Netzwerksicherheit aus der Box

Netzwerksicherheit aus der Box

Artikel erschienen in IT Magazine 2006/15

Von der Firewall zum UTM

Security-Appliances gibt es mit unterschiedlicher Funktionsvielfalt. Klassisch steht die Firewall im Zentrum, meist ergänzt durch die Möglichkeit zum Aufbau von VPN-geschützten Remote-Access-Verbindungen. Neben Herstellern, die auf Security fokussiert sind, haben viele Anbieter von Routern, ADSL-Modems und anderen allgemeinen Netzwerkkomponenten solche Firewall-Appliances im Programm – Beispiele sind Netgear, D-Link und Zyxel. Die Gerätepalette reicht von einfachen Boxen fürs Heimbüro bis zu skalierbaren Systemen mit Load Balacing für Grossunternehmen und Telcos.
Vor allem einige Virenschutzhersteller haben eine andere Art von Security-Appliance im Angebot: Viren-, Spam-, Spyware- und Web-Content-Filtering-Boxen, die hinter einer bereits bestehenden Firewall den Internetverkehr nahe dem Gateway überwachen und unerwünschte Inhalte ausbremsen. Der Markt hält auch einige Appliances bereit, die sich ausschliesslich um den Mail-Verkehr kümmern und andere Protokolle ausser acht lassen. Auch diese Einheiten verfügen nicht über eine integrierte Firewall und eignen sich demnach nur für Netze, die bereits durch eine Firewall abgesichert sind. Die Firewall-losen Malware-Schutz- und Content-Filtering-Appliances eignen sich am besten für mittlere und grössere Umgebungen.
Anders die sogenannten UTM-Appliances: Die Abkürzung steht für «Unified Threat Management» und bezeichnet All-in-one-Geräte, die inklusive Firewall sämtliche benötigten Sicherheitsfunktionen in einem Gehäuse versammeln. Fortgeschrittene UTM-Appliances kümmern sich neben der Absicherung des traditionellen Netzwerkverkehrs auch um neue Technologien wie VoIP, Streaming und XML-Verarbeitung, die ja auch neuartige Risiken mit sich bringen.
Wie Firewalls sind auch UTM-Geräte für alle Unternehmensgrössen erhältlich. Besonders preisgünstige Modelle fürs Kleinbüro finden sich ab wenigen hundert Franken in der Safe@Office-Linie von Check Point oder bei den TZ-Firewalls von Sonicwall, die sich per Softwareoption um diverse UTM-Funktionen erweitern lassen.







Security-Appliances im Überblick



Eine Vielzahl von Modellen

Unsere Marktübersicht präsentiert in Kurzform die 19 wichtigsten Anbieter von Security-Appliances mit Firewall- und/oder Content-Filtering-Funktionalität. Nicht berücksichtigt sind reine IDS/IPS-Systeme (Intrusion Detection/Prevention) wie die Systeme des 3Com-Unternehmens TippingPoint, ebenso einige Hersteller wie Hotbrick und Celestix, für die wir keine Schweizer Bezugsquelle ermitteln konnten.
Eine detaillierte Auflistung aller Modelle mit ihren technischen Daten würde den Rahmen eines Zeitschriftenartikels sprengen: Die meisten Hersteller haben mindestens ein halbes Dutzend Modelle im Programm; nicht wenige davon sind überdies in verschiedenen Varianten erhältlich.




Traditionelle Netzwerkhersteller wie D-Link, Linksys, Netgear und Zyxel führen in erster Linie reine Firewall/VPN-Boxen, die meist zusätzlich mit einem 4- oder 8-Port-Switch ausgestattet sind. Auch Nokia konzentriert sich mit seiner IP-Linie in sage und schreibe elf Modellen ganz auf Firewalls und bietet zusätzlich eine separate Produktfamilie mit reinen VPN-Geräten an; im Hintergrund steht jeweils die Firewall- und VPN-Technologie von Check Point.




Virenschutzhersteller wie McAfee und Trend Micro verzichten in ihren Appliances auf Firewall-Funktionen, statt dessen beherrschen die Geräte das Ausfiltern von Viren und anderer Malware, Spam und unerwünschtem Web-Content. Sophos und F-Secure haben auf Mail-Verkehr spezialisierte Appliances im Programm. Panda Software offeriert neben dem Content-Filter Gatedefender Performa auch die UTM-Appliance Gatedefender Integra inklusive Firewall.
Die meisten übrigen Anbieter statten manche Geräte mit mehr oder weniger ausgeprägter UTM-Funktionalität aus. Einige Highlights:
Die Security Gateways von Astaro sind in sieben Grundmodellen erhältlich: Während die Einstiegsvariante 110 maximal zehn User unterstützt, ist das grösste Modell 525 optional mit Fibre-Ports erhältlich. Mit zwei Xeon-Prozessoren ausgerüstet, bewältigt die Firewall bis zu 3 Gbit pro Sekunde und unterstützt eine Million gleichzeitiger Verbindungen.
Bei Check Point Software gibt es Appliances in zwei Varianten: Die KMU-Produktelinie Safe@Office besteht aus Modellen für 5, 25 und unbeschränkt viele User, jeweils mit und ohne Wireless-Accesspoint und ADSL-Modem zu US-Preisen zwischen 215 und rund 1200 Dollar. Neben einer Firewall mit 100
Mbit/s Durchsatz bietet die gelbe Box Wurm- und Virenschutz, VPN und Web-Filtering. Die zweite Appliance von Check Point nennt sich VPN-1 UTM Edge und ist für die Absicherung von Filialen konzipiert. Sie lässt sich über die hauseigene Management-Software verwalten (Smartcenter oder Provider-1).




Juniper ist als Ausstatter von Telcos und Grossunternehmen bekannt. In den Security-Produktelinien Netscreen und ISG finden sich denn auch High-end-Appliances wie der Netscreen 5400, der mit bis zu 39 Gigabit pro Sekunde Firewall-Throughput auch anspruchsvollste Bedürfnisse abdeckt. Weniger bekannt: Juniper hat auch Low-end-Equipment, angefangen mit dem Einstiegsmodell SSG 5 mit 160 Mbit/s Durchsatz und optional integriertem ISDN- oder ADSL-Interface.
Security Appliances können auch aus deutschen Landen stammen. Die Lüneburger Securepoint GmbH bietet passend zu ihrer Softwaresuite massgeschneiderte Hardware in fünf Varianten an. Das Einstiegsmodell RC1 im Cigar-Box-Gehäuse zu 650 Euro bewältigt 80 Mbit/s, Modell RC5 (€5000) wartet mit über fünffacher Leistung auf. Die Funktionalität umfasst Firewall, VPN, Virenscanner, Content- und Spamfilter sowie Intrusion Protection.




Sonicwall führt optional mit diversen UTM-Funktionen erweiterbare Firewalls in den Produktelinien TZ und Pro. Unter der Bezeichnung TotalSecure sind die Einheiten auch mit vorinstallierter Software erhältlich. Daneben hat Sonicwall noch Filter-Appliances namens Content Security Manager im Programm.
Einer der Pioniere in Sachen Hardware-Firewalls ist Watchguard mit den feuerroten Firebox-Produkten. Neben einer SOHO-Variante teilt der Hersteller seine Palette in die drei Produktelinien Firebox X Edge, Peak und Core mit Firewall-Durchsatzraten zwischen 80 Mbit/s und 2 Gbit/s ein. Alle Geräte bieten umfassende UTM-Funktionen.





Welche Firewall-Grösse passt?


(ubi)
Seite 2 von 2
 

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER