Von: Bernd Klusmann, Christoph Lange
In der dritten und letzten Runde der Testreihe "Firewall-Appliances mit VPN-Support" trafen Watchguard und Esoft aufeinander. Auch diesmal testete NetworkWorld gemeinsam mit dem Partner Lab EANTC jeweils zwei Komponenten, um das Verhalten bei verschlüsselten VPN-Verbindungen zu beurteilen (zu den Testverfahren siehe NetworkWorld 19/01, Seite 71).
Watchguard schickte die "Firebox 1000" ins Rennen. Das Unternehmen mit Hauptsitz in Seattle, USA, ist seit 1996 im Markt vertreten. Es bietet Lösungen für Internetsicherheit an und richtet seine Produkte auf die Bedürfnisse kleiner bis mittelständischer Unternehmen aus. Neben dem getesteten System für Netze mit bis zu 1000 Nutzern hat Watchguard auch Geräte für maximal 50 Anwender ("Firebox Soho") sowie für bis zu 5000 Benutzer ("Firebox 4500") im Programm.
Auf der Vorderseite der Firebox 1000 ist ein Display angebracht, das im Dreieck angeordnete LEDs enthält. Diese zeigen die Verkehrsflüsse zwischen dem internen, externen und dem so genannten optionalen Netzwerk an. Der Administrator kann die Richtung des Verkehrs, die an den Ports geblockten Pakete sowie Durchsatz und Auslastung der Firebox ablesen. Vier weitere LEDs geben Auskunft über den Betriebszustand der Firebox, zum Beispiel ob sie eingeschaltet ist oder gerade bootet. Die beiden Testgeräte sind jeweils mit einem 300-MHz-K6-II-Prozessor von AMD und 64 MByte SDRAM ausgestattet. Für die Netzwerkanbindung verfügen sie über drei 10/100Base-TX-Ethernet-Ports. Als Betriebssystem kommt Linux zum Einsatz, das auf einer 8 MByte großen Flash-Disk läuft.
Der zweite Testkandidat, "Instagate EX2" von Esoft, ist eine Firewall-Appliance mit integriertem VPN-Support für kleine bis mittelständische Unternehmen. Im Gegensatz zur Firebox 1000 ist das Produkt nur für 10 bis 250 Benutzer ausgelegt und zielt somit auf ein anderes Marktsegment. Dies ist beim Vergleich der Ergebnisse zu berücksichtigen, weil wir die Testverfahren für 500 Benutzer normiert haben.
Esoft wurde 1984 gegründet, hat seinen Hauptsitz in Broomfield, Colorado, und konzentriert sich auf Sicherheitslösungen. Neben Instagate bietet Esoft eine so genannte Secure- Server-Appliance namens "Instarak" an. Dieses Gerät soll es Serviceprovidern ermöglichen, Mail-, Web- und DNS-Dienste bereitzustellen.
Die Firewall-Appliance von Esoft verwendet Linux als Betriebssystem. Instagate EX2 ist in einem kompakten Gehäuse untergebracht, das die Form eines kleinen Notebooks hat. Im Inneren sorgen ein mit 566 MHz getakteter Intel-Prozessor, 64 MByte Arbeitsspeicher und eine 10-GByte Festplatte für ausreichend Ressourcen. Die Verbindung mit dem Netzwerk erfolgt über drei 10/100Base-TX-Ethernet-Ports.
Installation und Konfiguration
Um die Firewall von Watchguard zu konfigurieren, muss der Administrator zunächst eine spezielle Software auf einem PC installieren. Alle anderen bisher getesteten Produkte, einschließlich Instagate von Esoft, ließen sich über einen Standard-Webbrowser verwalten, der per Secure HTTP auf das Gerät zugreift.
Watchguard hat für die Firebox die Anwendung "Control Center" entwickelt. Diese wird auf einen Windows-Rechner aufgespielt, von dem aus dann die Firebox konfiguriert und verwaltet wird. Zur Erstkonfiguration verbindet der Administrator die interne Netzwerkschnittstelle mit dem LAN-Segment, in dem sich der für die Verwaltung konfigurierte Windows-Rechner befindet. Der "Quicksetup Wizard" lokalisiert die Firebox automatisch und weist ihr eine IP-Adresse zu. Anschließend wird die Grundkonfiguration erzeugt, auf die Firebox überspielt und nach einem Reboot aktiviert.
Alle weiteren Einstellungen erfolgen über das Control Center von Watchguard. Das Tool kann zum Beispiel die LEDs des Frontdisplays anzeigen. Weiterhin sind der aktuelle Status der Firebox und der aktiven VPN-Tunnel sowie die Ausgaben eines Traffic-Monitors sichtbar. Das bereits erwähnte große Display und seine grafische Abbildung im Control Center hat uns gut gefallen. Mit einem kurzen Blick gewinnt man schnell einen Überblick über den Betriebszustand des Gerätes.
Das Control Center erlaubt den Zugriff auf weitere Unterprogramme des so genannten "Live Security System". Dazu gehört zum Beispiel der "Firebox Monitor", der unter anderem Statistiken über Speicher- und Bandbreitenauslastung oder die gegenwärtig aktiven Benutzer liefert. Die Programme bieten viele Möglichkeiten, von Reports und Logging-Funktionen bis zur farbkodierten Verkehrsmatrix einzelner Hosts.
Die grafische Oberfläche des Control Center ist relativ kompliziert zu bedienen. Die vielfältige Menüstruktur und die vielen Icons verwirren vor allem ungeübte Nutzer. Wir vermissten eine klare und intuitive Menüstruktur, wie sie bei den meisten webbasierten Administrations-Oberflächen vorhanden ist. Hinzu kommt, dass das Control Center die Flexibilität beim Zugriff auf die Firewall stark einschränkt. Unserer Meinung nach benötigt man für die Firebox eine intensivere Einführung, beispielsweise in Form eines Work-shops oder einer Schulung.
Bei der Speicherung von neuen Konfigurationen auf der Firebox lässt sich im Flash Memory ein Backup mit den alten Einstellungen ablegen. Dadurch kann der Administrator jederzeit zur alten Konfiguration wechseln. Der einfache Zugriff auf Konfigurationsdateien im Filesystem des Verwaltungs-PCs erleichtert es, die Firewall neu einzustellen. Hinderlich ist allerdings die doppelte Abfrage spezieller Passwörter für den Up- und Download von Konfigurationen auf die Firebox.
Die Appliance Instagate EX2 lässt sich über einen herkömmlichen Web-Browser komplett einrichten und verwalten. Standardmäßig ist die Firewall mit der IP-Adresse 192.168.1.1 auf dem LAN-Port vorkonfiguriert. Geändert wird die IP-Adresse über ein so genanntes Keypad mit vier Schaltern an der Vorderseite der Firewall oder über die webbasierte Oberfläche. Das Keypad ist mit einem kleinen Display ausgestattet und erlaubt Statusabfragen der Firewall sowie die Eingabe einfacher Befehle.
Grundsätzlich gibt es zwei Möglichkeiten für die Konfiguration: Zum einen über das auf der mitgelieferten CD enthaltene Programm, zum anderen, wie bereits genannt, per Webbrowser. Um Instagate EX2 in Betrieb zu nehmen, sind lediglich fünf Schritte nötig, für die wir mithilfe des Herstellers nicht länger als 30 Minuten benötigten. Im einzelnen sind dies:
- Registrierung,
- Konfiguration der Verbindungsparameter zum Internet oder zum LAN,
- Festlegung von Benutzerprofilen mit Name und Passwort,
- Konfiguration eines Mailservers,
- Setzen von lokalen Parametern wie beispielsweise der Uhrzeit.
Der Setup Wizard hat uns aufgrund seines einfachen Aufbaus sehr gut gefallen. Dies gilt ebenso für die Gestaltung der Konfigurationsoberfläche. Sie ist intuitiv strukturiert und lässt sich in deutscher Sprache laden. Die ausführliche Online-Hilfe ist zu jedem Menüpunkt aufrufbar und liefert sehr gute Beschreibungen der einzelnen Themen. Auf dem Webserver von Esoft liegt unter der Adresse http://demo.esoft.com/iex2_de mo/index.html eine Demo-Version der grafischen Oberfläche bereit.
Um neue Services, Anwendungen oder Upgrades für Instagate EX2 zu installieren, bietet Esoft so genannte "Softpacks" an, die per Software-Download über das Internet hinzugefügt werden. Nachrüstbar sind zum Beispiel Virenschutz, Content-Filter oder Remote-Einwahl.
Leistungsmessungen
Bei den IP-Leistungsmessungen erzielten die beiden Testkandidaten unterschiedliche Ergebnisse. Erwartungsgemäß schnitt die kleiner dimensionierte Lösung von Instagate mit den niedrigeren Werten ab.
Betrachten wir die Resultate auf Detailebene, ergeben sich interessante Erkenntnisse. Relativ gute Werte erzielte die Firebox bei den Tests mit Verschlüsselung. Dies liegt daran, dass wir die Messungen mit einer Hardwarebeschleunigung für die Verschlüsselung durchführen mussten. Diese Hardware ist Bestandteil jeder ausgelieferten Firebox 1000. Es ist nicht möglich, die Beschleunigungsfunktion abzuschalten. Alle anderen Testkandidaten haben wir ohne beziehungsweise im Fall der "Cisco PIX" zusätzlich mit Hardwarebeschleunigung gemessen, diese Ergebnisse allerdings nicht gewertet. Somit lassen sich die Messergebnisse mit Verschlüsselung für Watchguard nur eingeschränkt vergleichen.
Instagate erreichte zwar nicht die Performance der Firebox, konnte jedoch durch einen sehr stabilen Betrieb überzeugen. Die Testergebnisse waren auch bei wiederholten Läufen sehr konstant. Überlastsituationen bewältigte die Firewall-Appliance von Esoft ohne Probleme.
Bei Watchguard traten mit 1518 Byte großen Paketen Schwierigkeiten auf. Die unverschlüsselte bidirektionale Messung ließ sich nur durchführen, wenn eine feste Rate von akzeptierten Paketverlusten von 0,5 Prozent eingestellt wurde. Bei den bisher durchgeführten Firewall-Tests erlaubten wir dagegen keinen Paketverlust. Mit aktivierter Verschlüsselung schlug der Test bei bidirektionaler Messung gänzlich fehl: Die Firewall übertrug überhaupt keine Pakete mehr, der Durchsatz fiel auf 0 Prozent. Dieses Verhalten ist Watchguard bekannt. Es liegt an der Fragmentierung, die durch den Offset der Verschlüsselung nötig wird. Die Entwickler arbeiten bereits an einem Fix für dieses Problem. Ein ähnliches Phänomen konnten wir auch schon bei einem Kandidaten in der ersten Testrunde feststellen.
Werden 512-Byte-Pakete übertragen, erreicht die Firebox bei unidirektionalem Datenstrom und ohne Verschlüsselung den maximal möglichen Durchsatz von 100 Prozent beziehungsweise 100 MBit/s. Instagate liegt hier mit nur 36 Prozent deutlich niedriger. Als wir bei diesem Datenstrom eine Verschlüsselung mit 3DES einsetzten, verminderte sich der Wert bei Watchguard deutlich stärker als bei dem Gerät von Esoft: Die Firebox kam nun auf 28 Prozent, Instagate auf 17 Prozent.
Das gleiche Verhalten ist auch bei bidirektional gesendeten Daten zu beobachten. Wir hätten dagegen erwartet, dass aufgrund des in der Firebox vorhandenen Hardwarebeschleunigers die Leistung nur geringfügig sinkt.
TCP-Session-Rate-Tests
Für die meisten Einsatzgebiete sind die von Instagate erzielten Durchsatzwerte völlig ausreichend, weil in dem adressierten Marktsegment die meisten Kunden nur über eine WAN-Verbindung mit 2 MBit/s verfügen.
Die Tabelle auf Seite 73 zeigt ausgewählte Ergebnisse der Session-Rate-Tests. Mit ihnen überprüfen wir, wie schnell die Firewalls eine größere Anzahl von TCP-Verbindungen aufbauen können und wie viele TCP-Sessions gleichzeitig möglich sind. Die Tabelle auf Seite 72 listet die Ergebnisse für 5000 Requests pro Sekunde. Weitere Messungen mit niedrigeren und höheren Aufbauraten finden Sie in der erweiterten Online-Berichterstattung. Die Tabelle setzt sich aus folgenden Werten zusammen:
- Gesamtanzahl der aufgebauten Verbindungen,
- Anteil aufgebaute Verbindungen an gesamten Verbindungen,
- Durchschnittliche Aufbauzeit für die Verbindungen.
Wie die IP-Leistungswerte sind auch die Messungen der TCP Connection Setup Rate von Instagate sehr stabil. Das Gerät unterstützt bis zu 4096 Verbindungen. Verglichen mit den 103 000 Connections von Watchguard ist dies nicht gerade viel. Jedoch gilt auch hier, dass die Geräte unterschiedliche Zielgruppen und Benutzerzahlen adressieren. Dies ist bei der Beurteilung der Lösung von Esoft zu berücksichtigen.
Instagate zeigt einzelne Verbindungsverluste bereits bei Geschwindigkeiten von 500 bis 1000 Connections pro Sekunde. Über alle Messungen hinweg betrachtet, bleiben die Verluste im schlechtesten Fall, also bei einem Client und 10 000 Verbindungen pro Sekunde, unter 40 Prozent.
Bei Watchguard tauchen die ersten Verluste bei 1000 Connections pro Sekunde auf. Wird die Setup-Rate weiter erhöht, halten sich die Verluste in Grenzen und erreichen im schlimmsten Fall nur etwa 30 Prozent der Gesamtzahl der Verbindungen.
Aufgrund der im letzten Artikel angesprochenen Problematik mit dem Aufbau von Hashing-Tabellen zeigt sich bei Instagate wieder eine deutliche Verbesserung der Ergebnisse bei 200 IP-Clients gegenüber einem IP-Client. Dieser Unterschied fällt bei den Tests mit der Firebox nicht ganz so deutlich aus und tritt erst bei sehr hohen Verbindungsraten auf. Die Ergebnisse mit illegalem Verkehr liegen bei beiden Geräten im Bereich der Testergebnisse mit ausschließlich legalem Verkehr. Auch der Einsatz mehrerer Filterregeln beeinflusst weder bei Instagate noch bei Watchguard die Performance der Geräte. Beide Firewalls unterstützen Request-Raten, die deutlich über den Werten liegen, die im praktischen Betrieb zu erwarten sind.
Fazit
Insgesamt gesehen ist die Firebox das leistungsfähigere Gerät. Dies verwundert nicht, da die Lösung von Watchguard für eine deutlich größere Anzahl von Benutzern ausgelegt ist als die Instagate EX2. Allerdings trat bei der Firebox ein Problem mit der Übertragung von 1518-Byte-Frames über eine verschlüsselte Verbindung auf. Dies war der Grund, warum die Note im Performance-Test um einen Punkt reduziert wurde.
Bei den Leistungstests mit Instagate EX2 gab es keine Beanstandungen. Sie liefen ohne Probleme, und die Ergebnisse sowie das Betriebsverhalten der Firewall waren sehr stabil. Die Bewertung der Funktionslisten ergibt einen leichten Vorteil für Esoft. Aufgrund der vorhandenen Festplatte ist es möglich, eine größere Anzahl von Diensten wie File- oder Print-Services anzubieten.
Bezüglich Handhabung und Service haben wir die Konfigurations- und Managementsoftware von Watchguard niedrig bewertet. Ohne eine längere Einweisung oder ein Training ist unserer Meinung nach eine schnelle und korrekte Installation und Konfiguration nicht zu schaffen. Der Schwerpunkt lag hier, wie auch bei den bisherigen Tests, bei den ersten Schritten im Umgang mit dem Produkt.
In der Summe betrachtet, schneiden beide Firewalls gleich gut ab. Eine Gewichtung der Messergebnisse anhand der Größe der Geräte würde zu einer besseren Bewertung für Esoft führen.