Vergleichstest: Unified-Threat-Management-Systemen – Teil 2:
Im Test: Sicherheits-Appliances der Oberklasse
Aktuelle Security-Appliances bieten einen umfangreichen Schutz für ITK-Netze. In den Real-World Labs musste eine Auswahl an UTM-Lösungen zeigen, wie sie für die notwendige Sicherheit sorgen kann. Im zweiten Teil des Test nahm Network Computing Geräte von Securepoint, Telco Tech und Zyxel unter die Lupe.
UTM-Appliances sind die digitalen Torwächter für moderne Unternehmen. Hinter dem Begriff Unified-Threat-Management steht der Anspruch, einen universellen Schutz vor allen Bedrohungen aus dem Netz zu bieten.
Folglich vereint eine solche Box Funktionen wie Firewall, VPN, IDS/IPS, Anti-Virus, Content-Filter oder Anti-Spam. Im Zeitalter von Unified-Communications sollen diese digitalen Torwächter natürlich die notwendigen Bandbreiten zur Verfügung stellen und auch Quality-of-Service bieten.
Wie gut solche Systeme diese Anforderungen erfüllen, zeigt ein Vergleichstest in den Real-World Labs von Network Computing an der Fachhochschule Stralsund. Getestet wurden die UTM-Appliances auf ihre Tauglichkeit für den umfassenden Schutz von Unternehmensnetzen.
Folgende Geräte nahmen an dem Test teil: Clavisters »SG3210«, Funkwerks »Packetalarm UTM2500«, Gateprotects »GPX 800«, Securepoints »RC300«, Telco Techs »LiSS 3000« sowie Zyxels »ZyWALL USG-300«.
Im ersten Teil des Beitrages [1] untersuchte Network Computing die Geräte von Clavister, Funkwerk und Gateprotect. Nun folgen die Systeme von Securepoint, Telco Tech und Zyxel.
Securepoint RC300
Securepoints [2] RC300 ist eine IT-Security-Appliance für kleine und mittlere Unternehmen mit bis zu 100 Anwendern. Sie soll sich mit ihrem 19-Zoll-Format in professionelle Rechenzentrumsumgebungen einfügen. Der Hersteller möchte mit der Lösung eine umfassende Network-, Web- und Mail-Sicherheit mittels einer intuitiv zu bedienenden Benutzerschnittstelle sicherstellen.
Die UTM-Appliance Securepoint RC300 ist für Unternhmen mit 50 bis 100 Netzwerk-Nutzern ausgelegt.
Securepoint empfiehlt eine User-Anzahl von 50 bis 100. Den Firewall-Durchsatz gibt die Firma mit 400 MBits/s an, den VPN-Durchsatz mit 195 MBit/s.
Die Liste der Funktionen der RC300 ist lang. So verfügt die Appliance über eine Stateful-Inspection-Firewall, eine Application-Layer-Firewall, Virenscanner, Spam-Filter, Content-Filter, ein VPN-Gateway sowie Intrusion-Detection/Prevention und Bonding/Trunking.
Hinzu kommen Funktionen wie Quality-of-Service, Authentifizierung, SIP-, VoIP- und VNC-Support, Multi-Path-Routing, Hochverfügbarkeit, ein X509-Zertifikatsserver sowie Reporting- und Logserver.
Telco Tech Liss-300
Telco Techs [3] Liss-3000 lässt sich nach Angaben des Herstellers problemlos in nahezu jede IT-Umgebung integrieren und zeichnet sich durch eine hohe Performance, Multifunktionalität und universelle Einsatzmöglichkeiten aus.
Auch die Liss-3000 vereint zahlreiche Funktionen in einer Box. Hierzu gehören ein zentrales IP-Gateway, eine mehrstufige Firewall, VPN-Gateway, Proxy-Server für Antivirus, Spam und Content-Filter.
Als Besonderheiten des 19-Zoll-Geräts nennt der Hersteller Policy-Based-Routing, Bridging/Routing, umfangreiche Diagnosemöglichkeiten und das zentrale Management.
Zyxel Zywall-USG-300
Bei der Zywall-USG-300 von Zyxel [4] handelt es sich nach Herstellerangaben um ein Unified-Security-Gateway, das umfassende und maßgeschneiderte Sicherheitsfunktionen auf Unternehmensniveau für kleine und mittelgroße Unternehmen bietet. Integriert ist sowohl ein IPSec-VPN als auch SSL-VPN.
Einen weiteren Vorteil sieht der Hersteller in der Integration einer benutzerfreundlichen Zugriffssteuerung, die eingehenden und ausgehenden Traffic reguliert und zum Schutz der Netzwerkressourcen eingesetzt werden kann.
Die USG-300 bietet laut Zyxel Multi-Layer-Schutz für sicherheitskritische Unternehmensfelder. Dank eines integrierten Sicherheits-Co-Prozessors ist die USG-300 in der Lage, auch bei hoher Netzwerkbelastung »unerschütterliche und zuverlässige Performance« zu bieten.
Zusätzlich soll das IDP-Feature (Intrusion Detection and Prevention) Angriffe erkennen und Maßnahmen gegen bösartige oder verdächtige Aktivitäten treffen. Die signaturbasierte IDP-Engine ist in der Lage, Protokoll- oder Traffic-Anomalien zu erkennen und durch den Abgleich von Verhaltensmustern vor Attacken auf Anwendungsebene zu schützen.
UDP-Durchsatz
In unserer ersten Messreihe haben wir den UDP-Datendurchsatz im UTM-Betrieb untersucht. Dabei muss die Appliance das interne gegen das externe Netz abschotten.
Um den Datenverkehr zwischen diesen Netzen zu simulieren, wurden die zu testenden Systeme über zwei Ports mit dem Lastgenerator/Analysator »Smartbits« von Spirent [5] verbunden. Die Smartbits erzeugten Flows aus UDP-Paketen jeweils mit konstant 64, 256, 512, 1024 und 1518 Byte Größe.
Die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Bei 100 Prozent liegt dann eine Bruttodurchsatzrate von 1 GBit/s vor.
Der Nutzdatendurchsatz ist natürlich entsprechend geringer und hängt unter anderem von den verwendeten Frame-Formaten ab. Weitere Detailmessungen führte Network Computing dann bei Bedarf in 1-Prozent-Schritten durch, um die Leistungsgrenzen näher zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau unidirektional. Bei den Messungen ging der Datenstrom vom WAN in Richtung LAN.
Gemessen wurden Frame-Loss und Latency. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller jeweils gemessenen Flows bei einem Frame-Loss von weniger als einem Prozent.
Da ein Prozent 100 MBit/s entspricht, erreicht hier eine Teststellung eine nominale Durchsatzleistung von beispielsweise 300 MBit/s, wenn 400 MBit/s nicht ohne entsprechend hohe Datenverluste darstellbar sind.
Referenzwerte ohne Appliance
Um Referenzwerte für den Vergleich zu erhalten, haben wir zuerst den Testaufbau ohne zwischengeschaltete Appliance getestet. Dann wurden die entsprechend konfigurierten Systeme nacheinander den entsprechenden Zangenmessungen unterzogen.
Bei diesen Referenzmessungen ohne UTM-Appliance erreichte der Testaufbau bei allen Frame-Formaten einen Durchsatz von 100 Prozent oder brutto 1 GBit/s. Dabei waren von Anfang an alle UTM-Funktionen mit Ausnahme der QoS-Datenpriorisierung aktiviert.
Securepoints RC300 schaffte mit den Frame-Formaten zwischen 512 und 1518 MBit/s volle Leitungsgeschwindigkeit, also 1 GBit/s Brutto-Datendurchsatz. Mit kleineren Frames ging dann die Durchsatzrate moderat zurück.
Betrug das verwendete Frame-Format 256 Byte, schaffte die RC300 noch einen Durchsatz von 800 MBit/s. Waren die Frames 64 Byte klein, war noch ein Durchsatz von 200 MBit/s zu erzielen.
Auch Telco Techs Liss-3000 schaffte Leitungsgeschwindigkeit – so lange die Frames zwischen konstant 512 und 1518 Byte groß waren. Mit 256 Byte großen Frames schaffte die Liss dann noch einen Durchsatz von 600 MBit/s. Und der Betrieb mit den kleinsten Frames reduzierte die Durchsatzrate auf 200 MBit/s.
Telco Techs Liss-3000 lässt sich nach Angaben des Herstellers in nahezu jede IT-Umgebung integrieren und zeichnet sich durch hohe Leistung sowie Multifunktionalität aus.
Deutlich mehr Probleme mit dem Durchsatz hatte Zyxels Zywall-USG-300. Mit den größten Frames war hier ein Durchsatz von 100 MBit/s möglich. Verwendeten wir kleinere Frames, lag der mögliche Durchsatz durchgängig unter 100 MBit/s.
UDP-Latency
Für den gleichen Testaufbau wurden anschließend die Werte für die Latency ermittelt. Dabei haben die Tester eine konstante Geschwindigkeit von 100 MBit/s erzeugt. Auch diese Messung führte das Labor zunächst ohne Appliance durch.
Die Werte für die Latency betrugen bei den beiden kleinsten Frame-Formaten 7 µs. Mit 512-Byte-Paketen stieg die Latency auf 12 µs, mit 1024-Byte-Paketen auf 20 µs. Mit den größten Frames erhöhte sich die Latency auf 28 µs.
Securepoints RC300 erreichte Latency-Werte zwischen 36 und 83 µs. Dabei erzielte die Appliance die niedrigste Latency im Betrieb mit dem kleinsten Frame-Format. Mit dem Frame-Format stiegen dann die Verzögerungszeiten kontinuierlich an, um mit den größten Frames auch den höchsten Wert von 83 µs zu erreichen.
Telco Techs Liss-3000 kam bei unseren Latency-Messungen auf Werte zwischen 33 und 98 µs. Wie schon bei dem Securepoint-System lagen die niedrigsten Werte bei den Messungen mit den kleinsten Frames vor und stiegen dann kontinuierlich mit dem Frame-Format.
Zyxels Zywall-USG-300 kam bei der Messung mit den größten Frames auf eine Latency von 345 µs. Verwendeten wir kleinere Frames, lag der Wert bei rund 33 ms. Die deutliche Erhöhung ist hier darauf zurückzuführen, dass das System an seiner Leistungsgrenze war und die Pufferspeicher sich entsprechend füllten.
Optimaler UDP-Durchsatz und Latency
Die gleiche Messung wurde anschließend mit 1-Prozent-Schritten und dem größten Frame-Format durchgeführt, um die maximal erreichbare Durchsatzleistung sowie die damit verbundene Latency zu ermitteln. Die Referenzmessung ohne Appliance ergab 100 Prozent oder 1 GBit/s und eine Latency von 28 µs.
Zyxels Zywall USG-300 bietet unter anderem eine Vielzahl von Sicherheitsfunktionen sowie Features für das Management und Monitoring.
Securepoints RC300 erreichte bei diesem Test volle Leitungsgeschwindigkeit. Die Latency betrug dabei rund 280 µs. Wire-Speed erreichte auch Telco Techs Liss-3000. Die Latency betrug dabei rund 11 ms. Zyxels Zywall-USG-300 schaffte in diesem Test einen maximalen Durchsatz von 11 MBit/s bei einer Latency von gut 20 ms.
TCP-Performance
Bei der TCP-Performance-Messung baut die Messtechnik Verbindungen durch die Appliance auf und generiert Datenströme. Bei der Messung geht der Hauptdatenstrom als Download vom Reflector zum Avalanche. Die generierte Last ähnelt insgesamt einer unidirektionalen Smartbits-Messung mit größeren UDP-Paketen.
Die jeweilige Appliance ist an die Messtechnik, den Avalanche und Reflector von Spirent, angeschlossen. Es handelt sich dabei um einen normalen Download, bei dem in Upload-Richtung kleine Frames mit den entsprechenden Requests und in Download-Richtung automatisch die größtmöglichen Frames gesendet werden. Frame-Formate werden also nicht explizit eingestellt.
Das Messsystem simuliert so die Kommunikation zwischen Client-Systemen im internen Netzwerk sowie Rechnern im externen Netz und protokolliert das Verhalten der Appliance. Auch hier war von Anfang an die gesamte UTM-Funktionalität außer der QoS-Priorisierung aktiv. Allerdings ging hier der TCP-Verkehr am HTTP-Proxy vorbei.
Wir haben so zunächst 100 User simuliert, die jeweils einen beziehungsweise zehn Requests je 10.000 Byte pro TCP-Connection starten. Auch diese Messung wurde zunächst mit dem Testaufbau ohne dazwischen geschaltete Appliance durchgeführt. Der Testaufbau selbst kam auf 696.993 beziehungsweise 773.260 Transaktionen und 948 beziehungsweise 970 MBit/s.
Securepoints RC300 schaffte 687035 beziehungsweise 772200 Transaktionen und einen Durchsatz von 900 beziehungsweise 970 MBit/s. Telco Techs Liss-3000 kam auf 32179 und 321790 Transaktionen. Der maximale Durchsatz konnte dabei nicht ermittelt werden, weil die maximale Connection-Capacity nicht ausreichte. Zyxels Zywall-USG-300 erzielte 21444 beziehungsweise 61410 Transaktionen und Durchsatzwerte von 27 sowie 77 MBit/s.
TCP-Durchsatz mit URL-Filter und Antivirus
Als nächstes wollten wir wissen, welche Durchsatzleistungen die Appliances ermöglichen, wenn der HTTP-Verkehr mit dem URL- und Antivirus-Filter analysiert wird. Dazu wurden 100 User simuliert, die jeweils zehn Requests je 10.000 Byte pro TCP-Connection starten.
Securepoints RC300 schaffte 31.790 Transaktionen bei einem Durchsatz von 43 MBit/s. Telco Techs Liss-3000 kam auf 10.585 Transaktionen und einen Durchsatz von 12,5 MBit/s. Zyxels Zywall-USG-300 lag mit 9117 Transaktionen und 9 MBit/s knapp dahinter.
UDP-Latency bei HTTP-Durchsatz
Dann wollten wir wissen, wie sich die Geräte bei einem Mix aus UDP-Datenströmen und HTTP-Durchsatz verhalten. Dazu generierten wir mit den Smartbits 1 MBit/s UDP-Datenlast. Zusätzlich simulierten wir mit dem Avalanche den Zugriff von 100 Usern.
Securepoints RC300 kam bei der Messung mit der Grundlast auf eine Latency von 83 µs. Griffen zusätzlich zur Grundlast noch die simulierten HTTP-User auf das System zu, betrug die Latency 108 µs. Telco Techs Liss-3000 kam auf eine Latency von 100 µs mit der Grundlast und auf 150 µs mit dem zusätzlichen HTTP-Traffic. Zyxels Zywall-USG-300 erreichte eine Latency von 190 µs mit der Grundlast und von 250 µs mit den zusätzlich simulierten HTTP-Usern.
UDP-Latency mit Datenpriorisierung
In der letzten Testreihe untersuchten die Real-World Labs, inwieweit die Datenpriorisierung Einfluss auf die Latency-Werte hat. Dabei haben wir niedrig und hoch priorisierte UDP-Datenströme von jeweils 1 MBit/s gesendet und zugleich wieder die Zugriffe von 100 Usern simuliert.
Securepoints RC300 und Telco Techs Liss-3000 boten keine Möglichkeit, eine Datenpriorisierung zu konfigurieren. Zyxels Zywall-USG-300 gestattete dies. Allerdings zeigten die Latency-Messwerte für die beiden Prioritäten keine Unterschiede. Sowohl für die hoch als auch für die niedrig priorisierten Datenströme konnten wir eine Latency von 250 µs messen.
Fazit
UTM-Appliances müssen sich widersprechende Anforderungen erfüllen. Auf der einen Seite müssen sie die Daten, die sie an das interne, zu schützende Netz weiterleiten, möglichst genau untersuchen. Auf der anderen Seite sollen sie aber möglichst mit Leitungsgeschwindigkeit arbeiten und keine störenden Latency-Werte produzieren.
Bei solchen Anforderungen sind Kompromisse unvermeidbar. Die vorliegenden Testergebnisse haben gezeigt, dass die Systeme den Datentransport mit gewissen Einschränkungen durchaus beherrschen.
Wie sicher sie wirklich sind und welche Kompromisse die Hersteller zu Gunsten der übrigen Funktionalität eingehen, werden wir im kommenden Frühjahr in einem neuen erweiterten Testverfahren prüfen.
[1] network-computing-test-drei-utm-appliances-auf-dem-pruefstand/
[2] http://www.securepoint.de
[3] http://www.telcotech.de/
[4] http://www.zyxel.de/
[5] branchenguide/firma/?firma=40
- 1. Seite: Im Test: Sicherheits-Appliances der Oberklasse
- 2. Seite: Im Test: Sicherheits-Appliances der Oberklasse (Fortsetzung)
- 3. Seite: Im Test: Sicherheits-Appliances der Oberklasse (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Apple darf wieder online verkaufen
Nachdem Apple am Freitag aufgrund einer vorläufigen Gerichtsentscheidung einige iPhone- und iPad-Modelle aus dem Onlineshop nehmen musste, darf das Unternehmen jetzt wieder alles verkaufen – jedoch ebenfalls nur unter Vorbehalt.
Notebooksbilliger.de eröffnet neuen Shop
Der Etailer startet mit einem neuen Online-Shop: www.nullprozentshop.de bietet ITK-Produkte mit einer Null-Prozent-Finanzierung an. Zum Start gibt es einige Knaller-Angebote.
» Bundesliga-Tippspiel 2011
