computerwoche.de

Archiv

Firewalls: Jetzt geht es um Feintuning

05.12.2002
Von Sabine Ranft
MÜNCHEN (COMPUTERWOCHE) - Technologisch gelten Firewalls als ausgereift, so dass sich die Hersteller jetzt auf die Feinabstimmung konzentrieren. Der Trend geht zur Einbindung zusätzlicher Funktionen wie Virtual Private Networks (VPNs) oder Inhaltsfilterung (Content Filtering). Ein einfacheres Management ist vor allem für Unternehmen mit vielen Niederlassungen ein Thema.

„Auf dem Firewall-Markt hat ein Verdrängungswettbewerb stattgefunden“, resümiert Stefan Strobel, Geschäftsführer des Sicherheitsberatungsunternehmens Cirosec aus Heilbronn. „Die Nischen-Player verschwinden.“ Als übrig gebliebene große Anbieter nennt er Checkpoint, Cisco, Netscreen und Symantec. Während die ersten drei vor allem auf Stateful Inspection Firewalls setzen, stellt Symantec vornehmlich Application Proxys her. Cisco und Netscreen haben einen hardware-, Checkpoint und Symantec einen softwareorientierten Ansatz. Netscreen benutzt speziell entwickelte Chips, die das Gerät beschleunigen. Auch in der Tiefe der Sicherheit unterscheiden sich die Hersteller

gravierend.

Nach Meinung der Robert Frances Group haben sowohl Application Proxys als auch Stateful Inspection Firewalls und Paketfilter ihren Platz in Unternehmen. Paketfilter blockieren Daten allein anhand von Informationen wie Quell- oder Zieladresse eines Pakets. Einige Paketfilter bieten zusätzlich Stateful Inspection, das heißt, sie beziehen auch Informationen über den Verbindungsstatus ein. Zum Beispiel könnte eine solche Firewall Datenfluss von außen nach innen verbieten, es sei denn, es handelt sich um die Antwort auf eine Anfrage. Application Proxys dagegen überprüfen Daten auf Inhaltsebene. Wegen dieser zusätzlichen Funktionalität sind Application Proxys in der Regel teurer als Paketfilter und häufig schwieriger zu konfigurieren. Auf der anderen Seite bieten sie einen größeren Schutz.

Auffällige Probleme gibt es mit Firewalls nicht mehr, weil die Technik schon weit fortgeschritten ist. Hersteller feilen noch an den Punkten Kosten und Effizienz. „Die derzeit größte Herausforderung stellt das Management für verteilte Unternehmen dar“, hebt Anna Focks, Area Sales Director Central & Eastern Europe beim Firewall-Appliance-Hersteller Watchguard, hervor. Firmen benötigen dazu ein Management-Tool, das auch mit anderen Produkten zusammenarbeitet. Im Einzelnen muss es ermöglichen, via Fernzugriff jedes Gerät anzusprechen und Sicherheitsregeln an alle Appliances zu verteilen. Eine zentrale Logging-Funktionalität sollte nach Meinung von Focks vorhanden sein. Manche Eigenschaften werden schon heute von vielen Produkten geboten: „Zentrale Management-Server sind bereits Standard“, weiß Strobel.