tom's networking guide
 
Anzeige

Firewalls für kleine Netze

Innominate mGuard und Watchguard Firebox X Edge

Grenzwächter und Tunnelköpfe

Inbetriebnahme und Konfiguration

Die Konfiguration der Firebox X Edge von Watchguard läuft über die Default-IP-Adresse 192.168.111.1 ab. Das Produkt verfügt als Besonderheit neben den sieben internen Anschlüssen über zwei WAN-Ports und unterstützt optional eine WAN-Failover-Funktion. Die Konfiguration über das Web-Interface läuft SSL-verschlüsselt ab, wobei der Administrator vor dem Einloggen das Lesen der Lizenzdatei bestätigen und ein Passwort für das Konfigurations-Tool vergeben muss. Damit stellt der Hersteller sicher, dass keine Sicherheits-Appliances dieses Typs mit Default-Passwörtern im Netz hängen.

Nach der Inbetriebnahme blockt die FireBox X Edge zunächst jeglichen eingehenden Datenverkehr, während sie gleichzeitig für sämtliche Zugriffe von innen nach außen offen steht. Dieses Verhalten stellt bei den meisten Firewalls dieser Klasse die Standardeinstellung dar.

Das Konfigurations-Interface der Lösung wurde in mehrere Punkte aufgeteilt und wird einen Anwender mit etwas Netzwerkerfahrung vor keine nennenswerten Schwierigkeiten stellen. Nach dem Login findet er sich auf einer Statusseite wieder, die Informationen zum Zustand der Interfaces, der laufenden Dienste sowie zur Netzwerkkonfiguration und zur Firmware-Version enthält. Auf dieser Seite lassen sich auch Firmware-Updates einspielen, was im Test problemlos funktionierte.

Die Statusseite der Firebox X Edge bietet alle wichtigen Informationen über den Zustand des Systems.

Unter Network geht es mit der Netzwerkeinrichtung weiter. Extern unterstützt die Lösung neben einer manuellen Einstellung DHCP und PPPoE, also PPP over Ethernet für DSL-Anschlüsse. Intern lässt sich neben dem LAN ein optionales Netz einrichten, beispielsweise zum Anschluss einer DMZ. Die Einstellungen zum optional erhältlichen WAN-Failover und zum Routing schließen diesen Punkt ab.

Das Menü Firebox Users dient zum Verwalten von Benutzerkonten, die zum Einsatz kommen, um Zugriffe auf das externe Netz und VPN-Tunnel zu begrenzen oder auf bestimmte Tageszeiten einzuschränken. Mittels Administration legen die Verantwortlichen fest, ob das Web-Interface SSL-verschlüsselt werden soll oder nicht. Außerdem können sie hier die Lizenzen installieren, die Zusatzfunktionen wie das WAN-Failover freischalten.

Das Herzstück der Appliance ist der Punkt Firewall. Hier definieren Administratoren die Firewall-Regeln. Das läuft übersichtlich nach der Richtung des Datenverkehrs, den betroffenen Diensten und der Aktion (Allow oder Deny). Viele der Dienste sind bereits vordefiniert, auf Wunsch können die Anwender aber auch eigene hinzufügen. Das klappte leider bei der im Test verwendeten Firmware-Version 7.0.1 nicht immer, da die Definition öfters durch einen immer wieder unvermittelt auftauchenden Login-Screen unterbrochen wurde. Es ist zu hoffen, dass der Hersteller hier noch nacharbeitet. Zusätzlich zu den Firewall-Regeln haben die Administratoren noch die Option, IP-Adressen anzugeben, zu denen die Firewall den Datenverkehr unterbinden soll. Außerdem gibt es noch diverse Zusatzfeatures. Damit können die Verantwortlichen beispielsweise Antworten der Firewall auf Ping-Anfragen ausschalten oder auch spezifische MAC-Adressen angeben.

Die wesentlichen Dienste hat Watchguard bereits vordefiniert.

Das Menü Log enthält alle Einstellungen zum Umgang mit Log-Dateien. Darüber hinaus konfigurieren die Anwender an dieser Stelle die Zeitzone und geben einen NTP-Server an. An dieser Stelle fällt positiv auf, dass Watchguard bereits sehr viele NTP-Server vordefiniert hat. Hier muss also niemand lange nach einer gültigen Adresse suchen.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige