Keine Chance für Angreifer: Acht Firewalls im Test

So viel Konvergenz und Sicherheit mag zwar auf den ersten Blick wie die ideale Lösung erscheinen, jedoch sollte man dabei ein paar Dinge bedenken. Bevor man sich auf ein solches Gerät einlässt, sind Aspekte wie der Verwaltungsaufwand und Einbußen bei der Netzwerk-Performance in Betracht zu ziehen und zu untersuchen.

Manche Firewalls beinhalten heute die so genannte Stateful Packet Inspection (SPI) sowie eine vereinfachte Form der Datenüberprüfung. Dabei werden die Daten Paket für Paket überprüft und zwar je nachdem, ob die Firewall die Daten als legitim einstuft oder nicht. Alle verdächtigen oder unaufgefordert eintreffenden Datenpakete werden dabei markiert, protokolliert oder einfach abgelehnt. Aus diesem Grunde dürfen die Datenpakete nur dann die Firewall passieren, wenn sie mit einer gültigen Sitzung assoziiert werden können, die innerhalb des Netzwerks eingeleitet wurde.

SPI-Firewalls können ihre Fähigkeiten voll ausspielen, wenn sie in Kombination mit anderen Methoden zur Datenüberprüfung innerhalb der Firewall oder in einer anderen im LAN befindlichen Firewall eingesetzt werden. SPI bietet ein gewisses Maß an Sicherheit, ohne die Performance im Netzwerk zu beeinträchtigen. Würde ein großes Unternehmen sein Firmennetzwerk schützen wollen und dazu sämtliche ein- und ausgehende Datenpakete erfassen, protokollieren, auf Auffälligkeiten überprüfen und anschließend zum Urheber zurückverfolgen, hätte dies schlicht inakzeptable Auswirkungen auf die verfügbare Bandbreite im Netzwerk. SPI kann (was allerdings auch keine ideale Lösung ist) diese Einbußen verringern, während gleichzeitig andere Sicherheitstechniken implementiert werden, die sich um die Defizite von SPI kümmern. SPI eignet sich gut als zusätzliche Technologie für den Schutz einer “demilitarisierten Zone“ beziehungsweise eines Netzwerks, in dem manche Rechner oder Server öffentlichen Zugriff benötigen, denn es verfügt über die Fähigkeit, bestimmten individuellen IP-Adressen oder Segmenten im LAN geöffnete Ports zu erlauben. Dies gibt dem Administrator die Möglichkeit, aus einer Liste von Ports genau diejenigen auszuwählen, die auf der IP-Adresse jedes beliebigen Rechners im LAN geöffnet oder geschlossen werden sollen.

Um kurz die schnelle technische Entwicklung von Firewalls aufzuzeigen sind hier nur ein Teil der Möglichkeiten heutiger Geräte aufgeführt. Interessanter sind jedoch die Tests bei welchen Produkte der Hersteller Lucent, Netgear, Netscreen, Nokia, Nortel, Symantec, 3Com, Trend Micro und Watchguard geprüft wurden.