Wer nichts von Software-Firewalls hält und auch weder Zeit noch Lust hat, eine Linux-basierte Firewall zu bauen, braucht trotzdem nicht ungeschützt im Netz zu surfen. Die Alternative heisst Firewall-Appliance, und eine solche ist die ZyWALL 10 von Zyxel.
Die ZyWALL 10 ist verpackt in einem silbergrauen Kasten in der Grösse eines durchschnittlichen Buches. An der Rückseite befinden sich eine 10/100-Mbps-LAN-Schnittstelle mit Uplink-Schalter, ein 10-Mbps-WAN-Port, eine Konsolenschnittstelle sowie der Stromanschluss. Fünf LED-Leuchten zur Statusanzeige prägen die Vorderseite.
Im Lieferumfang der ZyWALL 10 befindet sich ein Faltblatt, das die Standardinstallation der Firewall erklärt: Der WAN-Port wird mit dem Kabelmodem oder einem Internet-Router verbunden, und der PC wird mit dem mitgelieferten Cross-over-Kabel an den LAN-Port der Firewall geschlossen. Obwohl ein Cross-over-Kabel beiliegt, ist es durchaus auch möglich, ein gewöhnliches Ethernet-Kabel zu verwenden, da sich der Port mit dem Uplink-Schalter umstellen lässt.
Als Standard ist DHCP in der ZyWALL 10 aktiviert, wobei die Firewall selber die Adresse 192.168.1.1 nutzt und ab 192.168.1.33 dynamische Adressen verteilt. Sobald der PC dementsprechend konfiguriert ist, kann in einem Standard-Browser vom PC aus das Administrations-GUI hervorgerufen werden.
Die Konfiguration der ZyWALL 10 kann sowohl mit Hilfe eines Wizards als auch manuell mit direkter Parametereingabe erfolgen. Die ZyWALL 10 unterstützt reines Ethernet, PPPoE und PPTP. Etwas fremdartig mutet die Unterstützung für Time Warners RoadRunner an, aber ansonsten sind alle notwendigen Parameter für den Verbindungsaufbau leicht auszumachen.
Wenn die Verbindung zum Internet erst einmal hergestellt ist, kann die Sicherheitskonfiguration den eigenen Wünschen entsprechend erstellt werden. Bei der ZyWALL 10 handelt es sich dabei grundsätzlich um eine Stateful-Inspection-Firewall, die jeden Verbindungsaufbau vom lokalen Netz ins Internet zulässt und alle Zugriffe vom Internet aufs lokale Netz abblockt. Diese zwei Grundregeln können nun erweitert oder modifiziert werden. Dabei gibt es in beiden Richtungen Platz für 10 Regeln, in denen jeweils Start- und Zieladresse sowie das Applikationsprotokoll wählbar sind. Über 30 der geläufigsten Applikationen, darunter IRC; ICQ, RealAudio und VoIP, sind dabei fest vorprogrammiert. Falls man Anwendungen über spezielle Port-Nummern verwenden möchte, können die entsprechen Ports nachträglich errichtet werden.
Angriffsversuche sowie wahlfreie Verbindungen können in einem Log-File aufgezeichnet werden. Das Log-File kann dabei direkt vom Browser-GUI eingesehen oder aber mit Hilfe des Unix-syslog-Protokolles überwacht werden.
Die ZyWALL 10 umfasst nicht nur konventionelle Funktionen, sondern ist auch in der Lage, ActiveX, Cookies und Java-Applets zu filtern. Mit einem Webfilter kann ausserdem der Zugriff auf bestimmte Domains untersagt werden. Damit Webfilter nicht etwa via externe Web-Proxys umgangen werden können, lassen sich diese ebenfalls filtern.
Neben der webbasierten Benutzeroberfläche bietet die ZyWALL 10 auch ein menügesteuertes System Management Terminal (SMT), das via Telnet oder eine serielle Verbindung zugänglich ist. Gegenüber dem Web-GUI bietet das SMT einige weitere Konfigurationsparameter, die vor allem für den fortgeschrittenen Einsatz verwendet werden. Dies gilt beispielsweise für dynamische DNS-Dienste, SNMP oder Remote Management. Obwohl die ZyWALL 10 in erster Linie für Always-on-Verbindungen entwickelt ist, wird auch Cost Management und Call Scheduling unterstützt.
Eine der zentralsten Funktionen, die Konfiguration der Firewall, ist hingegen nur über das Web-GUI zugänglich, was doch eher erstaunlich ist.
Als Firewall ist die ZyWALL 10 sehr robust. Keiner unserer Port-Scanning-Versuche hat Lücken preisgegeben. Ausser unberechtigten Zugriffen kann die ZyWALL 10 auch Denial-of-Service-Angriffe erkennen und abwehren.
Ein weiteres nützliches Feature erlaubt, die MAC-Adresse eines beliebigen PC im Lokalnetzwerk nach aussen weiterzuleiten. Diese Funktion ist insbesondere dann nützlich, wenn Kabelprovider eine MAC-Adresse zur Registrierung verwenden.
Mit Hilfe von statischem Routen ist es möglich, einen Web- und/oder Mailserver hinter der Firewall zu betreiben.
Die ZyWALL 10 glänzt als Firewall durch eine verhältnismässig einfache Grundkonfiguration sowie einer Fülle von speziellen Features für fortgeschrittene Einsatzmöglichkeiten. Daher eignet sich die ZyWALL 10 sowohl für den Einsatz im SOHO-Bereich als auch als Firewall für KMU und in Zweigstellen grösserer Unternehmen.
Für eine sichere Inbetriebnahme der ZyWALL 10 benötigt man keine Firewall-Expertenkenntnisse, da die Firewall von Haus aus vernünftig konfiguriert ist und mit Hilfe eines Wizards leicht den lokalen Verhältnissen angepasst werden kann. Wer hingegen über Firewall-Kenntnisse verfügt, erhält mit der ZyWALL 10 ein flexibles Produkt, das sich auch für besondere Einsätze konfigurieren lässt.
Neben dem bereits erwähnten Faltblatt liegt der ZyWALL 10 eine CD-ROM bei, auf der sich sowohl ein ausführliches Manual im PDF-Format als auch eine Online-Hilfe in HTML für das Web-GUI befindet. Schön wäre es gewesen, wenn die Online-Hilfe auf dem Gerät selbst Platz gefunden hätte, besonders weil das Web-GUI mit einem entsprechenden Ikon das Vorhandensein der Dokumentation suggeriert.
Die Qualität des rund 254-seitigen Manual ist hingegen ausgezeichnet. Es finden sich hier Antworten auf alle Fragen sowie konkrete Konfigurationsanleitungen.
Wie bei Geräten dieser Art üblich ist, lässt sich die Firmware, ZyNOS, ausserdem vom LAN aus updaten, wenn neue Features oder Bugfixes veröffentlicht werden.
