Vor Gefahren von innen und außen sollen Firewalls Unternehmensnetze effektiv schützen – doch Sicherheit geht häufig zu Lasten der Performance. Mit welcher Geschwindigkeit aktuelle Firewall-Appliances heute eine gesicherte Kommunikation in Unternehmensnetzen realisieren können, musste eine Reihe von Firewall-Appliances der unterschiedlichen Leistungsklassen in unseren Real-World Labs an der FH Stralsund beweisen.

Eine sichere aber auch schnelle Kommunikation zwischen einem internen Netzwerk – beispielsweise einen Unternehmensnetz oder einem besonders zu schützenden Segment eines solchen – und einem externen Netzwerk – beispielsweise dem Internet aber auch anderen Segmenten des eigenen Unternehmensnetzes – sollen Firewalls ermöglichen. Technisch ist eine Firewall folglich eine aktive Netzwerkkomponente, wie ein Switch oder ein Router, die nicht nur die Kommunikation zwischen zwei Netzwerken oder Netzwerksegmenten ermöglicht, sondern zugleich eine Überwachungs- und Kontrollfunktion erfüllt, um das interne Netzwerk vor unerwünschtem Datenverkehr zu schützen. Auf der internen Seite handelt es sich zumeist um Ethernet-basierte Netze, extern können auch die unterschiedlichsten WAN-Verbindungen, wie ISDN, xDSL, Mietleitungen, Datendirektverbindungen, Standleitungen oder X.25, angeschlossen sein. Platziert werden Firewalls in der Regel zwischen dem internen Netz und einem entsprechenden Remote-Access-System oder einer anderen aktiven Komponente, die die WAN- oder LAN-Anbindung ins externe Netz oder benachbarte LAN-Segment ermöglicht. Hierfür bieten Firewall-Appliances heute Fast-Ethernet- und – in der Oberklasse – auch Gigabit-Ethernet-Ports an. Manche Systeme stellen darüber hinaus auch eigene WAN-Anschlüsse wie ISDN oder xDSL zur Verfügung. Häufig lässt sich über einen der LAN-Ports zusätzlich eine »demilitarisierte Zone«, kurz DMZ, einrichten, in der beispielsweise Web-Server stehen, die von außen und innen erreichbar sein müssen.

Report-Card: 7 Gigabit-Ethernet-Firewall-Appliances

Features: 7 Gigabit-Ethernet-Firewall-Appliances

Mit zunehmender Komplexität der heutigen Unternehmensnetze und in Anbetracht der Erkenntnisse, dass das Gros der virtuellen Gefahren aus dem eigenen Unternehmensnetz und nicht aus dem Internet drohen, gehen Netzwerkdesigner mehr und mehr dazu über, auch das interne Unternehmensnetz in einzelne Segmente zu parzellieren, die gegeneinander durch

Firewalls gesichert sind. Durch die Integration der Firewalls in das Unternehmensnetz muss nun aber nicht nur der Datenverkehr intern – extern, sondern auch ein Großteil des internen Datenverkehrs das entsprechende System passieren. In Anbetracht der Datenmengen, der Qualitätsanforderungen in heutigen konvergenten Netzen mit ihren Voice- und Video-Applikationen und der Leistungsfähigkeit der übrigen Komponenten im Unternehmensnetz erhöht dieses Anwendungsszenario deutlich die Anforderungen an Firewall-Systeme im Hinblick auf Performance und Funktionalität. In Anbetracht dieser Situation machen auch Durchsatzraten im Gigabit-Bereich durchaus Sinn und die Implementierung von Gigabit-Ethernet-Technologie ist eine logische Konsequenz. Die Anforderungen an die Leistungsfähigkeit solcher Firewalls entsprechen logischerweise denen, die auch an andere Komponenten des Unternehmensnetzes, wie LAN-Switches, gestellt werden.

Unabhängig vom individuellen Konzept arbeiten Firewalls generell auf den Ebenen 2 bis 7 des OSI-Referenzmodells. Funktional ist zwischen Paket-Filtern, Stateful-Inspection-Firewalls und Application-Gateways zu unterscheiden. Paket-Filter-Systeme lesen die ein- und ausgehenden Datenpakete auf den Ebenen 2 bis 4 und gleichen sie mit einer vorgegebenen Tabelle ab. Unerwünschte Daten werden so herausgefiltert. Stateful-Inspection-Firewalls sind gegenüber einfachen Paketfiltern »intelligenter« und arbeiten als zustandsabhängige Paket-Filter, die auch die Status- und Kontextinformationen der Kommunikationsverbindungen analysieren und protokollieren. Application-Level-Gateways oder -Proxys realisieren aufwändige Sicherheitsmechanismen über mehrere Schichten hinweg. Sie entkoppeln die Netzwerke physikalisch wie logisch und können beispielsweise von jedem Benutzer Identifikation und Authentisierung prüfen. Komplexere Firewall-Systeme kombinieren in der Praxis häufig verschiedene Firewall-Konzepte in einer Lösung.

Info

Das Testfeld

Gruppe 1: Fast-Ethernet-Appliances

• Astaro timeNET secuRACK Enterprise 2 powered by Astaro Security Linux V5

• Bintec VPN Access 25

• Bintec VPN Access 1000

• Cisco PIX 515E Security Appliance

• Clavister M460

• D-Link DFL-700 Network Security Firewall

• Gateprotect gateProtect Firewall

• Innominate Innominate mGUard

• Lucent VPN Firewall Brick 350

• SonicWALL Pro 3060

• ZyXEL ZyWALL 70

Gruppe 2: Gigabit-Ethernet-Appliances

• Astaro Sun Fire V20z Opteron powered by Astaro Security Linux V5

• Borderware SteelGate Firewall + VPN-Appliance

• Lucent VPN Firewall Brick 1100

• Netscreen/Juniper ISG 2000

• Siemens/Check Point 4YourSafety RX 300

• Telco Tech LiSS II secure gateway pro giga

• Watchguard Firebox Vclass V100

Application-Level-Gateways oder -Proxys analysieren den Inhalt der Datenströme, nicht nur wie Paket-Filter- und Stateful-Inspection-Firewalls die Header der Datenpakete, was zur Folge hat, dass ihr Rechenaufwand deutlich größer ist und das Mehr an Sicherheit zu Lasten der Performance geht. Das bedeutet, dass für die gleiche Performance – beispielsweise Fast-Ethernet-Wirespeed – eine deutlich leistungsfähigere Hardware erforderlich ist. Um unsere Tests trotzdem fair und vergleichbar zu halten, haben wir an alle Teststellungen die gleichen Anforderungen gestellt und ein Standard-Rule-Set definiert, das die Hersteller zunächst konfigurieren mussten. Dieses Rule-Set erforderte lediglich eine Paket-Filter-Funktionaltät.

Firewalls bestehen aus Hard- und Softwarekomponenten, die häufig von unterschiedlichen Herstellern stammen und individuell kombiniert werden. Bei den sogenannten Firewall-Appliances handelt es sich um Komplettlösungen, die in den unterschiedlichsten Leistungsklassen angeboten werden und für die unterschiedlichsten Einsatzszenarien gedacht sind. Neben der Firewall-Funktionalität integrieren die Hersteller weitere Funktionalität in die Boxen, so dass immer mehr universelle Security-Appliances angeboten werden, die neben der Firewall-Funktionalität Virtual-Private-Networks, Intrusion-Detection/Prevention und andere Security- und Kommunikationsfunktionen integrieren. Andererseits verleihen die Hersteller der »klassischen« aktiven Komponenten, wie Switches oder Routern, diesen zunehmend Firewall- und andere Security-Funktionalität, so dass insgesamt derzeit ein recht heterogenes Feld von Systemen auf dem Markt ist.

Die Hersteller teilen die verschiedenen Firewall-Appliances in Leistungsklassen ein, die für die entsprechenden Anwendungsszenarien entwickelt werden und sich deutlich in Leistungsvermögen und Preis unterscheiden. Die preisgünstigsten Geräte bilden die Gruppe der Small-Office/Home-Office-Systeme. Dann folgt das breite und heterogene Feld der Mittelklasse, häufig neudeutsch Medium-Business genannt. Die leistungsfähigen Highend-Systeme bilden dann die Enterprise- und Carrier-Klasse. Das Feld der in unseren Labs befindlichen Firewall-Appliances haben wir dagegen schlicht nach den vorhandenen LAN-Ports in Fast-Ethernet- und Gigabit-Ethernet-Systeme eingeteilt. Um das Preis-Leistungverhältnis entsprechend zu würdigen haben wir darüber hinaus unseren Preis-Performance-Index ermittelt.

Das Real-World-Labs-Test-Szenario

Gegenstand unseres ersten diesjährigen Firewall-Vergleichstests, den wir in unseren Real-World Labs an der FH Stralsund durchführten, war die Performance, die solche Systeme derzeit zur Verfügung stellen. Wir wollten wissen, wie stark die Firewall-Funktionalität die Leistungsfähigkeit der reinen Hardware vermindert, beziehungsweise ob die heute verfügbaren Systeme sichere Verbindungen insbesondere zwischen einzelnen Netzwerksegmenten an einem Standort mit Wirespeed ermöglichen, wie die Ausstattung mit entsprechenden Ports zumeist von der Papierform her suggeriert. Darüber hinaus interessierte es uns, wie viel gesicherten Datenverkehr der IT-Verantwortliche derzeit für sein Budget erhält. Hierzu ermittelten wir erneut den Preis-Performance-Index, der ein entsprechendes Ranking ermöglicht.

Für die Ausschreibung unseres Vergleichstests haben wir ein Unternehmen unterstellt, das sein heterogenes, konvergentes Netzwerk in einzelne, gegeneinander abgesicherte Segmente und eine eigenständige DMZ teilen und am Unternehmensstandort hochperformant untereinander sowie mit dem Internet verbinden will. Eine geeignete, durchsatzstarke Security-Appliance sollte für die notwendige Sicherheit und Performance sorgen und möglichst die einzelnen Netzsegmente am Standort mit der gewohnten Wirespeed, also mit 100 oder gar 1000 MBit/s verbinden. Zugleich sollte die Appliance den Aufbau eines VPNs zwischen zwei Netzsegmenten ermöglichen, die mit baugleichen Geräten ausgestattet werden sollen.

Aus diesem Pflichtenheft ergaben sich folgende Anforderungen an die einzelnen Teststellungen:

• 2 Firewall- und VPN-Appliances inklusive Zubehör und Dokumentation,

• IPSec-VPN,

• Verschlüsselung nach 3DES,

• je Gerät mit mindestens drei Fast-Ethernet-Ports oder

• zwei Gigabit-Ethernet-Ports und einen Fast-Ethernet-Port.

Messen wollten wir die Firewall-Performance, also die unidirektionalen und bidirektionalen Datendurchsatzraten im Firewall-Betrieb, die sich aus den Datenverlustraten unter Last ergibt. Als weitere Parameter haben wir Latency sowie Jitter unter Last ermittelt. Als Test-Equipment dienten die Lastgeneratoren und -analysatoren Smartbits 6000B von Spirent Communications mit der aktuellen Version der Applikation Smartflow.

In einer Ausschreibung haben wir alle einschlägigen Hersteller von Security-Appliances eingeladen, uns eine entsprechende Teststellung zur Verfügung zu stellen und ihr System in unserem Vergleichstest in unseren Labs an der FH Stralsund zu begleiten. Jedem Hersteller standen unsere Labs exklusiv für einen Tag zur Verfügung. Insgesamt gingen 15 Hersteller mit ihren Teststellungen an den Start. Die Gruppe Gruppe 1 der Fast-Ethernet-Appliances bildeten Astaros »timeNET secuRACK Enterprise 2 powered by Astaro Security Linux V5«, Bintecs »VPN Access 25« sowie »VPN Access 1000« aus gleichem Hause, Ciscos »PIX 515E Security Appliance«, Clavisters »M460«, D-Links »DFL-700 Network Security Firewall«, die »gateProtect Firewall«, Innominates »Innominate mGUard«, Lucent Technologies »VPN Firewall Brick 350«, »SonicWALL Pro 3060« sowie Zyxels »ZyWALL 70«.

Die Gruppe 2 der Gigabit-Ethernet-Appliances bilden derzeit Astaro mit ihrer »Sun Fire V20z Opteron powered by Astaro Security Linux V5«, Borderwares »SteelGate Firewall + VPN-Appliance«, Lucent Technologies »VPN Firewall Brick 1100«, Netscreens »NS Appliance«, Siemens/Check Points »Four your Safety RX 300«, Telco Techs »LiSS II secure gateway pro giga« sowie Watchguards »Firebox Vclass 100«. Wie sich die Gigabit-Ethernet-Appliances in unserem Test verhielten, steht im vorliegenden Artikel. Die Ergebnisse der Fast-Ethernet-Appliances haben wir in Ausgabe 8-9 2004 der Network Computing veröffentlicht.

Durchsatzraten und Datenverlustverhalten

Zur Messung der maximal möglichen Durchsatzraten sowie des lastabhängigen Datenrahmenverlustverhaltens haben wir mit Hilfe der Spirent-Smartbits-Lastgeneratoren/Analysatoren die Firewall-Appliances mit unidirektionalem und bidirektionalem Datenverkehr mit verschieden Framegrößen belastet. Die Messung der maximalen Durchsatzraten ermittelt den jeweiligen optimalen Durchsatz bei einer für das System idealen Inputrate, zeigt also die maximale Leistungsfähigkeit der Appliance unter optimalen Bedingungen. Die Messung des Datenrahmenverlustverhaltens in Abhängigkeit zur Input-Last zeigt das Verhalten der jeweiligen Appliance unter variierenden Lastbedingungen. Arbeitet eine so getestete Firewall-Appliance mit Wirespeed, so verliert sie unter keinen Umständen Datenrahmen, da die Geräte mit maximal 100 Prozent Last belastet wurden und wir somit keine Überlastsituationen provoziert haben. Erreicht das jeweilige System im Test Wirespeed, dann bedeutet das für den Durchsatzratentest eine maximale zu messende Rate von 100 Prozent oder im Fall des hier vorliegenden Tests 1 GBit/s. Bleibt die Appliance dagegen hinter Wirespeed zurück, dann ist bei ei-ner entsprechenden Auslastung des übrigen Netzwerks davon auszugehen, das die überforderte Appliance für entsprechende Datenverluste sorgt, die diverse »Kommunikationsstörungen« im Netz- und Arbeitsbetrieb verursachen können.

Auswirkungen von Datenverlusten

Für die Beurteilung des Verhaltens der Systeme im Testfeld, die wir mit Datenströmen bestehend aus den unterschiedlichsten Frame-Formaten belastet haben, ist es von besonderem Interesse, zu betrachten, welche Lasten und Frame-Größen in realen Netzen vorkommen. Bei klassischen Dateitransfers arbeitet das Netzwerk mit möglichst großen Datenrahmen. Bei Echtzeit-Applikationen teilt sich das Feld. Video-Übertragungen nutzen ähnlich den Dateitransfers relativ große Datenrahmen. Voice-over-IP bewegt sich dagegen im Mittelfeld. Messungen mit Ethernet-LAN-Phones der ersten Generation in unseren Real-World Labs haben beispielsweise ergeben, dass diese Voice-over-IP-Lösung die Sprache mit konstant großen Rahmen von 534 Byte überträgt, ein aktuelles SIP-Phone überträgt 214 Byte große Rahmen.

Aktuelle Lösungen überlassen es dem IT-Verantwortlichen selbst festzulegen, mit welchen Frame-Größen die Systeme arbeiten sollen. Dabei sollte der IT-Verantwortliche berücksichtigen, dass der Paketierungs-Delay mit kleiner werdenden Datenrahmen kleiner wird. Dagegen wächst der Overhead, der zu Lasten der Nutzdatenperformance geht, je kleiner die verwendeten Pakete sind. Generell kann man bei der IP-Sprachübertragung davon ausgehen, dass kleine Frames verwendet werden. Die meisten Web-Anwendungen nutzen mittelgroße Datenrahmen. Die kleinstmöglichen Frames von 64 Byte sind dagegen beispielsweise bei den TCP-Bestätigungspaketen oder interaktiven Anwendungen wie Terminalsitzungen zu messen.

Die Analyse der Verteilung der Framegrößen, die für das NCI-Backbone dokumentiert ist, sowie die Ergebnisse der Analyse typischer Business-DSL-Links haben ergeben, dass rund 50 Prozent aller Datenrahmen in realen Netzwerken 64 Byte groß sind. Die übrigen rund 50 Prozent der zu transportierenden Datenrahmen streuen über alle Rahmengrößen von 128 bis 1518 Byte. Für die Übertragung von Real-Time-Applikationen ist zunächst das Datenverlustverhalten von entscheidender Bedeutung. Für Voice-over-IP gilt beispielsweise: Ab 5 Prozent Verlust ist je nach Codec mit deutlicher Verschlechterung der Übertragungsqualität zu rechnen, 10 Prozent führen zu einer massiven Beeinträchtigung, ab 20 Prozent Datenverlust ist beispielsweise die Telefonie definitiv nicht mehr möglich. So verringert sich der R-Wert für die Sprachqualität gemäß E-Modell nach ITU G.107 schon bei 10 Prozent Datenverlust um je nach Codec 25 bis weit über 40 Punkte, also Werte, die massive Probleme im Telefoniebereich sehr wahrscheinlich machen. Auf Grund ihrer Bedeutung für die Übertragungsqualität haben wir daher das Datenrahmenverlustverhalten als K.O.-Kriterium für unsere Tests definiert. Die Parameter Latency und Jitter sind dann für die genauere Diagnose und weitere Analyse im Einzelfall wichtig. Sind jedoch die Datenverlustraten von Hause aus schon zu hoch beziehungsweise die maximal möglichen Durchsätze zu gering, können gute Werte für Latency und Jitter die Sprachqualität auch nicht mehr retten. Dafür, dass es zu solchen massiven Datenverlusten im Ethernet-LAN erst gar nicht kommt, sollen entsprechend gut funktionierende Priorisierungsmechanismen sorgen. Bei entsprechender Überlast im Netz sind Datenverluste ganz normal, jedoch sollen sie durch die Priorisierungsmechanismen in der Regel auf nicht echtzeitfähige Applikationen verlagert werden. Arbeitet diese Priorisierung nicht ausreichend, kommt es auch im Bereich der höher priorisierten Daten zu unerwünschten Verlusten. Dieses Priorisierungsverhalten wird Thema eines unserer nächsten Firewall- und VPN-Tests sein. So lange die Netzwerkkomponenten nicht mit Wirespeed arbeiten, bringen Priorisierungsverfahren aber keine Qualitätsgarantie, deshalb haben wir bisher auf Prioritätsmessungen bei Firewalls verzichtet.

Testverfahren

Insgesamt haben wir vier Firewall-Testreihen durchgeführt. In der ersten Testreihe haben wir unidirektional von der DMZ in das interne Netz gesendet und jeweils einen UDP-Port adressiert. In der zweiten Testreihe haben wir dann mit bidirektionalem Datenverkehr gearbeitet und parallel in beiden Richtungen zwischen dem internen Netz und der DMZ Datenströme gesendet. Bei beiden Testreihen haben wir mit einer Eingangslast von 10 Prozent begonnen und die Last dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht.

In der dritten Messreihe haben wir mit einem vermaschten Testaufbau nach dem Many-to-Many-Setup gearbeitet. Hierbei senden die Smartbits-Lastgeratoren aus jedem Segment – dem internen Netz, dem externen Netz und der DMZ – in die beiden anderen Segmente. Dort erfassen die Smartbits-Analysatoren die Datenströme und werten sie aus. In diesem Szenario arbeiten alle Ports wieder bidirektional, da die sendenden Ports ihre Last jeweils auf zwei Datenströme an die beiden anderen Segmente aufteilen müssen, beträgt hier die Last per Flow maximal 50 Prozent, die Last per Ausgangs- wie per Eingangs-Port kommt auf maximal 100 Prozent. Bei dieser Messreihe haben wir mit einer Eingangslast von 5 Prozent pro Flow begonnen und dann in 5-Prozent-Schritten bis auf 50 Prozent erhöht.

In der vierten Messreihe haben wir wie in der ersten Messreihe einen unidirektionalen Datenstrom von der DMZ ins interne Netzwerk generiert und mit einer schrittweise ansteigenden Last von 10 bis 100 Prozent gearbeitet. Zusätzlich haben wir Datenströme mit jeweils 5 Prozent Stör-Traffic erzeugt und diese unidirektional vom externen Netz in die DMZ und in das interne Netz gesendet. Diese Datenströme sollten geblockt werden. Ein Vergleich mit den Messungen der ersten Reihe zeigt dann, ob das jeweilige System im Test sich in der Performance vom Stör-Traffic beeinflussen lässt.

Außerdem haben wir für jede Messreihe neben den standardisierten, in immer gleichen Lastschritten erfolgenden Verlustratenmessungen für jedes System und jede Framegröße den Punkt der optimalen Last und somit die maximalen technisch möglichen Durchsatzrate unter optimalen Bedingungen ermittelt. Hierzu haben wir mit Laststeigerungen in Ein-Prozent-Schritten im betroffenen Zehn-Prozent-Intervall festgestellt, bei welcher Last die jeweilige Appliance gerade noch keine oder präziser gesagt kleiner 1 Prozent der Daten verliert. Die hierbei erzielbaren Werte liegen in der Regel deutlich über dem Datendurchsatz bei Volllast. Die Durchsatzraten haben wir aus den Datenverlustraten errechnet und in Mittelwerten der entsprechenden Flows je Port und Senderichtung in MBit/s angegeben. Wirespeed ist in unserer Darstellung daher ein Bruttodurchsatz von 1 GBit/s. Bidirektional liegen dann natürlich maximal 2 GBit/s an.

>>weiter