Jeder auf seine Weise Spezialist

Im Vergleichstest "Firewall-Appliances mit VPN-Support" nahm NetworkWorld gemeinsam mit dem Partner Lab EANTC Systeme unter die Lupe, die sich für kleinere bis mittlere Unternehmen mit maximal 500 Benutzern eignen.
Christoph Lange ist leitender Redakteur der NetworkWorld.

Im Vergleichstest "Firewall-Appliances mit VPN-Support" nahm NetworkWorld gemeinsam mit dem Partner Lab EANTC Systeme unter die Lupe, die sich für kleinere bis mittlere Unternehmen mit maximal 500 Benutzern eignen. Die sechs von uns getesteten Produkte lassen sich in zwei Klassen einteilen:

- "Schlanke" Internet-Security-Appliances, die sich auf Firewall und VPN-Support konzentrieren;

- "Fette" Internet-Appliance-Server, die zusätzliche Internetdiens-te bereitstellen.

Als Appliance-Betriebssystem erfreut sich Linux großer Beliebtheit: vier der sechs Hersteller setzen auf das Open-Source-OS, das als leistungsfähig und stabil gilt. "Defendo" von Linogate, das von Pyramid vertriebene "Astaro Security Linux", "Instagate EX2" von Esoft sowie Watchguard mit der "Firebox 1000" bestätigen diese Einschätzung eindrucksvoll.

Der reine Durchsatz dürfte in der Praxis eher selten ausschlaggebend sein, da Unternehmen mit maximal 500 Mitarbeitern in der Regel nicht über Internetanbindungen mit mehr als 2 MBit/s verfügen. Interessanter ist die Frage, wie viele Sessions eine Firewall aufbauen und parallel bedienen kann. Bei den Linux-Appliances Defendo und Instagate ist bereits bei 4096 gleichzeitigen Verbindungen Schluss, während die anderen zum Teil mehr als 100 000 Sessions unterstützen.

Bei der Handhabung der Appliances ergibt sich ein positives Bild. Die meisten Geräte sind mit einem intuitiv zu bedienenden Browser-Interface ausgestattet. Zum Teil bieten sie, wie zum Beispiel Sonicwall Pro oder Instagate EX2, zusätzlich eine Online-Hilfe. Lediglich die Firebox 1000 lässt sich ausschließlich über eine Windows-Anwendung bedienen, wodurch der Zugriff weniger flexibel ist. Um die Systeme korrekt zu konfigurieren, ist jedoch nach wie vor eine gehörige Portion Know-how notwendig. Von Plug-and-Play-Lösungen sind die Hersteller noch weit entfernt.

Der Testsieger "Cisco PIX 515" hatte sowohl bei der Performance ohne VPN-Verschlüsselung als auch bei Handhabung und Service die Nase vorn. Mit der optional erhältlichen Hardwarebeschleunigung erzielt die PIX 515 auch verschlüsselt sehr gute Werte. Allerdings kostet eine Karte mehr als die ganze Firewall. Mit 11 000 Mark zählt die PIX 515 zu den teureren Testkandidaten. Die anderen Firewalls für 500 und mehr User kosten aber fast genauso viel. Bei Watchguard ist standardmäßig eine Hardwarebeschleunigung integriert, die jedoch nicht den gleichen Leistungschub bringt, wie die separate Karte von Cisco. Die etwas kleiner dimensionierten Instagate und Defendo kommen mit der "größten" 250-User-Lizenz auch auf etwa 7500 Mark. Ihr Preis macht sie insbesondere für kleinere Unternehmen interessant: Instagate EX2 ist für 25 Nutzer bereits ab 3000 Mark erhältlich, die 20-User-Version von Defendo kostet etwa 3200 Mark. Die "kleinen" Firewall-Appliances sind damit durchaus ihr Geld wert.