Im Test: die Barracuda Firewall X201

Alles begann mit der Produktion von Appliances zur Spam-Bekämpfung. Und als die Spam-Welle ihren Höhepunkt erreicht hatte, hatte die Firma Barracuda mit solchen Geräten so großen Erfolg, dass sie damit begann, ihr Produktportfolio auszubauen. Heute hat der Hersteller diverse Firewalls, Webfilter, aber auch Storage- und Backup-Produkte im Programm. Kürzlich kam zu der etablierten Barracuda NG Firewall eine neue Produktlinie hinzu, die sich vor allem an kleine und mittlere Firmen richtet: die Barracuda Firewall.

Im Test musste sich das kleinste Gerät der neuen Firewall-Baureihe bewähren, das es in zwei Ausführungen gibt. Die X200 [1] ist die kleinste Firewall mit vier Gigabit-Ethernet-Ports (Abbildung 1). Die ADMIN-Redaktion hatte zum Test die Variante X201, die zusätzlich ein WLAN-Interface besitzt. Die kleinste Firewall bringt ein externes Netzteil mit, die größeren Geräte X300, X400 und X600 sind zur Montage im Rack gedacht und haben ein Netzteil eingebaut [2]. Ansonsten unterscheiden sich die Modelle in der Leistung: Die X200/201 verspricht 1 GBit/s Firewall-Durchsatz und 200 MBit/s für VPNs. Beim Top-Modell X600 sind es 5 GBit/s und 700 MBit/s für VPNs.

Abbildung 1: Das Modell X200 ist die kleinste Ausführung der neuen Barracuda Firewall. Die Variante X201 besitzt ein WLAN-Interface.

Als optionales Zubehör gibt es für alle Barracuda-Firewalls ein 3G-USB-Modem, das der Hersteller selbst entwickelt hat und das UMTS, HSDPA, HSUPA mit bis zu 7,2 MBit/s beherrscht. Administratoren können darüber im Notfall sogar per SMS die Firewall steuern, zum Beispiel rebooten. Das 3G-Modem kostet etwa 200 US-Dollar.

Weil die neue Barracuda-Firewall-Serie auch auf Firmen abzielt, die keinen speziell ausgebildeten Firewall- oder Netzwerkexperten beschäftigen, will es der Hersteller dem Administrator bei der Konfiguration einfach machen. Dazu bietet die X201-Firewall eine vorkonfigurierte Bridge zwischen den Ports 1 und 3. Damit kann der Administrator einfach seine Workstation vom Netz trennen, das Kabel in den Port 1 stecken und mit dem mitgelieferten Ethernet-Kabel die Firewall und den PC verbinden.

Bridge-Mode

Dank der Bridge ist der Rechner weiterhin mit LAN und Internet verbunden. Neu ist dann: Über die private Adresse 192.168.200.200 ist das Web-Interface der Firewall erreichbar. Dank eines VGA-Anschlusses und zweier USB-Ports lassen sich übrigens auch Tastatur und Monitor an die Firewall anschließen. In dem grafischen Terminal-Interface stehen aber nur grundlegende Funktionen zur Verfügung; den vollen Konfigurationsumfang bietet nur das Web-Interface.

Egal ob Web oder Terminal: Das voreingestellte Login und das zugehörige Passwort lauten beide "admin". Nach dem Login bekommt man das Web-Interface zu sehen, bei dem sich am oberen Ende die Menüpunkte befinden. Bewegt man die Maus über einen davon, klappt ein Untermenü aus. Nicht alles an der Einteilung ist logisch und muss einem als Anwender einleuchten. So gibt es zwar unter »Netzwerk« einen Eintrag »Routing« , aber die aktuellen Routen finden sich unter »Allgemein | Aktive Routen« . #

Abbildung 2: Die Barracuda Firewall lässt sich komplett über ein Web-Interface steuern.

Um die Firewall an einen Uplink anzubinden, der eine Adresse per DHCP vergibt, hat der Hersteller den Port 2 vorkonfiguriert. Die Einstellung lässt sich natürlich durch den Anwender ändern. Allerdings funktioniert das nicht ohne Weiteres, denn die Bridge-Konfiguration verhindert ein korrektes Routing dank einer Route auf das Netz 0.0.0.0. Damit die Route verschwindet, muss der Anwender unter »Netzwerk | IP-Konfiguration« die Management-Netzmaske zum Beispiel auf 255.255.255.0 ändern. Gleichzeitig muss man dann allerdings die Einstellungen der etwa an Port 1 angeschlossenen Workstation ändern und ihr eine Adresse aus dem Netz 192.168.200.0 vergeben. Diese Kenntnis förderte bei unserem Test ein Anruf beim Barracuda-Support zutage, der kompetente Hilfe leistete. Prinzipiell bietet die Firewall auch Reverse Tunnel, über die sich der Support auf dem Gerät einloggen kann. Doch auch das funktioniert nur mit einer bestehenden Internet-Verbindung.

Beschnitten

Als besonders nervig hat sich bei Setup und Fehlerbehebung erwiesen, dass der Anwender viele Einstellungen an der Firewall nicht vornehmen darf, wenn sie nicht durch eine Verbindung zur Barracuda-Site aktiviert wurde. Das Troubleshooting der Verbindung zum Internet wird zur Qual, wenn es eben diese Verbindung voraussetzt. Aus Kundenperspektive ist es auch nicht recht einzusehen, warum ein Gerät, das man schließlich voll erworben hat, in seiner Funktion erst einmal beschnitten ist. Richtig ärgerlich ist es, wenn die Firewall dazu auffordert, zum Wirksamwerden einer Änderung einen Link anzuklicken, nur um daraufhin die Ausführung mit der Meldung zu verweigern "This operation is not permitted until this Barracuda Firewall is activated."