Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Brandschutz im Einsatz

Brandschutz im Einsatz

27. September 2007, 11:48 Uhr |

Vergleichstest Security-Appliances, Teil 2 – Firewall und VPN bieten einen recht guten Brandschutz in modernen Netzen. Zu kurz kommt dabei aber immer noch die Performance. Dies hat ein Vergleichstest der Real-World Labs ergeben.

Dafür, dass es in modernen Unternehmensnetzen gar nicht erst brennt sollen Security-Appliances sorgen. Diese Appliances stellen Funktionalität wie Firewall und VPN aber auch weitere Security-Funktionalitäten zur Verfügung und sichern ganze Netzwerke aber auch einzelne Segmente gegeneinander ab. Damit diese Systeme nicht nur die erforderliche Sicherheit, sondern auch die notwendige Performance liefern, statten die Hersteller ihre Systeme großzügig mit Fast- und Gigabit-Ethernet-Ports aus. Denn darin sind sich die Security-Hersteller zumindest in der Theorie einig: Security-Appliances sind aktive Netzwerkkomponenten, die ebenso wie LAN-Switches möglichst mit Wirespeed arbeiten sollen und nicht zum Flaschenhals werden dürfen.
Wie gut solche Systeme diese Anforderungen erfüllen, sollte ein Vergleichstest in unseren Real-World Labs an der FH Stralsund zeigen. Getestet haben wir Fast- und Gigabit-Ethernet-Security-Appliances auf ihre Tauglichkeit für den performanten Schutz von Unternehmensnetzen und deren einzelnen Segmenten.

Die Network Computing Musterfirma
Im Zentrum unserer Testausschreibung stand die Network Computing Musterfirma. Sie ist ein innovatives Unternehmen, das im Bereich der Automobilzubehörindustrie tätig ist. Die Musterfirma verteilt sich auf mehrere Standorte:

Firmenhauptsitz in Stralsund mit den Abteilungen

  • Forschung & Entwicklung (250 PC-Arbeitsplätze),
  • Marketing (150 PC-Arbeitsplätze),
  • Sales (200 PC-Arbeitsplätze),
  • Verwaltung (80 PC-Arbeitsplätze),
  • Rechenzentrum (Serverfarm, SAN, Administration, 5 PC-Arbeitsplätze) und
  • Geschäftsführung (20 PC-Arbeitsplätze).

Produktionsstandort in Rostock mit

  • Produktion in vier Betrieben mit insgesamt 300 PC-Arbeitsplätzen und
  • Backup-Rechenzentrum (Serverfarm, SAN, Administration, 5 PC-Arbeitsplätze).

Hinzu kommen vier Niederlassungen in Frankfurt, Berlin, München und Passau mit jeweils 30 PC-Arbeitsplätzen sowie zwei Auslandsniederlassungen in New York und Hongkong mit jeweils 40 PC-Arbeitsplätzen.

Die Network Computing Musterfirma möchte alle Standorte sowie Partnerfirmen in einem Intranet auf IP-Basis integrieren. Neben den klassischen Datenanwendungen soll über dieses Intranet auch Telefonie und Videoübertragung realisiert werden. Dabei soll das Unternehmensnetz in Segmente unterteilt werden, die den verschiedenen Abteilungen an den Hauptstandorten beziehungsweise den einzelnen Niederlassungen zugeordnet werden sollen. Die Segmente sollen hochperformant miteinander verbunden werden aber zugleich auch durch die entsprechenden Sicherheitstechnologien gegeneinander abgesichert werden.

Die Ausgangssituation
Die Network Computing Musterfirma möchte die verschiedenen
Segmente seines heterogenen, konvergenten Netzwerks sowie eine eigenständige DMZ am Unternehmensstandort hochperformant
untereinander sowie mit dem Internet verbinden. Geeignete, durchsatzstarke Security-Appliances sollen mit ihrer Firewall- und IPS-Funktionalität für die notwendige Sicherheit und Performance sorgen. Zugleich sollen die Firewall-Geräte den Aufbau von VPNs ermöglichen. Daraus ergeben sich folgende Anforderungen an die Teststellungen, die wir in zwei Gruppen eingeteilt haben.

Gigabit-Ethernet-Firewall und VPN-Appliances:

  • 2 Firewall- und VPN-Appliances inklusive Zubehör und Dokumentation,
  • 1 VPN-Client (Windows-Software),
  • IPSec-VPN,
  • Verschlüsselung nach 3DES,
  • Verschlüsselung nach AES mit 256 Bit,
  • je Gerät mindestens 3 Gigabit-Ethernet-Ports (RJ45-Stecker),
  • zusätzlicher Management-Port (Fast-Ethernet oder Gigabit-Ethernet mit RJ45-Stecker),
  • Content-Security,
  • High-Avalibility (HA),
  • Datenpriorisierung,
  • Bandbreiten-Management sowie
  • IPS/IDS-Funktionalität.

Fast-Ethernet-Firewall und VPN-Appliances:

  • 2 Firewall- und VPN-Appliances inklusive Zubehör und Dokumentation,
  • 1 VPN-Client (Windows-Software),
  • IPSec-VPN,
  • Verschlüsselung nach 3DES,
  • Verschlüsselung nach AES mit 256 Bit,
  • je Gerät mindestens 3 Fast-Ethernet-Ports (RJ45-Stecker),
  • zusätzlicher Management-Port (Fast-Ethernet mit RJ45-Stecker),
  • Content-Security,
  • High-Avalibility (HA),
  • Datenpriorisierung,
  • Bandbreiten-Management sowie
  • IPS/IDS-Funktionalität.

Folgende Testparameter sollten untersucht werden:

  • Firewall-Performance: Datendurchsatzraten (unidirektional/ bidirektional) im Firewall-Betrieb,
  • VPN-Performance: Datendurchsatzraten (unidirektional/bidirektional) im VPN-Betrieb,
  • Intrusion-Prevention-Funktionalität unter verschiedenen Belastungssituationen,
  • Packet-Loss, Latency und - Jitter,
  • Überprüfung der Firewall-, VPN- und HA-Funktionalität,
  • Überprüfung der Content-Security- und Intrusion-Prevention-Funktionalität und
  • Überprüfung der Datenpriorisierung und des Bandbreiten-Managements.

Die gesamte Funktionalität sollte durch dokumentierte Konfigurationseinstellungen gewährleistet sein, so dass sie auch jedem Anwender zugänglich ist.

Unsere Testausschreibung haben wir dann wie gewohnt an alle relevanten Hersteller gesandt und diese eingeladen, sich an unserem Test zu beteiligen. Das Testfeld gruppiert sich in zwei Bereiche: Gigabit-Ethernet-Systeme mit Firewall- und VPN-Funktionalität und Fast-Ethernet-Appliances mit Firewall- und VPN-Funktionalität. Wie sich die Gigabit-Ethernet-Systeme in der Disziplin Performance verhalten haben, steht im vorliegenden Artikel. Die Ergebnisse des Fast-Ethernet-Performance-Tests haben wir im ersten Teil dieses Tests in NWC 5-6 2006, S. 20 ff. veröffentlicht.

Das erste Testfeld im Vergleichstest Firewall- und VPN-Systeme bildeten die Fast-Ethernet-Systeme »Clavister SG4205«, »Fortinet FGT 300A«, »Gateprotect Enterprise«, »Lucent Brick 50«, »Securepoint RC3« sowie »Symantec Gateway Security 1620«. Das zweite Testfeld bildeten die Gigabit-Ethernet-Appliances »Clavister SG4205«, »Gateprotect Firewall Server 5.0 – Professional 4U Enterprise Box«, »Juniper ISG-2000« und »Netasq F2000«. Die Performance-Testergebnisse dieser Systeme beschreiben wir im vorliegenden Artikel.

In unseren Tests haben wir generell die Aspekte Firewall- und VPN-Performance, Quality-of-Service, Hochverfügbarkeit und Exploit-Erkennung untersucht. Wie sich die Fast- wie auch die Gigabit-Ethernet-Appliances in den Disziplinen Quality-of-Service, Hochverfügbarkeit und Exploit-Erkennung bewährt haben, steht dann in einer der kommenden Ausgaben von Network Computing.

Firewall-UDP-Durchsatz
In unserer ersten Messreihe haben wir den UDP-Datendurchsatz im Firewall-Betrieb untersucht. Hierbei musste die jeweilige Firewall drei Netzsegmente gegeneinander abschotten: das interne Netz, das externe Netz und die DMZ. Um den Datenverkehr zwischen diesen drei Netzsegmenten zu simulieren, haben wir die zu testenden Systeme über drei Ports mit unserem Lastgenerator/Analysator Smartbits verbunden. Die Smartbits generierten dann Flows aus UDP-Paketen jeweils mit konstant 64, 512, 1024 und 1518 Byte Größe, die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Weitere Detail-Messungen haben wir dann in 1-Prozent-Schritten durchgeführt, um die Leistungsgrenzen exakt zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau zunächst unidirektional, dann bidirektional und zuletzt multidirektional. Bei den unidirektionalen Messungen ging der Datenstrom vom LAN in Richtung DMZ. Bei den symmetrischen bidirektionalen Messungen haben wir eine entsprechende Kommunikation zwischen LAN und DMZ simuliert. Bei den asymmetrisch-bidirektionalen Messungen lief ein Datenstrom vom LAN ins WAN, der andere vom WAN in die DMZ. Im multidirektionalen Modus haben wir dann Kommunikationsflüsse zwischen LAN, DMZ und WAN simuliert. Hierbei senden und empfangen alle drei Ports gleichzeitig.

Gemessen haben wir Frame-Loss, Latency und Jitter. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller jeweils gemessenen Flows bei einem Frame-Loss von weniger als einem Prozent.

Als Variante der ersten Messreihe haben wir Firewall-UDP-Durchsatz mit NAT gemessen. Diese zweite Messreihe besteht aus drei Messungen: mit Source-NAT unidirektional vom LAN ins WAN, mit Destination-NAT unidirektional vom WAN in die DMZ sowie eine bidirektionale Kombination aus SNAT und DNAT mit Datenströmen vom LAN ins WAN sowie vom WAN in die DMZ.

Volle Leitungsgeschwindigkeit erreichte Clavisters SG4205 bei unserer Messung mit unidirektionalem UDP-Durchsatz so lange wir Frames verwendeten, die größer als 64 Byte waren. Bei der Messung mit den kleinsten Frames ging schon hier der maximal mögliche Durchsatz auf 230 MBit/s zurück. Im bidirektionalen Betrieb kam die Clavister-Appliance dann noch etwas schneller an ihre Grenzen. Hier waren schon bei einer Frame-Größe von 512 Byte nur noch 710 MBit/s und bei Verwendung der kleinsten Frames lediglich 120 MBit/s möglich. Dabei waren die Messwerte für den symmetrischen und für den asymmetrischen Betrieb praktisch identisch. Im multidirektionalen Betrieb war Leitungsgeschwindigkeit dann nur noch bei der Messung mit den 1518 Byte großen Frames drin. Schon bei der Verwendung von 1024-Byte-Frames ging der Durchsatz auf 850 MBit/s zurück. Verwendeten wir die kleinsten Frames, bremste die SG4205 dann auf 70 MBit/s herunter.

Gateprotects Firewall-Server 5.0 in der Professional-4U-Enterprise-Box-Version ähnelte in seinem Verhalten sehr dem Clavister-System. Leitungsgeschwindigkeit schaffte auch diese Box im unidirektionalen Betrieb durchgängig mit Ausnahme der Messung mit 64-Byte-Frames. Hier waren dann noch 190 MBit/s möglich. Im bidirektionalen Betrieb traten auch hier schon Datenverluste bei unserer Messung mit 512-Byte-Frames auf. Bei dieser Messung schaffte der Firewall-Server einen Durchsatz von 580 MBit/s. Bei größeren Frames war auch im bidirektionalen Betrieb noch Leitungsgeschwindigkeit möglich. Diese erreicht das Gateprotect-System dann im multidirektionalen Betrieb nicht mehr. Verwendeten wir hierbei die größten Frames, schaffte der Firewall-Server maximal 940 MBit/s. mit abnehmender Frame-Größe gingen die Durchsätze dann bis auf 60 MBit/s zurück.

Mehr Dampf als die Systeme von Clavister und Gateprotect hatte dann Junipers ISG-2000. Bei den uni- wie bidirektionalen Messungen lieferte diese Appliance unabhängig von der Frame-Größe durchgängig Wirespeed. Erst im multidirektionalen Betrieb geriet auch die Juniper-Appliance an ihre Grenzen. Hier schwankten die maximal erreichbaren Durchsätze zwischen 830 und 680 MBit/s. Dabei standen die maximal erreichbaren Durchsätze nicht in einem direkten Verhältnis zum verwendeten Frame-Format und somit zur Anzahl der zu verarbeitenden Datenrahmen pro Zeiteinheit.

Netasqs F2000 kam dagegen schon recht schnell an ihre Grenzen. So erreichte sie Leitungsgeschwindigkeit im unidirektionalen Modus nur bei den Messungen mit 1518 und 1024 Byte großen Frames. Verwendeten wir 512 Byte große Frames, waren noch 680 MBit/s möglich. Bei den kleinsten Frames bremste die F2000 dann auf 100 MBit/s herunter. Im bidirektionalen Betrieb gingen dann die Durchsätze weiter zurück. Leitungsgeschwindigkeit schaffte die Netasq-Appliance nicht mehr. Hier lagen die erreichbaren Durchsätze je nach Frame-Format zwischen 920 beziehungsweise 940 und 50 MBit/s, wobei die erzielbaren Durchsätze mit der Frame-Größe abnahmen. Im multidirektionalen Betrieb ergab sich ein ähnliches Bild. Allerdings schaffte die F2000 hier nur noch Durchsätze zwischen 610 und 30 MBit/s.

Firewall-TCP-Messungen
In unserer dritten Messreihe haben wir die Connection-Setup-Rate, die Connection-Capacity sowie den maximal erreichbaren Durchsatz in MBit/s im Firewall-Betrieb gemessen. Die Connection-Setup-Rate gibt an, wie viele Verbindungen das System maximal pro Sekunde aufbauen kann. Die Connection-Capacity ist das Maß dafür, wie viele Verbindungen das System maximal gleichzeitig halten kann.

Bei der TCP-Performance-Messung baut die Messtechnik Verbindungen durch die Firewall auf und generiert Datenströme. Bei der unidirektionalen Messung geht der Hauptdatenstrom vom Reflector zum Avalanche. Bei der bidirektionalen Messung laufen die Datenströme vom WAN ins LAN sowie von der DMZ ins WAN. Die generierte Last ähnelt insgesamt einer uni- beziehungsweise bidirektionalen Smartbits-Messung mit größeren UDP-Paketen. Die jeweilige Appliance an die Messtechnik, den Spirent Avalanche und Reflector, angeschlossen. Als Frame-Formate haben wir hier 512, 1024 und 1518 Byte verwendet. Die Messtechnik simuliert so die Kommunikation zwischen Client-Systemen im internen Netzwerk sowie Rechnern in der DMZ sowie im externen Netz und protokolliert das Verhalten der Appliance. Da die Ergebnisse der TCP-Durchsatzmessungen gegenüber den UDP-Durchsatzmessungen keine signifikanten Abweichungen zeigten, gehen wir auf die einzelnen Messergebnisse hier nicht weiter ein.

Clavisters SG4205 konnte bei unseren Messungen der Connection-Setup-Rate und der Connection-Capacity voll mit unserer Messtechnik mithalten. Die gemessenen Ergebnisse entsprechenden daher dem Hardware-Limit unserer Smartbits. Die SG4205 vermochte mindestens 45000 Verbindungen pro Sekunde aufzubauen und mindestens 2200000 Verbindungen gleichzeitig zu halten.

Die drei anderen Applainces im Gigabit-Ethernet-Testfeld blieben dagegen mehr oder weniger deutlich hinter der Performance unserer Messtechnik zurück. So erreichte der Gateprotect-Firewall-Server eine Connection-Setup-Rate von 36000 Sessions und eine Connection-Capacity von 524000 Verbindungen. Junipers ISG-2000 baute »nur« maximal 10000 Verbindungen pro Sekunde auf. Dieser Wert ist zwar der schlechteste im Gigabit-Ethernet-Testfeld aber absolut immer noch unbedenklich. Gleichzeitig halten konnte die ISG-2000 dann immerhin 1048000 Verbindungen. Netasqs F2000 lag mit einer Connection-Capacity von 22000 und einer Connection-Setup-Rate von 1850000 Verbindungen im Mittelfeld.

VPN-UDP-Durchsatz
In einer weiteren Messreihe haben wir den VPN-UDP-Durchsatz ermittelt. Hierzu haben wir zwei identische Appliances miteinander verbunden. Dann haben wir den Smartbits-Lastgenerator/Analysator über jeweils einen Port an beide Appliances angeschlossen, so dass wir erneut ein Zangenmessung durchführen konnten. Die Smartbits generierten dann Flows aus UDP-Paketen jeweils mit konstant 64, 512, 1024 und 1280 Byte Größe. Die Last beginnt auch hier wieder mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Der Aufbau der VPN-Tunnel erfolgt zwischen den beiden Appliances. Standardmäßig haben wir das VPN durch AES-256-Verschlüsselung realisiert. Die Belastung des VPN-Systems erfolgte erst uni- und dann bidirektional, das heißt beide Ports sendeten und empfingen gleichzeitig maximal mit Wirespeed.

In einer Variante der UDP-Durchsatzmessung, die wir hier »Mix UDP« nennen, haben wir 50 Prozent der jeweiligen Gesamtlast verschlüsselt durch den VPN-Tunnel geschickt. Die übrigen 50 Prozent der Gesamtlast ging unverschlüsselt über die Leistung. Die gemessenen Durchsätze entsprechen der Gesamtleistung des Systems. Auch diese Variante haben wir unidirektional und bidirektional durchgeführt. Gemessen haben wir wieder Frame-Loss, Latency und Jitter. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz. Dieser ist der maximal mögliche Durchschnittswert aller Flows bei einem Frame-Loss von kleiner 1 Prozent.

Bei unseren VPN-Messungen erreichten alle Systeme im Testfeld die Leitungsgeschwindigkeit nicht mehr. So schaffte Clavisters SG4205 im unidirektionalen Betrieb mit den 1280 Byte großen Frames einen Durchsatz von 730 MBit/s. Mit kleiner werdenden Frames ging dann auch die Durchsatzleistung weiter zurück, So konnten wir bei der Messung mit 512-Byte-Frames noch einen Durchsatz von 350 MBit/s und bei der Messung mit den kleinsten Frames noch einen Durchsatz von 50 MBit/s messen. Im bidirektionalen Betrieb halbierten sich die Datendurchsätze dann. Hier waren je nach verwendetem Frame-Format zwischen 370 und 30 MBit/s möglich.

Im Mix-UDP-Modus verhielt sich die SG4205 im Prinzip genauso wie bei den vorhergehenden VPN-Messungen. Allerdings lagen die erzielbaren Durchsätze noch ein Stück höher. So erreichte die Clavister-Appliance hier im unidirektionalen Betrieb zwischen 980 und 90 MBit/s. Bei unseren Messungen mit bidirektionalen Datenströmen reduzierte sich der Datendurchsatz dann wieder deutlich. Hier waren noch zwischen 490 und 30 MBit/s realisierbar.

Gateprotects Firewall-Server erwies sich bei unseren VPN-Messungen als deutlich leistungsschwächer als das Clavister-System. So schaffte der Firewall-Server im unidirektionalen Betrieb zwischen 220 MBit/s mit den größten Frames und 40 MBit/s mit den kleinsten Frames. Auch hier halbierten sich die je Senderichtung möglichen Durchsätze noch mal mit der Umstellung auf den bidirektionalen Betrieb. Hier konnten wir noch Durchsätze zwischen 110 und 20 MBit/s messen.

Im Mix-UDP-Betrieb konnte auch Gateprotects Firewall-Server wieder spürbar höhere Durchsatzraten erzielen. Unidirektional waren hier zwischen 410 und 70 MBit/s möglich. Bidirektional blieben davon je Senderichtung noch zwischen 200 und 30 MBit/s übrig.

Junipers ISG-2000 erwies sich bei unseren Messungen mit AES256-Verschlüsselung als performantestes System im Testfeld. So schaffte die ISG-2000 im unidirektionalen Betrieb mit 1280-Byte-Frames einen Durchsatz von 960 MBit/s. Mit den kleinsten Frames waren dann noch immerhin 590 MBit/s drin. Im bidirektionalen Betrieb war die Juniper-Appliance praktisch genauso leistungsfähig wie im unidirektionalen Betrieb. Auch hier schaffte die ISG-2000 mit den größten Frames einen Durchsatz von 960 MBit/s pro Senderichtung. Erst bei der Messung mit den kleinsten Frames schaffte die ISG-2000 im bidirektionalen Modus weniger Durchsatz je Senderichtung als im unidirektionalen Betrieb. Hier waren noch maximal 330 MBit/s möglich.

Im Mix-UDP-Betrieb war auch hier noch etwas mehr Perfoamance feststellbar. Allerdings schaffte die Juniper-Box auch hier keine echte Leistungsgeschwindigkeit. Dafür kam sie aber bei den Messungen mit den kleinsten Frames auf noch etwas besser Werte: 750 MBit/s im unidirektionalen und 400 MBit/s im bidirektionalen Betrieb waren drin.

Netasqs F2000 erwies sich dagegen bei unseren VPN-Performance-Messungen als das durchsatzschwächste System im Gigabit-Ethernet-Testfeld. Im unidirektionalen Betrieb schaffte die Box bei unserer Messung mit den größten Frames gerade 170 MBit/s. Verwendeten wir die kleinsten Frames, blieb eine Bandbreite von 20 MBit/s übrig. Der Wechsel in den bidirektionalen Modus halbierte die verfügbaren Bandbreiten je Senderichtung zusätzlich. Hier standen also nur noch zwischen 80 und 10 MBit/s an Durchsatzleistung zur Verfügung.

Mit dem Mix-UDP-Betrieb kam die F2000 dann schon besser zurecht. Hier lagen bei den unidirektionalen Messungen zwischen 290 und 30 MBit/s an. Bidirektional reduzierten sich auch die Durchsätze auf Werte zwischen 140 und 10 MBit/s.

Fazit
Leitungsgeschwindigkeit ist auch und gerade in der Klasse der Gigabit-Ethernet-Geräte immer noch keine Selbstverständlichkeit. Dabei treten Bandbreitenengpässe in erster Linie dort auf, wo entsprechende Rechenarbeit zu leisten ist. So bleiben alle Systeme insbesondere im VPN-Betrieb mit kleinen Frames deutlich hinter der geforderten Leitungsgeschwindigkeit zurück. Klare Unterschiede in ihrem Durchsatzverhalten zeigen aber auch die einzelnen Appliances untereinander. Dabei zeigt der Test eindeutig, dass die Preise der Appliances in einem direkten Verhältnis zur Leistungsfähigkeit der Systeme stehen. Performance erfordert leistungsfähige Hardware – und die hat ihren Preis.

Für die Beurteilung einer Security-Appliance ist das Durchsatzverhalten aber nur ein Kriterium. Gefordert hatten wir auch Merkmale wie Daten-Priorisierung, Bandbreitenmanagement, Hochverfügbarkeit und – natürlich – die eigentlichen Schutzfunktionen. Wie sich die Systeme im Testfeld in Sachen Quality-of-Service sowie Sicherheit in unseren Labs verhalten haben, steht in einer der kommenden Ausgaben von Network Computing.

Dipl.-Ing. Thomas Rottenau,
Prof. Dr. Bernhard G. Stütz,
dg@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
nexspace data centers GmbH

nexspace data centers GmbH
HP Deutschland GmbH

HP Deutschland GmbH
Vertiv GmbH

Vertiv GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
easybell GmbH

easybell GmbH