Security Appliances im Vergleichstest: "Clavister SG3200" und "SG50" können überzeugen

Klarer Vorsprung in den Bereichen Bandbreitenmanagement, Datenpriorisierung und VPN

(09.07.09) - Unified-Threat-Management-Appliances integrieren das komplette Spektrum an Netzwerksicherheit in einer einzigen Lösung und decken damit jegliche Schutzanforderungen von Unternehmen ab. Um aktuelle Security Appliances in der Praxis auf ihre Tauglichkeit zu prüfen, führte die Zeitschrift Network Computing (1) einen Vergleichstest an der FH Stralsund in den Real-World Labs durch. Die "SG3200" und "SG50" des Network-Security-Experten Clavister AB überzeugten dabei nicht nur im Bereich der reinen Performance: Sie beherrschten zudem die sinnvolle Kombination von Bandbreitenmanagement, Datenpriorisierung und VPN.

Auf dem Prüfstand des Vergleichstestes waren Security Appliances verschiedener Anbieter. Von den Systemen wurden insbesondere geeignete Priorisierungsmechanismen für die Realisierung der klassischen Datenanbindung und die gleichzeitige Nutzung von Real-Time-Applikationen wie VoIP oder Video-over-IP erwartet. Die Testumgebung beinhaltete drei Niederlassungen mit rund 20 Arbeitsplätzen, die mit der Unternehmenszentrale und dem Internet verbunden waren. Die Appliances sollten die einzelnen Standorte durch ihre Firewall absichern, während eine geschützte Kommunikation zwischen diesen mittels VPN erfolgte.

Durchsatzleistungen im Firewall-Betrieb

Der Durchsatz der Appliances im Firewall-Betrieb bei bidirektionalem Datenverkehr zwischen LAN und WAN wurde zuerst untersucht. Die SG50-Modelle lagen hier im Vergleich an der Spitze: Sie erreichten maximale Durchsatzraten zwischen 134 und 136 MBit/s.

Bandbreitenlimitierung im VPN

Während der nächsten Probe wurden die Bandbreiten im VPN auf 4 MBit/s je Niederlassung limitiert. Für die Appliance der Zentrale galt ein Limit von 12 MBit/s. Auch hier schnitten die Clavister-Geräte überdurchschnittlich ab: Bei der Datenübermittlung von der Zentrale an alle drei Niederlassungen betrug der Durchsatz wie konfiguriert 12 MBit/s. Kommunizierte die Zentrale mit einer Niederlassung, ergab sich wie vorgesehen eine Rate von 4 MBit/s.

COS-Datenpriorisierung im VPN

Um die Class-of-Service-Priorisierung der Daten im VPN zu überprüfen, erzeugte der Lastgenerator Datenströme mit vier verschiedenen Prioritäten. Diese flossen via VPN vom LAN der Zentrale ins WAN. Im Idealfall sollte auf Grund des Lastmusters eine verlustfreie Übermittlung der Datenströme stattfinden. Gegenüber den anderen Teststellungen beherrschten die Appliances von Clavister auch diese Disziplin fehlerfrei und leisteten sich keine Datenverluste in der höchsten Priorität.

Es stellte sich heraus, dass im Versuchsaufbau nicht die getesteten Geräte, sondern das WAN selbst zum "Flaschenhals" wurde. Im Bereich der reinen Performance zeigten die Appliances mehr als ausreichende Fähigkeiten. Ein komplexeres Szenario entwickelte sich jedoch, wenn es um die sinnvolle Kombination von Bandbreitenmanagement, Datenpriorisierung und VPN ging. Auch wenn kleine Einschränkungen bei der Datenpriorisierung unter höherer Last auftraten: Lediglich Clavisters Security-Gateways SG3200 und SG50 beherrschten eine Zusammensetzung dieser Schwerpunkte in vollem Umfang.

(1) Jahrgang 2009 - Ausgabe 4, 12-15 der Network Computing

(Clavister: ma)