Sichere Brandmauer

Aus Sicherheitsgründen setzt Watch-Guard für die Verwaltung nicht auf ein Web-Interface, sondern auf eine Windows-Anwendung.

Als Schnittstelle zwischen lokalem Netz und dem Internet spielt die Firewall in den Sicherheitsüberlegungen eine wichtige Rolle. Die Brandmauer muss nicht nur Angriffe aus dem weltweiten Rechnerverbund verhindern. Viel grösser ist das Risiko, das von innen kommt. Mit Viren, Spyware und Trojanern verseuchte PC stellen heute die grössere Bedrohung dar. Eine Firewall kann Kontaktversuche dieser Schädlinge mit dem Internet abblocken.

Digitale Brandmauern existieren in den unterschiedlichsten Grössen. Solange auf dedizierte Hardware und nicht zu einer PC-basierten Open-Source-Variante gegriffen wird, steigt der Preis in etwa parallel zur Anzahl Benutzer. Ungefähr in der Mitte positioniert die Herstellerin Watch-Guard ihre Appliances aus der Reihe Firebox-X-Core. Diese richten sich an Firmen mittlerer Grösse, bedienen also das «M» aus dem KMU-Segment. Im Verhältnis zum Preis bietet diese Firebox-Reihe eine breite Fülle an Sicherheitsvorkehrungen.

Die Firebox-X-Core bietet hohe Netzwerk-Sicherheit bis hinunter auf Anwendungsebene. Als Schutz vor Einbrüchen verfügt die Appliance über Werkzeuge zur Intrusion Detection und Intrusion Prevention. Die Management-Konsole verwaltet zentral alle Zweigstellen und Aussendienst-Mitarbeiter, die über ein VPN (Virtual Private Network) mit dem Hauptsitz verbunden sind. Eine Zugriffsregelung auf IP-Adressebene und ein optionaler Spamfilter runden die Sicherheitsmassnahmen ab. Und zur Steigerung des Datendurchsatzes oder der Verfügbarkeit lassen sich bis zu drei zusätzliche Netzwerk-Schnittstellen freischalten. Zwar sind diese Ports Hardware-mässig vorhanden. Doch der Zugriff darauf erfordert eine Zusatzlizenz. Die verschiedenen Core-Modelle der Firebox-X unterscheiden sich durch die Anzahl unterstützter Benutzer in der integrierten Radius-Authentifizierungs-Datenbank sowie der Anzahl gleichzeitiger VPN-Tunnels. Die vier Ausführungen bieten 250 bis 5000 Benutzereinträge respektive 50 bis 1000 VPN-Verbindungen. Die kleineren Modelle lassen sich über ein Software-Update erweitern.

Vom Funktionsumfang her orientiert sich die Firebox an Firewalls für Grossunternehmen. Netzwerkverkehr, der Kriterien wie eine bestimmte Ethernet-Schnittstelle oder Port-Nummer erfüllt, lässt sich für die vereinfachte Regelvergabe unter einem Aliasnamen zusammenfassen. Benutzer können in Gruppen unterteilt werden, was die Rechteverwaltung erleichtert. Für die Authentifizierung von Anwendern greift die Firebox auf den internen Radius-Server (Remote Authentication Dial-In User Service) zurück, auf einen Windows-NT/2000-Server oder auf Microsofts Active-Directory. Optional wird auch LDAP (Lightweight Directory Access Protocol) unterstützt. Die Logdateien kann die Firewall auf einem Server ablegen. Das minimiert das Risiko, dass bei einem Einbruch die Aufzeichnung manipuliert wird, um Spuren zu verwischen.