Hardware-Firewalls
Sicher nur für Profis

NetzwerkeSicherheit

Hardware-Firewalls schützen das Netzwerk perfekt vor Hackerangriffen. Die Konfiguration ist jedoch eine knifflige Angelegenheit. Welche Firewall die beste Performace bietet, zeigt unser Vergleichstest.

Diese Produkte haben wir verglichen

Hardware-Firewalls

Microsoft Outlook 2003
Ritlabs The Bat 2.04.7
Intellegit Gemini 1.24a
Blueprint Poco Mail 3.03
Qualcomm Eudora 6.0
Opera Opera 7.23
IBM Lotus Notes 6.5
Samsung Pigeon Mail ?n? Fax 3.0
Cyrusoft Mulberry 3.1.1
Esys Marlin 1.0
Rimarts Becky 2.05

Rose City
Courier 3.5
Axolot Biz Mail 1.10
JP Soft Ebox 1.0
Mozilla Thunderbird Mailer 0.5/Mozilla 1.6/Netscape Mail 7.1
Microsoft Outlook Express 6.0
Harris Pegasus Mail 4.12a
Yamamoto Sylpheed Claws 0.9


Performance-Differenzen

Hardware-Firewalls

Schon in den Grundeinstellungen schützen die getesteten Firewalls das
Netzwerk perfekt vor Hackerangriffen. Diese Sicherheit muss sich der
Netzwerk-Administrator jedoch hart erarbeiten. Der Test von neun
Hardware-Firewalls zeigt, dass die Konfiguration eine knifflige
Angelegenheit ist. Darüber hinaus treten im Vergleichstest enorme
Leistungsunterschiede auf.

Die Performance-Differenzen erklären
sich durch die verschiedenen Hard- und Software-Komponenten der
Firewalls. Das Zusammenspiel aus Netzwerk-Karte, Prozessor,
Filter-Engine und Betriebssystem entscheidet über die
Gesamt-Performance. Für die Lastmessungen haben die Techniker eigene
Benchmarks entwickelt. In einem LAN ohne Firewall ist die
Datenübertragung der 100 MByte großen Testdatei in 2:37 Minuten
erledigt. Kaum Einbußen hat der Administrator beim Einsatz der
Symantec-Firewall, die Datei ist in 2:51 Minuten übertragen. Am längsten
dauert es mit Watchguard: 7:35 Minuten.

Zwei Arbeitsweisen

Bei allen Herstellern ist jeweils eine proprietäre Software für die
eigentlichen Firewall-Funktionen zuständig. Checkpoint beispielsweise
setzt auf die hauseigene Firewall 1. Die Hauptaufgabe einer Firewall ist
das Filtern der eingehenden Datenpakete. Sie prüft nach eingestellten
Regeln, ob ein Paket weitergeleitet oder sofort gelöscht wird.

Grundsätzlich ist zwischen zwei Arbeitsweisen zu unterscheiden:
Paket-Filterung oder Stateful-Inspection. Bei der Paketfilterung
kontrolliert die Firewall alle Ports. Ist beispielsweise Port 80
geöffnet, werden alle Web-Anfragen weitergeleitet. Bei
Stateful-Inspection prüft die Software zusätzlich im TCP-Header, ob die
Mail wirklich auf dem HTTP-Protokoll basiert. Falls die Mail
beispielsweise zusätzlich potenziell gefährliche VBA-Skripts enthält,
wird das ganze Paket gelöscht.


Midrange-Klasse

Hardware-Firewalls

Fortinet Fortigate 60
Fortigate 60 von Fortinet glänzt mit guten
Benchmark-Resultaten und einfacher Administration. Fortigate erhält in der
Midrange-Kategorie die »Empfehlung der Redaktion«.


Lastsimulation

Hardware-Firewalls

Für den Vergleichstest der Firewalls verwenden die Techniker besonders
aufwändige Testverfahren. Zum einen entwickeln sie zwei neue Benchmarks
für die Lastsimulation. Die Lasttests zeigen, ob die Firewalls den
Netzwerk-Verkehr bremsen und wie hoch der Geschwindigkeitsverlust in
einem gängigen Unternehmens-LAN ist. Zum andern werden drei
Testszenarios entwickelt (siehe Grafiken). Diese spiegeln jeweils den
realen Einsatz von Firewalls im Unternehmens-LAN wider.

Die drei
Szenarien sehen wie folgt aus: Im Test-LAN 1 werden die Firewalls mit
den Default-Einstellungen getestet. Das bedeutet, die Probanden müssen
beweisen, wie sicher sie bereits ab Werk sind. Die Tester nehmen
keinerlei Spezial-Einstellungen vor, mit Ausnahme der Vergabe der
nötigen IP- und Sub-Netze. Im ersten Test-LAN arbeitet die Firewall
zwischen einer Workstation und dem
Internet. Via Security Space
werden die eventuell vorhandenen
Sicherheitslücken ermittelt. Das Tool führt über eine DSL-1500-Leitung
von 1&1 rund 1800 unterschiedliche Angriffssimulationen durch, darunter
Portscans, IP-Spoofing oder DoS-Attacken. Das Ergebnis: Generell liefern
alle Firewalls im Test optimale Sicherheit.

Das zweite Test-LAN
ist einem gängigen Unternehmens-LAN nachempfunden. Die Clients im Test
greifen via Firewall und Router (Netgear FVR 314, ohne integrierte
Firewall) auf das Web zu. Der Mailverkehr läuft über den in der DMZ
arbeitenden Mailserver. Die Firewall arbeitet mit der voreingestellten
IP-Adresse, die DMZ erhält auch eine feste IP-Adresse (192.168.3.10).
Ausnahme ist hier die Firewall von Symantec.

Diese bekommt
aufgrund des fehlenden PPPoE via DHCP des Routers eine IP zugewiesen.
Die Labortechniker schließen für den Test alle Sicherheitslücken, die
der Security-Space-Test aufzeigt, und unterbinden beispielsweise den
Zugriff auf Freemailer via POP3 im lokalen Netzwerk. Danach wird
kontrolliert, ob alle vom Testsystem gefundenen Sicherheitslücken jetzt
geschlossen sind.

Zur Ermittlung der Leistung der Firewalls im
LAN ist der dritte Testaufbau konzipiert. 19 Pentium-4-Clients greifen
via Firewall auf den Lastserver (Toshiba Magnia Z3310) zu. Der Server
arbeitet mit einer festen IP (192.168.2.0). Die Firewall hingegen nutzt
zwei IPs, eine ausgehende für das LAN (172.16.81.30) und eine eingehende
fürs WAN (192.168.2.50).

Gängige Benchmarks wie Netbench eignen
sich nicht für Lasttests mit einer Firewall im LAN. Der Traffic lässt
sich mit einer implementierten Firewall nicht messen. Aus diesem Grund
entwickeln die Tester zwei eigene Verfahren. Zum einen messen sie den
Dateitransfer mit Office-typischen Dateien. Dies sind in erster Linie
Word-Dokumente, Excel-Files, Präsentationen, Grafiken und Binärdateien,
die in einer weit verschachtelten Netzwerk-Verzeichnisstruktur
(Windows-2000/XP-Netzwerk) bereitstehen. Außerdem wird ein
FTP-Filetransfer gestartet. Der Microsoft-Scheduler der Clients stößt
den Transfer der gesamten Struktur gleichzeitig an.

Der
Mittelwert der Übertragungszeit aller Clients ergibt den File-Benchmark.
Die Messungen des FTP-Transfers realisieren die Techniker per Skript,
das auf den 19 Test-Clients läuft. Automatisch und zeitgleich zum
Last-Server baut sich die FTP-Verbindung auf. Über diese Leitung laden
die Clients binäre Dateien und Textdateien mit aufsteigender Größe vom
Server herunter und bauen die Verbindung wieder ab. Im selben Skript
wird dann die Verbindung wieder aufgebaut und die gleichen Dateien
wieder auf den Server zurückgeschrieben.


Testergebnisse im Überblick

Hardware-Firewalls

Hersteller Produkt Gesamturteil Sicherheit (50 %) Ausstattung (30 %) Leistung (20 %)
Microsoft Outlook 2003 sehr gut 97,3 90,7 92,1
Ritlabs The Bat 2.04.7 gut 94,1 86,0 88,6
Intellegit Gemini 1.24a befriedigend 83,6 65,5 63,9
Blueprint Poco Mail 3.03 befriedigend 69,9 74,3 84,1
Qualcomm Eudora 6.0 befriedigend 72,0 64,5 59,3
Opera Opera 7.23 ausreichend 62,5 62,0 74,7
IBM Lotus Notes 6.5 ausreichend 57,2 72,8 65,4
Samsung Pigeon Mail ?n? Fax 3.0 ausreichend 66,7 50,5 73,5
Cyrusoft Mulberry 3.1.1 ausreichend 50,9 65,5 70,8
Esys Marlin 1.0 ausreichend 45,6 78,0 63,1
Rimarts Becky 2.05 ausreichend 54,1 62,3 63,9
Rose City Courier 3.5 ausreichend 50,9 56,4 66,4
Axolot Biz Mail 1.10 ausreichend 58,3 50,5 40,8
JP Soft Ebox 1.0 mangelhaft 53,0 37,2 45,2
Mozilla Thunderbird Mailer 0.5/Mozilla 1.6/Netscape Mail 7.1 sehr gut 94,3 89,8 85,9
Microsoft Outlook Express 6.0 gut 91,3 82,4 78,9
Harris Pegasus Mail 4.12a gut 97,3 67,0 68,3
Yamamoto Sylpheed Claws 0.9 befriedigend 73,5 68,3 65,0