Clavister

UTM-Firewall: Security Gateway

Der Schwedische Hersteller für UTM-Produkte Clavister stellt mit seinen Security Gateways Firewall- und VPN-Systeme für jeden Einsatzzweck bereit. Angefangen bei kleinen Firewalls für den SOHO-Bereich, über 19"-Geräte mit einigen Gigabit-Ports, bis hin zu Chassis-basierten Hochleistungs-Appliances kann jeder Anforderung an Durchsatz, Sessions oder VPN-Tunnel entsprochen werden. Durch das "Pay-as-you-grow"-Lizenzmodell können Firwalls günstig beschafft und bei Bedarf durch ein Lizenzupgrade ohne Downtime erweitert werden. Ein Austausch der Hardware und der damit verbundene Aufwand entfällt. Neben der gewöhnlichen Firewall-Funktionalität bietet Clavister Rundum-Schutz mit Intrusion Prevention, Web Content Filtering, Benutzerauthentifizierung und Antivirus, ebenso wie granular konfigurierbares Traffic-Shaping. Durch redundante Baugruppen (Netzteile, Lüfter, etc) und Cluster-Mechanismen können die Geräte hochverfügbar ausgelegt werden. Mit Hilfe von "Virtual Systems" kann eine Appliance in einzelne, voneinander unabhängige Geräte gesplittet werden und eröffnet so zum Beispiel Anbietern von Managed Security Services neue Möglichkeiten.

Schutz in virtualisierten Umbegungen mit Virtual SG

Immer mehr Unternehmen setzen auf virtualisierte Server-Systeme und halten dafür performante und ausfallsichere, aber in sich geschlossene Blade-Systeme vor. Verkehr zwischen dort laufenden, virtuellen Maschinen zu kontrollieren, war bislang ein mühsames Unterfangen, was mit einer Vielzahl an Nachteilen verbunden war. Um Datenverkehr zwischen zwei VMs über eine Firewall zu leiten, müsste der Verkehr über einen Switch aus dem Blade-System heraus, über die Firewall und wieder in das Blade-System herein geführt werden; auf Kosten der Performance. Nicht selten sind die Uplinks solcher Blade-Systeme überbucht, sodass sich einige Server einzelne Gigabit-Ports oder -Trunks teilen müssen.

Abhilfe schafft hier das virtuelle Clavister Security Gateway. Mitentwickelt von VMware bringt es optimierte Netzwerktreiber mit und läuft als weitere VM neben den bestehenden Servern. Der Bedarf an RAM und Speicherplatz ist verschwindend gering und alle Vorteile einer VMWare-Umgebung (z.B. Ausfallsicherheit und einfaches Klonen von Maschinen) treffen automatisch auch auf die Firewall zu. Je nach Lizenz stehen bis zu 10 virtuelle Netzwerkkarten und 512 VLAN-Interfaces zur Verfügung, Firewall- und VPN-Durchsatz (AES) liegen bei 50 bis 1000 MBit/s. Für die VSGs ist ein ESX- oder ESXi-Host ab der Version 3 Vorraussetzung.

SSL-VPN: Secure Access Gateway

Mit der Secure-Access-Gateway-Serie (kurz SAG) bietet Clavister einen äußerst flexiblen Endpunkt für SSL-VPNs. Benutzer können sich über den Webbrowser an der SAG auf verschiedenste Arten authentifizieren, Benutzernamen und Passwörter aus einem Verzeichnisdienst wie Active Directory, One-Time-Passwörter oder SMS-Tokens sind nur einige Beispiele. Die SAG dient nach dem Login als Portal oder Proxy für Verbindungen in das Firmennetz. So lassen sich Fileserver durchsuchen, RDP-Sitzungen öffnen oder einen vollwertigen VPN-Tunnel über SSL initiieren.

Appliances verwalten mit InControl

Mit InControl liefert Clavister ein zentrales, mandantenfähiges Management-System, welches die Verwaltung selbst großer Anzahlen von Appliances ermöglicht. Natürlich dürfen hier Logging- und Reporting-Funktionen nicht fehlen. InControl fußt auf einer Client-Server-Architektur, bei der mehrere Clients gleichzeitig mit dem Management-Server verbunden sein können und ihre Firewalls administrieren. Die Anmeldung kann auch hier mit Hilfe eines Verzeichnisdienstes erfolgen, Rollen weisen den Benutzern Zugriffsrechte auf einzelne Funktionen und/oder Appliances zu. Durch ein Versionierungssystem wird sichergestellt, dass zwei Administratoren keine sich widersprechenden Konfigurationsänderungen durchführen.