Im Labor mussten drei Firewalls mit erweiterter Funktionalität ihre Leistungsfähigkeit unter Beweis stellen: Neben Fortinets "Fortigate-500" wurden Watchguards "Vclass V80" sowie "Sonicwall Pro 330" von Sonicwall geprüft. Für die Tests emulierte man mit Hilfe einer Suite von Lösungen von Spirent Communications ein Multiprotokollnetz und startete dann eine Reihe von Attacken wie Syn, Smurf, Reset oder ARP-Floods. Außerdem wurde untersucht, ob die Produkte halten, was die Hersteller in Bezug auf die Anzahl der unterstützten VPN-Tunnels und die dabei gebotene Transferleistung versprechen.
Die Installation der rund 10000 Dollar teuren Fortigate gestaltet sich dank der intuitiv zu bedienenden grafischen Benutzeroberfläche relativ einfach. Vom zentralen Menü gelangt man leicht in die Unterbereiche System, Firewall, User, VPN, NIDS (Network Intrusion Detection System), Antivirus, E-Mail, Web-Filter sowie Logs und Reports. Dort sind die jeweiligen Einstellungen vorzunehmen beziehungsweise Funktionen abzurufen. Das Gerät besitzt keinen echten Spam-Schutz, bietet aber die Möglichkeit, mit Hilfe der Web-Filter Inhalte über Schlüsselwörter abzublocken.
Leistung unter Last
Die Log-Funktion ist ziemlich feinkörnig. Beim Auftreten bestimmter Ereignisse können Benachrichtigungen ausgelöst werden, die je nach Bedeutung einer von fünf Wichtigkeitsstufen zugeordnet werden können.
Bei den direkten Tests hielt Fortigate allen Attacken stand, unabhängig davon, ob diese getrennt oder kombiniert stattfanden. Das Gerät unterstützt 2400 Multiprotokoll-Verbindungen pro Sekunde und ist in der Lage, 422000 dauerhafte Verbindungen aufrechtzuerhalten. Allerdings häuften sich bei mehr als 260000 Übertragungen die Verbindungsverluste. Um die VPN-Fähigkeiten zu testen, wurde das Gerät umkonfiguriert. Da es keine Möglichkeit gibt, VPN-Tunnel zu klonen, dauerte es einige Stunden, die Firewall entsprechend anzupassen. Zwar ließen sich bis zu 2000 Verschlüsselungskanäle aufbauen, doch in den Tests weigerte sich das Gerät, gleichzeitig mehr als 1023 Tunnels zu unterstützen. Die bei Übertragungen gemessene Durchsatzrate betrug dabei 25,2 Mbit/s in beide Richtungen. Damit erzielte Fortigate das zweitbeste Resultat im Testfeld.
Die schwächste Leistung lieferte Sonicwall Pro 330 ab. Das Gerät bietet dennoch eine dem Anschaffungspreis von etwa 2800 Dollar angemessene Leistung. Die Installation erfolgt über das Browser-basierende Interface. Die Konfiguration ist etwas verworren: So müssen für den Weitverkehrslink entweder IP-Adressbereiche eingegeben oder aber ein Gateway benannt werden, über das der Datenverkehr zu routen ist.
Der etwas unterdimensionierte "Strongarm"-Prozessor mit 233 Megahertz brachte es immerhin in der Sekunde auf 340 Verbindungen und unterstützte 96000 gleichzeitige Übertragungen. Den unterschiedlichen Angriffen hielt die Sonicwall im Großen und Ganzen zwar stand, während der ARP-Attacke stieg der Anteil der erfolglosen Übertragungen jedoch auf 28,4 Prozent an.
Mit 843 aktiven VPN-Tunneln reichte die Firewall fast an das Fortigate-Produkt heran, allerdings mit einem wesentlich langsameren Durchsatz von 5,5 Mbit/s. Oberhalb der Grenze von 843 verschlüsselten Verbindungen begann das Gerät, Tunnels zu verlieren. Der Durchsatztest führte zu einer geringen Anzahl von Cyclic-Redundancy-Check-(CRC-)Fehlern sowie einigen fragmentierten Krypto-Tunnels.
Weitaus leistungsfähiger ist die Lösung von Watchguard. Dessen rund 11500 Dollar teure "Vclass 80" bietet unter anderem nützliche Features wie die unternehmensseitige Unterstützung des Dynamic Host Configuration Protocol (DHCP) oder die Möglichkeit, bei Eintreten bestimmter Zustände E-Mail-Alarme auszusenden. In der Voreinstellung blockt Vclass 80 jeden Verkehr ab. Über den "Hacker Prevention Screen" lassen sich die Parameter individuell verändern. Unter anderem ist es möglich, Schwellenwerte für einzelne mögliche Protokolle wie Internet Control Message Protocol (ICMP) oder User Datagram Protocol (UDP) zu setzen, um Attacken entgegenzuwirken. Außerdem lässt das Gerät den Administrator alle Server im Netz untersuchen und die Konfigurationsparameter dann so formulieren, wie es dem Schutz des Schwächsten davon entspricht. Insgesamt zeigt sich die Lösung als sehr flexibel und skalierbar.
Bei den Tests unterstützte Vclass 1150 Verbindungen pro Sekunde und konnte fast 126000 Übertragungen dauerhaft halten. Die Attacken hatten kaum Auswirkungen auf das Gerät. Es war jedoch zu beobachten, dass die Latenzzeit währenddessen zunächst minütlich anstieg, ohne erkennbare Ursache ab einem gewissen Punkt aber wieder sank. Auch im Hinblick auf die VPN-Funktion hat die Watchguard-Lösung die Nase vorn: 7968 Krypto-Kanäle sind möglich, wobei es das Gerät auf einen bidirektionalen Durchsatz von 63 Mbit/s pro Tunnel bringt. (ave)
Stärken und Schwächen
Wem es in erster Linie auf die Firewall-Funktionen ankommt, der ist mit der Fortigate-500 gut bedient. Spielen VPN-Verbindungen zudem eine Rolle, ist eher Watchguards V80 der Vorzug zu geben. Sonicwalls Pro 330 ist zwar die im Vergleich zu den anderen Produkten die schwächste Lösung, kostet dafür jedoch auch nur ein Drittel und bietet eine für die meisten mittelständischen Unternehmen ausreichende Leistung.