Dafür, dass es in modernen Unternehmensnetzen gar nicht erst brennt, sollen Security- Appliances sorgen.Diese Appliances stellen Funktionalität wie Firewall und VPN aber auch weitere Security-Funktionalitäten zur Verfügung und sichern ganze Netzwerke aber auch einzelne Segmente gegeneinander ab. Damit diese Systeme nicht nur die erforderliche Sicherheit, sondern auch die notwendige Performance liefern, statten die Hersteller ihre Systeme großzügig mit Fast- und Gigabit-Ethernet-Ports aus. Denn darin sind sich die Security-Hersteller zumindest in der Theorie einig: Security-Appliances sind aktive Netzwerkkomponenten, die ebenso wie LAN-Switches möglichst mit Wirespeed arbeiten sollen und nicht zum Flaschenhals werden dürfen. Wie gut solche Systeme diese Anforderungen erfüllen, sollte ein Vergleichstest in unseren Real- World Labs an der FH Stralsund zeigen. Getestet haben wir Fast- und Gigabit-Ethernet-Security- Appliances auf ihre Tauglichkeit für den performanten Schutz von Unternehmensnetzen und deren einzelnen Segmenten.

Die Network Computing Musterfirma

Im Zentrum unserer Testausschreibung stand die Network Computing Musterfirma. Sie ist ein innovatives Unternehmen, das im Bereich der Automobilzubehörindustrie tätig ist. Die Musterfirma verteilt sich auf mehrere Standorte: Firmenhauptsitz in Stralsund mit den Abteilungen

•  Forschung & Entwicklung (250 PC-Arbeitsplätze),
•  Marketing (150 PC-Arbeitsplätze),
•  Sales (200 PC-Arbeitsplätze),
•  Verwaltung (80 PC-Arbeitsplätze),
•  Rechenzentrum (Serverfarm,SAN,Administration, 5 PC-Arbeitsplätze) und  Geschäftsführung (20 PC-Arbeitsplätze).

Produktionsstandort in Rostock mit

•  Produktion in vier Betrieben mit insgesamt 300 PC-Arbeitsplätzen und
•  Backup-Rechenzentrum (Serverfarm, SAN, Administration, 5 PC-Arbeitsplätze).

Hinzu kommen vier Niederlassungen in Frankfurt, Berlin, München und Passau mit jeweils 30 PC-Arbeitsplätzen sowie zwei Auslandsniederlassungen in New York und Hongkong mit jeweils 40 PC-Arbeitsplätzen.

Die Network Computing Musterfirma möchte alle Standorte sowie Partnerfirmen in einem Intranet auf IP-Basis integrieren. Neben den klassischen Datenanwendungen soll über dieses Intranet auch Telefonie und Videoübertragung realisiert werden. Dabei soll das Unternehmensnetz in Segmente unterteilt werden, die den verschiedenen Abteilungen an den Hauptstandorten beziehungsweise den einzelnen Niederlas-sungen zugeordnet werden sollen.

Die Segmente sollen hochperformant miteinander verbunden werden aber zugleich auch durch die entsprechenden Sicherheitstechnologien gegeneinander abgesichert werden.

Die Ausgangssituation

Die Network Computing Musterfirma möchte die verschiedenen Segmente seines heterogenen,k onvergenten Netzwerks sowie eine eigenständige DMZ am Unternehmensstandort hochperformant untereinander sowie mit dem Internet verbinden. Geeignete,d urchsatzstarke Security-Appliances sollen mit ihrer Firewall- und IPS-Funktionalität für die notwendige Sicherheit und Performance sorgen. Zugleich sollen die Firewall-Geräte den Aufbau von VPNs ermöglichen. Daraus ergeben sich folgende Anforderungen an die Teststellungen,die wir in zwei Gruppen eingeteilt haben.

Gigabit-Ethernet-Firewall- und VPN-Appliances:

• 
  2 Firewall- und VPN-Appliances inklusive Zubehör und Dokumentation,
• 
  1 VPN-Client (Windows-Software),
• 
  IPSec-VPN,
• 
  Verschlüsselung nach 3DES,
• 
  Verschlüsselung nach AES mit 256 Bit,
• 
  je Gerät mindestens 3 Gigabit-Ethernet-Ports (RJ45-Stecker),
• 
  zusätzlicher Management-Port (Fast-Ethernet oder Gigabit-Ethernet mit RJ45-Stecker),
• 
  Content-Security,
• 
  High-Avalibility (HA),
• 
  Datenpriorisierung,
• 
  Bandbreiten-Management sowie
• 
  IPS/IDS-Funktionalität.

Fast-Ethernet-Firewall- und VPN-Appliances:

• 
  2 Firewall- und VPN-Appliances inklusive Zubehör und Dokumentation,
• 
  1 VPN-Client (Windows-Software),
• 
  IPSec-VPN,
• 
  Verschlüsselung nach 3DES,
• 
  AES-Verschlüsselung mit 256 Bit,
• 
  je Gerät mindestens 3 Fast-Ethernet-Ports (RJ45-Stecker),
• 
  zusätzlicher Management-Port (Fast-Ethernet mit RJ45-Stecker),
• 
  Content-Security,
• 
  High-Avalibility (HA),
• 
  Datenpriorisierung,
• 
  Bandbreiten-Management sowie
• 
  IPS/IDS-Funktionalität.

Folgende Testparameter sollten untersucht werden:

• 
  Firewall-Performance: Datendurchsatzraten (unidirektional/bidirektional) im Firewall-Betrieb,
• 
  VPN-Performance: Datendurchsatzraten (unidirektional/bidirektional) im VPN-Betrieb,
• 
  Intrusion-Prevention-Funktionalität unter verschiedenen Belastungssituationen,
• 
  Packet-Loss,Lat ency und - Jitter,
• 
  Überprüfung der Firewall-,VPN und HA-Funktionalität,
• 
  Überprüfung der Content-Security- und Intrusion-Prevention-Funktionalität und
• 
  Überprüfung der Datenpriorisierung und des Bandbreiten-Managements.

Die gesamte Funktionalität sollte durch dokumentierte Konfigurationseinstellungen gewährleistet sein, so dass sie auch jedem Anwender zugänglich ist.

Unsere Testausschreibung haben wir dann wie gewohnt an alle relevanten Hersteller gesandt und diese eingeladen, sich an unserem Test zu beteiligen. Das Testfeld gruppiert sich in zwei Bereiche: Gigabit-Ethernet-Systeme mit Firewallund VPN-Funktionalität und Fast-Ethernet-Appliances mit Firewall- und VPN-Funktionalität. Wie sich die Fast-Ethernet-Appliances im Test verhalten haben steht im vorliegenden Artikel. Die Ergebnisse der Gigabit-Ethernet-Tests folgen dann in den kommenden Ausgaben von Network Computing. An den Vorbereitungen für einen Intrusion-Prevention-Vergleichstest arbeiten wir derzeit noch.

Das erste Testfeld im Vergleichstest Firewallund VPN-Systeme bildeten die Fast-Ethernet- Systeme »Clavister SG4205«, »Fortinet FGT 300A«, »Gateprotect Firewall Server 5.0«, »Lucent Brick 50«, »Securepoint RC3« sowie »Symantec Gateway Security 1620«. Ein zweites Testfeld bilden Gigabit-Ethernet-Appliances von Clavister,Fortinet, Gateprotect, Juniper und Netasq. In unseren Tests haben wir die Aspekte Firewall- und VPN-Performance, Quality-of- Service,Hochverfügbarkeit und Exploit-Erkennung untersucht. In unserem ersten hiermit vorliegenden Bericht stellen wir die Ergebnisse der Performance-Messungen im Fast-Ethernet-Segment dar. Die weiteren Folgen unseres Security- Vergleichstests werden dann die Performance- Messungen im Gigabit-Ethernet-Umfeld sowie Quality-of-Service, Hochverfügbarkeit und Exploit-Erkennung zum Thema haben.

Firewall-UDP-Durchsatz

In unserer ersten Messreihe haben wir den UDPDatendurchsatz im Firewall-Betrieb untersucht. Hierbei musste die jeweilige Firewall drei Netzsegmente gegeneinander abschotten: das interne Netz, das externe Netz und die DMZ.Um den Datenverkehr zwischen diesen drei Netzsegmenten zu simulieren, haben wir die zu testenden Systeme über drei Ports mit unserem Lastgenerator/ Analysator Smartbits verbunden. Die Smartbits generierten dann Flows aus UDP-Paketen jeweils mit konstant 64, 512, 1024 und 1518 Byte Größe, die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent- Schritten bis auf 100 Prozent erhöht.

Weitere Detail-Messungen haben wir dann in 1- Prozent-Schritten durchgeführt, um die Leistungsgrenzen exakt zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau zunächst unidirektional, dann bidirektional und zuletzt multidirektional. Bei den unidirektionalen Messungen ging der Datenstrom vom LAN in Richtung DMZ. Bei den symmetrischen bidirektionalen Messungen haben wir eine entsprechende Kommunikation zwischen LAN und DMZ simuliert. Bei den asymmetrisch-bidirektionalen Messungen lief ein Datenstrom vom LAN ins WAN,der andere vom WAN in die DMZ.Im multidirektionalen Modus haben wir dann Kommunikationsflüsse zwischen LAN, DMZ und WAN simuliert.Hierbei senden und empfangen alle drei Ports gleichzeitig.

Gemessen haben wir Frame-Loss, Latency und Jitter.Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller jeweils gemessenen Flows bei einem Frame-Loss von weniger als einem Prozent. Als Variante der ersten Messreihe haben wir Firewall-UDP-Durchsatz mit NAT gemessen.

Diese zweite Messreihe besteht aus drei Messungen: mit Source-NAT unidirektional vom LAN ins WAN, mit Destination-NAT unidirektional vom WAN in die DMZ sowie eine bidirektionale Kombination aus SNAT und DNAT mit Datenströmen vom LAN ins WAN sowie vom WAN in die DMZ. Volle Leitungsgeschwindigkeit erreichte Clavisters SG4205 bei allen UDP-Durchsatzmessungen.

Lediglich bei den Messungen mit einer Frame-Size von 64 Byte blieb diese Appliance hinter dem Sollwert zurück. Im unidirektionalen Betrieb mit dem kleinsten Frame-Format schaffte die SG4205 noch einen Durchsatz von 69 MBit/s. Im symmetrischen wie asymmetrischen bidirektionalen Betrieb mit 64-Byte- Frames ging die Performance dann auf 35 MBit/s zurück. Diese Durchsatzleistung konnte das System dann aber auch im multidirektionalen Betrieb noch halten.Bei unseren Messungen mit NAT änderte sich an diesem Verhalten nichts.

Fortinets FGT-300A glich in ihrem Verhalten dem System von Clavister wie ein Ei dem anderen. Auch die zweite Appliance im Feld arbeitetete völlig unbeeindruckt mit Leitungsgeschwindigkeit, so lange wir nicht mit 64-Byte-Frames Last erzeugten. In diesem Fall konnten wir auch hier unidirektional Durchsätze von 69 MBit/s und bi- beziehungsweise multidirektional 35 MBit/s messen. Setzten wir zusätzlich noch NAT ein, änderte sich an den Messergebnissen im Prinzip nichts. Auch Gateprotects Firewall Server 5.0-Appliance stellte klaglos ihre volle Bandbreite von 100 MBit/s zur Verfügung, sofern die Frames größer als 64 Byte waren. Und das unabhängig davon, ob sie uni-, bi- oder multidirektional arbeiten musste. Verwendeten wir das kleinste Frame- Format, lagen die Durchsatzwerte geringfügig unter denen der Systeme von Clavister und Fortinet.

Im unidirektionalen Betrieb vermochte die Firewall-Server-5.0-Appliance mit 68 MBit/s mit den genannten noch mitzuhalten. Im bidirektionalen Modus schaffte das Gateprotect-System dann noch 34 MBit/s.Maßen wir multidirektionalen Datenströmen, reduzierte sich der Durchsatz des Systems auf 23 MBit/s. Setzten wir zusätzlich noch NAT ein, erzielten wir praktisch die gleichen Resultate. Größere Probleme mit kleinen Frames müssen wir der Brick-50 bescheinigen. Lucents Appliance schaffte bei unserer unidirektionalen Messung mit 64-Byte-Frames gerade 37 MBit/s. Wechselten wir auf bidirektionalen Betrieb, waren gerade noch 15 MBit/s im symmetrischen und 18 MBit/s im asymmetrischen Modus möglich.

Im multidirektionalen Betrieb mit 64-Byte- Frames schaffte die Brick-50 dann noch 11 MBit/s. Mit größeren Frame-Formaten kam auch das Lucent-System deutlich besser zurecht. So schaffte es bei den unidirektionalen Messungen mit größeren Frames durchgängig Leitungsgeschwindigkeit. Im bidirektionalen Modus war die Performance-Schwäche dann noch etwas ausgeprägter. So erreichte die Brick-50 bei der Messung mit bidirektional symmetrischen Datenströmen und 512-Byte-Paketen 79 MBit/s.

Bidirektional asymmetrisch waren es dann 89 MBit/s. Den größten Stress hatte die Lucent-Firewall bei unserer Messung mit multidirektionalen Datenströmen. Verwendeten wir 512- Byte-Pakete, waren noch 56 MBit/s drin, bei der Messung mit 1024-Byte-Paketen schaffte das System 88 MByte/s. Bei allen übrigen Messungen lieferte die Brick-50 dann auch Leitungsgeschwindigkeit. Musste die Brick-50 zusätzlich noch die Adressen via NAT verarbeiten, ließ die Durchsatzleistung insbesondere bei der Verarbeitung kleinerer Pakete noch weiter nach. Securepoints RC3 schaffte in unseren UDPFirewall- Durchsatzmessungen mit Abstand die besten Performance-Werte. So ist die RC3 das einzige System im Test, das bei den unidirektionalen Messungen ausnahmslos Leitungsgeschwindigkeit zur Verfügung stellte. Und auch bei den bidirektionalen Messungen, schaffte die Securepoint-Appliance bei der Messung mit 64- Byte-Paketen immer noch 74 beziehungsweise 76 MBit/s. Bei größeren Frames war auch hier durchgehend Leitungsgeschwindigkeit möglich.

Erst bei unserer Messung mit multidirektionalen Datenströmen und 64-Byte-Paketen ging die Durchsatzleistung der RC3 deutlicher zurück. Hier waren noch 46 MBit/s möglich. Verwendeten wir größere Frames, kam das System auch hier auf volle Leitungsgeschwindigkeit. Auch die Messungen mit NAT gaben kein anderes Bild von der RC3 ab. Symantecs Gateway-Security-1620 ähnelte dagegen in ihrer Leistungscharakteristik dem System von Lucent. So waren schon bei der unidirektionalen Messung mit 64-Byte-Frames lediglich 40 MBit/s möglich.Wechselten wir auf bidirektionalen Betrieb, halbierte sich die Leistung auf rund 20 beziehungsweise 23 MBit/s. Im multidirektionalen Betrieb schaffte die Gateway- Security-1620 dann bei einer Frame-Größe von 64 Byte noch 12 MBit/s. Mit größeren Frame- Formaten kam dann auch die Symantec-Appliance deutlich besser zurecht. So schaffte sie bei allen uni- wie bidirektionalen Messungen mit größeren Frames durchweg Leitungsgeschwindigkeit.

Unsere Messungen mit multidirektionalen Datenströmen und größeren Frames brachten die Gateway-Security-1620 dann erneut an ihre Grenzen, hier lagen je nach Frame-Format die möglichen Durchsätze zwischen 81 und 95 MBit/s. Der Betrieb mit NAT reduzierte dann die Durchsatzleitungen noch weiter.

Firewall-TCP-Messungen

In unserer dritten Messreihe haben wir die Connection- Setup-Rate, die Connection-Capacity sowie den maximal erreichbaren Durchsatz in MBit/s im Firewall-Betrieb gemessen. Die Connection- Setup-Rate gibt an, wie viele Verbindungen das System maximal pro Sekunde aufbauen kann. Die Connection-Capacity ist das Maß dafür, wie viele Verbindungen das System maximal gleichzeitig halten kann. Bei der TCP-Performance-Messung baut die Messtechnik Verbindungen durch die Firewall auf und generiert Datenströme. Bei der unidirektionalen Messung geht der Hauptdatenstrom vom Reflector zum Avalanche. Bei der bidirektionalen Messung laufen die Datenströme vom WAN ins LAN sowie von der DMZ ins WAN.Die generierte Last ähnelt insgesamt einer uni- beziehungsweise bidirektionalen Smartbits-Messung mit größeren UDP-Paketen.

Die jeweilige Appliance wird an die Messtechnik, den Spirent Avalanche und Reflector, angeschlossen. Als Frame-Formate haben wir hier 512, 1024 und 1518 Byte verwendet. Die Messtechnik simuliert so die Kommunikation zwischen Client-Systemen im internen Netzwerk sowie Rechnern in der DMZ und im externen Netz und protokolliert das Verhalten der Appliance. Da die Ergebnisse der TCPDurchsatzmessungen gegenüber den UDPDurchsatzmessungen keine signifikanten Abweichungen zeigten, gehen wir auf die einzelnen Messergebnisse hier nicht weiter ein. Clavisters SG4205 schaffte den Aufbau von 16 000 Verbindungen pro Sekunde und erreichte eine Connection-Capacity von 127 000 Sessions. Fortinets FGT-300A konnte bei der Connection-Setup-Rate mithalten und erreichte ebenfalls den Wert von 16 000 Verbindungen pro Sekunde. Bei der Messung der Connection-Capacity gab es ein technisches Problem, da das System wie wir vermuteten in einen Fail-over-Modus wechselte.

Nach GUI-Statistik waren aber rund 500 000 Verbindungen möglich. Fortinet erklärt das Verhalten ihres Systems folgendermaßen: Die FGT wurde mit TCP Sessions »geladen«. Auf der Fortigate blieb der maximale Session- Count bei rund 500 000 stehen, auf dem Avalanche- Generator wurden jedoch rund 1,5 Millionen Sessions gezählt. Das System verhält sich so, dass von den bestehenden Sessions die am wenigsten aktiven gedroppt werden. Zu keinem Zeitpunkt gehen Pakete »stateless« durch die FGT.Durch dieses Verhalten soll gewährleistet werden, dass die Box aktiv bleibt beziehungsweise Services überwiegend zur Verfügung bleiben.

Auch Gateprotects Firewall-Server-5.0-Appliance baute 16 000 Verbindungen pro Sekunde auf. Insgesamt vermochte sie 65000 Verbindungen gleichzeitig zu halten. Lucents Brick-50 bliebt dagegen bei der Messung der Connection-Setup-Rate unter der Messgrenze von 1000 Sessions. Als Connection-Capacity konnten wir dagegen einen Wert von immerhin 26 000 Sessions ermitteln. Securepoints RC3 erreichte mit 19 000 Verbindungen das beste Ergebnis in der Disziplin Connection-Setup-Rate und setzte mit einer Connection-Capacity 1 048 000 Verbindungen einen Höchstwert im Testfeld. Symantecs Gateway-Security-1620 blieb dagegen mit einer Setup-Rate von 6000 Verbindungen und einer Connection-Capacity von 49 000 hinter dem Feld zurück.

VPN-UDP-Durchsatz

In einer weiteren Messreihe haben wir den VPN-UDP-Durchsatz ermittelt.Hierzu haben wir zwei identische Appliances miteinander verbunden. Dann haben wir den Smartbits- Lastgenerator/Analysator über jeweils einen Port an beide Appliances angeschlossen, so dass wir erneut ein Zangenmessung durchführen konnten. Die Smartbits generierten dann Flows aus UDP-Paketen jeweils mit konstant 64, 512, 1024 und 1280 Byte Größe. Die Last beginnt auch hier wieder mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Der Aufbau der VPNTunnel erfolgt zwischen den beiden Appliances. Standardmäßig haben wir das VPN durch AES-256-Verschlüsselung realisiert. Die Belastung des VPN-Systems erfolgte erst uni- und dann bidirektional, das heißt beide Ports sendeten und empfingen gleichzeitig maximal mit Wirespeed. In einer Variante der UDP-Durchsatzmessung, die wir hier »Mix UDP« nennen, haben wir 50 Prozent der jeweiligen Gesamtlast verschlüsselt durch den VPN Tunnel geschickt. Die übrigen 50 Prozent der Gesamtlast gingen unverschlüsselt über die Leitung. Die gemessenen Durchsätze entsprechen der Gesamtleistung des Systems.Auch diese Variante haben wir unidirektional und bidirektional durchgeführt.

Gemessen haben wir wieder Frame-Loss, Latency und Jitter. Aus den ermittelten Frame-Loss- Werten errechnen sich die Werte für den maximalen Durchsatz. Dieser ist der maximal mögliche Durchschnittswert aller Flows bei einem Frame-Loss von kleiner 1 Prozent. Auch bei unseren VPN-Performance-Messungen legte Clavisters SG4205 die Messlatte recht hoch an. So schaffte die Appliance bei unserer Messung mit 64 Byte-Paketen immerhin 50 MBit/s.Verwendeten wir größere Frames, so erreichte die SG4205 bei unseren unidirektionalen Messungen durchweg Leistungsgeschwindigkeit. Im bidirektionalen Betrieb reduzierten sich die möglichen Durchsätze dann durchgehend.

Führten wir die Messung mit 64-Byte- Frames durch, dann schaffte das System noch 28 MByte/s. Bei größeren Frames lagen die möglichen Durchsatzraten zwischen 91 und 93 MByte/s. Im Mix-UDP-Modus waren die möglichen Durchsatzraten dann messbar höher.Hier konnten wir unidirektional zwischen 66 und 98 MBit/s und bidirektional zwischen 32 und 97 MBit/s messen. Fortinets FGT-300A lag in dieser Disziplin ein Stück hinter Clavister zurück. So schaffte die FGT-300A bei der unidirektionalen Messung mit 64-Byte-Paketen einen Durchsatz von 28 MBit/S.Nicht ganz Leitungsgeschwindigkeit erreichte das Fortinet-System auch bei den Messungen mit größeren Frames. Hier lagen die Werte zwischen 91 und 96 MBit/s. Im bidirektionalen Betrieb mit 64-Byte-Paketen erreichte die FGT-300A noch 19 MBit/s.Bei den Messungen mit größeren Frames schwankten die Durchsatzraten zwischen 91 und 96 MBit/s. Im Mix-UDP-Modus verhielt sich die FGT-300A nicht deutlich anders als im UDP-VPN-Modus.

Gateprotects Firewall-Server-5.0-Appliance lieferte sich bei den unidirektionalen Messungen ein Kopf-an-Kopf-Rennen mit Fortinets FGT-300A. Hier schwankten die Durchsätze je nach Frame-Format zwischen 29 und 97 MBit/s. Im bidirektionalen VPN-Betrieb blieb die Firewall- Server-5.0-Appliance dann hinter der FGT- 300A zurück. so schaffte sie hier mit 54-Byte- Frames einen Durchsatz von 14 MBit/s. Bei der Messung mit 512-Byte-Frames erreichte sie 60 MBit/s und bei den noch größeren Frame-Formaten lagen dann Durchsätze von 86 beziehungsweise 96 MBit/s an. Im Mix-UDP-Modus verhielt sich die Gateprotect-Appliance dann ähnlich wie das Fortinet-System.

Lucents Brick-50 lag in den gemessenen Durchsätzen deutlich hinter den oben genannten Systemen zurück. So schaffte sie im unidirektionalen VPN-Betrieb mit den kleinsten Frames gerade mal 2 MBit/s. Verwendeten wir größere Frame-Formate, waren auch hier höhere Durchsatzraten drin. Ein Maximum von 36 MBit/s im Betrieb mit den größten Frames bleibt aber deutlich von der gewünschten Leitungsgeschwindigkeit zurück. Im bidirektionalen Betrieb halbierten sich die Durchsatzwerte dann noch, so dass je nach Frame-Format Durchsätze zwischen 1 und 20 MBit/s möglich waren. Im Mix-UDP-Modus waren dann höhere Durchsätze möglich. Die Messwerte schwanken hier zwischen 4 und 64 MBit/s im unidirektionalen und zwischen 3 und 36 MBit/s im bidirektionalen Betrieb. Securepoints RC3 kam dagegen der Leitungsgeschwindigkeit deutlich näher. Schaffte das System unidirektional mit 64 Byte-Frames noch 25 MBit/s, so stiegen die Durchsatzraten bei unseren Messungen mit größeren Frames auf Werte zwischen 92 und 98 MBit/s an. Langsamer wurde auch die RC3 im bidirektionalen Betrieb. So standen hier bei der Messung mit 64-Byte- Frames noch 13 MBit/s an Bandbreite zur Verfügung.

Bei den Messungen mit größeren Frames schwankten die Ergebnisse zwischen 63 und 97 MBit/s. Im Mix-UDP-Modus war dann auch die RC3 tendentiell etwas schneller. So erreichte sie im bidirektionalen Betrieb je nach verwendetem Frame-Format Ergebnisse zwischen 21 und 100 MBit/s. Symantecs Gateway-Security-1620 ähnelte in ihrem Leistungsverhalten dem System von Lucent. So schaffte das System im unidirektionalen Betrieb Durchsätze zwischen 5 und 20 MBit/s. Bidirektional blieben davon dann noch zwischen 2 und 10 MBit/s übrig, wobei die Performance auch hier mit dem Frame- Format anstieg. Im Mix-UDP-Modus verdoppelten sich die möglichen Durchsätze, wobei absolut auch im günstigsten Fall nicht mehr als 37 MBit/s möglich waren.

Fazit

Leitungsgeschwindigkeit ist immer noch keine Selbstverständlichkeit für Security-Appliances. Dabei treten Bandbreitenengpässe in erster Linie dort auf, wo entsprechende Rechenarbeit zu leisten ist. So bleiben alle Systeme insbesondere im VPN-Betrieb mit kleinen Frames deutlich hinter der geforderten Leitungsgeschwindigkeit zurück. Deutliche Unterschiede in ihrem Durchsatzverhalten zeigen aber auch die einzelnen Appliances untereinander. Für die Anforderungen unserer Musterfirma unterdimensioniert waren die Teststellungen von Lucent und Symantec.Diese Systeme lagen auch preislich unter den Geräten des Mitbewerbs, die durchsatzstärker arbeiteten. Für unsere Anforderungen recht ordentliche Datendurchsätze zeigten die besser platzierten, teureren Systeme, die in ihrem Leistungsverhalten recht dicht beieinander lagen.

Dabei zeigt der Test eindeutig, dass die Preise der Appliances in einem direkten Verhältnis zur Leistungsfähigkeit der System stehen. Performance erfordert leistungsfähige Hardware- und die hat ihren Preis. Für die Beurteilung einer Security-Appliance ist das Durchsatzverhalten aber nur ein Kriterium. Gefordert hatten wir auch Merkmale wie Daten-Priorisierung, Bandbreitenmanagement, Hochverfügbarkeit und – natürlich – die eigentlichen Schutzfunktionen. Wie sich die Gigabit-Ethernet-Systeme in Sachen Performance und alle Systeme im Testfeld in Sachen Quality-of-Service sowie Sicherheit in unseren Labs verhalten haben, steht in den kommenden Ausgaben von Network Computing.

Dipl.-Ing. Thomas Rottenau,
Prof. Dr. Bernhard G. Stütz,
dg@networkcomputing.de