Firewall und VPN in einer Box

Installation und Konfiguration

Um die Firewall von Watchguard zu konfigurieren, muss der Administrator zunächst eine spezielle Software auf einem PC installieren. Alle anderen bisher getesteten Produkte, einschließlich Instagate von Esoft, ließen sich über einen Standard-Webbrowser verwalten, der per Secure HTTP auf das Gerät zugreift.

Watchguard hat für die Firebox die Anwendung "Control Center" entwickelt. Diese wird auf einen Windows-Rechner aufgespielt, von dem aus dann die Firebox konfiguriert und verwaltet wird. Zur Erstkonfiguration verbindet der Administrator die interne Netzwerkschnittstelle mit dem LAN-Segment, in dem sich der für die Verwaltung konfigurierte Windows-Rechner befindet. Der "Quicksetup Wizard" lokalisiert die Firebox automatisch und weist ihr eine IP-Adresse zu. Anschließend wird die Grundkonfiguration erzeugt, auf die Firebox überspielt und nach einem Reboot aktiviert.

Alle weiteren Einstellungen erfolgen über das Control Center von Watchguard. Das Tool kann zum Beispiel die LEDs des Frontdisplays anzeigen. Weiterhin sind der aktuelle Status der Firebox und der aktiven VPN-Tunnel sowie die Ausgaben eines Traffic-Monitors sichtbar. Das bereits erwähnte große Display und seine grafische Abbildung im Control Center hat uns gut gefallen. Mit einem kurzen Blick gewinnt man schnell einen Überblick über den Betriebszustand des Gerätes.

Das Control Center erlaubt den Zugriff auf weitere Unterprogramme des so genannten "Live Security System". Dazu gehört zum Beispiel der "Firebox Monitor", der unter anderem Statistiken über Speicher- und Bandbreitenauslastung oder die gegenwärtig aktiven Benutzer liefert. Die Programme bieten viele Möglichkeiten, von Reports und Logging-Funktionen bis zur farbkodierten Verkehrsmatrix einzelner Hosts.

Die grafische Oberfläche des Control Center ist relativ kompliziert zu bedienen. Die vielfältige Menüstruktur und die vielen Icons verwirren vor allem ungeübte Nutzer. Wir vermissten eine klare und intuitive Menüstruktur, wie sie bei den meisten webbasierten Administrations-Oberflächen vorhanden ist. Hinzu kommt, dass das Control Center die Flexibilität beim Zugriff auf die Firewall stark einschränkt. Unserer Meinung nach benötigt man für die Firebox eine intensivere Einführung, beispielsweise in Form eines Work-shops oder einer Schulung.

Bei der Speicherung von neuen Konfigurationen auf der Firebox lässt sich im Flash Memory ein Backup mit den alten Einstellungen ablegen. Dadurch kann der Administrator jederzeit zur alten Konfiguration wechseln. Der einfache Zugriff auf Konfigurationsdateien im Filesystem des Verwaltungs-PCs erleichtert es, die Firewall neu einzustellen. Hinderlich ist allerdings die doppelte Abfrage spezieller Passwörter für den Up- und Download von Konfigurationen auf die Firebox.

Die Appliance Instagate EX2 lässt sich über einen herkömmlichen Web-Browser komplett einrichten und verwalten. Standardmäßig ist die Firewall mit der IP-Adresse 192.168.1.1 auf dem LAN-Port vorkonfiguriert. Geändert wird die IP-Adresse über ein so genanntes Keypad mit vier Schaltern an der Vorderseite der Firewall oder über die webbasierte Oberfläche. Das Keypad ist mit einem kleinen Display ausgestattet und erlaubt Statusabfragen der Firewall sowie die Eingabe einfacher Befehle.

Grundsätzlich gibt es zwei Möglichkeiten für die Konfiguration: Zum einen über das auf der mitgelieferten CD enthaltene Programm, zum anderen, wie bereits genannt, per Webbrowser. Um Instagate EX2 in Betrieb zu nehmen, sind lediglich fünf Schritte nötig, für die wir mithilfe des Herstellers nicht länger als 30 Minuten benötigten. Im einzelnen sind dies:

- Registrierung,

- Konfiguration der Verbindungsparameter zum Internet oder zum LAN,

- Festlegung von Benutzerprofilen mit Name und Passwort,

- Konfiguration eines Mailservers,

- Setzen von lokalen Parametern wie beispielsweise der Uhrzeit.

Der Setup Wizard hat uns aufgrund seines einfachen Aufbaus sehr gut gefallen. Dies gilt ebenso für die Gestaltung der Konfigurationsoberfläche. Sie ist intuitiv strukturiert und lässt sich in deutscher Sprache laden. Die ausführliche Online-Hilfe ist zu jedem Menüpunkt aufrufbar und liefert sehr gute Beschreibungen der einzelnen Themen. Auf dem Webserver von Esoft liegt unter der Adresse http://demo.esoft.com/iex2_de mo/index.html eine Demo-Version der grafischen Oberfläche bereit.

Um neue Services, Anwendungen oder Upgrades für Instagate EX2 zu installieren, bietet Esoft so genannte "Softpacks" an, die per Software-Download über das Internet hinzugefügt werden. Nachrüstbar sind zum Beispiel Virenschutz, Content-Filter oder Remote-Einwahl.