Im Test: Fortigate-60B von Fortinet UTM-Appliance sorgt für Sicherheit in kleinen Netzen

Autor / Redakteur: Götz Güttich / Ulrich Roderer

Mit der Fortigate-60B liefert Fortinet eine UTM-Appliance, die sich nach Herstellerangaben für den Einsatz in Büros mit bis zu zehn Benutzern eignet. Das Produkt verfügt über Firewall-, VPN- und Antivirus-Funktionen sowie ein Intrusion-Protection-System, einen Web-Filter, Antispam-Funktionalitäten und Traffic-Shaping-Features. DataCenter-Insider.de hat die Lösung im Testlabor unter die Lupe genommen.

Firma zum Thema

UTM-Appliance für kleine Netze: Fortigate-60B
UTM-Appliance für kleine Netze: Fortigate-60B
( Archiv: Vogel Business Media )

Für den Test wurde die Fortigate-60B als Netzwerkrouter zwischen unserem DSL-Modem und dem LAN-Switch des Testnetzwerks installiert. Diese Betriebsart wird vom Hersteller auch als „NAT-Modus“ bezeichnet. Alternativ funktioniert die UTM-Appliance, die über insgesamt sechs LAN-Ports verfügt, auch in einem so genannten transparenten Modus zwischen LAN-Switch und Router. In diesem Fall bleibt sie für die anderen Netzwerkkomponenten unsichtbar und lässt sich lediglich über ihre Management-IP-Adresse ansprechen. Die Fortigate-60B verfügt übrigens über einen PCMCIA-Slot, über den die Administratoren bei Bedarf einen WLAN- oder UMTS-Internetzugang anstelle einer Festnetzverbindung einrichten können. Außerdem unterstützt das Produkt auch VoIP.

Die Inbetriebnahme des Geräts nach dem Anschluss an das Netzwerk läuft entweder via Browser über eine SSL-Verbindung mit der Default-IP-Adresse der Lösung (192.168.1.99) oder über ein Kommandozeileninterface über die serielle Schnittstelle. Im Test verwendeten wir beide Varianten, dabei kam es zu keinen Schwierigkeiten.

Bildergalerie
Bildergalerie mit 6 Bildern

Wenn sich ein Administrator beim Web-Interface eingeloggt hat, so landet er zunächst in einer Übersichtsseite, die ihm Systeminformationen wie Seriennummer, Uptime, Hostname, Zeit und ähnliches anzeigt. Punkte wie der Hostname lassen sich hier auch modifizieren. Abgesehen davon finden sich an gleicher Stelle Lizenzinformationen zum Supportvertrag, dem Antivirusfeature, dem Intrusion Protection System (IPS), dem Web-Filter, der Antispam-Funktion und ähnlichem. Darüber hinaus sehen die zuständigen Mitarbeiter, zu welchem Zeitpunkt die gerade installierten Definitionen für das IPS und die Antivirus-Engine eingespielt wurden.

Zusätzlich zu den genannten Punkten bietet die Systemübersicht noch einen Zugriff auf die Kommandozeile via Browser, ein Dashboard, das Prozessor- und Speicherlast visualisiert, eine grafische Darstellung der aktiven Ports, eine Alert-Message-Console sowie Befehle für den Neustart, zum Herunterfahren und zum Zurücksetzen der Appliance. Außerdem gehört eine Statusübersicht mit zum Leistungsumfang des Produkts, die Aufschluss darüber gibt, wie viele URLs, Mails, FTP- und Instant-Messaging-Verbindungen das Produkt verarbeitet hat. Ein Attack-Log mit Infos zu Viren, Spam, IPS-Aktionen und geblockten Sites ist ebenfalls Bestandteil der Statusübersicht. Bei Bedarf haben die IT-Mitarbeiter sogar die Möglichkeit, der Summary-Page Übersichten zu den Top-Sessions, den Top-Viren, den Top-Angriffen und zur Verkehrsgeschichte hinzuzufügen. Damit lässt sich die Statusseite jederzeit flexibel an die Anforderungen der jeweiligen IT-Abteilung anpassen, sicher ein sehr nützliches Feature.

Die Netzwerkkonfiguration

Bei der Konfiguration des Netzwerks haben die zuständigen Mitarbeiter die Option, die Interfaces für LAN, DMZ, WAN1 und WAN2 einzurichten. Die WAN-Anschlüsse arbeiten redundant. Zusätzlich zur normalen Netzwerkkonfiguration mit IP-Adresse, Gateway, Netmask beziehungsweise über DHCP oder PPPoE verfügen die Administratoren an dieser Stelle auch über die Möglichkeit, die Dienste zu definieren, die über die jeweilige Schnittstelle ansprechbar sind. Zur Wahl stehen hier HTTP, HTTPS, Telnet, SSH, SNMP und Ping.

Darüber hinaus bietet die Netzwerkkonfiguration die Option, Zonen festzulegen, den Zonen bestimmte Interfaces zuzuweisen und den Verkehr zwischen den Zonen zu unterbinden. Auf diese Weise lassen sich die Interfaces der Appliance verschiedenen Netzwerken zuordnen. Punkte zur Definition beziehungsweise Ansicht der Domäne, der DNS-Server und der Routing Table runden die Netzwerkkonfiguration ab. Im NAT-Modus lassen sich zusätzlich noch drei Dial-up-Konten für Modems definieren. Diese übernehmen wahlweise den Internet-Zugang oder stellen einen Ersatz-Online-Access bereit, wenn die normale Internetverbindung ausfällt.

Weitere Funktionen der Systemkonfiguration befassen sich mit der DHCP-Konfiguration der einzelnen Interfaces mit Leases, den SNMP-Einstellungen (die Appliance unterstützt SNMP v1 und v2c), der Hochverfügbarkeit (mehrere Appliances lassen sich zu einem High-Availability-Cluster zusammenfügen) und der Definition der Replacement-Nachrichten, die das System ausgibt, wenn es Viren gefunden, Dateien blockiert oder Datenübertragungen unterbunden hat (via HTTP, FTP, NNTP, Instant Messaging, Web Filter, Peer-to-Peer oder VPN).

Dazu kommen noch Features zum Festlegen des Operationsmodus (NAT, Transparent) und zum Verwalten der Administratorkonten mit Trusted Host und Passwort. Die Vergabe der Zugriffsrechte auf einzelne Funktionen des Konfigurationswerkzeugs läuft über so genannte Profile. Damit sorgen die Administratoren dafür, dass bestimmte Mitarbeiter nur Zugriff auf die Funktionen erhalten, die sie für ihre tägliche Arbeit brauchen. Die Fortigate-Lösung unterscheidet dabei zwischen Maintenance, Admin Users, Update, System Configuration, Network Configuration, Web Filter Configuration, Spam Filter Configuration, Antivirus Configuration, IPS Configuration, Router Configuration, VPN Configuration, Firewall Configuration sowie Instant-Messaging-, Peer-to-Peer- und VoIP-Configuration. Darüber hinaus lassen sich auch Konten anlagen, die lediglich Zugriff auf Logs und Reports erhalten. Diese feine Aufteilung der Konfigurationsrechte bewerten wir als sehr sinnvoll, da es damit möglich ist, in den IT-Abteilungen klare Zuständigkeiten zu definieren.

Sollte sich im Unternehmen ein Fortimanager oder der Fortiguard Management Service befinden, so haben die zuständigen Mitarbeiter die Option, die Fortigate-60B mit in ein zentrales Managementnetzwerk einzubinden, das neben einer zentralen Konfiguration unter anderem auch automatische Konfigurationsbackups bietet.

Die restlichen Funktionen der Systemkonfiguration befassen sich mit Einstellungen zu den zu verwendenden Web Ports, dem SSL-VPN-Login-Port, der Zertifikatsverwaltung sowie Timeouts und der einzusetzenden Sprache. Ein Maintenance-Bereich, der Backups und Restores der Konfiguration sowie Firmware-Upgrades und ähnliches ermöglicht, schließt den Leistungsumfang des Systemmenüs ab. Über den genannten Maintenance-Punkt lassen sich bei Bedarf auch Antiviren- und IPS-Definitionen manuell aktualisieren, Aktualisierungszeitpläne für automatische Updates anlegen und Angriffcharakteristiken an Fortinet übertragen.

Im NAT-Modus bietet das Konfigurationsinterface einen Menübereich zur Routerkonfiguration an. Hier legen die Verantwortlichen statische und dynamisch Routen fest (RIP, OSPF, BGP, Multicast), sehen die verbundenen Interfaces ein und definieren Policy-Routes, die beispielsweise dafür sorgen, dass eingehender Verkehr, der bestimmten Kriterien entspricht, an bestimmte Ziele weitergeleitet wird.

Die Firewall-Konfiguration

Die Firewall stellt definitiv das Herzstück der Appliance dar. Die Definition der Policies erfolgt nach Quelle, Ziel, Schedule, Aktion (Accept, Deny, IPSec), Log, Traffic Shaping und Dienst: hier hat der Hersteller alles Wesentliche wie zum Beispiel Finger, NTP, RIP oder Rlogin bereits vordefiniert.

Die den Policies zugrunde liegenden Adressen, Dienste, Zeitpläne, virtuellen IP-Adressen und Schutzprofile sind jederzeit frei definierbar. Bei den Diensten funktioniert die Definition über Protokoll (IP, TCP, UDP, ICMP) oder Port. Die virtuellen IP-Adressen kommen zum Einsatz, um Source- und Destination-IP-Adressen abzubilden. Die Schutzprofile umfassen im Gegensatz dazu Angaben darüber, was von der Appliance zu überprüfen ist. Die Administratoren weisen sie im Betrieb jeweils bestimmten Benutzergruppen zu und realisieren so für einzelne Anwender unterschiedliche Sicherheitsstufen. Alternativ ist es auch möglich, die Protection Profiles Firewall-Regeln zuzuordnen und so ein einheitliches Schutzniveau im Unternehmen festzulegen. Fortinet hat bereits Schutzprofile für die Anwendungsbereiche „Scan“, „Strict“, „Unfiltered“ und „Web“ vordefiniert.

Die Protection Profiles

Konkret enthalten die Schutzprofile eine Vielzahl unterschiedlicher Sicherheitsfunktionen. Dazu gehören unter anderem die auf Virenbefall zu überprüfenden Protokolle (HTTP, FTP, IMAP, POP3, SMTP, NTP, Instant Messaging), die Protokolle, für die die Appliance auf eine extended Antivirus-Datenbank mit älteren Virenkennzeichnungen zurückgreifen soll und die Protokolle für die ein Dateifilter zum Einsatz kommen soll. Abgesehen davon sind die zuständigen Mitarbeiter im Antivirus-Bereich der Schutzprofile auch noch dazu in der Lage, festzulegen ob das System fragmentierte E-Mails weiterleitet, ob es ausgehenden Mails eine Signatur hinzufügt und ob es große Dateien und Mails weiterleitet oder blockt.

Web Filtering

Die nächste Sektion der Protection Profiles befasst sich mit dem Web-Filtering. Hier lassen sich Web-Inhalte und ungültige URLs blockieren, URL-Filter setzen, wieder aufgenommene Downloads aus dem Netz unterbinden sowie Bestandteile wie Active-X-Komponenten, Java-Applets und Cookies ausfiltern. Das „Fortiguard Web Filtering“ ermöglicht es darüber hinaus, bestimmte Kategorien zu blocken, zuzulassen, zu loggen und ähnliches. Zu diesen Kategorien gehören unter anderem „Potentially Liable“, „Controversial“, „Potentially non Productive“ und „Business Oriented“. Sie enthalten ihrerseits Unterkategorien wie „Weapons“, „Alcohol“, „Lingerie“ und vieles mehr. Administratoren haben also die Möglichkeit, den Filter sehr genau an ihre Anforderungen anzupassen. Es besteht sogar die Option, ganze Klassifikationen wie „Cached Content“, „Multimedia Search“, „Image Search“, „Audio Search“, „Video Search“ und „Spam URL“ zu blocken oder zu erlauben.

Das Fortiguard Web Filtering arbeitet mit den Protokollen HTTP und HTTPS. Abgesehen von den bereits genannten Funktionen ist es dazu in der Lage, Bilder nach URL zu beurteilen und blockierte Bilder durch einen Leerraum zu ersetzen. Außerdem kann es die URLs nach Domäne und IP-Adresse einschätzen und im Zweifelsfall HTTP-Redirects blocken.

Das Spam-Filtering erkennt Spam-Mitteilungen aus IMAP-, POP3- und SMTP-Übertragungen. Dazu setzt es folgende Techniken ein: IP-Adress-Checks, URL-Checks, E-Mail-Checksum-Checks, Spam-Submissions, IP-Adress-BWL-Checks, HELO-DNS-Lookups, E-Mail-Adress-BWL-Checks, Return-E-Mail-DNS-Checks und Banned-Word-Checks mit Schwellwert für das Auftreten der verbotenen Wörter. An Spam-Aktionen beherrscht die Funktion das Kennzeichnen und das Löschen der Spam-Mails.

Für das IPS lassen sich innerhalb der Schutzprofile Policies wie „all_default“, „all_default_pass“, „protect_client“, „protect_email_server“ und „protect_http_server“ setzen, während die Definition des Content Archives festlegt, ob das System Meta-Informationen über erkannte Inhalte in Datenübertragungen via HTTP, HTTPS, FTP, IMAP, POP3, SMTP und NNTP im Systemdashboard anzeigt. Das gleiche lässt sich auch für Datenübertragungen über die Instant-Messaging-Dienste AIM, ICQ, MSN und Yahoo konfigurieren. Sollen die erfassten Informationen über längere Zeiträume gespeichert werden, so können die IT-Verantwortlichen das System um ein Fortianalyzer-Device oder den Fortiguard-Analysedienst erweitern, der entsprechende Aufgaben übernimmt.

Die restlichen Einstellungen des Sicherheitsprofils übernehmen das Blocken von Instant-Messaging-Verkehr, untersagen Dateitransfers über Instant-Messaging-Dienste, blockieren Audio-Übertragungen via Instant Messaging (IM) und regeln, ob das System auch Nicht-Standardports auf IM-Verkehr hin untersuchen soll. Dazu kommen noch Funktionen zum Steuern von Peer-to-Peer-Verkehr und VoIP-Übertragungen. Bei Peer-to-Peer blockt die Appliance Übertragungen über Bittorrent, Edonkey, Gnutella, Kazaa, Winny und Skype. Alternativ ist die Lösung – außer bei Skype – auch dazu in der Lage, Peer-to-Peer-Verkehr zu drosseln. Bei VoIP beherrscht das Produkt die Arbeit mit SIP und SCCP.

Angaben zum Logging schließen die Definition des Schutzprofils ab. Hier lassen sich Log-Einträge definieren für Virenfunde, Web-Filter-Aktionen, Spam-Filter-Maßnahmen, das IPS, IM- und Peer-to-Peer-Übertragungen sowie VoIP-Verbindungen. Zusammenfassend gilt, dass die Sicherungsprofile eine gute Möglichkeit bieten, die große Leistungsfähigkeit der Appliance mit ihren vielen Funktionen auf eine übersichtliche Art und Weise zu verwalten. Im Test hatten wir das Produkt dank dieser Funktionalität sehr schnell an unsere Bedürfnisse angepasst.

VPN-Verbindung

Die nächste wichtige Funktion der Appliance besteht im Aufbau von VPN-Verbindungen. Für IPSec-basierte VPNs beherrscht das Produkt IKE und manuelle Schlüssel und bietet zudem eine Überwachungsfunktion an. Angesehen davon lassen sich über das UTM-System auch PPTP- und SSL-VPNs aufbauen. Bei den SSL-VPNs müssen die Administratoren dazu den Tunnel-IP-Bereich, den Timeout, das Zertifikat, die DNS- und WINS-Server und den Verschlüsselungsalgorithmus angeben. An Algorithmen unterstützt das Produkt AES128, AES256, 3DES, RC4 128, RC4 64 und DES. Auch hier gibt es wieder eine Verbindungsübersicht und das System erlaubt das Anlegen von Bookmarks der Typen Web, Telnet, FTP, SMB, VNC und RDP. Die Bookmarks lassen sich bei Bedarf in Gruppen zusammenfassen. Im Test traten bei der Arbeit mit SSL-VPNs keine Schwierigkeiten zu Tage.

Die Benutzerverwaltung der Fortigate-Firewall funktioniert entweder Lokal oder Remote über LDAP-, Radius- oder TACACS+-Server, über das Windows Active Directory oder über PKI (zum zertifikatsbasierten Zugang beispielsweise für SSL-VPN- und Firewall-Zugriffe). Es ist auch möglich, die Benutzer in Gruppen zusammenzufassen. Ein spezieller Authentifizierungspunkt innerhalb der Benutzerverwaltung hilft den Administratoren beim Setzen des Timeouts und beim Aktivieren der Protokolle, über die die Authentifizierung abläuft (HTTP, HTTPS, FTP oder Telnet). Der HTTP-Zugriff lässt sich auch so konfigurieren, dass entsprechende Anfragen automatisch auf SSL-Verbindungen umgeleitet werden.

Die Antivirusfunktion verfügt über einen Dateifilter zum Blocken von Dateitypen und eine Quarantänefunktion, in die sich infizierte, verdächtige und blockierte Dateien umleiten lassen. Dabei sind die IT-Mitarbeiter dazu in der Lage, ein Alterslimit und eine maximale Dateigröße zu setzen und Daten zu erfassen, die über die Protokolle HTTP, FTP, IMAP, POP3, SMTP und NNTP sowie über Instant Messaging übertragen wurden. Darüber hinaus steht eine Virus-List zur Verfügung, in der sich alle Viren finden, die die Appliance kennt. Ein Punkt namens „Grayware“ ermöglicht das Aktivieren weiterer Schutzfunktionen gegen Adware, Dialler, Hackertools, Hijacker, Keylogger und ähnliches.

In der Intrusion-Protection-Konfiguration finden die zuständigen Mitarbeiter eine Übersicht über die vordefinierten Signaturen mit Informationen wie Schwere der Bedrohung, Ziel, Protokollen, betroffenen Betriebssystemen, betroffenen Anwendungen und Aktion. Aus der gleichen Liste ist auch ersichtlich, ob die jeweilige Regel aktiviert wurde oder nicht. Unter „Custom“ haben die Anwender Gelegenheit, eigene Signaturen zu erstellen. Der „Protocol Decoder“ sorgt schließlich dafür, dass das System abnormale Verkehrsmuster findet, die nicht den normalen Protokollanforderungen und –standards entsprechen. Hier finden sich Protokolleinträge wie Back Orifice, DBS, FTP, H.323, MSSQL, POP3, SSH und so weiter.

Mittels „IPS Sensor“ legen die zuständigen Mitarbeiter die Policies an, die wir schon bei der Definition der Schutzprofile gesehen haben. Dabei haben sie die Wahl, entweder die vorgegebenen Policies zu modifizieren oder eigene zu kreieren. Beim Definieren eigener Policies vergeben die Verantwortlichen einen Namen und einen Kommentar. Anschließend fügen sie Filter hinzu. Dabei geben sie unter anderem die Bedrohungsschwere an sowie das Ziel des Angriffs, betroffene Betriebssysteme und die Protokolle beziehungsweise Anwendungen. Angaben zum Logging und zur Aktion schließen die Policydefinition ab. Mit Hilfe so genannter Overrides lassen sich bei Bedarf jederzeit für bestimmte IP-Adressen Ausnahmeregelungen anlegen.

Außerdem stellt das IPS noch DoS-Sensoren zur Verfügung. Zwei Einträge wurden vordefiniert und zwar „all_default“ und „block_flood“. Es lassen sich aber auch eigene Sensoren erstellen. Diese überwachen bestimmte Anomalien wie tcp_syn_flood, udp_scan, icmp_flood und so weiter, blocken bei Bedarf verdächtige Aktionen und führen auf Wunsch zudem ein Logging durch. Wenn die Administratoren die Wirkungsweise der Sensoren auf bestimmte Systeme beschränken möchten, so können sie das jederzeit problemlos tun.

Web Filter

Die Konfiguration des Web-Filters gestaltet sich verhältnismäßig einfach. Hier haben die IT-Mitarbeiter Gelegenheit, eigene Listen mit zu blockenden Inhalten zu generieren. Das geht als Regular Expression oder als Wildcard mit Score und Sprache. Der URL-Filter funktioniert genauso, hier geben die Anwender lediglich die URL an und versehen sie mit einer Aktion. Um den Fortiguard Web Filter optimal an die Bedürfnisse des jeweiligen Unternehmens anzupassen, stellt die Appliance administrative und Benutzer-Overrrides zur Verfügung.

Die Administratoren definieren diese über den Typ, die URL, den Scope, den Benutzer, Off-Site-URLs und den Gültigkeitszeitraum. Darüber hinaus gibt es auch die Möglichkeit, URLs lokal zu bewerten und so die Vorgaben des Fortigate-Filters zu überschreiben. Im Test funktionierte der Web-Filter genau wie erwartet.

Spam-Filter

Bei der Konfiguration des Spam-Filters legen die Administratoren zum einen Listen mit verbotenen Wörtern an. Dabei können sie auch angeben, wo genau in der Mail dieser Wörter vorkommen sollen und welchen Spam-Score sie haben. Zum anderen definieren sie Black- und White-Listen mit IP- und E-Mail-Adressen. Als Aktion stehen bei diesen Listen „Mark as Spam“, „Mark as Clear“ und „Mark as reject“ zur Verfügung.

Zum Steuern des Instant-Messaging-, Peer-to-Peer- und VoIP-Verkehrs stehen unter anderem Benutzerlisten zur Verfügung, die AIM-, ICQ-, MSN- und Yahoo-Übertragungen für bestimmte Benutzer erlauben oder verbieten. Die Administratoren legen an gleicher Stelle fest, ob das System neue Benutzer automatisch zulassen oder abblocken soll. Eine Übersichtsseite mit Instant-Messaging-Nutzern und deren Aktivitäten sowie der Zahl der Voice-Calls und der Peer-to-Peer-Nutzung in Bytes beziehungsweise Bandbreite rundet den Leistungsumfang dieser Überwachungsfunktion ab. Es gibt sogar eine numerische Protokollübersicht mit Chat-Sessions, Zahl der Messages, File Transfers und ähnlichem.

Das Reporting

Die Konfiguration von Logging und Reporting umfasst schließlich Punkte zum Angeben eines Syslog-Servers, zum Konfigurieren des Logs im Speicher mit Log Level und zum Einrichten eines Remote Loggings auf dem Fortianalyzer oder dem Fortiguard Analysedienst. Außerdem haben die Verantwortlichen an dieser Stelle auch Gelegenheit, Alert-E-Mails zu konfigurieren.

Diese Mails informieren die Administratoren unter anderem bei erkannten Angriffsversuchen, gefundenen Viren, Admin-Logins, Statusänderungen des High-Availibility-Systems und so weiter. Die Alert-Funktion unterstützt dabei auch Mail-Server, die eine Authentifizierung voraussetzen. Im Test ergaben sich dabei keine Probleme.

Event Log

Das Event-Log lässt sich so konfigurieren, dass es Einträge zu Systemaktivitäten, IPSec-Verhandlungen, Firewall-Authentifizierungen, Pattern Updates und ähnlichem enthält. Zugriffe auf die Logs erfolgen dann entweder via Browser oder über den Fortianalyzer beziehungsweise den Fortiguard Service. Darüber hinaus ermöglichen die Einträge „Content Archive“ und „Report Config“ in Zusammenarbeit mit den genannten Fortinet-Analysewerkzeugen einen Zugriff auf Mail-, Web-, FTP-, Instant-Messaging- und VoIP-Archive beziehungsweise die Reportkonfiguration. Ein Report steht auch über das Web-Interface zur Verfügung, er bietet in grafischer Form Aufschluss über die von den Diensten genutzte Bandbreite und das Datenvolumen bestimmter Protokolle.

Der Test

Nachdem wir die Appliance im Test entsprechend unserer Anforderungen konfiguriert hatten, also einen Internet-Zugang mit allen Schutzfunktionen aktiviert hatten, nutzten wir die Lösung eine Zeitlang normal zum Arbeiten. Dabei ergaben sich keinerlei Schwierigkeiten. Darüber hinaus nahmen wir die Firewall von außen und innen mit diversen DoS- und Hacking-Tools unter Beschuss um festzustellen, ob wir die Funktionalität des Produkts damit in irgendeiner Form beeinflussen konnten. Dabei kam es zwar hin und wieder zu höheren Prozessorlasten auf dem Gerät, die Datenübertragungen litten darunter aber nicht.

Bei einem Portscan mit Nmap fiel uns auf, dass Fortinet standardmäßig den externen Port 541 als Managementport offen lässt. Diese Konfiguration wird nicht jedem gefallen. Das Schließen des Ports gestaltet sich aber verhältnismäßig einfach. Es genügt, über die Befehlszeilenschnittstelle die Befehlsfolge

config sys management-tunnelset status disableend

einzugeben. Danach ist der Port geschlossen. Um den Spam- und Virenschutz zu testen, schickten wir etwas mehr als 4000 Spam-Mails durch das Gerät. Dabei handelte es sich um Nachrichten, die in den letzten Monaten in unserem Testlabor eingegangen waren und die teilweise Viren enthielten. Die Viren fand die Appliance im Test alle, beim Spam klassifizierte sie etwa 94 Prozent das Spams richtig. Anschließend ließen wir eine Sammlung von 200 „besonders guten“ Spam-Mails auf das Produkt los, die zum einen sehr aktuell waren und die zum anderen alle Spam-Filter die bei uns im Einsatz waren (Spamassassin, Spamihilator und den Spam-Filter von Microsoft Outlook) durchdrungen hatten. Von diesem Spam erkannte die Lösung immerhin noch 91 Prozent. Diese Werte liegen durchaus im vertretbaren Rahmen, der Hersteller gibt übrigens die Spam-Erkennungsrate für Forti-OS 3.0 mit 92,5 Prozent an.

Zusammenfassend kann man sagen, dass das Produkt überzeugen konnte. Der Leistungsumfang ist sehr groß, trotzdem wird das Konfigurationsinterface keinen Administratoren vor irgendwelche Probleme stellen. Zusammen mit der Option des zentralen Managements eignet sich die Lösung damit gleichermaßen für kleine Umgebungen und den Einsatz in großen Unternehmen.

(ID:2013762)