Anforderungen an eine professionelle Lösung
Wie diese Aufstellung zeigt, sind Geräte wie die Fritzbox oder das Speedport für das häusliche Einsatzgebiet in der Regel vollkommen ausreichend. Doch welche Forderungen stellt der Profi an die Router/Firewall-Geräte, die den Zugang des Firmennetzwerks zum Internet regeln?
Überwachung mit SNMP: Gerade im Bereich des Managements offenbaren sich viele Schwächen der "Highend Home"-Geräte im Vergleich zu den professionellen Business-Geräten. Für den Einsatz in einem professionellen Netzwerk ist eine Integration der Router in eine SNMP-Umgebung (Simple Network Management Protocol) beispielsweise mit dem kostenfreien Nagios, dringend gefordert. Das ist aber in der Regel mit der Fritzbox & Co. nicht möglich.
Durch den Einsatz von SNMP ist es dem Administrator möglich, sowohl den Netzwerktransfer als auch die Auslastung der CPU und des Arbeitsspeichers oder auch die Firmware-Versionen zentral im Blick zu haben. So sind dann auch automatisierte Aktionen, wie zum Beispiel ein Neustart des Routers bei absinkender Leistung oder bei zu hohem Transfer auf einem Port, einfach zu konfigurieren.
Zwar ist es beispielsweise auf eine Fritzbox möglich, ein angepasstes lauffähiges Linux-System inklusive SNMP-Support einzurichten. Das ist jedoch mit erheblichem Aufwand verbunden und es handelt es sich bei dem Gerät danach nicht mehr um die Standardauslieferung.
Management-Software und Syslog: Ein weiterer wichtiger Punkt ist das "Logging" mit Monitoring-Lösungen. So ist leider kaum eine Highend-Home-Lösung in der Lage, Syslog-Meldungen zu erstellen, zu speichern oder an einen zentralen Überwachungsserver zu schicken.
Installation und Konfiguration: Mit den insgesamt guten Assistenten im Web-Browser ist die Installation von Home-Produkten wie der Fritzbox in der Regel problemlos möglich. Geht es jedoch darum, eine größere Anzahl von Geräten auszuliefern, so muss entweder ein automatisierbarer Software-Assistent oder besser noch eine zentrale Management-Software zum Einsatz kommen. Während die Standard-Geräte für den Heimbetrieb solche Funktionalitäten nicht bieten können, stellen Profiprodukte, wie sie beispielsweise von den Herstellern SonicWall und Lancom angeboten werden, schon ab Werk solche Funktionen zur Verfügung.
Schutzfunktionen: Wird der DSL-Router direkt für die Internet-Anbindung ohne einen Proxy-Server dazwischen genutzt, so steigen die Anforderungen für den professionellen Einsatz deutlich an. Eine integrierte, objektorientierte Stateful Packet Inspection (SPI)-Firewall gehört hier zur Pflichtausstattung. Was unterscheidet diese Art der SPI-Firewall von der Funktionalität, die zumeist in den Highend-Home-Boxen á la Fritzbox angeboten wird? Grundsätzlich kann heute eine Firewall, die nur eine "Stateful Packet Inspection" ausführt, nicht mehr als sicher angesehen werden. Malware, Viren und Trojaner werden aktuell in anderen Protokollen (wie beispielsweise innerhalb des HTTP-Protokolls) gekapselt und können so von einer "normalen" Firewall nicht entdeckt werden. Im professionellen Umfeld muss ein solches Gerät deshalb den gesamten Datenstrom lesen und auch "verstehen", um dann entsprechend auf die Bedrohung reagieren zu können. Solche Geräte werden von den Herstellern dann häufig als UTM-Firewalls (Unified Threat Management) bezeichnet.
Zusätzliche Schutzeinrichtungen: Weiterhin sollte gegen mögliche Angriffe aus dem Internet ein Intrusion Prevention System mit integriertem DoS-Schutz zur Verfügung stehen. Abgerundet werden die Features eines "perfekten Profi-Systems" dann durch einen Content-Filter, der über eine im Internet geführte Datenbank die Anzeige von Web-Seiten gemäß ihrer Einstufung wie beispielsweise Gewalt oder Pornografie verhindern kann.