Embed Size (px)
Citation preview
www.it-administrator.de
Test:
Sophos XG Firewall
3 I 16 Sonderdruck für Sophos
Sophos XG Firewall
Netzwerkschutz mitHerzklopfenvon Thomas Zeller
Firewalls sollen als Gateway dafür sorgen, dassinterne Systeme vor unerlaubten Zugriffen ausdem Internet geschützt sind. Trotzdem lassen sichAnwender etwa durch manipulierte Links leicht dazubewegen, Angreifern Tür und Tor zu öffnen. BesserenSchutz versprechen Systeme, die den Benutzer, seine Geräteund die verwendeten Applikationen in den Mittelpunkt eineszentral verwalteten Regelwerks stellen. Sophos hat mit der XGFirewall jüngst eine solche Next Generation Firewall vorgestellt.
2 Auszug aus IT-Administrator März 2016 www.it-administrator.de
n der XG Firewall vereint der Her-steller die Technologien von So-
phos UTM und der 2014 aufgekauftenFirewall von Cyberoam in einem neuenGateway-Produkt, das seine beiden Vor-gänger mittelfristig vollständig ersetzensoll. Den Unterbau bildet die auf hohenDatendurchsatz optimierte Firmware vonCyberoam, die auch die benutzerbasierteFirewall, die Applikationserkennung, dasIntrusion-Prevention-System und dasOn-Box-Reporting auf Basis der iView-Engine beisteuert. Von Sophos UTMstammen dagegen Funktionen wie dieWeb-Proxy-Engine, die Web-Applica-tion-Firewall, IPSEC-/SSL-VPN und derHTML5-Remote-Desktop. Für unserenTest nutzten wir die Software-Varianteder Firewall.
Üppige Feature-ListeIn Summe bietet die XG Firewall diverseneue Funktionen, die gleichzeitig auchden Schwerpunkt unseres Tests bilden:- Neues Policy-Modell: Das Modell er-
laubt die Erstellung von Regeln fürNetzwerke, Dienste, Web-Applikatio-nen, Web-Filter, Business-Anwendun-gen, Quality of Service und IntrusionPrevention im Kontext von Benutzernoder Benutzergruppen.
- Business Apps: Für die auf einem Re-verse Proxy basierende Web ApplicationFirewall (WAF) stehen jetzt Vorlagenfür verschiedene Business Anwendun-gen, zum Beispiel Exchange, Lync, RDPund SharePoint, zur Verfügung.
- Security Heartbeat: Stellt eine Verbin-dung zwischen der XG Firewall undSophos-Cloud-Endpoint-Lösungen her
und erlaubt es, Firewall-Regeln abhän-gig vom Zustand des Endpoint-Clientszu erstellen.
- User Threat Quotient: Dabei handeltes sich um eine Weiterentwicklung derAdvanced-Persistent-Threats-Engine(APT) der Sophos-UTM-Firewall.Durch permanente Auswertung des Be-nutzerverhaltens werden "riskante" Be-
I
Bild 1: Das Network Security Control Center stellt dem Administrator auf einen Blick die wichtigsten Infor-mationen zum Betriebszustand der Firewall und dem Sicherheitszustand des Netzwerks zur Verfügung.
Quelle:
megaw
inter
- 123R
F
www.it-administrator.de Auszug aus IT-Administrator März 2016 3
Sophos XG F i rewal l Tests
nutzer frühzeitig identifiziert und derAdministrator gewarnt.
- Reporting: Die Reporting-Engine derXG Firewall erzeugt sehr detaillierteReporte aus Live- oder Log-Daten.
Abseits dieser Core-Features finden sich ei-nige weitere interessante Neuerungen. Sogibt es jetzt auch einen IMAP-Proxy undeine API, über die sich sämtliche Funktio-nen des Gateways steuern lassen. Die APIwurde zwar primär für das zentrale Ma-nagementsystem "Sophos Firewall Manager"eingebaut, kann aber prinzipiell auch vonThird-Party Applikationen genutzt werden.Das neue Betriebssystem – Sophos FirewallOS – lässt sich bei Bedarf mit Hilfe des neu-en Firmware-Rollbacks problemlos auf dievorherige Firmware-Version zurücksetzen.
Solides Admin-FrontendWie Sophos UTM und Cyberoam verwen-det auch die XG Firewall ein gehärtetesLinux als Betriebssystem – auf den erstenBlick war es das dann aber auch schon mitden Gemeinsamkeiten. Denn die Benutz-eroberfläche bietet für Administratorender beiden Vorgänger zunächst keine Wie-dererkennungseffekte. Nach dem erstenLogin per HTTPS in die mehrsprachigeWeboberfläche findet sich der Adminis-trator im nun "Network Security ControlCenter" genannten Dash board wieder. Inverschiedenen Widgets wird hier beispiels-weise der Status der Systemdienste, dieHardware- und Netzwerkauslastung unddie Web-Aktivität der Benutzer angezeigt.
Über das Fragezeichen in der rechten obe-ren Ecke lässt sich ein zusätzlicher Layerim Browser einblenden, der weitere Infor-mationen zu den Widgets und Menüsym-bolen liefert. Über das Admin-Menü nebendem Fragezeichen lässt sich unter anderemder Wizzard für die Ersteinrichtung sowieder Log-Viewer aufrufen oder eine Web-Shell starten, die einen SSH-Zugriff auf dieKommandozeile direkt über den Web-browser ermöglicht. Auf der Kommando-zeile steht ein hierarchisches Textmenü zurVerfügung, mit dem sich diverse Konfigu-rationsparameter ändern lassen. So lässtsich hier zum Beispiel das Adminpasswortsetzen, die Konfiguration des Netzwerksändern oder aber eine vollwertige Root-Shell aufrufen.
Die Menüleiste am linken Bildschirmrandenthält sechs Symbole, deren Funktionensich leider nicht intuitiv erschließen. Erstder Klick auf eines der Symbole fördertweitere Menüs zu Tage, die ihrerseits dannden Zugang zu weiteren Submenüs eröff-nen. Führt der Nutzer die Maus über dieEinträge im Submenü, erscheint nebendiesen ein kurzer Hilfetext und in einigenFällen auch ein Screenshot des zu erwar-tenden Konfigurationsdialogs. Stich-punktartig erklärt der Hilfetext, welcheKonfigurationsarbeiten sich im jeweiligenDialog durchführen lassen. Das ist sinn-voll, denn so muss der Admin auf der Su-che nach einer bestimmten Einstellungnicht erst den kompletten Dialog laden.
Einer effizienten Bewegung im GUI we-nig zuträglich ist aber der Umstand, dassZugriffe auf die jeweiligen Submenüsnur über die Hauptnavigation möglichsind. Ist beispielsweise das Menü "Pro-tection / Web Protection / Webkatego-rien" geöffnet, gelingt der Zugriff auf dieanderen Sub-Menüs unter "Web Pro-tection" nur über die Menüleiste am linken Bildschirmrand. Schmerzlich ver-misst haben wir weiterhin ein Dialog-übergreifendes Suchfeld, um nach Ein-gabe eines Suchbegriffs wie zum Beispiel"User Portal" direkt alle Bereiche aufge-listet zu bekommen, in denen dieserSuchbegriff enthalten ist. Hier sollte So-phos nachbessern.
Gelungene Runderneuerung des Policy-ModellsDie XG Firewall arbeitet mit Netzwerk-Zonen. Dabei handelt es sich um eine lo-gische Gruppierung physischer und/odervirtueller Interfaces, was die Anwendungvon Regeln deutlich vereinfacht. Nach derErstinbetriebnahme der XG Firewall sindfolgende Zonen vordefiniert:- LAN: In dieser Zone lassen sich bis zu
sechs physische Ports – auch mit un-terschiedlichen Subnetzen – zusam-menfassen. Per Default lässt die FirewallDatenverkehr zwischen den Ports die-ser Gruppe zu, blockiert aber einge-henden Traffic aus den anderen Zonen.
- DMZ: In dieser Zone werden aus demInternet erreichbare Systeme platziert.Auch hier können mehrere physischePorts zusammengefasst werden.
- WAN: Zone für Internet-Anbindung.- VPN: Dieser Zone sind keine physi-
schen Interfaces zugeordnet. Sind VPN-Verbindungen aktiv, werden die vonden VPN-Verbindungen genutzten In-terfaces automatisch dieser Zone hin-zugefügt und nach Abbau der Verbin-dung auch wieder entfernt.
- WiFi: Zone für den Betrieb eines odermehrerer Wireless LANs.
Unter "System / Administration / DeviceAccess" sind die vordefinierten Zugriffs-rechte der einzelnen Zonen auf Dienste derFirewall (zum Beispiel zur Admin-Ober-fläche, den Authentifizierungs- oder Proxy-Diensten) aufgeführt und lassen sich leichtan die eigenen Bedürfnisse anpassen.
ProduktNext Generation Firewall mit einem zentralenInterface für Benutzer-, Anwendungs- undNetzwerk-Policies.
HerstellerSophoswww.sophos.com/de-de/
PreisDie Hardware-Appliances für den Einsatz inkleineren Umgebungen (XG115) beginnen ja nach Support-Plan bei 980 Euro. Das ModellXG430 mit einem Firewall-Durchsatz von 37GBit/s ist ab 12.300 Euro zu haben. Die vir-tuelle Appliance wird nach Anzahl der vCPUund des vRAM lizenziert und kostet zwischen500 und 6000 Euro.
SystemvoraussetzungenDie Hardwareausstattung der XG-Appliancesbeschreibt Sophos ausführlich im Datenblatt(Link unten). Für die Softwarevariante bezie-hungsweise die virtuelle Appliance nennt Sophos folgende Mindestausstattung:
Software-Appliance- 2 Netzwerkkarten- 1 GByte RAM- 64 GByte HDD/SSD
Virtuelle Appliance- 1 vCPU- 1 GByte vRAM- Erste HDD mit 4 GByte- Zweite HDD mit 80 GByte- 1 Serieller Port- 1 USB-Port
Technische Datenwww.it-administrator.de/downloads/
datenblaetter
Sophos XG Firewall
4 Auszug aus IT-Administrator März 2016 www.it-administrator.de
Sophos XG F i rewal lTests
Das neue Policy-Modell verbirgt sich hin-ter dem Schild-Symbol und stellt die wohlwichtigste Neuerung in der XG Firewalldar. Grundsätzlich können hier zwei Artenvon Regeln definiert werden: Bei "User/Network Rules" handelt es sich um dieNetzwerk- beziehungsweise Benutzer-Fi-rewall, die den Datenfluss von Benutzernund zwischen Netzwerken regelt. "BusinessApplication Rules" hingegen werden vonder Web Application Firewall verwaltet,die mit vordefinierten Applikations-Tem-plates interne Server und Dienste über ei-nen Reverse-Proxy absichert.
Nach der Installation ist bereits eine User/Network Rule mit dem Namen "#Default_Network_Policy" definiert, die den Zugriffaus der LAN- in die WAN-Zone für alleDienste und ohne Authentifizierung derBenutzer erlaubt. Diese Regel eignet sichgut zum Anpassen auf die eigenen Be-dürfnisse. Werden dagegen gleich eigeneRegeln definiert, sollte die Default-Regeldeaktiviert werden. Beim Anlegen vonFirewall-Regeln ist es weiterhin wichtig,dass dies in der richtigen Reihenfolgegeschieht. Denn nach dem Prinzip "Firstmatch" greift immer die erste zutreffen-de Regel, alle weiteren werden dannignoriert. Gemäß dem Grundsatz "Alles,was nicht explizit erlaubt ist, ist verbo-ten" ist eine "Default-Deny"-Regel eben-falls vorkonfiguriert. Diese Regel ist fürden Administrator im GUI nicht sicht-bar und wird von der XG Firewall im-mer automatisch als letzte Regel in dasRegelwerk eingefügt.
Die Konfiguration von Source/Destina-tion-Netzwerken sowie von Netzwerk-diensten (Named Services oder basierendauf TCP/UDP) und entsprechenden
Aktionen (Annehmen, Verwerfen, Ab-lehnen) erfolgt dann wie bei allen Netz-werk-Firewalls über entsprechende Aus-wahldialoge. Im Bereich Routing kannder Admin QoS-Regeln einstellen undentscheiden, über welches Gateway diePakete versendet werden. Zusätzlich lässtsich für jede Regel in der Sektion "Iden-tity" festlegen, ob und für welche Benutzeroder Benutzergruppen die Regel späterGültigkeit hat. Die XG Firewall kann Be-nutzer und Gruppen entweder durchKopplung mit einem Verzeichnisdienst(Active Directory / LDAP, RADIUS, TA-CACS+, eDirectory) oder durch den Ein-satz eines Authentication-Agenten direktam Client authentifizieren.
Im weiteren Verlauf des Policy-Dialogs lässtsich jetzt auch der Malware-Scanner fürdie Protokolle FTP, HTTP und HTTPS ein-schalten. Diese Einstellung aktiviert imHintergrund den HTTP/HTTPS-Proxy imTransparent-Modus. Damit kann die Fire-wall dann FTP- und HTTP/S-Verbindun-gen auf Malware überprüfen, ohne dass esdafür eines Proxy-Eintrags auf den Clientsbedarf. Da die SSL-Verbindungen dabeivon der Firewall aufgebrochen werden,muss dafür allerdings das Root-CA-Zerti-fikat der Firewall in die Zertifikatsverwal-tung der Clients importiert werden. Aufdiesen "Man-in-the-middle" reagieren di-verse Dienste allerdings sehr empfindlich.So können iOS-Geräte keine Verbindungzum Appstore mehr herstellen, weil Applekeine anderen Zertifikate als selbst ausge-stellte akzeptiert. Für derartige Fälle lassensich aber Ausnahmen hinterlegen.
Neben dem Malware-Scan haben auchdie Module Intrusion Prevention, Web-filter und Application-Filter im neuen Po-
licy-Modell Einzug gehalten. Damit lassensich jetzt sehr einfach gleichzeitig kom-plexe und hochgradig granulare Regel-werke aufbauen. Je nach Anzahl der andie Firewall angeschlossenen Netzwerkesind so insgesamt wesentlich weniger Fi-rewall-Regeln als bisher nötig. In unseremTest arbeitete das neue Policy-Modell ins-gesamt sehr zuverlässig.
Webanwendungen stets im BlickBusiness Apps – in der deutschen Über-setzung etwas sperrig Unternehmungs-anwendungsregeln genannt – dienen demSchutz gehosteter Anwendungen. Bei die-ser Funktion handelt es sich also um dieWeb-Application-Firewall-Komponente(WAF) der XG Firewall, mit der allerdingsnicht nur selbst gehostete Dienste, bei-spielsweise Webserver in der DMZ oderExchange-Server mit Clientzugriffs-Ser-verrolle, sondern auch extern betriebeneDienste wie zum Beispiel externe Mail-server, SharePoint-Sites, Cloud-Diensteund so weiter geschützt werden können.Insgesamt stehen drei konfigurierbareVorlagen zur Auswahl:- HTTP-basierte Richtlinien für Weban-
wendungen,- Nicht-HTTP-basierte Richtlinien und- E-Mail Clients (POP & IMAP).
Für HTTP-basierte Richtlinien liefert dieXG Firewall bereits Vorlagen für ExchangeAutodiscover, Outlook Anywhere, Ex-change General, Microsoft Remote Desk-top Gateway 2008/R2, Microsoft RemoteDesktop Web 2008/R2 und Microsoft SharePoint 2010 / 2013 mit. Nicht HTTP-basierte Richtlinien schützen entweder ei-nen SMTP-Server in der DMZ oder auchbeliebige andere TCP- oder UDP-basieren-de Serverdienste, deren Kommunikations-ports sich entweder als fester Port, Portbe-reich oder Portliste definieren lassen.
Für alle Business Apps lassen sich darüberhinaus zusätzliche und individuelle Richt-linien für Intrusion Prevention und Traf-fic Shaping festlegen, für die Nicht-HTTP-basierten Business Apps lässt sichzusätzlich auch der "Security Heartbeat-Status" einbeziehen, den wir später näherbeleuchten. Es bleibt zu hoffen, dass So-phos die Einbindung des Security Heart-beat-Status in künftigen Versionen auch
Bild 2: Die wichtigsten Netzwerkzonen sind von Sophos bereits vordefiniert; der Zugriff auf Systemdienste aus den einzelnen Zonen ist ebenfalls bereits sinnvoll vorbelegt.
www.it-administrator.de Auszug aus IT-Administrator März 2016 5
Sophos XG F i rewal l Tests
für HTTP-basierte Dienste vorsieht. Denndann könnten Administratoren beispiels-weise den Zugriff auf Outlook Webaccessoder andere Web-Anwendungen davonabhängig machen, ob auf den zugreifen-den Clients ein Virenscanner installiertist und ordnungsgemäß arbeitet.
Eine Sonderrolle nimmt die Business App"E-Mail Clients (POP & IMAP)" ein. Dabeihandelt es sich genaugenommen nicht umein WAF-Modul, sondern um einen trans-parenten Proxy für den Zugriff auf externgehostete POP3/IMAP-Server durchClient-Programme. Auch hier lassen sichwieder Richtlinien für Intrusion Preventionund Traffic Shaping festlegen und der Se-curity-Heartbeat-Status einbeziehen. DerEinsatz der Business App stellt außerdemsicher, dass die POP3- und IMAP-Verbin-dungen sowie deren verschlüsselte Pen-dants POP3S/IMAPS zwischen Client undServer auf Malware gescannt werden.
Immer am Puls des ClientsDer Security Heartbeat stellt zwischenGateway und einer am Client installierten"Sophos Endpoint Security and Control"-Lösung eine verschlüsselte Verbindungüber Port 8347/TCP in die Sophos-Cloudher. Administratoren, die ihre Endpointsmit einer lokal installierten Sophos-Enter-
prise-Konsole verwalten, können dieseFunktion derzeit also nicht nutzen. Überdie Cloud-Schnittstelle erhält das Gatewaydann Informationen über den Client. DerFirewall ist auf diese Weise beispielsweisebekannt, ob die Sophos-Software korrektinstalliert und aktiv ist und ob sich Mal-ware in der Quarantäne oder unerwünsch-te Programme auf dem System befinden.
Der Security Heartbeat gibt dem Admi-nistrator damit einerseits einen umfas-senden Überblick über das Sicherheits-niveau im Netzwerk, zum anderen lassensich diese Informationen aber auch direktim Firewall-Regelwerk verwenden. In Ab-hängigkeit vom Zustand eines Clientslässt sich auf diese Weise der Zugriff aufNetzwerke oder Services für bestimmteDevices handhaben. Entspricht der Health-Status eines Clients dann nicht(mehr) dem vom Admin per Regelwerkvorgegebenen Niveau, kann er ihm so
ganz oder teilweise die Berechtigung fürden Internet-Zugriff oder zu anderenNetzwerk-Ressourcen sperren. Derzeitunterstützt der Security Heartbeat imklassischen Ampel-Modus die Health-Status rot, gelb und grün.
Im Firewall-Regelwerk lässt sich für jedeRegel konfigurieren, welchen Heartbeat-Status die Clients gewährleisten müssen.Zur Auswahl stehen hier die Status "grün"oder "gelb". Alternativ kann mit "No Res-triction" auch vorgegeben werden, dassder Client nur grundsätzlich einen Heartbeat unterstützen muss. Mit einerRegel vom Typ "no restriction" lässt sichbeispielsweise sicherstellen, dass ein Zu-griff auf bestimmte Netze über die Fire-wall nur für Clients möglich ist, die übereinen Security Heartbeat verfügen. DieEinbindung des Security Heartbeat in dasFirewall-Regelwerk funktionierte in un-seren Tests sehr zuverlässig.
Allerdings wird entgegen der Angabe inder Online-Hilfe das Herz-Symbol im Re-gelwerk nicht in der Farbe des gewähltenStatus, sondern immer in rot angezeigt.Hat der Administrator also mehrere Re-geln für unterschiedliche Security-Heart-beat-Status angelegt, leidet die Übersicht-lichkeit des Regelwerks durch diesen Bugerheblich. Insgesamt ist der Security-Heartbeat-Ansatz von Sophos sehr zu be-grüßen, da künftig wohl immer wenigerBedrohungen durch eine reine Betrach-tung des Netzwerkverkehrs am Gatewayerkannt werden können. Das Einholenzusätzlicher Informationen von Clientsund weiteren Subsystemen (etwa von Mo-bile-Device-Managementsystemen) istdaher unbedingt sinnvoll.
Keine Chance für schwarze SchafeDer User Threat Quotient (UTQ) soll Ad-ministratoren proaktiv bei der Identifizie-
Bild 3: Das neue Policy-Modell stellt das Herzstück der Sophos XG Firewall dar. Hier kann der Adminbeliebige Firewall-Regeln im Benutzer- und Applikationskontext erstellen.
Bild 4: Informationen über den Heartbeat-Status der Clients werden dem Administrator im Network Security Control Center in Echtzeit angezeigt.
6 Auszug aus IT-Administrator März 2016 www.it-administrator.de
Sophos XG F i rewal lTests
rung von Benutzern und Hosts im Netz-werk helfen, die durch ihre Internetnutzungein Risiko für das Unternehmen darstellen.Dafür korreliert die XG Firewall im We-sentlichen Informationen aus den Logfilesder Web Protection und der AdvancedThreat Protection Engine. Ruft ein Benut-zer also häufiger als riskant klassifizierteoder per Web-Policy verbotene URLs aufund/oder werden am Client des BenutzersDNS-Anfragen gestellt, die auf Traffic zuBotnetzwerken schließen lassen, werdendiese Auffälligkeiten zu einem Risikowert– UTQ-Score genannt – zusammengefasst.
Überschreitet der UTQ-Score eines odermehrerer Benutzer in Relation zu allen an-deren Benutzern einen Schwellenwert,blendet die XG Firewall im UTQ-Widgetdes Dashboards eine entsprechende War-nung ein. Ein Klick auf das Widget öffnetein Diagramm. Von Benutzern mit hohemThreat Score und hohem Risk Rankinggeht das höchste Risko aus. Ein Klick aufden Benutzernamen liefert dem Adminis-trator dann weitere Detailinformationenzu den beanstandeten Regelverstößen.
In unserem Test identifizierte die FunktionBenutzer mit riskantem Verhalten zuver-lässig und lieferte dem Admin wertvolleHinweise auf problematische Benutzer.Allerdings kann der Firewall-Administra-tor die Gewichtung und Schwellenwertenicht beeinflussen. So führt beispielsweisedie Nutzung von Anonymisierungsdiens-ten wie Tor immer zu einem erhöhtenUTQ-Score – es ist nicht möglich, hierAusnahmen zu definieren. Leider kenntdie Funktion auch keinen Live-Modus,sodass riskantes Verhalten der Benutzerfrühestens nach 24 Stunden im Dashboardangezeigt wird.
Leistungsfähiges ReportingIn Sachen Reporting kann die XG Firewallordentlich punkten, denn Sophos hat demSystem die mächtige Reporting-EngineiView aus der Cyberoam-Übernahmespendiert. Für einen ersten Überblick ste-hen dem Administrator unter dem Me-nüpunkt "Reporting" drei Dashboards zurVerfügung: Das Traffic Dashboard schlüs-selt den Netzwerkverkehr nach verwen-deten Applikationen, Web-Kategorien undBenutzern auf und im Security Dashboardwerden Reports dagegen mit dem Fokusauf unerwünschten beziehungsweise ge-blockten Netzwerkverkehr und anderenRegelverstößen sichtbar gemacht. DasUser Threat Quotient Dashboard listetschließlich Benutzer mit hohem ThreatQuotient Score auf.
Die Berichte lassen sich dann in verschie-denen Formaten (HTML, PDF, Excel) vonder Firewall herunterladen oder auch inregelmäßigen Abständen per E-Mail anbeliebige Empfänger versenden. Nochmehr Detailinformationen lassen sich ausden Reporten herausfiltern, indem rele-vante Datensätze einfach angeklickt wer-den. Die Report-Engine verfeinert so denScope immer weiter.
Neben dem Zugang über die Dashboardsbietet das Reporting-Modul aber noch ei-ne Reihe weiterer Möglichkeiten. So ste-hen etwa Spezialreporte für HIPAA, SOXoder PCI zur Verfügung, Reporte überdie Nutzung von VPN oder E-Mail sindebenfalls schnell erzeugt. Nicht zuletztkönnen Reporte auch anonymisiert wer-den, um datenschutzkonforme Auswer-tungen zu ermöglichen. In den Berichtenerscheinen dann keine personenbezoge-nen Daten mehr.
Neben dem bereits sehr mächtigen On-Box-Reporting hat Sophos die Reporting-Engine "iView2" optional auch als virtuellebeziehungsweise Software-Appliance imAngebot. Das Stand-Alone-Modul bein-haltet unter anderem konsolidierte Reportefür Sophos UTM und XG sowie CyberoamFirewalls und ein zentrales Backup und Ar-chivierung der Logfiles aller Systeme.
FazitDie Sophos XG Firewall bietet vor allemmit ihren Benutzer- und Applikations-zen-trierten Firewall-Regeln, aber auch mitdem Security Heartbeat interessante Vor-teile für Firewall-Administratoren. Leiderhat Sophos den Security Heartbeat nichtals offene Schnittstelle angelegt und unter-stützt derzeit nur die eigene Endpoint An-tivirenlösung in der Cloud. Damit wurdedie Chance nicht genutzt, auch von ande-ren Sicherheitsprodukten Statusinforma-tionen einzuholen und in das Regelwerkder Firewall einzubinden. Insgesamt undfür den relativ frühen Entwicklungsstandhinterlässt die XG Firewall aber einen sehrpositiven Eindruck. (ln)
Bild 5: Das On-Box Reporting der XG Firewall ist äußerst leistungsfähig und liefert dem Administratorwertvolle Informationen zur Optimierung des Schutzstatus des Netzwerks.
So urteilt IT-Administrator
optimal für Unternehmen, die bereits dieSophos-Endpoint-Cloud-Lösung einsetzenund künftig auch den Benutzer-/Applika-tionsbezug im Kontext ihrer Firewall-Regelnberücksichtigen möchten.
bedingt für Firmen, die am Client Virenscan-ner anderer Hersteller einsetzen, da der Secu-rity Heartbeat derzeit nur von Sophos unter-stützt wird.
nicht für sehr kleine Unternehmen, die keineBenutzerauthentisierung für den Internet-Zugriff benötigen.
Policy-Modell 8
Business Apps 7
Security Heartbeat 9
User Threat Quotient 7
On-Box Reporting 8
Die Details unserer Testmethodik finden Sieunter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
