Tiefenrausch

Deep-Inspection-Firewalls – Nach mehreren Monaten in den Real-World Labs hat die leistungsstarke Appliance von Juniper den besten Eindruck hinterlassen, dicht gefolgt von Check Points und Fortinets Boxen. Aber keins der Systeme hat den Test unversehrt überstanden.

Die Appliances in diesem Test sind die Kraftmeier im Firewall-Sektor. Als Titanen in der Abwehrstruktur schaffen sie fast alle GBit/s-Durchsätze. Sie unterstützen Stateful-Failover sowie VPNs und werden zentral verwaltet. Außerdem beherrschen sie Deep-Inspection-Funktionen (DI). Darunter sind Analysen zu verstehen, die über den Stateful-Paket-Filter hinaus in die Ebene 7 hineinschauen. Das geschieht mit Hilfe von Signaturen und Protokoll-Engines.

Die Teilnehmerliste in den Real-World Labs liest sich wie das Who-is-who der Branche: die »Next Generation« von Check Point, die »TSP 7100 Security Appliance« von Cyberguard, die »FortiGate-3600 Antivirus Firewall 2.8« von Fortinet, die »NetScreen-ISG 2000« von Juniper, die »Sidewinder G2« von Secure Computing und die »Gateway Security 5460 Appliance« von Symantec. Diese Firewalls gehören in der Tat zu den stärksten Maschinen im Enterprise-Sektor.

Die Produkte von 3Com-Tippingpoint, McAfee und Ipolicy Networks haben leider die Testkriterien nicht erfüllt. Lucent Technoligies hat das falsche Produkt eingeschickt, während Nokia auf die Anfragen erst gar nicht reagierte. Cisco, Crossbeam, ISS, Nortel Networks, Sonicwall und Watchguard haben eine Teilnahme verweigert.

Die Testgänge
Bei der Definition der Testkriterien schien die schwierigste Aufgabe zu sein, eine unternehmensähnliche Topologie aufzubauen. Sie sollte einem echten Netz und seiner Last möglichst nahe kommen. Während des Tests stellte sich jedoch schnell heraus, dass eine andere Disziplin viel entscheidender war: das Troubleshooting. Wie in der Praxis traten im Lauf der Zeit verschiedenste Probleme auf, bei denen die Qualität der Fehleranalyse den Ausschlag gab. Das Repertoire hatte von falsch konfigurierten Firewall-Regeln bis hin zu einem verrückt gewordenen Switch alles zu bieten. Der Switch hat übrigens zwei wertvolle Testtage vernichtet, bis er schließlich ausgetauscht wurde.

Um möglichst viele Fehler von vornherein auszuschließen, haben die Hersteller alle Testkonfigurationen und die gewünschten Regelsätze zugeschickt bekommen. Sie sollten ihre Boxen gleich richtig einstellen. Aber nur Check Point und Cyberguard haben diese Aufgabe erfolgreich gemeistert. Cyberguard hat ihre Firewalls ausgezeichnet vorbereitet. Sie waren sofort betriebsbereit, und die verschiedenen Konfigurationen auf verschiedenen Festplatten abgelegt. Das hat die Testaufgabe erheblich erleichtert. Zusätzlich durfte jeder Anbieter einen halben Tag vor Testbeginn einen Ingenieur ins Labor schicken, der den aktuellen Testaufbau der Boxen überprüfte.

Trotz all dieser Vorsichtsmaßnahmen hatten die Hersteller große Probleme, ihre Firewalls gemäß den Vorgaben zu konfigurieren. Einige haben die Hochverfügbarkeitseinstellungen vergessen, andere große Teile des Regelsatzes übergangen. Die Symantec-5460 hat gar den Vogel abgeschossen. Sie erreichte das Labor »nackt«, ohne jede Einstellung.

Zielsetzung
Der Test ist weit über reine Leistungsmessungen hinausgegangen. Nur so konnten die Firewalls beweisen, was die meisten Administratoren wissen wollen: Welche Firewall schützt das Netz am besten, erfüllt gleichzeitig fundamentalste Sicherheitsanforderungen? Zu diesen grundlegenden Eigenschaften zählen folgende Kriterien:

Verwaltbarkeit: Alle Firewalls besitzen nett anzuschauende Management-Interfaces. Die Stärken dieser Menüs zeigen sich aber erst dann, sobald sie mehr als 100 Regeln organisieren müssen. Der Test untersuchte genau, wie die Interfaces so viele Regeln bewältigten. Wie hilfreich sind sie bei dieser Aufgabe? Sind Suchfunktionen eingebaut, die beispielsweise eine spezifische externen IP-Adresse in den Logs finden? Zeigen die Tools an, ob eine Transaktion anstandslos bis zum Webserer durchgereicht wurde? Sind die Audit-Logs intelligent genug, Regeländerungen aufzuzeichnen und einen speziellen Vorfall zu isolieren?

Natürlich gehört zum Troubleshooting mehr als die grafische Oberfläche. Welche Komponenten hat der Hersteller für die Fehlersuche und die Verwaltung noch mitgeschickt? Sind vereinfachte Command-Line- und Konsole-Werkzeuge verfügbar? Weil die Policies im Test oft Probleme machten, rückte gerade die Regelanalyse ins Zentrum des Interesses. Hier mussten die Lösungen zeigen, ob sie die Policies mit dem Texteditor öffnen und verändern können. Wer gewöhnlich mehr als 100 Regeln in einem Management-GUI untersucht, wird solch ein Text-Werkzeug schnell zu schätzen wissen.

Die Next-Generation von Check Point hat sich hierbei am besten geschlagen. Ihr Management-Programm »Secure Console« war von allen im Test am leichtesten zu bedienen. Die Funktionen sind an der richtigen Stelle, die Definition der Regeln ist leicht. Das Management von mehr als 100 Regeln ist elegant und bequem gelöst.

Die Benutzungsoberfläche des »Cobra«-Management-Interfaces von Secure Computing hat sich ebenso gut geschlagen. Es hat große Regelwerke und mehrere Firewalls gekonnt organisiert. Das Pendant von Juniper hinterließ einen gemischten Eindruck. Es ähnelt den Cisco-Routern und wird daher einem Freund der IOS vertraut vorkommen. Das intuitive Command-Line-Interface (CLI) beherrscht gute Troubleshooting-, Backup- sowie Import-Funktionen. Wie die meisten Firewalls zeigte das Management-Menü bei mehr als 40 Regeln erste Probleme. Insgesamt scheinen die meisten Hersteller an dieser magischen Grenze zu scheitern. Viele neigen dazu, die Regeln über mehrere separate Screens im Management-Menü anzuzeigen. Bei großen Regelsätzen eine schwache Wahl.

Symantecs 5460-Box hat in dieser Disziplin die rote Laterne übernommen. Ihre auf Java basierenden Management-Funktionen zeigen Schwächen beim Troubleshooting, ein CLI fehlt ganz. Die ASIC-getriebenen Firewalls von Fortinet und Juniper besitzen eindrucksvolle Befehlseditoren. Diese Hersteller müssen aber unbedingt die grafischen Steuerungs-Interfaces verbessern.

Leistung: Als Enterprise-Lösung sollten die Boxen auch unter Stress-Bedingungen nicht einbrechen. Dazu gehört einmal, große NAT-Tabellen zu verdauen. Ebenso müssen die Boxen den Verkehr von Hunderten von Clients verkraften. Die Anwender schicken Tausende von Transaktionen in die DMZ und initiieren noch mehr Sessions mit dem Internet.

Mehrere Testgänge sollten herausfinden, wie die Firewalls diese Verbindungen abwickeln. Die Datenmenge wurde dabei kontinuierlich auf 1 GBit/s erhöht, insgesamt jeweils drei Mal mit aus-, danach mit eingeschalteter DI. Sobald eine Box eine Datenmenge auf dem Weg zu 1 GBit/s nicht verdaute, hat sie Minuspunkte gesammelt. Damit die Messung nur erfolgreiche Transaktionen wertet, wurde ihre Qualität mit Binary-Searches verifiziert. Die Tester haben dazu verschiedene Lastprofile aufgesetzt. Erst wenn die Boxen ein bestimmtes Profil ohne Paketverluste bewältigten, wurde dieses Volumen als Durchsatzergebnis notiert. Bei den Stressuntersuchungen trat übrigens die ganze Bandbreite bekannter Probleme auf: natürlich große Verzögerungsfristen. Einige Firewalls haben bei hoher Last keine neuen Verbindungen angenommen. Andere haben tatsächlich nicht mehr geantwortet, bis der ursächliche Testgang komplett gestoppt wurde und sich die Box erholen konnte.

IDS/IPS: Dieser Testdurchgang untersuchte die IDS/IPS-Eigenschaften bei moderaten Datenvolumina. Dazu wurden verdächtige Pakete aus dem Internet/externen Segment an verwundbare Hosts in der DMZ geschickt. Warum sind nur 10 Prozent der Gesamtbewertung an die Analysetiefe gebunden? Bei einer höheren Bewertung hätte die Funktion intensiver untersucht werden müssen. Die Tester wären prinzipiell dazu gezwungen, eigene Attacken zu entwickeln. Das hätte den Testrahmen gesprengt. Viel wichtiger war ihnen, dass die IDS/IPS-Komponenten zeigen, dass sie funktionieren und wie sie funktionieren.

Die Boxen mussten LSASS-, RPC-DCOM-, Unicode-, IIS-ISAPI-, Warftpd- und WuFTP-Attacken erkennen und stoppen. Die 5460 von Symantec hat in diesem Testgang hervorragend abgeschnitten. Sie ist mit einem wahren Arsenal von Abehrmaßnahmen bestückt. Dazu zählen IDS-Signaturen, Application-Proxies, Anomalie-Detection- und Antivirus-Funktionen. Auch die Fortigate hat gute Resultate erzielt. Der Hersteller hat alles in seine Box hineingepackt, was es derzeit im DI-Bereich auf dem Markt gibt. Fortinet liefert nicht nur Hunderte von IDS-Signaturen, sondern auch eine Paket-Anomalie-Engine. Beide sind dazu voll modifizierbar.

Die Fortigate hat alle Attacken im Test erkannt, geblockt und in den Logs vermerkt. Check Point wurde hier ein halber Punkt abgezogen. Ihre Firewall ist den Lösungen von Fortinet und Symantec im Signatur- und IDS-Bereich unterlegen. Die TSP-7100 von Cyberguard hat nur drei der fünf Attacken geblockt. Interessant wäre gewesen, das lang erwartete IDP-Modul von Juniper zu untersuchen. Zum Zeitpunkt des Tests war es leider noch nicht verfügbar.

Den Failover-Test haben alle Boxen übrigens anstandslos bestanden. Sie brauchten drei bis vier Sekunden, um die Sessions stateful ohne Paketverlust an das redundante Pendant zu übergeben.

Logging: Diese Disziplin ist für jede Firewalls essenziell, denn sie entscheidet über ihre Qualität. Folgende Eigenschaften sind dafür ausschlaggebend: Wie lassen sich die Logs nach einer spezifischen Quelle, einem Ziel und einem Protokoll durchsuchen? Wie leicht findet man heraus, ob ein Client eine Transaktion durchführen darf? Wie schnell spürt man den letzten fehlgeschlagenen Authentifizierungsversuch auf? Schließlich, wie gut lässt sich die Log-Menge verwalten? Diese Eigenschaften sind nicht nur wünschenswert, sondern inzwischen obligatorisch. Denn jüngste Gesetze setzen bestimmte Informationen und Berichte zwingend voraus. Check Point hat hier die besten Ergebnisse erzielt, gefolgt von den anderen Firewalls. Nur die Netscreen von Juniper und die 5460 von Symantec zeigten Schwächen, weil ihnen effiziente Log-Suchfunktionen fehlen.

Am Ende des Tests hat die kraftstrotzende Netscreen-ISG 2000 am besten abgeschnitten und sich die Auszeichnung »Referenz« der Network Computing verdient. Die Box lief und lief und lief, wie der gute alte Käfer. Fortinet und Check Point liegen knapp dahinter. Die günstige Fortigate hat vor allem mit ihren DI-Funktionen überzeugt. Die NG von Check Point hat mit ihrem Management und dem guten Preis-Leistungsverhältnis Punkte gesammelt.

Die Cyberguard ist ein gutes System, aber zu teuer. Die Sidewinder braucht aus Leistungssicht noch mehr Schwung. Symantec wurde das schwache Management-Interface ihrer Box zum Verhängnis. Alle Preise in der Feature-Liste gelten für jeweils zwei Appliances in der Testkonfiguration.

Netscreen-ISG 2000 von Juniper
Der Hersteller schickte zwei dieser Boxen und den »NetScreen Security Manager« (NSM) ein. Die Architektur dieser Appliances setzt sich aus Modulen zusammen. Bei den Durchsatztests im Firewall- und VPN-Bereich hat die Konkurrenz nur noch deren Rück-LEDs gesehen. Die Konfiguration war simpel, obwohl die Autonegotiation-Funktion der Netzwerk-Ports einige Probleme verursachte. Das HTTP-gestützte Interface der Netscreen-Box ist leicht zu bedienen und enthält alle Werkzeuge, um jede Funktion einzustellen. Das beginnt beim Load-Balancing und endet bei der Regeldefinition. Im Test wurden nahezu alle Management-Aufgaben über das NSM-Interface abgewickelt. Es ist dafür gedacht, mehrere Firewalls in einem Unternehmen von zentraler Stelle aus zu administrieren. Das NSM war ebenso leicht zu bedienen und beherrschte alle erforderlichen Funktionen.

Einige Punkte hätten Juniper fast den Sieg gekostet. Wer mehr als 100 Regeln verwalten möchte, muss sich zeitaufwändig durch mehrere Pages wühlen. Auch die Audits der Regelwerke sind auf mehrere Bereiche verteilt. Wer detaillierte Infos sucht, wird sich auf einen ermündenden Prozess einstellen müssen. Auch der Logging-Bereich liefert nicht alle gewünschten Funktionen. Wer einen bestimmten Log-Eintrag finden möchte, muss Zeit und Geduld mitbringen. Auf der anderen Seite konnte neben dem Fortinet-System nur die Netscreen die Firewall-Konfiguration per Text-Format exportieren, das der Administrator auch modifizieren darf. Das spart enorm viel Zeit.

Fortigate-3600 Antivirus Firewall 2.8 von Fortinet
Diese Appliance ist ideal für Einsteiger. Von allen HTTP/HTTPS- Interfaces im Test machte die Variante der Fortigate den besten Eindruck. Sie war auch am leichtesten zu bedienen. Obwohl sie bei mehr als 100 Regeln Schwierigkeiten hatte, so überzeugte vor allem ihr intuitiv zugänglicher Ansatz, die Regeln nach dem Verkehrsfluss darzustellen.

Leider hat Fortinet nur die Hälfte der verlangten Regeln vordefiniert. Das hätte sich für den Servicetechniker vor Ort zu einem großen Problem auswachsen können, wäre die Fortigate nicht in der Lage gewesen, die Regeln über einen Text-Editor zu definieren. Dank der Skripts aber hat er die fehlenden NAT-Adressen und Regeln in angemessener Zeit nachgeliefert. Der Log-Viewer der Appliance beherrscht Suchfunktionen. Ihm fehlen jedoch ein vernünftiges Troubleshooting-Interface sowie anständige Log-Ansichten, die Daten in Echtzeit zeigen.

Die Fortigate hat die besten DI-Ergebnisse erzielt. Die Box ist mit IDS/ISP-Funktionen, Hunderten von IDS-Signaturen und einer Paket-Anomalie-Engine vollgestopft. Alles darf der Administrator an eigene Ansprüche anpassen.

Aus Durchsatzsicht hat die Box angemessene Ergebnisse erzielt. Ab 750 MBit/s hat sie keine weiteren Sessions mehr akzeptiert. Die Appliance reagierte interessant, als sie über ihre Grenzen hinaus belastet wurde. Selbst als die zu großen GBit/s-Datenmengen abgestellt waren, brauchte die Fortigate einige Zeit, sich wieder zu erholen. Selbst nach zehn Minuten, als der Testgang längst gestoppt war, hat sie noch mehr als 300 000 Einträge in ihrer State-Tabelle geführt. Die Prozessorauslastung lag bei mehr als 86 Prozent.

Die Fortigate hat das beste Preis-Leistungsverhältnis erreicht. Diese Firewall ist bezahlbar, dank ihrer Troubleshooting- und den herausragenden DI-Funktionen erreicht sie den zweiten Platz. Aber Vorsicht, diese Box sollte nicht an ihre Leistungsgrenzen gebracht werden.

Next Generation mit Application-Intelligence von Check Point
Die Appliance hat insgesamt einen guten Eindruck hinterlassen. Sie erreichte bis auf den Leistungsbereich durchweg gute Ergebnisse. Ihre Secure-Console-GUI hat große Regelwerke dank ihrer zahlreichen Funktionen im Handstreich organisiert. Wenn es etwas zu kritisieren gäbe, dann die schon fast zu vielen Funktionen, die in das Interface eingegliedert sind. Nichtsdestotrotz war diese Applikation im Test die nützlichste bei der Administration. Auch das NG-Logging-Interface erreichte den ersten Platz. Es zeigt Log-Daten in Echtzeit an und sucht nach jedem möglichen Feld und Parameter im Log. Sie filtert dort Daten schnell heraus, um potenzielle Fehler oder Probleme zu isolieren. Für Netzwerkprofis baut das auf Linux basierende Betriebssystem ein vertrautes Spielfeld auf. Dort können sie in gewohnter Manier Pakete aufzeichnen, Netzparameter untersuchen oder die Hochverfügbarkeitsparameter überwachen.

Die Check-Point-Box hat zwar alle Angriffe erkannt und gestoppt, fällt aber bei der Signaturmenge hinter Fortinet und Symantec zurück. Bei den Leistungstests erreichte sie außerdem nur den vierten Platz. Selbst ohne DI-Analyse schaffte die Check Point nicht mehr als ein halbes GBit/s an Durchsatz.

Aus Kostensicht ist die Lösung mit 41000 Dollar für das Cluster extrem attraktiv. Mit ihrem Management-Interface, den IDS-Funktionen und diesem Preis hat das Bundle durchaus die Chance, ihre ASIC-gesteuerte Konkurrenz auf Distanz zu halten.

TSP 7100 Security Appliance von Cyberguard
Diese Kisten sind groß, denn es passen nur zwei in ein Rack. Wäre es möglich, Angreifer allein durch Größe abzuschrecken, diese Boxen wären die erste Wahl.

Die auf Linux aufsetzende TSP-7100 beherrscht einige gute Funktionen. Alle Funktionen der GUI steuert die CLI genauso an. Auch das Parsing-Interface, das wie die anderen über ein einziges Directory organisiert wird, konnte gefallen. Die Appliance lässt sich so entweder remote per CLI oder lokal via GUI steuern. Ethereal, mit dem die Tester das defekte Blade im Switch als Fehler isolieren konnten, ist ebenso direkt über die lokale GUI erreichbar. Es wäre wunderbar, würden alle Firewalls der Welt diese extrem nützliche Funktion beherrschen.

Aus Logging-Perspektive liegt die Cyberguard-Box knapp hinter dem Pendant von Check Point. Während des Vulnerability-Testgangs konnte die 7100er ihre herausragenden Audit- und Logging-Funktionen unter Beweis stellen. Der Administrator darf mehrere Audits initiieren, mit denen er potenzielle Einbruchsversuche oder bösartigen Firewall-Verkehr untersucht. Gleichzeitig profitiert er von den angenehmen Filterfunktionen.

Das Remote- und lokale Management ist per HTTP/S kodiert, wobei es wie viele andere bei mehr als 100 Regeln an seine Grenzen stößt. Im Test war einfach kein Weg zu finden, die großen Policy-Werke effizient in der bildschirmgroßen Ansicht einzusehen. So fällt es schwer, Regeln in dem hinteren Bereich zu finden und zu modifizieren.

Bei den Durchsatztests hat die 7100er von allen ASIC-freien Lösungen die größte Leistung gezeigt. Die Firewall kombiniert Stateful-Inspection und Application-Proxies. Obwohl der Hersteller seine Box nicht als DI-Appliance verkauft, sind solche Funktionen integriert. Ohne das DI-Regelset schaffte die Box bei mehr als 1 GBit/s an Volumen rund 160 000 Sessions. Bei eingeschalteter DI litt sie merklich. Die Leistung brach auf 90 000 Sessions herunter.

Große Boxen und große Leistung schlagen sich immer im Preis nieder. Mit nahezu 156 000 Dollar für den Cluster hat die Cyberguard die rote Laterne. Wären diese hohen Kosten nicht, die TSP 7100 hätte das Potenzial, Check Point den dritten Platz streitig zu machen.

Sidewinder G2 von Secure Computing
Beim Setup dieser Appliance gab es viele Möglichkeiten, sich die Hände schmutzig zu machen. Die Hochverfügbarkeitsoption war nicht eingerichtet. Einige Firewall-Regeln fehlten, und die komplette Einstellung für die Nicht-DI-Regeln war nicht aufzufinden. Secure Computing erklärte, ihre Sidewinder führe immer Intrusion-Detection-Analysen durch, wenn ihre Application-Proxies aktiv sind. Der Hersteller lieferte das Proxy-freie Regelwerk einige Tage später nach.

Die GUI der Box, die sich auf Windows- oder Linux-Plattformen installiert, war intuitiv bedienbar. Obwohl sie augenscheinlich besser strukturiert war als andere HTTP/S-Interfaces im Test, traten bei relativ simplen Aufgaben einige Probleme auf. So suchten die Tester verzweifelt nach einem Menüpunkt, der die Modifikationen an den Regeln abspeichert. Ebenso problembehaftet verlief die detaillierte Suche in den Logdaten. Die Command-Line-Tools waren am Ende viel leichter zu bedienen als die GUI.

Die Sidewinder setzt zahlreiche Einstellungen bezogen auf TCP-Anomalien, so dass sie viel sensibler bei der SYN-Flodd-Suche vorgeht. Sie stoppte die Mehrheit der Angriffe im Test. Leider ist die Signaturliste kürzer geraten als bei den anderen. Bei der Leistung hat die Box bei eingeschalteter DI nicht mehr als 16 000 konsekutive Sessions verkraftet. Damit erreichte sie den unrühmlichen letzten Platz bei den Durchsatzuntersuchungen.

Gateway Security von Symantec 5460
Rein aus ästhetischen Gesichtspunkten ist die Symantec-Applaince unschlagbar. Dieses silbern glänzende Gerät zeigt in seinen schmalen Front-Panels den Systemstatus an und lässt sich darüber schnell einrichten. Verwaltet wurde die Box über ein gut organisiertes HTTP/S-Interface. Hätte Symantec darauf verzichtet, Java für die Verwaltungsaufgaben einzuspannen, die Appliance hätte weit besser abgeschnitten. Aber so arbeitete das Interface langsam und schleppend und erschwerte das Troubleshooting. Als die Firewall beispielsweise unter Last stand, konnten die Tester nicht verifizieren, ob die Box den jüngsten administrativen Befehl tatsächlich ausführte. Leider lässt sich die Appliance nicht per Befehlszeile steuern. Der Administrator ist also an das unsägliche Java-Interface gebunden.

Wer nur grundlegende Funktionen aufsetzen möchte, wird mit den Logs gut zurechtkommen. Wer jedoch Probleme über die Logs lösen möchte, steht vor einer Herausforderung. Die kryptischen Beschreibungen sind wenig hilfreich. Die Tester haben von allen Firewalls bei der Symantec die meiste Zeit investieren müssen, um Fehler zu beheben.

Während des DI-Tests hat die 5460 dagegen herausragende Ergebnisse geliefert. Die Fähigkeiten der kompletten IDS-Signaturen, der Applikation-Proxies, der Anomalie-Detektion sowie der Antivirus-Funktionen überzeugen. Die DI-Künste sind gut zu administrieren, da sich jede Signatur individuell einschalten und modifizieren lässt. Über einen Knopfdruck schaltet der Paket-Filter auf den DI-Modus um. Bei den DI-freien Leistungstests erreichte die 5460 24 000 Concurrent-Sessions, wobei die CPU-Last bei 100 Prozent lag. Erfolgreiche Transaktionen waren unter diesen Bedingungen nur sporadisch zu messen.

Fazit
Die Titanen der Firewall-Welt schauen dank ihrer Deep-Inspection-Engines tief in die Pakete hinein. Sie alle haben GBit/s-Ports, beherrschen Stateful-Failover und VPNs, alles gesteuert über eine zentrale Management-Software. 12 Boxen, jeweils zwei in einem Cluster, mussten zeigen, ob sie für ein professionelles Unternehmensnetz reif sind. Am Ende des Tests stand fest, dass keine der Firewalls ohne Schwäche ist.

Die Netscreen-ISG 2000 von Juniper hat sich am Ende dank der höchsten Leistung durchgesetzt, hat den Sieg aber fast wegen einiger Schwächen beim Management verloren. So hat die Box bei mehr als 100 Regeln wie die viele andere Probleme mit der Darstellung. Auch beim Logging fehlen einige wichtige Funktionen.

Knapp hinter der Juniper-Box liegen Fortinet und Check Point. Die Fortigate von Fortinet schwächelte ebenfalls beim Logging und dem Management großer Regelwerke. Sie erreicht aber das beste Preis-Leistungsverhältnis im Test. Sie darf aber nicht an ihre Grenzen gebracht werden, da sie lange braucht, um sich davon zu erholen. Check Point hat als Software-Produkt keine ASIC-Beschleunigung, weshalb die NG in den Leistungstests zurückfiel. Im Management dagegen hat der Hersteller alle übertroffen.

Die Cyberguard TSP-7100 hätte Check Point auf allen Ebenen Konkurrenz machen können, wäre da nicht der enorme Preis. Die Sidewinder G2 von Secure Computing hat Schwächen bei einfachen Einstellungen im HTTP/S-Interface. Ihr fehlen eine ausführliche Signaturliste und Leistungsstärke. Der letzte Platz von Symantecs 5460-Appliance ist vor allem dem langsamen, auf Java basierenden Management-Interface zuzuschreiben. Eine CLI als Alternative gibt es nicht. Auch die Logs sind kryptisch und daher wenig hilfreich.
pm@networkcomputing.de