Was ist eigentlich eine Next Generation Firewall? Ohne dieses Label traut sich heute kaum noch ein Firewall-Hersteller ein neues Gerät auf den Markt zu bringen. Einigkeit herrscht dabei unter Hardware-Produzenten oder Experten kaum. Soviel ist jedenfalls klar: Eine “NG Firewall” umfasst weitaus mehr Funktionen als die einfachen Paketfilter vergangener Tage.
Das Mindeste sind noch Filterfunktionen auf Anwendungsebene, etwa um Web-Traffic nicht nur pauschal zu erlauben oder zu verbieten, sondern beispielsweise bestimmte Websites zu blockieren oder gar gezielt in den HTTP-Antworten nach Malware zu suchen. Weitere Mehrwertfunktionen sind zum Beispiel verschlüsselte Verbindungen per IPsec oder VPN und viele andere Merkmale, die auch bessere Router bieten.
Anfang dieses Jahres hat Clavister mit der E5 eine neue Firewall-Appliance dieser Kategorie auf den Markt gebracht. Der schwedische Hersteller bietet ein breites Spektrum an Geräten, das auf kleine Firmen bis hin zum Telekomanbieter abzielt. In der Eagle-Serie sind die kleinsten Firewalls angesiedelt, die für den Einsatz in Filialen gedacht sind, sich aber auch für kleine Firmen eignen. Das neue E5-Gerät ist wiederum das kleinste Gerät in dieser Serie und in der Software-Ausstattung identisch mit seinem größeren Bruder E7. Sie unterscheiden sich nur in der Hardware.
Beim Auspacken der Firewall machte sie mit ihrem dickwandigen Blechgehäuse einen sehr robusten Eindruck. Zwar wird die E5 als “Desktop-Gerät” verkauft, aber der Packung liegen zwei Metallwinkel für eine Montage im Rack bei. Neben einem Strom-, einem Nullmodem- und einem Ethernet-Kabel ist sonst nur noch ein Willkommensgruß von Clavister zu finden, der den Anwender auf die Webseite [1] einlädt, um dort weitere Anweisungen zur Inbetriebnahme zu finden. Der dort verlinkte Getting Started-Guide im PDF-Format ist mit 70 Seiten überschaubar, aber nur auf Englisch verfügbar.
Die Firewall ist grundsätzlich in zwei Bereiche aufgeteilt: einen Switch mit fünf 1 GBit/s-Ports, der für das lokale Netz gedacht ist, und zwei WAN-Ports mit ebenfalls 1 GBit/s. Im Firewall-eigenen Betriebssystem cOS ist der Switch als ein logisches Interface unter dem Namen “GESW” ansprechbar. Die beiden WAN-Interfaces tragen die Namen G1 und G2. Nach dem Booten weist die Firewall
dem ersten Port des GESW-Interfaces die IP-Adresse 192.168.1.1 zu, über die der Administrator mit der Konfiguration beginnen kann. Ein damit verbundener Computer bekommt per DHCP automatisch eine passende Adresse zugewiesen.
Zur Konfiguration bietet die Firewall eine webbasierte grafische Oberfläche und ein Kommandozeilen-Interface, das über SSH zu erreichen ist. In der Web-Oberfläche ist nach dem ersten Booten im oberen Menü ein Link zu einem Setup-Wizard zu finden, der durch die Konfiguration führt. Fehlt der Link, stellt ein Factory Reset, der den Router auf den Auslieferungszustand zurücksetzt, diesen wieder her.
Der Setup-Wizard ist ziemlich simpel gestrickt und ermöglicht es zunächst, ein neues Passwort und die Zeitzone zu setzen. Dann muss der Anwender G1 oder G2 zum WAN-Interface sowie dessen Konfiguration (Statische IP, DHCP, PPPoE oder PPTP) bestimmen. Es folgen die optionalen Zeit- und Syslog-Server, und die Installation ist abgeschlossen.
E5-Varianten im Vergleich |
||
Merkmal |
Clavister E5 |
Clavister E5 Pro |
Firewall-Durchsatz (MBit/s) |
125 |
250 |
VPN-Durchsatz (MBit/s) |
50 |
100 |
Gleichzeitige Verbindungen |
5.000 |
10.000 |
Gleichzeitige VPN-Tunnel |
50 |
100 |
An dieser Stelle kommt zum ersten Mal ein interessantes Feature der Firewall ins Spiel: Nach dem Bestätigen einer Konfigurationsänderung (das können auch mehrere Änderungen auf einmal sein) muss der Administrator sich innerhalb von 30 Sekunden in das Web-Interface einloggen. Tut er das nicht, macht die Firewall automatisch die letzten Änderungen rückgängig. Das ist ein praktisches Feature, das verhindert, sich aus der Firewall auszusperren, wenn man beispielsweise das Gerät eines entfernten Büros konfiguriert.
Im Test ließen sich nach der initialen Konfiguration keine Webseiten abrufen, denn es fehlte noch eine Firewall-Regel, die DNS-Anfragen über TCP erlaubte. Auch Pings zum Verbindungstest funktionierten erst, nachdem wir die nötige Regel für ICMP hinzugefügt hatten. Mit einer bestehenden Internet-Verbindung lässt sich dann auch die Lizenz aktivieren, ohne die das Gerät mit der Einstellung des Betriebs droht.
Etwas verwirrend ist das Web-Interface aufgebaut – eine Eigenschaft, die Clavister mit anderen Herstellern teilt. Beispielsweise ist der aktuelle Zustand eines Interfaces, etwa seine IP-Adresse, über den Hauptmenüpunkt “Status” zu finden, während die Konfiguration über “Objects” beziehungsweise “Network” geschieht. Dies betrifft auch viele andere Einstellungen der Firewall, die regelmäßig in einem Klick- und Suchspiel münden.
Zur Vereinfachung der Konfiguration bietet die Clavister-Firewall symbolische Namen für Netzwerk-Interfaces und Netze an, die zum Teil vordefiniert sind und sich vom Benutzer verändern und erweitern lassen. Zum Beispiel gibt es für das Netz 0.0.0.0/0 den Namen “all-nets”. Auch Dienste sind in dieser Weise vordefiniert: “dns-tcp” für DNS über TCP, “dns-udp” für DNS über UDP und “dns-all” für beides. Diese Namen kann der Anwender dann bei der Konfiguration der Firewall-Regeln verwenden, wo sie in einer Dropdown-Liste zur Verfügung stehen.