Shorewall FunktionenDa die Shorewall letztendlich ein Interface zu einfachen Konfiguration der Paketfiltermechanismen des Linux Kernels ist, stehen Ihnen alle Funktionen von Netfilter unbeschränkt zur Verfügung: 
Stateful Paket InspectionStateful Inspection oder dynamische Paketfilterung ist eine Firewallarchitektur, bei der nicht nur die Headerdaten jedes Pakets analysiert werden, sondern zusätzlich der Verbindungsstatus der Pakete mitberücksichtigt wird. Dabei werden die einzelnen Pakete während Ihrer Übertragung auf der Vermittlungsschicht analysiert und diese Daten in Zustandstabellen gespeichert. Durch den Vergleich mehrerer Datenpakete und Ihre Korrelation untereinander kann die Firewall wesentlich fundiertere Entscheidungen über das Paket treffen, als bei statischen Filtern. Sicherheit und FlexibilitätNeben der effektiven Stateful Inspection, bietet die Shorewall Funktionen für dynamisches oder statisches Blacklisting, also die Sperrung unerwünschter IP Adressen, Schnittstellen zu Content Scannern, wie SpamAssassin zur Filterung von Spam eMails, Squid zur Filterung von Webinhalten oder Virenscannern. Damit sie in allen Netzbereichen eingesetzt werden kann bieten ProxyARP und NAT die notwendige Flexibilität. Besondere Sicherheitszonen für Wireless LANs lassen sich durch MAC basierte Zugriffssteuerung implementieren. Unbegrenzte SkalierbarkeitDie Firewallsoftware kann theoretisch eine unbegrenzte Anzahl an Netzwerkschnittstellen, Sicherheitszonen und IP Adressen verwalten. Lediglich durch die verwendete Hardware oder den durchzuleitenden Traffic ergeben sich natürliche Grenzen. Da keine Lizenzkosten anfallen können große Installationen allerdings mit wesentlich kleineren Budgets umgesetzt werden. ManagementNeben der klassischen Administration über SSH (Secure Shell) steht ein komfortables Webinterface zur Verfügung, das zusätzlich mit SSL abgesichert werden kann. Natürlich ist eine Out-Of-Band Administration, also die Verwendung eines separaten Management LANs möglich. Weiterhin bieten die Shorewall IP Accounting, so dass sich der Traffic nach IP Adressen anzeigen lässt und umfangreiche Loggingfunktionen. Virtual Private NetworksÜber eine eigene Verwaltung von VPN Tunnels lassen sich unterschiedliche, unter Linux implementierte VPN Techniken in die Firewall einbinden. Beispielsweise CIPE, das sich sehr gut zur Verbindung unterschiedlicher Standorte eignet oder IPSec und OpenVPN. Die Firewall unterstützt dynamische Regeln für diese Tunnel. VerfügbarkeitEine Firewall bildet in der Regel einen Single Point of Failure, da bei einem Ausfall meist ein kompletter Netzbereich nicht mehr erreichbar ist. Dieses Problem lässt sich durch eine redundante Implementierung beseitigen: Dabei übernimmt eine Backupfirewall sämtliche Aufgaben, sobald die Masterfirewall nicht mehr verfügbar ist. Dieser Vorgang dauert nur wenige Sekunden, so dass er von den Nutzern kaum bemerkt werden dürfte. Bei hohen Anforderungen an den zu filternden Traffic kann die Last auch gleichmäßig auf mehrere Firewalls verteilt werden.
|
