Security-Appliances
Starke Sheriffs
Diese Produkte haben wir verglichen
Security-Appliances
_Astaro ASG 110
_Zyxel Zywall 35
_Sonicwall TZ 170 Total Secure
_Checkpoint Safe@Office 225
_Lancom VPN 1711
_Cisco 871
Viele Zusatzfunktionen
Security-Appliances
Verglichen mit einem herkömmlichen Router bieten aktuelle Security-Appliances wesentlich mehr Funktionen. So ist die Erkennung von Angriffen über eine Intrusion-Detection (IDS) inzwischen schon bei Geräten unter 1000 Euro Standard.
Zusätzlich finden sich Features wie Virenscanner für E-Mail-Anhänge und aus dem Internet heruntergeladene Dateien sowie Spamfilter und Content-Überwachung. Diese Zusatzfunktionen verschlingen mehr Rechenleistung als die reine Routingfunktion. Im Sicherheits-Check mit der BSI-Suite schneiden alle Geräte gleich gut ab. Bei Performance und Benutzerfreundlichkeit gibt es aber große Unterschiede.
Astaro ASG 110
Security-Appliances
Als einzige Appliance im Test setzt Astaro auf PC-Hardware, im Labor belegt sie durchgängig Spitzenplätze in den Leistungsmessungen. Die Festplatte erlaubt das Puffern großer Dateien für den Virenscan. Im PCpro-Test gibt sich die ASG 110 auch keine Blöße und wird so mit deutlichem Abstand zum restlichen Teilnehmerfeld verdient Testsieger.
Der Sicherheits-Check
Security-Appliances
Um die Leistungsfähigkeit der in den Appliances eingebauten Schutzfunktionen zu testen, verwenden die PCpro-Experten die BSI OSS Security Suite (www.bsi.de), mit deren Tools sie die Probanden intensiv unter Beschuss nehmen. Die BSI-Suite simuliert zum einen bekannte Angriffe auf Schwachstellen in Betriebssystemen und Netzwerkgeräten, die von den Appliances erkannt und gemeldet werden sollten. Zum anderen prüft sie, ob die Appliances selbst über Schwachstellen angreifbar sind.
Bei der Angriffsabwehr bestehen alle Kandidaten den Test mit Bravour: Die Laborexperten registrieren keine einzige erfolgreiche Attacke. Anders sieht das Bild jedoch bei der Benachrichtigung des Anwenders aus. Lediglich die Sonicwall TZ 170 meldet dem Administrator die meisten Angriffe auch als solche, während der Rest des Testfelds sie bereits in der Firewall abfängt und nur als unzulässige Pakete markiert. So verpuffen die Attacken zwar wirkungslos, allerdings bleibt auch dem Administrator der versuchte Einbruch ins Netz verborgen.
Ein Problem meldet der BSI-Scanner bei der Lancom 1711 VPN. Das Protokoll für den Schlüsselaustausch bei IPsec-Verbindungen sei eventuell fehlerhaft, im schlimmsten Fall eine DoS-Attacke auf die VPN-Verbindungen möglich. Hierbei handelt es sich aber um eine bekannte Eigenheit der Lancom-Appliances. Im Auslieferungszustand ist VPN-Passthrough aktiviert, um Anwendern den Zugriff auf einen hinter der Firewall arbeitenden VPN-Server zu gewähren. Dazu müssen eingehende VPN-Anfragen zunächst angenommen und geprüft werden. Das führt zu der beschriebenen Fehlinterpretation durch den BSI-Scanner. Eine Sicherheitslücke ist dieses Verhalten nicht, außerdem lässt sich die Passthrough-Funktion abschalten
Testergebnisse im Überblick
Security-Appliances
| Hersteller | Produkt | Gesamturteil | Leistung (50 %) | Ausstattung (20 %) | Bedienung (15 %) | Service (15 %) |
| Astaro | ASG 110 | gut | sehr gut | sehr gut | gut | ausreichend |
| Zyxel | Zywall 35 | gut | befriedigend | gut | sehr gut | befriedigend |
| Sonicwall | TZ 170 Total Secure | befriedigend | befriedigend | befriedigend | gut | sehr gut |
| Checkpoint | Safe@Office 225 | befriedigend | gut | ausreichend | befriedigend | ausreichend |
| Lancom | VPN 1711 | befriedigend | befriedigend | ausreichend | ausreichend | gut |
| Cisco | 871 | ausreichend | ausreichend | ausreichend | gut | ausreichend |