tom's networking guide
 
Anzeige

Test IAIT Clavister W30

Hochverfügbare Next Generation-Firewall für verteilte Netze

Die Systemeinstellungen

Im Hauptmenü "System" finden sich alle Einstellungen zum Konfigurieren der Appliance selbst. Dazu gehören zunächst einmal die Settings für die Systemzeit, die Zeitzone, die Timeserver und den DNS-Client. Zudem legen die Verantwortlichen hier fest, welche Benutzer über welche Netze auf das Management-Interface der Appliance zugreifen dürfen, welche Systeme im Netz von der NGF Logs und Events erhalten (über Dienste wie Syslog und SNMP) und wie die Hochverfügbarkeitskonfiguration aussieht, auf die wir später noch genauer eingehen werden.

Ein wichtiger Bestandteil der Systemverwaltung ist das Monitoring. In diesem Zusammenhang spielt zunächst einmal die Überwachung der Hardware eine Rolle. Standardmäßig hat Clavister zu diesem Zweck einen Sensor für die CPU-Temperatur eingerichtet, es besteht aber die Möglichkeit, andere Sensoren, die beispielsweise die Stromspannung, den Lüfter und ähnliches im Auge behalten, zu nutzen. Allerdings hängen die verfügbaren Sensoren immer von der gerade verwendeten Hardware ab.

Der "Link-Monitor" dient im Gegensatz dazu zum Überwachen von Objekten wie Hosts oder Netzwerken. Sollten diese aus irgendwelchen Gründen nicht erreichbar sein, so ist die Appliance dazu in der Lage, automatisch vordefinierte Aktionen, wie Failovers und Neukonfigurierungen, vorzunehmen.

Die Real-Time-Monitor-Alerts überwachen schließlich bestimmte Werte wie etwa die CPU-Last, den Durchsatz, die Zahl der Spam-Meldungen oder die Zahl gedroppter Pakete. Die zuständigen Mitarbeiter können für diese Grenzwerte setzen und die NGF erzeugt Log-Einträge, falls diese Thresholds überschritten werden.

Clavister hat alle relevanten Dienste bereits vordefiniert. (©Smartmedia PresSservice)

Ansonsten gehören zu den Systemeinstellungen unter anderem noch eine Benutzerverwaltung für die lokale User-Datenbank, eine White List, die Einträge enthält, die nicht von IDP- und ähnlichen Regeln blockiert werden können und die Definition der HTTP Banner-Files, die das Aussehen der Authentifizierungs- und der Application Level Gateway-Restrictions-Seiten festlegen.

Diverse Geräteeinstellungen schließen das System-Menü ab. Dazu gehören IP Settings wie die Default TTL, das Loggen von Checksummenfehlern und vieles mehr genauso wie TCP Einstellungen wie beispielsweise zur Validierung von Sequence Numbers. Wenn die Administratoren mit der Maus über einen Eintrag fahren (Hover-Funktion), dann zeigt die W30 zu jeder Konfigurationsoption eine kurze Erklärung an, was sehr sinnvoll ist, weil sich hier auch Einstellungen finden, die selbst IT-Mitarbeitern, die sich mit Netzwerkprotokollen gut auskennen, nicht immer präsent sind. Zusätzlich zu den genannten Protokollen lassen sich übrigens noch Settings zu ICMP, PPP, Connection Timeouts, Legth Limits sowie zur Fragmentierung und zur lokalen Reassembly vornehmen. Das gleiche gilt für Einstellungen zu SSL, der State Engine, der maximalen Zahl der Pipe-Benutzer und zur Diagnose. Im Betrieb fiel uns auf, das die Appliance standardmäßig so eingestellt ist, dass sie anonymisierte Benutzerstatistiken automatisch an Clavister schickt. Das lässt sich zwar hier verhindern, unserer Meinung nach sollte dieser Konfigurationsschritt aber bereits im Rahmen des Assistenten zur Erstkonfiguration vorgenommen werden. Settings zur Anwendungskontrolle wie die maximale Zahl unklassifizierter Pakete und unklassifizierter Bytes schließen die Systemkonfiguration ab.

Objekte

Die Objekte sind die Grundlage für die Definition der Policies. Sie umfassen zunächst einmal das Adressbuch, das IP-, Netzwerk- und MAC-Adressen enthält. Bei Bedarf können die Administratoren hier neue Host- und Netzwerkadressen hinzufügen.

Die Services stellen im Gegensatz dazu die im Netz verwendeten Protokolle dar. Clavister hat hier bereits eine große Zahl vordefiniert, wie zum Beispiel "all_icmp", "ssh", "ipsec_suite", "igmp" oder auch "ping". Hier gilt wiederum, dass die zuständigen Mitarbeiter jederzeit eigene Einträge hinzufügen können.

Unter "ALG" finden sich die Einträge zu den Application Level Gateways. Vordefiniert wurden ALGs für H.323 und SIP, es lassen sich bei Bedarf aber eigene einfügen, beispielsweise für HTTP, POP3, PPTP und so weiter. An gleicher Stelle können die IT-Verantwortlichen den Key-Ring einsehen und bei Bedarf neue Schlüssel - etwa zum Absichern von Verbindungen - anlegen.

Ebenfalls von Interesse: die Adress-Pools. Hier finden sich IP-Pools (dynamische Objekte mit IP-Leases) und NAT-Pools, die in NAT-Regeln Anwendung finden können.

Die VPN-Objekte dienen zur Definition von Virtual Private Networks. Die VPN-Konfiguration erlaubt zunächst einmal das Definieren von LDAP-Servern, von denen die NGF bei Bedarf Zertifikate und Certificate Revocation Lists (CRLs) herunterladen kann. Der "IKE Config Mode Pool" weist den VPN-Clients dann im Betrieb IP-Adressen, sowie DNS- und WINS-Server zu. Abgesehen davon lassen sich im Rahmen der VPN-Settings unter anderem die zu verwendenden Algorithmen definieren.

Netzwerk-Settings

Der Hauptpunkt "Network" dient im Wesentlichen zur Konfiguration der Interfaces, VPNs und Routen. Hier lassen sich folglich die Einstellungen für die Ethernet-Adapter mit Adresse, Netzwerk und virtuellem Routing vornehmen sowie die Link-Aggregation eingerichten und PPPoE-Schnittstellen, VLANs und ähnliches definieren.

Die Definition einer Firewall-Regel. (©Smartmedia PresSservice)

Ebenfalls interessant: die VPN-Konfiguration. Die Clavister-Lösung unterstützt IPSec, SSL, GRE sowie 6in4 und kann nicht nur mit PPTP- und L2TP-Servern und -Clients kommunizieren, sondern ebenfalls mit PPTP V3- und L2TP V3-Komponenten. Im Test stellten wir IPSec-Verbindungen zu einem Lancom-Router vom Typ 1781A und dem aktuellen NCP VPN-Client für Windows her. Dabei kam es zu keinen Schwierigkeiten.

Damit nicht genug, unterstützen die Netzwerkeinstellungen zudem "Interface Groups", in denen sich mehrere Schnittstellen für einfacheres Policy-Management zusammenfassen lassen. Was das Routing angeht, so können die zuständigen Mitarbeiter nicht nur statische Routen setzen, sondern auch Routing-Tables auf Policy-Basis realisieren. Abgesehen davon besteht noch die Möglichkeit, Load Balancing mit Hilfe verschiedener Routen zu verwirklichen. Ebenso unterstützt: dynamisches Routing mit Hilfe von OSPF, virtuelles Routing und Multicast-Routing. Unter "Network Services" konfigurieren die Administratoren schließlich DHCP-Server und -Relays, Radius-Relays, DynDNS und so weiter.

Die Regeln

Der Bereich "Policies" stellt das Herzstück der NGF dar, denn hier richten die zuständigen Mitarbeiter die Regeln ein, die dazu dienen, die Datenübertragungen abzusichern. An erster Stelle sind in diesem Zusammenhang die "Main IP Rules" zu nennen. Diese lassen sich in Gruppen zusammenfassen, um die Übersichtlichkeit und Verwaltbarkeit zu erhöhen. Es ist so beispielsweise möglich, alle Regeln einer Gruppe auf einmal zu deaktivieren. Die einzelnen Regeln funktionieren - wie bei den meisten Firewalls üblich - mit Parametern wie Quelle und Ziel der Datenübertragung (Netzwerk, Host und ähnliches), dem betroffenen Dienst (wie "FTP" oder "all_ip"), dem Zeitraum (in dem die Regel gültig ist) und der durchzuführenden Aktion (Drop, Allow, Deny, Reject). Außerdem haben die Administratoren die Möglichkeit, den Policies Dienste wie die Application Control, den Web Content Filter oder die Antivirus-Funktion hinzufügen, die dann für die jeweiligen Protokolle aktiv werden. Im Test ergaben sich dabei keinerlei Schwierigkeiten.

An dieser Stelle noch ein Wort zur eben genannten Application Control. Mit ihr haben die zuständigen Mitarbeiter die Option, Regeln zu erstellen, die nur für den von einer bestimmten Anwendung generierten Verkehr gelten. Das funktioniert mit Signaturen, die in einer Datenbank abgelegt wurden. Mit Hilfe der Application Control lassen sich sehr fein abgestufte Policies erzeugen, beispielsweise ist es möglich, einer bestimmten Nutzergruppe eine bestimmte Bandbreite für die Nutzung von Bittorrent zuzuweisen. Damit lässt sich der Datenverkehr im Netz exakt an die Vorgaben des Unternehmens anpassen.

Die Konfiguration des Web Content-Filters. (©Smartmedia PresSservice)

Unter "Profiles" legen die zuständigen Mitarbeiter die Zeitpläne fest, während denen bestimmte Regeln Gültigkeit haben. Außerdem lassen sich Rahmenbedingungen für Dienste wie den Antivirus (zum Beispiel vom Scan ausgeschlossene Dateitypen oder der Umgang mit komprimierten Dateien) und den Web-Content-Filter (wie die zu blockierenden Kategorien ? zum Beispiel "Advertising", "Gambling", "Swimsuit", etc.) setzen. Außerdem wird hier die E-Mail-Kontrolle mit White- und Blacklist sowie Anti-Spam konfiguriert.

Was die Benutzerauthentifizierung angeht, so unterstützt das System neben der lokalen Datenbank externe LDAP- und Radius-Server. Die Intrusion Prevention arbeitet mit Signaturen, die sich mit Hilfe von Policies nutzen lassen, um den Datenverkehr auf Angriffe zu überwachen. Diese Policies setzen sich aus einem Namen, dem betroffenen Dienst, einem Zeitplan, den genannten Signaturen und ähnlichem zusammen. Die "Zone Defense" kommt wiederum zum Einsatz, um Hosts und Netzwerke mit Hilfe von Switches beim Auftreten von IPS- und Threshold Rule-Verletzungen zu blockieren. Last but not least verfügt die W30 noch über umfassende Traffic-Shaping-Funktionen.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige