Liest man die Produktbeschreibung der SecPath U200-A, dann gewinnt man den Eindruck, einen wahren Tausendsassa vor sich zu haben: Legacy-Firewall, VPN-Funktionen, Virenschutz, URL- und Mail-Filter sowie andere Sicherheits-Features wie aus dem IPS-Bereich. Dabei soll die Appliance ihre Sicherheitsaufgaben in Echtzeit erledigen und als Firewall einen Datendurchsatz von 800 Mbit/s bewältigen. Dass dabei bis zu 500.000 gleichzeitige Sessions möglich sind, zeigt klar die Zielgruppe der SecPath U200-A: Enterprise-Kunden. Zieht man dieses Einsatzgebiet ins Kalkül, dann kann man den veranschlagten Einstiegspreis von rund 6500 Dollar als günstig bezeichnen. Hinzu kommen allerdings noch die Kosten für IPS-Updates, Antiviren-Updates, Content-Filter-Service sowie Anti-Spam-Service, wobei der User die Dienste je nach angestrebtem Security-Level frei wählen kann.
Ungewöhnlich für dieses Segment ist, dass H3C mit einem Web-Interface wirbt, wo doch in dieser Klasse noch die Kommandozeile dominiert und von den Anwendern in der Regel bevorzugt wird. Angesichts dieser Rahmenparameter waren wir gespannt auf die Security Appliance, zumal es gleichzeitig die erste Begegnung mit einem Produkt aus dem Joint Venture Huawei-3Com war, das sich mittlerweile in H3C umbenannt hat. In der Vergangenheit war das Joint Venture wegen angeblichen Produktklonens in Rechtsstreitigkeiten mit Cisco geraten.
Die erste Eindruck von der U200-A ist unspektakulär: Zum Lieferumfang gehören neben dem Gerät die üblichen Winkel zum Rack-Einbau, Netzkabel, ein Handbuch auf CD und eine gedruckte Kurzanleitung sowie ein Konsolenkabel. Ansonsten verfügt das Gerät auf der Vorderseite über fünf Ethernet-Ports, einen Konsolenanschluss, Flash-Laufwerk für Backup und zum Einspielen von Updates sowie USB-Port.
IT-Administratoren sollten das Konsolenkabel wie ihren Augapfel hüten. Auf Geräteseite verfügt es, zwar als serielle Schnittstelle ausgelegt, über eine RJ-Steckverbindung statt eines RS232-Steckers. Es empfiehlt sich, zu dem Kabel einen USB-to-Serial-Adapter zu legen, denn neuere Notebooks oder PCs verfügen heute meist nicht mehr über ein dediziertes serielles Interface. Derart verbunden, kann der Anwender mit Hilfe eines Terminalprogramms - die Redaktion hat hier gute Erfahrungen mit "Putty" gemacht - das erste Booten der Appliance auf Konsolenebene mitverfolgen. Hier sollte auch die Grundkonfiguration, also die Zuweisung der IP-Adressen, Subnetze oder das Routing, erfolgen.
Konfiguration per Command Line
Benutzer, die das erste Mal mit einem Command Line Interface (CLI) von H3C in Kontakt kommen, werden wohl anfangs den Wald vor lauter Bäumen nicht sehen. Diverse Konfigurationsoptionen sind nämlich erst über eines der zahlreichen Untermenüs zu erreichen und erschließen sich nicht auf der obersten Ebene des CLI, dessen Syntax mit Linux verwandt ist. Wer die entsprechende Syntax kennt, kann etwa dem Gigabit-Port 1 direkt eine IP-Adresse X und die zugehörige Netzmaske zuweisen. Doch genau hier beginnt das Problem für den Neuling in der H3C-Welt. Die als Handbuch beiliegende CD fördert die Einarbeitung in die Befehlssyntax nicht, da sie alles andere als logisch aufgebaut ist. Und H3C macht es dem User hier auch nicht einfach. PDF-Dokumente mit einer Auflistung aller CLI-Befehle und ihrer Erklärung fanden wir weder auf dem deutschen Web-Server noch auf dem chinesischen Haupt-Server, sondern erst nach längerer Suche unter dieser Adresse http://support.3com.com/documents/security/secpath/secpath_u200_cli_command_manual.zip auf den US-amerikanischen Seiten. Darauf angesprochen, versicherte H3C, dass derzeit länderspezifische Web-Seiten aufgebaut würden und das Problem somit bald Vergangenheit sein sollte.
Wie mächtig das CLI ist, zeigt allein schon die Tatsache, dass sich die Auflistung der Befehle über 27 Seiten erstreckt. CLI-Experten können hier also die komplette Appliance konfigurieren, ohne auch nur einmal mit dem Web-Interface in Berührung zu geraten. Wer in Sachen Syntax sattelfest ist, dem eröffnet sich noch eine besonders effiziente Konfigurationsmethode: Da die Konfiguration intern als XML-File gespeichert wird, kann sie beispielsweise auf eine CF-Speicherkarte kopiert werden. Diese kann dann später bequem an einem Rechner mit einem Editor bearbeitet werden. Der Trick lässt sich etwa dazu verwenden, eine Grundkonfiguration für mehrere Geräte zu erstellen und dann zu kopieren.
Bei aller Kritik dürfte dies für CLI-Künstler jedoch die effizienteste Art der SecPath-Konfiguration sein, so dass sie wohl um das Web-Interface einen weiten Bogen machen werden. Anwender, die nicht regelmäßig auf Kommandozeilenebene arbeiten, dürften dagegen das Web-Interface der U200-A schätzen. Ohne die genaue Befehlssyntax kennen zu müssen, kann man hier ebenfalls alle Konfigurationsarbeiten vornehmen. Allerdings wird der Benutzer der Web-Oberfläche für die Konfiguration länger brauchen als ein User auf Kommandozeile. Unternehmen, die in größerem Umfang H3C-Geräte einführen, sind also gut beraten, von vornherein auf die CLI-Schnittstelle zu setzen.
Das Web-Interface
Doch zurück zur Arbeit mit dem Web-Interface. Bei der ersten Berührung mit diesem - sprich bei der Anmeldung - gefällt, dass hier nicht nur das Administratoren-Kennwort abgefragt wird, sondern noch ein dynamischer Verifikationscode, um Angriffe zu erschweren. Auf den ersten Blick macht die Web-Oberfläche einen übersichtlichen Eindruck und informiert über den Gerätestatus. Die wenigen, aussagekräftigen Reiter wie etwa Network, User, Firewall, Intrusion Detection und VPN legen den Eindruck nahe, dass die Konfiguration dieser Enterprise-Appliance per Maus ein Kinderspiel sein dürfte.
Das ist aber ein Trugschluss, denn der Teufel der Web-Konfiguration steckt bei der U200-A im Detail. Es ist nämlich alles andere als trivial, die Flexibilität der Appliance mit physikalischen Schnittstellen, virtuellen Devices und unterschiedlichen Sicherheitszonen oder bis zu 256 virtuellen Firewalls in einer grafischen Benutzeroberfläche abzubilden. Gerade diese drei Unterscheidungsmerkmale sollte der Benutzer verinnerlichen, denn bei vielen Konfigurationsmenüs ist dies der erste Punkt, den er zu wählen hat.
Trick beim Arbeiten mit dem Web-Interface
Bei der ersten Konfiguration ist es für den Anwender eine wertvolle Hilfe, wenn er sich die angestrebten Policies erst einmal mit einer Zeichnung verdeutlicht und dabei definiert, auf welcher Ebene sie wirken sollen. Steht das Konzept in der Theorie, ist es fast ein Kinderspiel, es mit Hilfe der Web-Oberfläche nachzubilden.
Hierzu bietet das grafische Interface zahlreiche, sehr detaillierte Einstelloptionen, die sich in der Regel von selbst erklären und in Sachen Flexibilität kaum Wünsche offen lassen. Dies gilt sowohl für Features wie VPN-Konfiguration als auch für das Content-Filtering oder die Intrusion Detection.
Per Web-Interface kann der User auch auf die Logging-Informationen der Appliance zugreifen, um sicherheitsrelevante Vorkommnisse zu analysieren.
Fazit
Mit der SecPath U200-A hat H3C eine mächtige Enterprise-Security-Appliance im Programm, die hinsichtlich Flexibilität bei der Konfiguration und in Sachen Funktionsumfang kaum Wünsche offen lässt. Der wohl wichtigste Trumpf des Geräts gegenüber konkurrierenden Produkten dürfte sein Kampfpreis sein.
Auch wenn H3C mit einem Web-Interface für die Konfiguration wirbt, sollte niemand annehmen, dass es nun auf Enterprise-Ebene Security per Mausklick gebe. Das grafische Benutzer-Interface vereinfacht zwar die Konfiguration, entbindet die Anwender aber nicht von der leidigen Pflicht, ihre Hausaufgaben in Sachen Unternehmenssicherheits-Policies selbst zu machen. Profis werden das Web-Interface ohnehin links liegen lassen und auf der schneller zu bedienenden Command Line arbeiten.
Nachbessern sollte H3C unbedingt in Sachen Handbücher. Produkte wie eine Security-Appliance auf Unternehmensebene sollten über eine ausgefeilte und übersichtliche Dokumentation verfügen, die sich der User nicht erst auf den vielen Web-Servern eines internationalen Unternehmens zusammensuchen muss.
|
Produkt |
Enterprise-Security-Appliance SecPath U200-A |
|---|---|
|
Hersteller |
|
|
Firewall-Durchsatz |
800 Mbit/s |
|
VPN-Durchsatz (3DES) |
400 Mbit/s |
|
Antivirus-Durchsatz |
100 Mbit/s |
|
IPS-Durchsatz: |
100 Mbit/s |
|
Maximale Sessions |
500.000 |
|
Zahl der IPsec-Tunnel |
24.000 |
|
Zahl der Security Policies |
10.000 |
|
Features |
VPN, Firewall, Antivirus, Intrusion Prevention und Detection (IPS), Spam-Filter, Web-Filtering, Schutz vor Netzangriffen |
|
SecPath U200-A |
6500 US-Dollar |
|
IPS-Updates (1Jahr) |
845 US-Dollar |
|
Antiviren-Updates (1 Jahr) |
1245 US-Dollar |
|
Content-Filter-Service (1 Jahrr) |
995 US-Dolla |
|
Anti-Spam-Service (1 Jahr) |
995 US-Dollar |
|
Preis Testgerät |
zirka 8000 US-Dollar |
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.