NGFW PA-5060: Rezension zur Next-Generation Firewall von Palo Alto Networks

Die Next-Generation Firewall PA-5060 von Palo Alto Networks hat im Test einen guten Eindruck hinterlassen. Einen Schwachpunkt allerdings gibt es.

Dieser Artikel behandelt

Firewalls

Anmerkung der Redaktion: Next-Generation Firewalls (NGFW) werden ein immer wichtigeres Tool für die Netzwerksicherheit...

in Unternehmen. Unsere einfach verständliche Rezension zeigt Ihnen, was Sie von der NGFW erwarten können.

Palo Alto Networks hat verschiedene Modelle der Next-Generation Firewall (NGFW) im Portfolio. Das Gerät PA-5060 gehört zu den populärsten, wenn wir von Data Centern der Enterprise-Klasse sprechen. Das Gerät wird mit einem Maximum von 20 Gbps Durchsatz und vier Millionen Sessions beworben. Zudem bringt es diverse Gigabit- und Fibre-Schnittstellen mit sich. Deswegen ist die PA-5060 ideal für einen Einsatz im Herzen des Data Centers geeignet.

Wichtige Funktionen der Next-Generation Firewall PA-5060

Palo Alto stellt die meisten Enterprise-Funktionen in allen Geräten der Serie zur Verfügung. Allerdings gibt es einige nennenswerte Ausnahmen, die größten Unterschiede sind beispielsweise bei der Performance zu finden. Das gilt vor allen Dingen für die fortschrittlichen Funktionen, wenn die NGFW unter Last steht.

Die PA-5060 bringt eine Vielzahl an Möglichkeiten zur Applikations-Identifizierung mit sich. Das gilt sowohl für die Konsole zur Identifikation der App-ID als auch für das Application Command Center (ACC). Bei letzterem finden Sie eine Übersicht, welche Applikationen vom wem genutzt werden. Die PA-5060 wird mit einer Bibliothek aus einigen Tausend bekannten Applikationen ausgeliefert, die sich damit identifizieren lassen. In unserem Test hat die Palo-Alto-NGFW bei der Kennzeichnung des Applikations-Traffics von Skype über Datenbanken bis hin zu GMail durchweg anständige Arbeit verrichtet. Zudem ist es sehr einfach, Regeln und Policies zu erstellen, die auf diese Applikationen angewendet werden. Zu diesem Zweck steht ein einfach zu benutzendes Drag&Drop-Interface zur Verfügung.

Auch die Funktionen zur User-Identifikation sind bei Palo Alto sehr ausgeklügelt, aber etwas umständlich zu implementieren. Die PA-5060 mit dem Verzeichnisdienst Active Directory zu verbinden hat zum Beispiel einige Arbeit in Anspruch genommen. Auch mehrere Wochen später im Entwicklungszyklus gibt es immer noch einige Ecken und Kanten auszubügeln. Allerdings muss man auch sagen, dass es eine sehr mächtige Funktion ist, Regeln und Policies auf Basis von Anwender-Identitäten und besuchten URLS zu erstellen. Mit der PA-5060 klappt dies zudem wesentlich besser als dies ähnliche Funktionen der meisten anderen NGFWs, die wir getestet haben, bewerkstelligen konnten.

Die IPS-Funktionen (Intrusion Prevention System) der PA-5060 stellten sich als ausgezeichnet heraus. Viele Signatur-basierte Bedrohungen und Angriffe wurden erkannt und vom Gerät entsprechend geblockt. Auch die Anomalie-Erkennung auf Grund unterschiedlicher Protokolle ist sehr leistungsstark, sowohl bei getunneltem Command&Control-Traffic als auch für unnatürliches Protokoll-Verhalten.

Das Aufsetzen der Regeln und Policies für VPN-Verbindungen (Virtual Private Network) und VPN-Anwender hat sich bei der PA-5060 als sehr einfach erwiesen. Die beworbene maximale Anzahl an IPsec-Tunneln ist 8000. Wir haben diese Zahl allerdings nicht ausgetestet, aber in unserer Umgebung stellten auch mehr als 2500 Tunnel überhaupt kein Problem dar. Auch Clustering ließ sich ohne Probleme konfigurieren.

Einfaches Management wird bei Palo-Alto-Produkten groß geschrieben. Das Web-Interface ist aufgeräumt und die Navigation sehr einfach. Das zentrale Management-Tool Panorama ist ebenfalls sehr simpel zu benutzen.

Zusätzliche Leistungsmerkmale der PA-5060

Die PA-5060 lässt sich mit Palo Altos Wildfire Antimalware-System integrieren. Erkannte Bedrohungen werden in eine virtuelle Sandbox für Malware gesteckt.

Auch SSL- (Secure Sockets Layer) und SSH-Inspektion (Secure Shell) sind bei der PA-5060 mit an Bord. Palo Alto hat beim Entschlüsseln und Analysieren von verschlüsseltem Traffic sehr gute Arbeit gemacht, allerdings auf Kosten der Performance. Das System kann verschlüsselten Traffic außerdem spiegeln oder an Systeme Dritter weiterleiten, um DLP-Analysen (Data Loss Prevention) und Netzwerk-Forensik zu betreiben.

Rezensions-Fazit: Ein erstklassiges Enterprise-Gerät mit leichten Performance-Schwächen

Alles in Allem lässt sich sagen, dass die PA-5060 eine recht einfach zu benutzende Next-Generation Firewall ist. Die Plattform bringt einige sehr fortschrittliche Funktionen mit sich. Der einzige Nachteil des Systems ist der Performance-Einbruch bei der Analyse der Applikationsschicht. Als wir die umfassenden App-ID-Inspektions-Regeln, IPS-Regeln und SSL-Verschlüsselungs-Option aktiviert haben, konnte die Next-Generation Firewall die beworbenen 20 Gbps Datendurchsatz nicht aufrechterhalten. In unserem Test-Szenario lag der Wert eher um die 15 Gbps. Allerdings hat sich das Produkt sehr gut bei den Themen User- und Applikations-Identifizierung gemacht. Liebäugeln Sie mit einer NGFW für Ihr Data Center, sollten Sie die PA-5060 auf jeden Fall in den engeren Kreis der Test-Kandidaten aufnehmen.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close