Fachartikel

IAIT-Test: Barracuda NextGen Firewall 6.1

Mit der Barracuda NextGen Firewall F-Series bietet Barracuda eine Produktserie an, die Netzwerke vor Bedrohungen schützen und die Site to Site-Connectivity verbessern soll. Wir haben im Testlabor zwei NextGen Firewall-Appliances vom Typ F280 unter die Lupe genommen und dabei ein besonderes Augenmerk auf die VPN-Verbindungen, die Funktionen zum Optimieren des WAN-Verkehrs und die Advanced Threat Detection gelegt.
Dank der leistungsfähigen Sicherheitsfunktionen wie Firewall, IPS, Antivirus, Applikationskontrolle und ATD sorgen die NextGen-Firewalls von Barracuda dafür, dass keine schädlichen Dateien ins Unternehmensnetz gelangen.
Die NextGen Firewall-Lösungen von Barracuda bringen nicht nur Firewall- und VPN-Funktionalitäten mit, sondern auch Features wie Anti-Spam, Anti-Virus, Application Control und Intrusion Prevention. Eine Netzwerkzugriffskontrolle (NAC) gehört ebenfalls zum Leistungsumfang, genau wie ein Web-Filter.

Von besonderem Interesse sind die leistungsfähigen Funktionen zum Verwalten des Site to Site-Verkehrs. Mit ihnen lässt sich nicht nur die Verfügbarkeit von WAN-Verbindungen optimieren, sondern auch ihre Leistung. So können die Administratoren Datenströme auf Anwendungs- oder Benutzerebene routen und Übertragungen über verschiedene Links und Tunnel hinweg priorisieren. Die Priorisierung erfolgt bei Bedarf sogar abhängig von den Verkehrsbedingungen. Zum Optimieren des WAN-Verkehrs setzen die NextGen Firewalls außerdem auf Datendeduplizierung, Kompression und Protokolloptimierung. Bei Bedarf unterstützen sie auch dynamische VPN-Tunnel.

Der Test
Im Test verbanden wir zwei unterschiedliche Netze über die beiden F280-Appliances miteinander und übertrugen Daten zwischen ihnen. Dabei kamen zwei verschiedene VPN-Verbindungen zum Einsatz. Über die eine übertrugen wir geschäftskritische Daten, über die andere liefen alle anderen Informationen. Außerdem benutzten wir diverse Regeln, um Webseiten und Applikationen zu blockieren und testeten die Advanced Threat Detection (ATD) mit infizierten Files.

Die Installation der Testumgebung
Für unseren Test verbanden wir die Appliances zunächst einmal mit unserem Netzwerk und fuhren sie hoch. Danach loggten wir uns mit dem Windows-Tool "NG Admin" über die Default IP-Adresse 192.168.200.200 bei den Appliances ein. Bei "NG Admin" handelt es sich um das Konfigurationswerkzeug für die NextGen Firewall-Produkte. Nach dem ersten Login startet ein Wizard, der es den Administratoren ermöglicht, die Appliance entweder im Standard Deployment Mode oder im Evaluation Mode in Betrieb zu nehmen. Der Evaluation Mode lässt sich zum einen nutzen, um die Firewall als Transparent Bridge zum Testen zwischen einem Administrator-PC und dem Firmennetzwerk zu betreiben. Zum anderen ermöglicht er auch den Einsatz der Appliance als sichere Lösung für den Internet-Zugang. Der Standard Deployment Mode dient im Gegensatz dazu nur dafür, das Passwort und die Zeitzone anzupassen und die Management IP-Adresse zu modifizieren. Weitere Einstellungen erfolgen dann im Betrieb manuell. Da wir eine Site to Site-Konfiguration vorhatten, passten wir nur die Zeitzone und die Management IP-Adresse im Standard Deployment Mode an unsere Anforderungen an und führten die restlichen Konfigurationsschritte später über den NextGen Admin aus.

Die F280 Appliances verfügen über sechs Netzwerkports und einen Acht-Port-Switch. Jeweils ein Interface schlossen wir an unser Management Network an, damit wir die Lösungen verwalten konnten. Über die beiden nächsten verbanden wir die Appliances miteinander, sie übernahmen später die Aufgabe der beiden VPN-Verbindungen. In der Praxis könnten an dieser Stelle beispielsweise zwei verschiedene Internet-Provider zum Einsatz kommen, die NextGen Firewall F-Series unterstützt bis zu vier unterschiedliche ISPs gleichzeitig. Die nächsten Ports fanden jeweils Verwendung, um die Netzwerke anzubinden, die über die Appliances miteinander kommunizieren sollten.


Bild 1: Das Live Dashboard der Barracuda NextGen Firewall 6.1 vereint die wichtigsten Informationen auf einen Blick.

Während der Änderung der Netzwerkkonfiguration fiel uns auf, dass der Hersteller großen Wert darauf gelegt hat, die Modifikationen an den Netzwerkparametern narrensicher zu gestalten. Führt ein Administrator Änderungen durch, so muss er diese nach dem Abschluss seiner Arbeiten zunächst einmal auf die Appliance übertragen. Danach kann er sie aktivieren. Wenn es um die Konfiguration des Netzwerks geht, muss er zusätzlich noch vom Konfigurations- in den Steuerungsbereich von NextGen Admin wechseln und dort die neue Netzwerkkonfiguration explizit in Betrieb nehmen. Dabei stehen ihm die Optionen "Failsafe", "Force" und "Soft" zur Verfügung. "Failsafe" bedeutet, dass die Appliance zunächst ein Backup ihrer Konfiguration (mit den alten Netzwerkeinstellungen) anlegt und erst dann die neuen Network Settings aktiviert. Kommt anschließend keine Verbindung mit dem Administrationswerkzeug mehr zustande, so spielt sie die alte Konfiguration wieder ein.

Auf diese Art und Weise stellt Barracuda sicher, dass sich kein Administrator selbst aussperrt, so dass auch der Zugriff auf Appliances in weit entfernten Rechenzentren sichergestellt wird. Bei der Auswahl von "Force" führt die Appliance die Änderungen einfach durch und "Soft" kommt beim Modifizieren von Routen zum Einsatz. Das hier beschriebene Vorgehen mag auf den ersten Blick etwas umständlich erscheinen, kann einem aber sehr viel Zeit und Ärger ersparen, weswegen wir es an dieser Stelle ausdrücklich positiv hervorheben.

                                                Seite 1 von 2                     Nächste Seite>>


14.12.2015/Dr. Götz Güttich, Institut zur Analyse von IT-Komponenten (IAIT)

Nachrichten

NoSpamProxy 14 unterstützt S/MIME 4 [1.07.2022]

NoSpamProxy steht ab sofort in der Version 14 zur Verfügung. Neue Funktionen wie S/MIME-4-Support, der Metadaten-Service 32Guards und Flow Guard sowie eine neue Web-App für die Administration sollen die E-Mail-Kommunikation noch besser schützen und die Konfiguration vereinfachen. [mehr]

Souveräne VMware-Cloud für deutsche Kunden [30.06.2022]

Als deutschlandweit erster Cloudanbieter ist IONOS Teil der VMware Sovereign Cloud Initiative. Im Rahmen der Initiative liefert IONOS Clouddienste, die die Prinzipien und Best Practices des VMware-Sovereign-Cloud-Frameworks berücksichtigen. Dies soll Kunden helfen, die Vorteile der Cloud zu nutzen und gleichzeitig die geltenden Datenschutzgesetze einzuhalten. [mehr]

Tipps & Tools

Tausendsassa für Dateiformate [4.07.2022]

Um ungebräuchlichere oder gar exotische Dateiformate umzuwandeln, führen manche IT-Profis ein ganzes Arsenal spezieller Tools. Doch stattdessen oder als Alternative zwischendurch, beispielsweise unterwegs, hilft auch ein kostenfrei nutzbarer Internetdienst bestens weiter: "CloudConvert" hat sich der fixen Onlinekonvertierung von insgesamt über 200 verschiedenen Dateiformaten verschrieben. [mehr]

Tischkicker mit nerdigen Extras [2.07.2022]

Gemeinsame Sporteinheiten unter Kollegen können die Produktivität der Mitarbeiter und ihren Teamgedanken fördern – das gilt gerade auch für das Kickern! Der Sportime Tischkicker "Connect & Play" lässt sich bestens in einer ruhigen Ecke unterbringen und für Extraoptionen, die nicht nur Nerds begeistern, mit dem Smartphone oder Tablet koppeln. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen