Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Stateful Packet Inspection (SPI) ist eine einfache Form der Datenüberwachung, bei der die Daten paketweise darauf untersucht werden, ob die Firewall die Daten für legitim hält. Alle verdächtigen oder unangeforderten Pakete werden markiert, dokumentiert oder ganz einfach abgeblockt. Pakete dürfen die Firewall nur passieren, wenn sie mit einer gültigen Session verknüpft sind, die innerhalb des Netzwerks initiiert wurde.

Falls ein Trojaner es wegen eines nachlässigen Benutzers geschafft haben sollte, alle Sicherheitsvorkehrungen zu umgehen, wird eine SPI-Firewall die Daten durchlassen, da sie scheinbar von einer legitimen Anfrage aus dem LAN herrühren. SPI-Firewalls kommen daher vor allem in Kombination mit anderen Methoden der Datenuntersuchung innerhalb der Firewall oder mit einer weiteren Firewall im LAN zum Einsatz. SPI bietet ein gewisses Maß an Abdeckung, ohne die Performance im Netzwerk sonderlich zu beeinträchtigen.

Falls ein großes Unternehmen sein Unternehmensnetzwerk schützen wollte, und daher jedes einzelne ein- und ausgehende Datenpaket abgefangen, dokumentiert, auf Merkwürdigkeiten hin untersucht und dann verfolgt werden würde, dann wäre die Beeinträchtigung der Netzwerkbandbreite nicht mehr akzeptabel und die Firewall erwiese sich als Engpass. SPI ist daher zwar keine Ideallösung, kann aber für Erleichterung sorgen, während zusätzliche Techniken implementiert werden können, um die Schwachstellen auszugleichen. Ein Vorteil von SPI ist, dass es als zusätzliche Technologie eingesetzt werden kann, um eine DMZ (demilitarisierte Zone) oder ein Netzwerk zu schützen, das den öffentlichen Zugang auf einige Rechner oder Server erfordert. SPI kann bestimmten einzelnen IP-Adressen oder Segmenten des LAN offene Ports erlauben, so dass der Administrator diese im Prinzip aus einer Liste auswählen kann: zu öffnende oder zu schließende Ports für die IP-Adresse eines jeden Rechners im LAN.

Die Mehrzahl dieser Geräte ist mehr als nur eine Firewall, aber bei diesem Test ging es erst einmal um ihre Firewall-Funktionen. Was die Geräte noch an Zusatzfunktionen zu bieten haben, kann man der Tabelle mit der technischen Ausstattung entnehmen.

Themenseiten: Security-Praxis, Servers, Spyware, Storage, Storage & Server

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

11 Kommentare zu Hardware-Firewalls im Test: Wer bietet den besten Schutz?

Kommentar hinzufügen
  • Am 14. Oktober 2009 um 11:20 von Gerald Humer

    Firewall Appliances aus Österreich von underground8
    Also wir verwenden seit Jahren Firewall Appliances von underground8, einem österreichischen Hersteller. Die sind auch komplett unlimitiert und der Heuler ist dass sogar die VPN Client Software auf diesen Boxen zum Runterladen bereit stehen. Die Antispam Appliance kkann man sogar runterladen als VMware Image … http://www.underground8.com – Sollte man schon in Erwägung ziehen bei so einem heiklen Teil mal bei einem europäischen Hersteller zuzuschlagen und nicht immer nur die Amisachen zu kaufen.
    LG

  • Am 11. April 2007 um 17:56 von Ghostrider

    Testergebnisse???
    Hallo!

    Liegt’s an mir (scheinbar blind), oder wird einfach nur gesagt was getestet wurde und danach dann ein Fazit präsentiert OHNE die Testergebnisse zu zeigen?
    Welche Firewall / welcher Router hat denn nun Schwachstellen gezeigt? Welches Gerät hat seine Spezifikationen erfüllt und welches bietet vielleicht die beste Leistung für’s Geld?

    So ist der Test doch etwas merkwürdig. Das TOP-Gerät von Juniper gegen teilweise sehr kleine Lösungen anderer Hersteller.

    Ein Vergleich wie Smart gegen Leopard II.

  • Am 13. März 2006 um 14:20 von Knut Knudsen

    Es fehlen ettliche Anbieter
    Es fehlen ettliche Anbieter! Schöner wäre ein Test für Mittelständische Unternehmen gewesen oder eine generelle Aufteilung in Small, Middle & Enterprise mit allen Herstellern.

  • Am 12. Oktober 2005 um 20:04 von reiner maier

    komischer vergleich
    wenn man sich die produkte mal genauer anschaut, fällt eines auf, ein großer preisunterschied!!! man kann auch sagen, äpfel werden mit birnen verglichen, und die üblichen verdächtigen gewinnen mal wieder, sehr opjektiv :-)))). zum thema pix, jo, die trifft man noch häufig, liegt am namen, nur die qualität ist nicht wirklich ausreichend für den preis! ich denke jeder der schon mit verschiedenen herstellern in kontakt gekommen ist, wird sehen, dass die pix keine gute firewall ist, cisco ist gut im routerbereich, aber firewall oder noch besser die ids lösung sind mehr als dürftig.

  • Am 7. Oktober 2005 um 17:16 von Jörg Oertel

    Und wo ist der Vergleich mit Check Point?
    Sicher fehlt die Pix im Vergleich, aber ebenso fehlen die Safe@Office-Appliances von Check Point.

  • Am 7. Oktober 2005 um 14:17 von Christoph Gartmann

    Pix fehlt
    Wie schon von anderen geschrieben: ich habe Ciscos Pix vermißt. Dabei muß man allerdings noch zwischen einer kleinen 501 und einer großen 520 unterscheiden.

  • Am 7. Oktober 2005 um 11:09 von Jens Heckenberg

    Hardware-Firewalls im Test: Wer bietet den besten Schutz?
    Der Test ist recht gut, hat aber einen gravierenden Schwachpunkt, es fehlt eine entsprechend vergleichbare Cisco PIX in dem Test.

    Ich würde gerne einen entsprechenden Vergleich sehen und denke das geht vielen so, da die ‚Pix‘ ja nicht gerade ein selten anzutreffendes Produkt ist.

    Das solltet Ihr wenn möglich bald nachholen.

  • Am 4. Oktober 2005 um 14:12 von michael Kramer

    Hardware-Firewalls im Test: Wer bietet den besten Schutz?
    irgendwie fahlt hier noch ein wichtiger hersteller in euren Tests !! wie wäre es mit ner Cisco Pix ??

    • Am 23. Oktober 2009 um 11:57 von pitsec

      AW: Hardware-Firewalls im Test: Wer bietet den besten Schutz?
      pix ist nicht mehr verfügbar,
      es lebe die Cisco ASA

  • Am 30. September 2005 um 16:32 von Marcel Dunkelberg

    Astaro Security Linux
    Warum hat ZDNET nicht die Astaro Security Linux bzw. Astaro Secure Gateway getestet? Ein super Preis-/Leistungsverhältnis und nicht sone verbuggte Frickelsoft wie Symantec.

  • Am 28. September 2005 um 9:27 von Markus Strittmatter

    CyberGuard
    Die SG710 von CyberGuard kommt mit der Punktzahl 7 denke ich ein bisschen schlecht weg im Verhältnis zu den "bekannteren" Herstellern, bei dem Gerät sollte nicht vergessen werden, dass es hier keine Benutzerbegrenzung sowie keine VPN-Tunnel-Begrenzung. Das Gerät ist vollkommen frei, zudem gibt es noch Minor- und Majorupdates umsonst. Was uns im Unternehmen gefällt ist ganz klar, dass das Gerät vollkommen offen ist, man es also sehr individuell einstellen bei Wunsch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *