Sichere Brandmauer
Sichere Brandmauer
Das Verwaltungswerkzeug kennt zwei Betriebsarten, einen Lese-/Schreibmodus und eine Nur-Lese-Variante. Die Konsequenzen zeigten sich beim Versuch, über den separaten Policy-Manager eine Regel anzupassen. Da die Management-Konsole bereits mit Schreibzugriff lief, führte der Änderungsvorgang zur Fehlermeldung, dass die einzig mögliche Schreibverbindung bereits geöffnet sei. In der Folge musste das Administrations-Tool geschlossen und im Nur-Lese-Modus neu gestartet werden, bevor die Änderungen im Policy-Manager gespeichert wurden. Diese strikte Zugriffskontrolle geht zwar als Hochsicherheits-Merkmal durch. Doch es stellt sich die Frage, ob diese Massnahme nicht bloss die Verwaltungsarbeit unnötig erschwert.
Wenn man sich einmal an die strikte Art und Weise der Firebox-Verwaltung gewöhnt hat, bieten das Administratoren-Tool und der Policy-Manager eine Vielzahl nützlicher Funktionen. Der Aufbau eines VPN zwischen zwei Filialen gestaltete sich verhältnismässig einfach, wie auch das Einrichten dazu gehörender Zugriffsregeln. Proxy-Server für die Protokolle HTTP, SMTP und FTP (File Transfer Protocol) erlauben die Verkehrssteuerung auf Anwendungsebene. Auf diesem Weg werden auch Angriffsversuche unterbunden, die über speziell präparierte Verbindungen erfolgen. Der aktuelle Zustand der Firebox lässt sich live überwachen. Zu den verfügbaren Informationen zählen etwa die laufenden Verbindungen und angeschlossenen Rechner, aber auch die Einträge in den Logdateien.
Über die Firewall hinaus bietet die Herstellerin Watch-Guard mit dem Live-Security-Informer einen E-Mail- und RSS-basierten (Really Simple Syndication) Informationsdienst zum Thema Netzwerksicherheit. Er richtet sich an Administratoren, die auf dem Laufenden bleiben wollen, ohne gleichzeitig mit Hinweisen auf Software-Patches überflutet zu werden. Eine solche Dienstleistung ist bei Firewall-Anbietern die Ausnahme. Der Live-Security-Informer steht als kostenpflichtiges Abo auch denjenigen Firmen zur Verfügung, die keine Watch-Guard-Produkte einsetzen.
Sicherheit gegen Aufwand
Der Funktionsumfang der Firebox-X-Core kann sich sehen lassen. Eigenschaften wie die zentrale Verwaltung auch von entfernten Firewalls, gruppenbasierte Regeln und ein eingebauter Authentifizierungs-Server sind meist nur in teureren Modellen für grosse Unternehmen zu finden. Umgekehrt halten auch die aufwändige Installation und Konfiguration mit den Enterprise-Produkten mit. Die für KMU-Firewall-Appliances übliche Assistenten-gestützte Einrichtung sucht der Administrator hier vergebens.
Den Preis für die Sicherheit bezahlt man bei der Firebox-X-Core in Form eines erhöhten Betreuungsaufwandes.
Den Preis für die Sicherheit bezahlt man bei der Firebox-X-Core in Form eines erhöhten Betreuungsaufwandes.