Stellvertretend für die verschiedenen Preissegmente bei Firewall-Appliances wurden drei Produkte einer genaueren Prüfung unterzogen: Neben der eher preiswerten "Firewall 1400" von Ingate Systems waren dies Toshibas "Magnia SG20" (ausgerüstet mit der Firewall-Software "Astaro Security Linux" des deutschen Herstellers Astaro Internet Security) sowie Nokias etwas teurere "IP 380". Die Tests erfolgten mit Hilfe spezieller Tools (Ixia 1600 und Ixia Webload), die Datenvolumen, aber auch verschiedene Attacken (Ping of Death, Smurf, Syn und Teardrop) auf die zu testenden Geräte sendeten, um deren Leistung und Abwehrfunktionen auszuprobieren. Die Bewertung der Appliances berücksichtigte dabei die Durchsatzraten im Normalbetrieb und das Verhalten während einer Attacke. Außerdem wurden Bedienfreundlichkeit sowie der Aufwand für Installation und Verwaltung bewertet.
Gerade im Hinblick auf diese Aspekte zeigten sich große Unterschiede: So lässt sich etwa die Toshiba-Appliance komplett via Web-Browser einrichten. Die Bedienung gestaltet sich sehr einfach, was dazu führt, dass die Konfiguration unter einer Stunde zu erledigen ist. Bei der Ingate-Lösung hingegen sind Anwender gezwungen, bestimmte Grundkonfigurationen wie Eingabe der IP-Adressen oder Passwörter via Kommandozeile vorzunehmen. Erst wenn das erledigt ist, können erweiterte Verwaltungsaufgaben über das Web-basierende Interface erfolgen.
Am kompliziertesten gestaltet sich die Bedienung von Nokias Produkt, das auf Checkpoints "Firewall-1/VPN-1 NG" basiert. Die Appliance verfügt mit der Software "Voyager" über ein spezielles Modul für das Geräte-Management, über das auch einzelne Sicherheitsfunktionen der IP 380 angepasst werden können. Die Grundeinstellungen der Firewall inklusive der Sicherheitsregeln und VPN-Tunnel erfolgen dann über Command Line Interface (CLI). Sind diese erst einmal definiert, können Administratoren sie über die grafische Checkpoint-Benutzeroberfläche verändern. Insgesamt ergaben die Labortests, dass Anwender ohne Expertenkenntnisse der Checkpoint-Firewall mit Problemen rechnen müssen.
Im laufenden Betrieb schnitt die Nokia-Appliance etwas schlechter ab als Toshibas Lösung, die im Bezug auf die Leistungsfähigkeit insgesamt den besten Eindruck hinterließ. Toshiba gibt den maximalen Durchsatz mit 735 Mbit/s an, im VPN-Betrieb sollen es 115 Mbit/s beim Einsatz von Ipsec sein. Die IP 380 ist etwas langsamer: Hier liegen die Werte bei 600 Mbit/s beziehungsweise 90 Mbit/s (VPN-Betrieb, mit spezieller Beschleunigerkarte jedoch bis 120 Mbit/s). Dafür brachte sie aber eine kontinuierlichere Leistung und lieferte außerdem bessere Latenzzeiten.
Bei den Tests mit den Ping-of-Death-, Syn- und Teardrop-Attacken hatte die Toshiba/Astaro-Kombination die Nase vor der Konkurrenz. Anders die Situation während des Smurf-Angriffs: Während er die Magnia in die Knie zwang, verlor das Nokia-Gerät zwar auch Datenpakete, lief aber ansonsten ruhig weiter.
Ingates Firewall brachte im Leistungstest recht gute Werte, schnitt jedoch im Vergleich zur Konkurrenz leicht schlechter ab. Obwohl sie alle Angriffe abwehrte, litt der Durchsatz des Geräts während der Syn- und Smurf-Tests deutlich.
Insgesamt stellt Ingates Firewall 1400 jedoch eine dem Preis angemessene, einfach zu installierende und konfigurierende Lösung dar, deren Besonderheit darin besteht, dass sie auch als Session-Initiation-Protocol-(SIP-)Proxy genutzt werden kann. Das ermöglicht den Einsatz im VoIP-Umfeld und rechtfertigt den Preis von 3400 Dollar. Die Leistung bewegt sich, abgesehen vom Verhalten während der Attackentests, im für Appliances typischen Rahmen.
Nokias IP 380 ist mit Anschaffungskosten in Höhe von rund 10000 Dollar (zu denen noch die Checkpoint-Lizenzgebühren kommen) um einiges teurer. Einer ausgereiften und sicheren Firewall-Lösung stehen dabei die Nachteile der komplizierten Bedienung und der verbesserungswürdigen Leistung entgegen. Zu einem Preis ab etwa 2300 Dollar (variiert je nach Konfiguration) bietet Toshibas Magnia eine günstige, leistungsfähige und sichere Lösung, die zudem einfach zu bedienen ist. (ave)