Firewalls mit ZusatzfunktionenEindringlinge abfangen
Mehr als Paketfilter
Firewalls mit Zusatzfunktionen
Firewalls bieten inzwischen so viele Zusatzfunktionen, dass dafür ein neuer Name her muss: UTM-Appliances. Mit UTM oder Unified Threat Management wehren sich Firmennetze gegen fast alle Gefahren, die die eigenen Rechner aus dem Internet bedrohen. Der klassische Paketfilter, ergänzt um Stateful Inspection, bildet nach wie vor den Kern der Geräte.
Mit der Application-Level-Firewall erreichen die Sicherheitsfilter eine Ebene, auf der sich vielfältige Zusatzfunktionen integrieren lassen: Auf der Anwendungsebene lassen sich Viren und Spam ebenso ausfiltern wie unerwünschte Web-Inhalte. Ergänzt wird die Funktionsvielfalt in diesem Test durch eher klassische Firewall-Funktionen wie Einbruchserkennung und verschlüsselte Verbindungen (VPN). Moderne Hardware verhindert, dass die vielen Filter die Leistung ausbremsen.
Um sich für diesen Vergleichstest zu qualifizieren, müssen die Geräte außerdem Spam bekämpfen sowie Webfilter und VPN bieten. Das Ganze soll als fertige Appliance zu kaufen sein, ohne dass man sich erst langwierig Module zusammenstellen muss. Um einen fairen Vergleich zu ermöglichen, wählte Internet Professionell die Geräte aus, die sich für Firmen mit 50 Mitarbeitern eignen.
Bedienoberfläche
Firewalls mit Zusatzfunktionen
Es ist nicht trivial, diese Funktionsvielfalt auf einer verständlichen Bedienoberfläche abzubilden. Die meisten Kandidaten im Test setzen dafür auf Webschnittstellen mit Javascript. Nur Telco Tech ist bescheidener und funktioniert auch ohne Javascript. NetASQ dagegen verweigert sich der Bedienung per Browser und bringt einen eigenen proprietären Client mit. Der verschenkt wertvolle Teile der Bedienoberfläche, indem er dort immer die gleichen Informationen anzeigt. Dafür werden meist umfangreiche und klar formulierte Hilfetexte präsentiert. Die beste Bedienoberfläche im Test bietet Astaro.
Funktionen
Firewalls mit Zusatzfunktionen
Firewall
Der Paketfilter der klassischen Firewall bildet nach wie vor den Kern einer UTM-Appliance. Alle Geräte im Test können Verbindungen ablehnen, ignorieren oder annehmen (deny, drop, accept). Astaro kann erlaubte Verbindungen zusätzlich priorisieren. Bei Fortinet und Servgate können Firewall-Regeln eine Verschlüsselung auslösen.
Antivirus
Nurr die Hälfte der Geräte verrät in der Bedienoberfläche, welche Antivirus-Engine installiert ist. Der beliebteste Virenscanner ist das Open-Source-Programm Clam AV. Das hat inzwischen eine Qualität erreicht, die sich kaum mehr hinter den kommerziellen Mitbewerbern zu verstecken braucht. Wer mehr Virenschutz will, aktiviert bei Astaro den Kaspersky-Scanner, bei Telco Tech den von H+B EDV.
Content-Filter
Beim Spamschutz setzen die meisten Geräte auf externe Blacklists. NetASQ hat sogar acht davon voreingestellt. Interne Black- und Whitelists können ebenfalls alle Kandidaten verwalten. Bei den Webcontent-Filtern verzichten nur NetASQ und Zyxel auf externe Zensurfilter.
VPN
Wer externe Mitarbeiter oder Filialen anbinden will, braucht eine verschlüsselte Verbindung per VPN. Alle getesteten Appliances bieten VPNs über das Protokoll IPSec, bis auf Zyxel und Telco Tech sind Tunnel auch über PPTP möglich. Astaro und Fortinet bieten darüber hinaus noch L2TP an. Wer ein Privatnetz über SSL verschlüsseln will, muss die Appliance von NetASQ einsetzen.
Fazit
Firewalls mit Zusatzfunktionen
Es gibt keine böse Überraschung in diesem Test. Alle Testgeräte bieten gute Schutzfunktionen und brauchbare Bedienoberflächen. Der Schwerpunkt dieses Tests liegt auf guter Bedienbarkeit bei möglichst umfangreichen Schutzfunktionen. Bevor Sie jetzt loslaufen und das Astaro Security Gateway 120 kaufen, gleichen Sie dessen Funktionen noch einmal mit Ihrem konkreten Bedarf ab. Denn auch die beste UTM-Appliance schützt nur dann, wenn der Security-Admin weiß, was er tut. Der Test kann nur ein erster Anhaltspunkt für eine Kaufentscheidung sein.
Astaro Security Gateway 120
Firewalls mit Zusatzfunktionen
Das Astaro Security Gateway kann an einer DSL-Verbindung oder an einer Standleitung betrieben werden. Intern stehen zwei Netzwerkbuchsen zur Verfügung. Eine davon kann für eine DMZ benutzt werden. Die Firewall kann Verbindungen nicht nur erlauben, ablehnen oder ignorieren, sondern auch bevorzugen oder mit geringerer Priorität annehmen. Den Virenschutz für die Protokolle HTTP, SMTP und POP3 erledigt Clam AV. Auf Wunsch kann zusätzlich oder stattdessen Kaspersky aktiviert werden. Wer seinen Usern potenziell gefährliche Dateien ganz verbieten will, kann das Gerät nach Dateitypen filtern lassen. Für den Spamschutz sind drei externe Realtime-Blacklists (RBL) eingebunden. Weitere Blacklist-Server lassen sich ebenso wie interne Black- und Whitelists ergänzen. Daneben prüft das Spamschutz-Modul den Absender, die Header und die Inhalte von Mails.
Der Webcontent-Filter setzt auf den externen Service von Cobion. Hier werden nicht nur die Texte auf Webseiten analysiert, sondern auch Bildinhalte. Der Content ist in 60 Kategorien eingeteilt, die sich gruppieren lassen. Zur Angriffserkennung benutzt Astaro IDS-Signaturen, von denen im Testgerät 2511 hinterlegt waren. Die Signaturen werden durch Updates ergänzt und können auch manuell erweitert werden. Zusätzlich ist die Appliance gegen sinnlose SYN-, UDP- und ICMP-Anfragen geschützt.
Verschlüsselte VPN-Verbindungen stellt Astaro über die Protokolle IPSec, L2TP und PPTP her. Die Gegenstelle kann sich dabei nach einer von zwölf Methoden ausweisen, unter anderem durch vorher ausgetauschte Schlüssel und Zertifikate. Das VPN-Gateway von Astaro ist das flexibelste im Test. Unter den Proxy-Modulen der Appliance findet sich auch ein SIP-Server für Telefonate über VoIP.
Wer das Gateway vor dem Kauf testen will, kann eine Software-Version der Appliance herunterladen und 30 Tage lang kostenlos ausprobieren.
Fazit. Von der logischen Benutzerschnittstelle über den Kaspersky-Virenschutz bis hin zur Novell-Authentifizierung lässt Astaro keine Wünsche offen.
Ranking: 89%
Hersteller: Astaro
Preis: 806,20 Euro
Liss II Secure Gateway
Firewalls mit Zusatzfunktionen
Liss II ist die einzige Appliance im Test, die sich auch ohne Javascript von beliebigen Browsern aus steuern lässt. Wer sich davon überzeugen will, kann unter demo.liss.de eine Online-Demo der Bedienoberfläche aufrufen. Die Hardware ist dem hohen Preis angemessen: Mit insgesamt sechs Netzwerkschnittstellen lassen sich neben Extern, Intern und DMZ auch weitere Schutzzonen definieren. Daneben ist ins Gehäuse ein Schloss eingebaut, mit dem sich die Konfigurationsdateien der Appliance Hardware-seitig gegen Änderungen schützen lassen.
Die Firewall verfügt über einen komfortablen Regel-Editor. Der vordefinierte Basis-Regelsatz muss vom Administrator ergänzt werden. Die Appliance kann Regeln wahlweise auch automatisch ergänzen: Wenn das Intrusion-Detection-System einen Angriff erkennt, erzeugt es die zur Abwehr nötigen Firewall-Regeln.
Die Appliance schützt vor Viren beim Surfen im Web, beim Dateitransfer per FTP und beim Mailen mit SMTP. POP3 ist nicht vorgesehen. Die Appliance gehört übrigens unbedingt in einen Server-Schrank, denn sie ist mit Abstand die lauteste im Test. Gegen Spam sind sieben Blacklist-Server voreingestellt. Weitere Server lassen sich manuell e
rgänzen. Zusätzlich untersucht das Gerät die Mails nach 14 Kriterien, deren Gewichtung sich individuell einstellen lässt. Unter anderem werden die Mails auf Webbugs, Zufallsdaten und korrekte HTML-Syntax untersucht.
Die Zensur unerwünschter Web-Inhalte übernimmt genau wie bei Astaro der externe Server von Cobion. Intern können außerdem Datei- und Content-Typen aus dem Web gefiltert werden. Im IDS-System des Testgeräts finden die Tester 1888 Signaturen zur Einbruchserkennung.
Verschlüsselte Verbindungen baut Liss ausschließlich über das IPSec-Protokoll auf. Zur Authentifizierung stehen dabei vorher ausgetauschte Schlüssel, RSA-Signaturen und Zertifikate bereit. Eine eigene Zertifikatsverwaltung bietet Liss nicht, es lassen sich lediglich vorhandene Zertifikate importieren. Neben dem getesteten Gerät bietet Hersteller Telco Tech auch preiswertere Varianten an.
Fazit. Das Liss Secure Gateway schützt Netze rundum zuverlässig und bietet im Testfeld die meisten Netzwerkanschlüsse.
Ranking: 79%
Hersteller: Telcotech
Preis: 4400 Euro
Fortigate 50A
Firewalls mit Zusatzfunktionen
Mit der Fortigate 50A ist im Test das Internet per DSL in weniger als einer Viertelstunde zugänglich. Um das Gateway abzusichern, sollte man sich aber auf jeden Fall mehr Zeit nehmen und die Sicherheitseinstellungen anpassen. So ist der Admin-Account des Testgeräts ohne Passwort zugänglich. Die Fortigate 50A verfügt nur über zwei Netzwerk-Schnittstellen und ist daher für größere Netze mit DMZ nicht geeignet. Falls der DSL-Anschluss einmal ausfällt, kann das Gerät als Notlösung per Modem online gehen. Zu diesem Zweck stehen zwei USB-Buchsen zur Verfügung. In der Software lassen sich bis zu drei Einwahlverbindungen anlegen.
Die Firewall kann Verbindungen ablehnen, annehmen oder verschlüsseln. Schutzeinstellungen lassen sich in Profilen ablegen. Der Webcontent-Filter zensiert Inhalte in 60 Kategorien. Unter anderem kann man die eigenen Mitarbeiter daran hindern, während der Arbeit nach anderen Jobs zu suchen. Zusätzlich lassen sich Stichwörter und reguläre Ausdrücke zur Inhaltsanalyse definieren.
Gegen Spam kämpft die Appliance mit einer externen Blacklist, die sich durch eine interne Black- und Whitelist ergänzen lässt. Zudem kann man die Mime-Header und den kompletten Inhalt der Mails nach Stichwörtern und regulären Ausdrücken durchkämmen lassen. Mit HTTP, FTP, Imap, POP3 und SMTP bezieht die Fortigate 50A unter den Testkandidaten die meisten Protokolle in den Virenschutz ein. Als Virenschutz dient ein Dateityp-Filter sowie ein Signaturscanner. Welche Antiviren-Engine sich darin verbirgt, ist auf der Bedienoberfläche aber nicht ersichtlich.
Vertrauliches tauscht die Appliance mit VPN-Clients über die Protokolle IPSec, PPTP und L2TP aus. Wer mitflüstern will, muss sich über zuvor ausgetauschte Schlüssel oder RSA-Signaturen authentifizieren.
Das Gerät lässt sich über eine komfortable Web-Oberfläche steuern. Wer will, kann das unter www.fortinet.com/demo vorab ausprobieren.
Fazit. Wer die Feature-Fülle von Astaro nicht braucht, kann sein Netzwerk mit der Fortinet 50A deutlich preiswerter schützen.
Ranking: 77%
Hersteller: Fortinet
Preis: 623,70 Euro
NetASQ F50
Firewalls mit Zusatzfunktionen
Die NetASQ F50 lässt sich nicht über einen Browser steuern, sondern ist ausschließlich über ihren proprietären Client zugänglich. Die serielle Schnittstelle ist zwar vorhanden, aber deaktiviert. Ganz gleich welches Modul man anklickt im Hauptfenster des Bedienprogramms werden immer die gleichen allgemeinen Statusinformationen angezeigt. Sämtliche Optionen werden in zusätzlichen Fenstern eingestellt. Solche Stolpersteine finden sich sonst in keiner Bedienoberfläche in diesem Test. Und das ist gut so, aber schade für NetASQ, denn die F50 bietet eine Menge interessanter Funktionen.
So lassen sich über einen Scheduler Schutzfunktionen zu bestimmten Zeiten aktivieren. Wer will, kann seinen Mitarbeitern auf diese Weise in der Mittagspause Homebanking und private Mail-Dienste erlauben, die während der Arbeitszeit blockiert bleiben. Damit die Externen sich im Home Office nicht überarbeiten, kann man den VPN-Zugang am Abend schließen. Auch die Firewall-Regeln lassen sich nach Feierabend lockern. Um sinnvoll zwischen verschiedenen Schutzstufen hin und her schalten zu können, müssen diese in Profilen gespeichert sein. Vier davon sind vorgegeben, weitere lassen sich manuell ergänzen. Vor Mail-Viren schützen ein Dateitypfilter und Clam AV auf den Protokollen SMTP und POP3. Spam bekämpft die Appliance ausschließlich mit Hilfe von Black- und Whitelists. Optionen für eine Inhaltsanalyse können die Tester nicht finden. Das Gleiche gilt für den Webcontent-Filter, der ausschließlich auf URL-Basis arbeitet.
Neben den verbreiteten Protokollen IPSec und PPTP verschlüsselt die NetASQ F50 als einziges Gerät im Test VPN-Verbindungen auch auf SSL-Basis. Wer bei der Geheimniskrämerei mitmachen will, muss sich mit einem vorher ausgetauschten Schlüssel oder einem Zertifikat ausweisen. Letztere lassen sich mit der Appliance komfortabel verwalten.
Fazit. Eine solide UTM-Appliance mit pfiffigen Extras: Wer Schutzfunktionen zeitlich steuern will, kommt um NetASQ kaum herum.
Ranking: 75%
Hersteller: NetASQ
Preis: 1622,84 Euro
Servgate EFM30
Firewalls mit Zusatzfunktionen
Das Firewall-Modul kann Verbindungen nicht nur erlauben oder ablehnen. Es kann darüber hinaus auch verlangen, dass der Benutzer sich authentifiziert oder dass die Verbindung über IPSec verschlüsselt wird.
Es stehen drei Netzwerk-Buchsen zur Verfügung, eine davon ist als DMZ vorgesehen. Alternativ dazu lässt sich der Anschluss nutzen, um eine zweite Firewall parallel anzuschließen. Fällt eines der Geräte aus, springt automatisch das andere ein.
Für den Virenschutz auf den Protokollen SMTP, POP3, HTTP und FTP sorgt ein nicht näher bezeichneter Signaturscanner. Zusätzlich können Grenzwerte für Größe und Anzahl von Attachments angegeben werden.
Unerwünschte Werbe-Mails erkennt die Appliance anhand von externen Blacklists. Vier davon sind voreingestellt, weitere lassen sich ergänzen. Außerdem sind interne White- und Blacklists vorgesehen. Die Inhaltsanalyse beschränkt sich auf Stichwörter im Betreff. Zur Zensur unliebsamer Web-Inhalte greift das Gerät auf gleich zwei externe Dienste zu: Websense und Surfcontrol. Damit können Webseiten sehr gründlich gefiltert werden, denn es werden nicht nur Texte und Adressen, sondern auch Bilder und in Bildern eingebettete Texte untersucht.
In der Einbruchserkennung des Testgeräts fanden die Tester 2849 Signaturen. Mehr Angriffe erkennt keine Appliance im Test. Zusätzlich schützt sich die Servgate EFM30 gegen Überflutung mit sinnlosen SYN-, UDP- und ICMP-Anfragen.
Die Benutzerverwaltung kann die Appliance entweder selbst übernehmen oder an einen Radius-, LDAP-, Active-Directory- oder Kerberos-Server delegieren. Als Authentifizierungsmethoden für verschlüsselte Verbindungen stehen Preshared Keys, RSA-Signaturen und Zertifikate zur Verfügung. Hat sich ein Client mit einem dieser Verfahren ausgewiesen, darf er der Appliance seine Geheimnisse über IPSec oder PPTP zuflüstern.
Fazit. Für die Servgate EFM30 sprec
hen vor allem die flexiblen Authentifizierungs-Schnittstellen und der gründliche Webcontent-Filter.
Ranking: 74%
Hersteller: Servgate
Preis: 995 Euro
Zywall 35
Firewalls mit Zusatzfunktionen
Die Zywall 35 lässt sich leicht installieren. Nach einer Viertelstunde ist das Netzwerk per DSL online. Sollte DSL einmal ausfallen, kann die Appliance per serielle Schnittstelle auf ein Modem zugreifen (nicht im Lieferumfang enthalten). Wem DSL zu langsam ist, der kann die Appliance auch an eine 100-MBit-Standleitung anbinden. Als Zubehör bietet Zyxel eine so genannte Turbo-Card an, die die Leistung des Geräts steigert. Diese muss installiert sein, damit man Antivirus und IDS/IPS benutzen kann.
Webfilter, Spamfilter, Einbruchserkennung und Virenschutz müssen abonniert werden. Kostenlose Probeabos sind erhältlich. Es ist nicht vorgesehen, die Appliance per Software herunterzufahren. Im Test überstand sie es aber klaglos, immer wieder aus und eingeschaltet zu werden.
Die Zywall 35 bietet in dieser Preisklasse die meisten Schnittstellen: Zwei externe und vier interne Ethernet-Anschlüsse sind vorhanden. Die beiden externen Anschlüsse können sowohl gleichzeitig als auch im Failover-Modus benutzt werden.
Der Webcontent-Filter blockiert auf Wunsch aktive Inhalte wie ActiveX oder Java, kann aber auch auf inhaltliche Kategorien von Adult bis Weapons zurückgreifen. Schön: Bei der Zywall lassen sich einzelne Clients vom Webcontent-Filter ausnehmen. So kann der Schmutz-und-Schund-Beauftragte schändliche Webseiten inspizieren, während das Seelenheil seiner Schäfchen geschützt bleibt.
Welche Antiviren-Engine die Appliance nutzt, verrät die Benutzerschnittstelle nicht. Geschützt werden FTP, HTTP, POP3 und SMTP. Als Spamfilter kommt eine externe Datenbank zum Einsatz. Auch hier schweigt sich das Interface aus, welche das sein mag.
Verschlüsselte Verbindungen werden über IPSec mit Partnern aufgebaut, die sich über zuvor ausgetauschte Schlüssel oder Zertifikate zu erkennen geben.
Fazit. Obwohl die Zywall 35 in diesem Test das Schlusslicht ist, kann sie je nach Anforderungsprofil dennoch empfohlen werden – schließlich bietet sie deutlich mehr Schnittstellen als die Budget-Empfehlung und ist trotzdem nicht viel teurer.
Ranking: 71%
Hersteller: Zyxel
Preis: 705,90 Euro
Testsieger
Firewalls mit Zusatzfunktionen
Empfehlung der Redaktion:
Astaro Security Gateway 120
Die Astaro-Appliance bietet die meisten Features und gute Leistung. Dazu kommt eine sehr gute Bedienoberfläche.
Budget-Empfehlung:
Fortigate-50A
Wer auf DMZ und Extras wie Novell-Authentifizierung verzichten kann, erhält mit der Fortigate-50A eine gute UTM-Appliance, die fast 200 Euro weniger kostet als der Testsieger.