewalls Linux als Grundlage. Explizit bekennen sich Astaro und Gibraltar dazu. Astaro bietet seine Software als fertige Appliance und als reine Software-Lösung an. Sie bringt Mail- und Surfschutz gleich mit. Remote-Management ist damit ebenso möglich wie IPsec-VPNs. An Proxys bietet Astaro HTTP, SMTP, POP2, DNS, SOCKS und SIP – die Firewall kann also auch mit VoIP-Paketen umgehen. Sie liefert auf Wunsch detaillierte Berichte über den Netzwerkverkehr, Verbindungen, Paketfilterverstöße und andere Informationen über den Betrieb. Die Log-Daten lassen sich speichern und in Tabellenkalkulationen oder Berichtssysteme exportieren – praktisch, wenn man das Team über die Geschehnisse im Netzwerk auf dem Laufenden halten oder dem Management Bericht erstatten muss.

Spam- und Spyware-Filter sowie ein IDS komplettieren die Rundum-Firewall. Allerdings brauchen viele Dienste auch entsprechend viel Rechenleistung und Bandbreite. Außerdem muss jemand die IDS-Daten auswerten und auf Alarme reagieren können, sonst wird das System mit seinen beständigen Meldungen schnell zur Last. Astaro bietet eine kostenlose 30-Tage-Testversion an. Die Firewall wird auf der Festplatte installiert. Zielgruppe sind eindeutig kleine und mittlere Unternehmen. Eine kostenlose und unbefristete Home-User-Lizenz bekommt jeder, der sich registrieren lässt. Nur die Spam-Protection und der Update-Service „Maintenance Silver“ laufen nach 36 Monaten aus.

Ein Fels in der Brandung

Gibraltar basiert auf Debian Linux. Verantwortlich für die Entwicklung ist die österreichische Firma Esys Informationssysteme. Das Paket startet direkt von der CD-ROM: Wer nicht will, muss es also nicht auf der Festplatte installieren. Das hat den Vorteil, dass sich die Dateien nicht verändern lassen und das System immer im „sauberen“ Zustand neu startet, selbst wenn ein Hacker die Dateien zur Laufzeit kompromittieren könnte. Die Konfigurationsdateien liegen schreibgeschützt auf einem externen Laufwerk, einer Diskette oder einem USB-Stick.

Neben den üblichen Funktionen Stateful Packet Inspection, Proxys und VPN-Server bringt Gibraltar noch ein Anonymisierungs-Gateway mit, das IP-Spuren im Internet verwischt. Zusätzlich schützt Gibraltar vor Viren und teilt Benutzern flexibel Bandbreiten zu. Das Benutzerinterface ist webbasiert. Auf Wunsch liefert Esys Gibraltar fix und fertig als Appliance, die von einer Compact-Flash-Karte bootet. Die Software ist als 30-Tage-Testversion auf der Website erhältlich, danach kann man per Mail eine kostenlose Home-Lizenz gegen Registrierung beantragen. Sie unterstützt den vollen Funktionsumfang, ist aber auf fünf MAC-Adressen, also fünf Netzwerkgeräte hinter der Firewall, beschränkt.