Im Test: Sonicwall NSA 240

UTM-Appliance für Unternehmensnetze aller Größen

14.04.2009 | Autor / Redakteur: Götz Güttich / Peter Schmitz

Übersichtliches Handling und gute Systemleistung machen die Sonicwall NSA 240 UTM-Appliance zu einer guten Wahl.
Übersichtliches Handling und gute Systemleistung machen die Sonicwall NSA 240 UTM-Appliance zu einer guten Wahl.

Netzwerkeinstellungen auch mit Failover

Über die Netzwerkkonfiguration richten die Administratoren nicht nur die Interfaces ein und sehen Verkehrsstatistiken an, sondern konfigurieren auch den WAN-Failover, das Load-Balancing und die Zonen für die vorhandenen Schnittstellen (zum Beispiel Trusted und Untrusted für LAN und WAN). Auf Zonenbasis lassen sich dann Dienste wie Content Filter, Spyware-Schutz oder IPS aktivieren oder abschalten. Mit Hilfe der DNS-Settings legen die zuständigen Mitarbeiter fest, ob das System mit fest eingestellten DNS-Servern arbeitet oder die DNS-Server des Internet-Providers nutzt.

„Adress Objects“ übernimmt im Gegensatz dazu das Definieren der Objekte, die dann bei der Regeldefinition zum Einsatz kommen. Dazu gehören unter anderem Subnetze, IP-Adressen, Access Points, White-Lists, Black-Lists und Hosts. Mit diesen Objekten lassen sich dann Regeln erstellen, die etwa einem Host den Zugriff auf bestimmte Subnetze erlauben.

Zusätzlich zu den genannten Funktionen gehören noch diverse weitere Konfigurationsdialoge zu den Netzwerkeinstellungen, wie etwa zum Routing (mit Advanced Routing), zu den NAT-Policies, zum DHCP-Server, zum ARP-Cache, zu DynDNS, zu einem eventuell vorhandenen Web-Proxy und zum IP-Helper. Der letztgenannte übernimmt das Weiterleiten von DHCP-Anfragen, die bei der Sonicwall-Lösung eingehen, an einen zentralen DHCP-Server. Im Test hinterließ die Netzwerkkonfiguration einen übersichtlichen Eindruck.

Im Konfigurationsmenü für die PC-Card sehen die Verantwortlichen nicht nur den Status dieser Komponente ein, sondern nehmen auch Einstellungen zum Wireless WAN (WWAN), beziehungsweise zum analogen Modem vor, während die Sonicpoint-Settings den Administratoren dabei helfen, die Zusammenarbeit der NSA-Appliance mit Sonicwall Access Points zu konfigurieren. Dazu gehören auch Erkennungsfunktionen für Rogue Access Points, Netstumbler- sowie Wellenreiteraktivitäten und ähnliches.

Firewall-Settings für Experten

Im Rahmen der Firewall-Konfiguration nehmen die Verantwortlichen die Definition der Regeln für den Verkehr zwischen den einzelnen Netzen vor. Die Sonicwall-Lösung präsentiert diese Regeln nicht nur auf die traditionelle Art in Listenform, sondern auch als Matrix, die klar zeigt, welche Regel für welche Verkehrsrichtung gilt (LAN nach WAN, WAN nach DMZ und so weiter). Die Regeln selbst bestehen aus der Quell- und der Zielzone, dem Dienst, den zulässigen Benutzern und dem Zeitplan, für den die Regel Gültigkeit besitzt. Bei Bedarf lassen sich die Regeln auch mit QoS-Einstellungen kombinieren.

Die Advanced-Settings zur Firewall ermöglichen es den Administratoren, Funktionen wie „Randomize IP“ und „Drop Source Routed IP Pakets“ zu aktivieren, während die „TCP Settings“ zum Einsatz kommen, um eine TCP-Compliance mit den RFCs 793 und 1122 zu erzwingen, beziehungsweise TCP-Verbindungs-Timeouts zu setzen. An gleicher Stelle stehen auch TCP-Verkehrsstatistiken zur Verfügung.

Die Definition der Dienste läuft über den Services-Dialog ab. Hier legen die IT-Mitarbeiter die Dienste fest, die sie über die Regeln freigeben oder blockieren möchten. Dabei hat der Hersteller die meisten Services bereits vordefiniert, es ist aber auch möglich, eigene anzulegen. Das geht über den Namen, das Protokoll (TCP, UDP, GRE, L2TP etc.) und - bei Bedarf - die Port-Range. Um die Übersichtlichkeit zu verbessern, lassen sich die Dienste auch in Dienstgruppen zusammenfassen.

Die restlichen Funktionen der Firewall-Konfiguration befassen sich mit der Multicast-Konfiguration, dem QoS-Mapping und der SSL-Steuerung. Letztere arbeitet mit Black- und Whitelists und erkennt beziehungsweise blockiert schwache Verschlüsselungsalgorithmen und Zertifikate, die von Certificate Authorities stammen, die als „untrusted“ gelten. Damit liefert die Sonicwall-Appliance sehr nützliche und leistungsstarke Werkzeuge zum Absichern von SSL-Verbindungen. Ein Verbindungsmonitor, dessen Ausgabe sich nach Quelle, Ziel und Protokoll filtern lässt, schließt den Leistungsumfang der Firewall-Rubrik ab.

Die Konfiguration der Einstellungen zur Telefonie über das Internet läuft über das VoIP-Menü (Voice over IP) ab. Dabei unterstützt das System die Protokolle H.323 und SIP. Zusätzlich zu den Konfigurationsoptionen bietet es an dieser Stelle auch eine Übersicht über den Status der Anrufe an.

Seite 5: Regeln und Policies für die Application Firewall

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2021174 / Unified Threat Management (UTM))