Unified Threat Management Appliance
UTM - H3C SecPath U200-A im ersten Test
Liest man die Produktbeschreibung der SecPath U200-A, dann gewinnt man den Eindruck, einen wahren Tausendsassa vor sich zu haben: Legacy-Firewall, VPN-Funktionen, Virenschutz, URL- und Mail-Filter sowie andere Sicherheits-Features wie aus dem IPS-Bereich. Dabei soll die Appliance ihre Sicherheitsaufgaben in Echtzeit erledigen und als Firewall einen Datendurchsatz von 800 Mbit/s bewältigen. Dass dabei bis zu 500.000 gleichzeitige Sessions möglich sind, zeigt klar die Zielgruppe der SecPath U200-A: Enterprise-Kunden. Zieht man dieses Einsatzgebiet ins Kalkül, dann kann man den veranschlagten Einstiegspreis von rund 6500 Dollar als günstig bezeichnen. Hinzu kommen allerdings noch die Kosten für IPS-Updates, Antiviren-Updates, Content-Filter-Service sowie Anti-Spam-Service, wobei der User die Dienste je nach angestrebtem Security-Level frei wählen kann.
Ungewöhnlich für dieses Segment ist, dass H3C mit einem Web-Interface wirbt, wo doch in dieser Klasse noch die Kommandozeile dominiert und von den Anwendern in der Regel bevorzugt wird. Angesichts dieser Rahmenparameter waren wir gespannt auf die Security Appliance, zumal es gleichzeitig die erste Begegnung mit einem Produkt aus dem Joint Venture Huawei-3Com war, das sich mittlerweile in H3C umbenannt hat. In der Vergangenheit war das Joint Venture wegen angeblichen Produktklonens in Rechtsstreitigkeiten mit Cisco geraten.
Die erste Eindruck von der U200-A ist unspektakulär: Zum Lieferumfang gehören neben dem Gerät die üblichen Winkel zum Rack-Einbau, Netzkabel, ein Handbuch auf CD und eine gedruckte Kurzanleitung sowie ein Konsolenkabel. Ansonsten verfügt das Gerät auf der Vorderseite über fünf Ethernet-Ports, einen Konsolenanschluss, Flash-Laufwerk für Backup und zum Einspielen von Updates sowie USB-Port.
- H3C SecPath
Mit der SecPath U200A hat H3C eine Security-Lösung der Enterprise-Klasse zu einem attraktiven Preis im Portfolio. Wir haben uns die Appliance näher angeschaut. - Hardware-Daten
Herzstück der UMT-Appliance ist ein 750 Mhz schneller Prozessor, dem 1024 MB RAM zur Verfügung stehen. - Bootvorgang
Während des Bootvorgangs entpackt die Appliance die Systemdateien eigenständig. - Speichermöglichkeiten
Dank externer Speichermöglichkeiten können verschiedene Konfigurationen eingespielt werden. - Speicheroption
Eine Speicheroption zum Sichern der Konfigurationsdateien sind CF-Speicherkarten. - Die Command Line
Experten konfigurieren die U200A am schnellsten auf der Kommandozeilenebene mit der Linux-ähnlichen Befehlssyntax. - Web-Login
Wer sich nicht mit dem Command Line Interface (CLI) anfreunden kann, hat auch die Option, das Gerät per Web-Interface zu konfigurieren. - Die Admin-Oberfläche
Die Web-Oberfläche ist übersichtlich in verschiedene Security-Rubriken wie Firewall, VPN, oder Intrusion Detection unterteilt. - Konfigurations-Vielfalt
Um bei der Konfiguration Fehler zu vermeiden, sollte sich der Anwender im verdeutlichen, ob er eine Einstellung für das physikalische Interface, ein virtuelles Netz oder eine Sicherheitszone vornimmt. - Selbsterklärende Parameter
Viele Parameter – wie im Bild die Paketfilter – sind quasi selbsterklärend. - Anschlussfeld
Alle Anschlüsse der H3C-Appliance sowie der CF-Einschub befinden sich auf der Vorderseite, so dass ein Rack-Einbau kein Problem ist. - Gigabit-Ethernet-Ports
Verbindung zum Netz erhält die U200A über fünf Gigabit-Ethernet-Ports
IT-Administratoren sollten das Konsolenkabel wie ihren Augapfel hüten. Auf Geräteseite verfügt es, zwar als serielle Schnittstelle ausgelegt, über eine RJ-Steckverbindung statt eines RS232-Steckers. Es empfiehlt sich, zu dem Kabel einen USB-to-Serial-Adapter zu legen, denn neuere Notebooks oder PCs verfügen heute meist nicht mehr über ein dediziertes serielles Interface. Derart verbunden, kann der Anwender mit Hilfe eines Terminalprogramms - die Redaktion hat hier gute Erfahrungen mit "Putty" gemacht - das erste Booten der Appliance auf Konsolenebene mitverfolgen. Hier sollte auch die Grundkonfiguration, also die Zuweisung der IP-Adressen, Subnetze oder das Routing, erfolgen.