Ein kleines Netzwerk ist den gleichen Gefahren ausgesetzt wir große IT-Strukturen. Die Real-World Labs haben sechs All-in-one-Appliances getestet, die kleine Büros und Außenstellen mit einem kombinierten Abwehrschirm schützen wollen, der viele Funktionen der »Großen« in sich vereint.

Der Wert von Daten ist nicht zwingend abhängig von der Größe des Netzwerks. Auch machen Angriffe keinen Unterschied zwischen kleiner Außenstelle, Anwaltsbüro oder dem Extranet eines Automobilriesen. Der Große hat aber genügend Ressourcen im Hause, um seine Infrastruktur mit entsprechendem Aufwand abzuschirmen. Mit diesem Gedanken im Hinterkopf haben die Real-World Labs All-in-one-Appliances getestet, die kleine Büros und Satelliten-Lokationen mit fortschrittlichen Sicherheitsfunktionen in einer Box abschirmen wollen.

Diese Geräte mussten mindestens vier der folgenden Funktionen beherrschen: Stateful-Firewall, integriertes Antivirus, Intrusion-Detection/-Prevention, VPN und Content-Filter. In großen Umgebungen ist es sinnvoll, diese Funktionen allein wegen der Datenmenge auf separaten Geräten zu platzieren. Bei kleinen Firmen dagegen heißt weniger oft mehr, denn die Rundumsorglos-Sicherheitsgeräte senken die Komplexität. Gerade im Sicherheitsbereich sind simple Strukturen generell von Vorteil, unabhängig von der Größe der Organisation. Da sich der Test auf kleine Szenarien konzentrierte, wurde auch eine Grenze für die maximale Geschwindigkeit gesetzt. Ob WAN, LAN oder DMZ, mehr als 100 MBit/s mussten und durften die Boxen nicht erbringen.

Report-Card:All-in-one-Appliances

Features: All-in-one-Appliances

Die Hersteller Astaro, Fortinet, Servgate Technologies, Sonicwall und Symantec erfüllten die Kriterien und haben einer Teilnahme zugestimmt. Crossbeam Systems und Internet Security Systems haben mit ihren Geräten die Bedingungen auch erfüllt und zugesagt, konnten zu Testbeginn aber nur mit GBit/s-Versionen aufwarten, die zu überdimensioniert waren. Cisco wollte nicht teilnehmen.

Das Büro

Die Tester haben sich zuerst gefragt: »Welche Funktionen sind wichtig, um das kleine Büro bei geringem Supportaufwand ausreichend zu schützen?« Obwohl der Test einige Lastuntersuchungen durchführte, spielt die Durchsatzkraft der Geräte in diesen kleinen Umgebungen eine untergeordnete Rolle. Sie fällt weit hinter die Funktionalität und Bedienfreundlichkeit zurück. Diese Punkte wurden beim Testplan genau beachtet. Zuerst wurde ein kleines Büro mit WAN-Strecke und einer öffentlichen IP-Adresse aufgesetzt. Intern nutzte das kleine Netz private IP-Adressen und betrieb eine demilitarisierte Zone (DMZ), in der Web-, E-Mail- und FTP-Server platziert waren. Die LAN-Anwender haben ihre Adresse per DHCP erhalten, wobei die Security-Appliances die IP-Informationen per Network-Address-Translation (NAT) sowohl bei DMZ- als auch LAN-Verkehr übersetzten. Die Appliances waren ferner dafür verantwortlich, den Verkehr zwischen WAN und den DMZ-Servern über Port-Forwarding abzuwickeln.

Funktionsfragen

Eine All-in-one-Appliance wird nicht alle Antworten auf Sicherheitsbelange liefern. Patching und Desktop-Virenscanner sowie -Firewalls ersetzen sie nicht. Sie haben aber mit dem, was sie beherrschen, einen hervorragenden Eindruck hinterlassen.

Die Appliances positionierten sich zwischen internem Netz und externer WAN-Welt. Demnach mussten sie einige Firewall-Disziplinen wie Stateful-Inspection, NAT und Port-Forwarding liefern. Zusätzliche Anti-Denial-of-Service-Funktionen (DoS), die Angriffe wie Syn oder Smurf aufhalten, wären sogar noch besser. Einige Organisationen fordern, dass ihre Appliances auch als DHCP- und DNS-Server arbeiten sollen. Alle Produkte im Test haben diese grundlegenden Firewall-Anforderungen erfüllt – bis auf die Boxen von Fortinet und Sonicwall, die keinen DNS-Server aufsetzen, und die Symantec-Lösung, die keine DHCP-Funktion liefert.

Sind die Firewall-Regeln korrekt gesetzt und interne Plattformen gut gepatched, dann geht die größte Gefahr für das interne Netz von externem Verkehr aus, den die eigenen Mitarbeiter anfordern. Aus diesem Grund hat sich der Test auch auf die Inline-Antivirus-Funktion der Geräte konzentriert. Sie suchen damit in eintreffenden Mails, eventuell auch in FTP- und Webverkehr, nach Viren und anderen Schädlingen. Ihre Scanning-Funktionen ähneln denen von Desktop-Virenscannern. Falls sie ein Virus aufspüren, können sie die infizierte Datei verwerfen, den Anwender warnen, oder die Datei unter Quarantäne setzen. Nur das Gerät von Sonicwall fällt hier zurück, weil es lokal keine Virenscans durchführt. Es folgt in dem Punkt einem Desktop-zentrierten Ansatz.

Fortinet spielt im Antivirenbereich seine Stärke aus, weil nur ihr Produkt in allen im Test geforderten Protokollen nach Schädlingen suchte. Weder Astaro noch Servgate haben beispielsweise den HTTP-Verkehr nach Viren durchforstet. Alle Hersteller fordern vom Administrator eine jährliche Gebühr, um die Virensignaturen zu aktualisieren.

Ebenso gefährlich sind alle Daten, die direkte Angriffe auf Server starten, von der Policy der Firewall aber legitimiert sind. Diese Daten sollen von den Intrusion-Detection/-Prevention-Funktionen entdeckt werden. Im Test wurden die Disziplinen Intrusion-Detection/-Prevention und Anti-DoS in einen Topf geworfen, auch wenn es die IT-Industrie nicht gerne sieht. Alle drei Funktionen verlassen sich aber auf Monitoring-Daten, um darin festzustellen, ob jemand versucht, interne Systeme in gewisser Weise zu korrumpieren. Damit eine Appliance Intrusion-Detection (IDS) umsetzen kann, muss sie Pakete in der Tiefe analysieren und die zugehörige Applikation verstehen, sei es der Web-, E-Mail- oder FTP-Server. Die Hersteller haben sich Zeit gelassen, diese Funktion nachzurüsten. Zur Testphase haben nur die Geräte von Symantec und Fortinet diese Disziplin beherrscht. Inzwischen haben einige, darunter Astaro und Sonicwall, nachgerüstet. Zum Testzeitpunkt war ihr Update aber noch nicht verfügbar. Symantec geht bei der Implementierung von IDS einen Schritt weiter als Fortinet. Ihr Gerät analysiert den Verkehr mit Hilfe von Algorithmen, die im Netzverkehr Anomalien erkennen wollen. Alle anderen Geräte spüren DoS-Ströme auf, aber ohne die Pakete in der Tiefe zu interpretieren.

Die Content-Filter sind dafür zuständig, unerwünschte Webseiten zu blocken. Jedem der Geräte wurde eine URL-Blacklist, eine Verbotsliste mit Webadressen, aufgespielt, auf welche die internen Anwender nicht zugreifen durften. Alle Hersteller in diesem Test haben zusätzlich einen kostenpflichtigen Dienst angeboten, der URL-Blacklists nach Kategorien sortiert und ständig aktualisiert. Diese Kategorien waren nach Gruppen wie Pornografie oder Glücksspiel organisiert und ließen sich auch manuell aktualisieren.

Symantec lädt die Blacklist direkt in ihre Appliance. Bei allen anderen werden die Liste auf einem externen Server abgelegt und nur die jüngsten Aufrufe im Cache der Geräte vorgehalten. Neben den Blacklists haben die Geräte von Fortinet und Symantec auch Inhaltsfilter auf Basis von Datentypen wie ».exe« oder ».bat« aufgesetzt. Alle Lösungen bis auf die von Symantec haben die Inhalte ebenfalls nach frei definierbaren Schlagwörtern und Phrasen geblockt.

Zu guter Letzt wurden die VPN-Künste der Boxen untersucht. Mit dem kleinen Büro-Szenario als Ansatz hat sich der Test darauf konzentriert, eine kleine Zahl von VPN-Sessions zur Firmenzentrale oder anderen Außenstellen aufzusetzen. Es war daher zweitrangig, wie viele Tunnel die Boxen simultan verkraften. Entscheidend war, wie sich der Durchsatz und die Latenz in den Tunneln verhalten und das VPN den unverschlüsselten Verkehr beeinflusst. Alle Geräte haben im VPN-Test überzeugt, wobei Symantec dicht gefolgt von Servgate die höchsten Durchsatzwerte erzielte.

Management ohne Bange

Bei Organisationen mit begrenzten IT-Kapazitäten ist die Qualität der Management-Oberflächen ausschlaggebend. Falls sich eine Funktion nicht vernünftig einstellen lässt oder ihr Status nur nach Tagen der Handbuchlektüre zu verifizieren ist, dann verliert sie ihren Sinn, zumindest im SoHo-Segment. Daher wurden die Management-Schnittstellen jeder Lösung kritisch begutachtet. Es stellte sich heraus, dass, obwohl Sicherheit für sich eine schwere Disziplin ist, die Konfiguration dies nicht bestätigen muss. Natürlich bleibt immer Raum für Verbesserungen. So ist eine Nachricht »Schalte einen Proxy- oder Relay-Agenten ein« weniger hilfreich als »Schalte die Antivirus-Funktion für SMTP-Verkehr ein«.

Im Test wurde zuerst die grundlegende Konfiguration der Geräteparameter begutachtet, danach kamen die Firewall-Regeln und die Policy an die Reihe. Im dritten Schritt haben die Real-World Labs die Zusatzfunktionen untersucht, darunter Antivirus, Content-Security und IDS. Das Ergebnis: Sonicwall hat viel Gespür für das Segment bewiesen und ihr User-Interface vorbildlich programmiert. Wizards führen den Anwender durch die grundlegenden Einstellungen und die Filterregeln. Die Konfiguration der Zusatzfunktionen erfolgte ähnlich intuitiv. Im Test war es viel schwerer, die fortschrittlichen Funktionen der Symantec und Astaro einzustellen, geschweige denn herauszufinden, ob die Funktionen richtig arbeiteten.

Der Test hat auch die Diagnose-Werkzeuge erprobt, mit denen die Management-Schnittstellen Probleme bearbeiten. Diese Tools, darunter Trace-Route, Ping und DNS-Lockups, helfen dabei, Implementierungsfehler aufzuspüren und zu beheben. Bewertet wurden ebenso die Status-Anzeigen, die Logging-Daten sowie die Benachrichtigungsoptionen. Die Status-Seiten von Astaro zeigen grafisch den System- und Netzzustand sowie die aktuelle Geräteaktivität an und heben sich klar von der Konkurrenz ab.

Abwehrpack

Zwei der fünf Testgeräte setzen auf proprietärer Hard- und Software auf, die restlichen drei basieren auf Linux. Im Durchsatz- und Funktionsbereich fiel die proprietäre Hardware von Fortinet und Sonicwall ab, hat dies aber wieder wettgemacht, indem sie leichter zu bedienen und zu konfigurieren war. Die drei Linux-Maschinen haben mehr Kraft auf die Leitung gebracht und mehr Funktionen beherrscht. Um letztere richtig zu konfigurieren, muss der Anwender aber mehr Zeit, Können und Geduld mitbringen.

Welches Gerät passt also in welches Umfeld? Für kleine Umgebungen mit geringem IT-Know-how eignet sich die »FortiGate-60« von Fortinet und erhält auch die Auszeichnung »Referenz« der Network Computing. Dieses Gerät lieferte eine ganze Latte beeindruckender Funktionen und wird über ein intuitives Anwender-Interface angesteuert. Selbst mit geringem Wissen kann ein Unternehmen mit dieser Appliance einen angemessenen Schutzschirm etablieren.

Für größere Umgebungen mit solidem IT-Unterbau liefert die »EdgeForce« von Servgate eine beeindruckende Funktionsvielfalt, gepaart mit soliden Durchsatzraten, die der Appliance den zweiten Platz bescherten. Um die Kosten zu vergleichen, sollte jeder Hersteller einen Preis für sein 50-User-Modell nennen.

FortiGate-60 von Fortinet

Diese Box hat überzeugt. Sie wiegt nur einige Pfund und ist zu klein, um sie in ein Rack zu montieren. Sie verbindet sich mit zwei WAN-, einem DMZ- und vier geswitchten LAN-Ports – alle 10/100-MBit/s-fähig – mit der Netzwelt. Das zweite WAN-Interface kann für automatische Failover-Belange abgestellt werden.

Die Benutzungsoberfläche ist intuitiv. Ein Setup-Wizard hilft dabei, die grundlegenden Funktionen einzurichten. Im Gegensatz zu Sonicwalls Appliance hat Fortinet noch keinen Wizard implementiert, der den Anwender bei der Definition der Firewall-Regeln und -policies bei der Hand nimmt. Trotzdem war es simpel, dank der verständlichen Menüs die Box aufzusetzen. Jedes Mal, wenn eine Funktion konfiguriert war, durften die Tester sicher sein, dass sie auch erwartungsgemäß funktionierte. Die Geräte von Astaro und Symantec haben diese Gewissheit nicht versprüht. Die Fehleranalysetools der Fortigate sind nicht in die grafische Oberfläche eingebunden, sondern in einem Command-Line-Interface (CLI) eingebettet.

Die Antivirus-Implementierung ist grundsolide gelungen. Nur dieses Produkt hat in allen im Test abverlangten Protokollen nach Viren gesucht, wobei die Einstellungen der Funktion einfach umzusetzen waren. Der Anwender darf frei wählen, wie er über ein gefundenes Virus informiert werden möchte. Die Appliance kann allerdings nur zwei Reaktionen initiieren, wenn sie einen Schädling findet. Sie verwirft die Datei und informiert den Empfänger, oder sie verwirft die Datei und informiert den Sender. Die Quarantäne-Funktion ist erst bei den Highend-Appliances von Fortinet berücksichtigt, beginnend mit der »FortiGate-200«.

Die Antivirus-Implementierung sucht nach »nur« rund 3100 Viren, verglichen mit den 60- bis 80000 Varianten der Konkurrenz. Die große Kluft ist durch die Strategie von Fortinet begründet. Der Hersteller möchte sich nur auf all jene Schädlinge konzentrieren, die aktuell und vor kurzem in der echten Internet-Welt aufgetaucht sind. Daher berücksichtigt die Box alte Viren nicht, die sich beispielsweise auf alte Plattformen wie Windows 3.1 fokussieren. Ob dieser Ansatz greift, muss die Praxis zeigen. Jedenfalls war im Testplan nicht vorgesehen, dies im Detail zu prüfen. Alle 80 Schädlinge, mit denen die Antivirus-Funktion im Test konfrontiert wurde, hat die Fortigate-Box entdeckt und geblockt. »Mydoom« hat sie 24 Stunden nach Erscheinen erkannt.

Für ihren Content-Filter nutzt Fortinet einen kostenpflichtigen Update-Dienst des Drittanbieters Cerberian. Die Konfiguration war leicht. Man wählt sich über das Web in diesen Dienst ein, pickt die für sich interessanten Kategorien heraus und aktualisiert einige Felder. Überrascht hat aber, dass der Dienstleister für FTP-Verkehr keine Angebote im Programm hatte. Fortinet lieferte ebenfalls keinen SMTP-Support, hat aber sogleich versprochen, dies beim nächsten Release nachzurüsten.

Von den Testgeräten haben nur Symantec und Fortinet IDS-Funktionen unterstützt. Dabei fällt der Ansatz der Fortigate hinter die Anomalie-Analysen des Symantec-Konzepts zurück. Die Fortinet-Appliance gleicht das Verkehrsmuster mit rund 1400 IDS-Signaturen ab und, viel wichtiger für kleine Unternemen, sie blockt rund 34 DoS- und Intrusion-Angriffe direkt.

Für ein Gerät, das dieses Segment adressiert, hat die Fortigate genügend Muskeln, um ihre Aufgaben vernünftig zu erfüllen. Die Appliance brachte dabei keineswegs die höchsten Durchsätze auf die Leitung, hat aber beim 20-MBit/s-FTP/HTTP-Stresstest den VPN-Verkehr mit immerhin bis zu 12 MBit/s abgewickelt. Mit einem Preis von 2400 Dollar bei einer 50-User-Lizenz, inklusive einem Jahr Antivirus- und Content-Fliter-Updates, ist die Fortigate ein ausgezeichnetes Angebot für kleine Unternehmen.

ServGate EdgeForce von Servgate

Die Servgate-Edgeforce ist eine der drei auf Linux basierenden Appliances im Test und musste sich nur knapp geschlagen geben. Die Appliance ist eine Höheneinheit groß und lässt sich mit ihren drei Interfaces für WAN-, DMZ- und LAN-Verkehr in ein Rack montieren. Im Gegensatz zur Fortigate besitzt die Box keinen zusätzlichen WAN-Port, um darüber Failover-Szenarien zu realisieren.

Der Hersteller hat keine Wizards für die grundlegenden Einstellungen entwickelt, und die Bedienoberläche ist ein Stück weit davon entfernt, so einsichtig und verständlich zu sein wie die von Fortinet und Sonicwall. Nichtsdestotrotz ist die Box einfach zu konfigurieren, ohne dass der Anwender spezielles Linux-Wissen bräuchte.

Die Antivirus-Funktion sucht nach mehr als 80000 Varianten. Sobald sie einen Schädling aufspürt, verwirft sie die E-Mail, warnt den Empfänger oder leitet die infizierte Datei in eine Quarantäne. Zu diesem Zweck besitzt die Appliance mehr als 4 GByte Festplattenspeicher. Die Box durchleuchtet dabei SMTP-, POP3- und FTP-Daten, lässt aber HTTP-Verkehr in Bezug auf Viren unkontrolliert passieren. Spams filtert die Servgate mit Hilfe des optionalen Add-ons »SpamAssassin« des Drittherstellers McAfee. Diese Option wurde im Test aber nicht untersucht.

Im Content-Filter-Test hat die Appliance gute Ergebnisse erzielt. Es gefiel besonders, dass sowohl der FTP- als auch HTTP-Inhalt geprüft wurde. Servgate verlangt aber vom Anwender, dass er einen zusätzlichen Webserver aufsetzt, um darauf das »Enterprise Content Filter«-Paket des Drittanbieters Websense zu installieren. Die Konfiguration dieser externen Box war recht simpel, bedingte aber einen zusätzlichen Konfigurationsschritt. War der externe Server erstmals betriebsbereit, so waren die entsprechenden Einstellungen auf der Appliance ein Klacks.

Die Edgeforce hat starke Leistungsergebnisse erzielt und im Highend-Test bei 20 MBit/s HTTP/FTP-Verkehr 20 MBit/s für VPN-Daten bereitgestellt. Falls der Anwender diese Zusatzkraft braucht, bekommt er für 4300 Dollar ein solides Sicherheitsgerät. Zu den Kosten muss er allerdings noch den Preis für den Windows-Server addieren, der den Content-Filter organisiert.

Security Linux 4 von Astaro

Astaro hat seine Software auf einem Toshiba-Server vorinstalliert ausgeliefert. Im Vergleich zu den beiden Erstplatzierten war die Konfiguration der Software weniger intuitiv. Das Gerät liefert keine Wizards. Trotzdem durchschaut man die Struktur der Software recht schnell und kann sich durch die Menüs zu den Netzwerk-Interfaces und Firewall-Optionen durchnavigieren. Dabei kommt dem Anwender zu Gute, wenn er sich mit Linux auskennt.

Die »SG30« von Astaro hat zwei separate Interfaces geliefert. Das eine wurde für den WAN-Access verwendet, das andere hat sechs geswitchte LAN-Ports geliefert, die den internen Verkehr aufnahmen und die DMZ etablierten.

Die Einstellungen der fortschrittlichen Funktionen waren dagegen schwierig. Vor allem die Antivirus- und Content-Filter-Definitionen waren kompliziert, weil der Anwender einige Zeit und Arbeit investieren muss, um sie im Detail zu verstehen. Statt Checkboxen aufzusetzen, die Antivirus und Content-Filter einfach aktivieren, muss der Anwender einen HTTP-Proxy aufsetzen und konfigurieren, um diese Funktionen beispielsweise als SMTP-Relay zu aktivieren. Nach beendetem Setup war keineswegs eindeutig klar, ob die Dienste korrekt arbeiteten. Im Test wurde beispielsweise die Antivirusfunktion in dem Glauben gestartet, das alle Optionen vernünftig in die Verkehrsströme eingreifen. Als das Gerät dann aber keinen einzigen Virus blockte, wurde erst deutlich, dass die Funktion überhaupt nicht arbeitete.

Einmal korrekt konfiguriert, hat Antivirus gute Ergebnisse erzielt. Wenn sie einen Schädling aufspürte, durfte man entscheiden, ob die Datei in Quarantäne geleitet, generell verworfen und der Empfänger zusätzlich informiert werden sollte. Leider sucht Astaro weder in HTTP- noch in FTP-Verkehr nach Viren.

Die Software war die teuerste im Test, zum Teil wegen der Highend-Hardware. Astaro bot als einziger Hersteller seine Firewall auch als reine Software für den Preis von 1000 Dollar an, so dass man sie auch auf eigener Hardware aufsetzen kann. Zu dem Betrag kommen noch die Gebühren des Antivirus- und Content-Filtering-Dienstes hinzu. Astaro empfiehlt ihren Kunden, mindestens einen Pentium II mit 450 MHz, 128 MByte Hauptspeicher sowie einer 8 GByte großen Festplatte einzusetzen.

TZ 170 von Sonicwall

Die gelungene Benutzungsoberfläche der Sonicwall-Appliance spielt in einer eigenen Liga. Der Anwender wird von einem hilfreichen Wizard durch die grundlegende Konfiguration sowie die Firewall-Regeln und -policies geleitet. Während die Content-Filter ohne Wizard eingerichtet werden, greift ein solcher dafür bei der Einstellung der VPN-Optionen ein. Schon die Logging-Seite zeigte wichtige Statusinformationen an, darunter Warnmeldungen und Datenstatistiken der Interfaces. Auch im Logging-Bereich konnte Sonicwall ihre Konkurrenz hinter sich lassen. Die Logs lassen sich schnell einschalten, sind gut zu lesen und, viel wichtiger, aussagekräftig.

Während des Tests der TZ-170 traten aber einige Probleme auf. Zuerst stellte sich heraus, dass die Firmware-Implementierung der VPN-Funktion einen Fehler hatte. Sonicwall wird dies mit der nächsten Version beheben. Das Logging hatte ebenfalls erhebliche Schwierigkeiten, als die Content-Filter eingeschaltet waren. Die Logging-Listen konnten einfach nicht mit den eintreffenden Daten Schritt halten, sobald die Anwender geblockte URL-Adressen in schneller Abfolge ansteuerten.

Das Endergebnis wurde aber vor allem von der Tatsache verschlechtert, dass die Appliance von Sonicwall selbst nicht nach Viren suchte. Die TZ-170 verifizierte lediglich, ob die Antivirenscanner auf den internen Clients mit den jüngsten Signaturen aktualisiert waren. Ist dem nicht so, zwingt die Appliance den Client-Rechner, die frischen Updates im Hintergrund herunterzuladen. Ohne Frage ist dieser Ansatz für sich genommen durchaus sinnvoll. Eine mehrstufige Antivirus-Schicht mit zusätzlichen Scans auf der Appliance selbst errichtet dieses Konzept aber nicht. Ein Schwachpunkt, denn in modernen Abwehrszenarien sollte man Viren und Würmer schon am Rande des Netzes blocken.

Security Appliance 5400 von Symantec

Das Gerät von Symantec war das durchsatzstärkste, leider auch entsprechend komplex. Neben den IDS-Funktionen, die mehr als 700 Angriffe erkennen, prüft die 5400 Applikationsdaten im Detail und versucht, mit ihrer Protokoll-Anomalie-Funktion unautorisierten, ungewöhnlichen Verkehr auszumachen. Die IDS-Funktion basiert auf der »ManHunt«-Engine von Symantec, die neue und unbekannte Angriffe aufhalten will, indem sie die Datenströme mit Protokoll-Anomalie-Routinen bearbeitet. Daher blockten die Funktionen Angriffe wie Mydoom und Code Red automatisch und ohne weiteres Zutun.

Die Appliance hatte im Test einige Probleme. Die auf Java basierende Benutzungsoberfläche arbeitet langsam und erzeugt daher Frustration. Sie war, verglichen mit den Konkurrenzprodukten, am wenigsten intuitiv. Der Anwender muss mehrere Menüoptionen ansteuern und in die Tiefe der Konfiguration eintauchen, um die Zusatzfunktionen zu aktivieren. Nicht nur, dass dies viel Zeit und Geduld erfordert, schuf der Ansatz potenzielle Fehlerquellen, die den Anwender im Glauben lassen könnten, dass alles einwandfrei funktioniere, obwohl dies gar nicht der Fall ist.

Auch im Lasttest verhielt sich die Box wenig glücklich. In der Mitte einer der beiden Laststests hängte sich die Appliance auf und musste neu gestartet werden. Symantec aktualisierte daraufhin ihre Software und hat so das Problem in den Griff bekommen. Auch im Content-Filter-Test erzielte die 5400 die schlechtesten Ergebnisse. Sie konnte dafür im Antiviren-Feld überzeugen und zeigte eine beeindruckende VPN-Leistung. Die 5400 hat den höchsten VPN-Durchsatz erreicht. Der Hersteller wollte seine Preise nicht nach Gerät und den Zusatzfunktionen Antivirus und Content-Filtering aufschlüsseln. Daher fehlt in dem Punkt eine Vergleichsbasis.

So testete Network Computing

Unser Testplan legte drei Phasen fest. Anfangs haben wir die Appliances am Rande des Testnetzes platziert. Von dort aus mussten sie per Port-Forwarding SMTP-, HTTP-, FTP- und SSH-Verkehr zu Servern in der DMZ weiterreichen, während sie den WAN-gerichteten, internen Verkehr in das Internet schicken sollten. Bei jeder Maschine schalteten wir das Logging ein und untersuchten ihre fortschrittlichen Funktionen, darunter Content-Filtering, Antivirus und Intrusion-Detection.

Danach haben wir jede Appliance in die isolierte Laborumgebung platziert, um dort einige Lasttests zu fahren. Wir maßen den Durchsatz, die Latenz und den Einfluss, den die Zusatzfunktionen auf die Grundleistung ausübten. Außerdem konnten wir davon profitieren, dass gerade zur Testzeit das Mydoom-Virus in der Wildnis auftauchte. 24 Stunden nach der ersten Warnmeldung haben wir das Virus auf die Boxen losgelassen, um bewerten zu können, wie die Hersteller die Virusdefinitionen aktualisiert hatten.

Alle vier Geräte mit Antivirus an Bord haben alles abgefangen, mit dem sie konfrontiert wurden, darunter auch Mydoom. Sie haben auch komprimierte Daten problemlos abgefertigt. Insgesamt erzielten die Produkte in dieser Disziplin gute Resultate.

Um herauszufinden, wie viele HTTP-, FTP- und SMTP-Daten die Appliances verkraften können, haben wir sie entsprechend belastet. Der Verkehrsgenerator »1600T« von Ixia und die Software »IxWeb« haben die entsprechenden Anwendungsdaten produziert. Das Programm hat 50 aktive Anwender simuliert, die sich auf 30 HTTP- und 20 FTP-Sitzungen aufteilten. Das Datenvolumen wurde auf 20 MBit/s festgesetzt.

Zusätzlich legten wir einen 75 KByte großen SMTP-Mailstrom fest, der die Geräte in Intervallen von zwei bis drei Sekunden erreichte. Die Appliances haben wir mit Firewall-Regeln versehen, um diese Dienste zu unterstützen.

Um die Latenz zu messen, generierten wir eine 4 KByte große HTTP-Anfrage, die der Generator alle vier bis fünf Sekunden neu stellte. Als Referenzwert haben wir die reine Latenz der Verbindung gemessen. Das heißt, die Geräte mussten bei diesem Test keine anderen Daten bearbeiten. Bei allen Geräten lag die reine Latenz bei unter 3 Millisekunden. Die Variationen dieses Werts haben uns offenbart, wie sich unterschiedliche Lasten auf das Gerät auswirkten. In der Tabelle bedeutet die Angabe »bestanden«, dass das Gerät in der Lage war, die jeweilige Last zu verkraften, ohne mehr als 2 Sekunden zusätzlicher Latenz zu verursachen.

Der VPN-Test liefert zwei Ergebnisse. Zuerst haben wir zu den 20 MBit/s an HTTP- und FTP-Daten zusätzliche 2 MByte eintreffender VPN-Daten hinzugefügt. Diesen Verkehr generierten wir mit den Tools »IxVPN« und »IxChariot« von Ixia. Danach führten wir den Zero-Loss-VPN-Test durch. In diesem Durchgang haben wir kurze, heftige Datenstränge an die Geräte geschickt und gemessen, wie schnell sie diese verschlüsseln. Der Zero-Loss-Durchsatz gab uns genügend Aufschluss, um die gesamte VPN-Kapazität der Geräte zu schätzen.

Zum Schluss haben wir die Content-Filter untersucht. Dazu haben wir in Google gezielt nach den Kategorien »Pornographie« und »Glücksspiel« gesucht. Wir haben dann aus den Suchergebnissen wahllos URL-Adressen angeklickt, um zu verifizieren, ob sie tatsächlich in diese Kategorien gehören. Danach haben wir die Blacklisten der Geräte konfiguriert und versucht, 80 der gefundenen, eindeutigen URLs von intern anzusteuern. Die Tabelle »Content-Filter« zeigt, wie viele unserer zufälligen, illegalen 80 Seiten die Appliances blockiert haben.

Fazit

Der Real-World-Lab-Test zeigte, welche Hersteller die Anforderungen im SoHo-Segment bereits hervorragend bedienen können und welche nicht. Neben den Zusatzfunktionen und grundlegenden Firewall-Parametern spielte bei diesem Test vor allem die Bedienfreundlichkeit der Management-Oberflächen die tragende Rolle. Die Fortigate-60 von Fortinet hat vor allem im Management-Bereich überzeugt und am Ende die Auszeichnung »Referenz« der Network Computing verdient. Die Edgeforce von Servgate liegt nur knapp dahinter, weil der Hersteller weniger Einstellungen über Wizards umgesetzt hat. Die Astaro-Appliance Security-Linux schaffte es auf den dritten Platz, weil auch sie sich im Management-Bereich dem Konzept von Fortinet geschlagen geben musste. Sowohl die Sonicwall-TZ-170 als auch die 5400-Appliance von Symantec offenbarten einige Schwächen. Die TZ-170 sucht selbst nicht nach Viren. Die Software der Symantec-Box hatte Fehler und hängte sich während eines Lasttests auf. [ nwc, pm ]