Preview zu WSM und Fireware XTM 11

Die Version Beta 4 ist da. Bis zum eigentlichen Release werden nun also wohl noch etwa 4-6 Wochen vergehen. XTM (Extensible Threat Management) setzt natürlich auf UTM (Unified Threat Management) auf und erweitert diesen Begriff um “Erweiterbarkeit” in den Bereichen Sicherheit, Netzwerk Features und flexibleres Management.

Wichtigste Neuerung ist, dass das neue Betriebssystem Fireware XTM 11 auf allen bisherigen e-series Boxen (also auch auf der X Edge!) und der neuen XTM 1050 laufen wird. Es wird also künftig für alle WatchGuard Boxen ein einheitliches Betriebssystem geben. Im kernelnahen Bereich wurde ein ganz neues Software Design angewendet, um überhaupt für die gestiegenen und künftig noch weiter steigenden Performance-Anforderungen an eine Security Appliance gewappnet zu sein.

Zu einem höheren Maß an Sicherheit werden beitragen: HTTPS content inspection – ja, ein HTTPS-Proxy, der in SSL-verschlüsselten Traffic hineinsehen kann; ein neuer OEM-Partner für Antivirus Engine und Signaturen (AVG); bessere Unterstützung für VoIP und verbesserte Einstellmöglichkeiten für IPS (Intrusion Prevention Service).
Bei den neuen Netzwerk Features wäre insbesondere FireCluster zu nennen, der neue Name für den neuen Active/Active Cluster Mode, des weiteren der neue Bridge Mode, VLAN auf externen Interfaces, MAC Access Control. Die Interfaces der X Edge werden künftig wie bei der X Core weitgehend frei verwendbar sein, die Namen WAN1, WAN2, OPT und LAN0-2 werden weitgehend bedeutungslos und durch eth0, eth1, eth2 und eth3 ersetzt. Innerhalb von Branch Office VPN Tunneln (BOVPN) können Regeln nun auch mit einer zeitlichen Begrenzung versehen werden, auch Traffic Management, QoS und Priorisierung innerhalb des VPN-Tunnels wird möglich, ebenso wie Dynamic NAT.
Für SSL-VPN entfällt die Notwendigkeit von Port 4100 tcp, die gesamte Verbindung läuft über Port 443 tcp.
Flexibleres Management wird insbesondere dadurch erreicht, dass zum einen künftig alle Boxen (also auch die X Edge!) über den WSM / Policy Manager administriert werden können. Alle Boxen (also auch X Core und X Peak!) können künftig aber auch über Web-Interface und weitestgehend auch über CLI (Command Line Interface) konfiguriert und verwaltet werden.

Weitere kleine Nettigkeiten sind: WebBlocker Override Passwort auch bei X Core und X Peak (bisher nur bei X Edge); deutlich verbessertes Logging und Reporting (mehr Performance und braucht weniger Resourcen); nur noch ein Einstiegspunkt WatchGuard Server Center in die Verwaltung der Server Services; HostWatch zeigt für jede einzelne Verbindung an, wie viel Bandbreite verbraucht wird – die Liste kann sogar nach dieser neuen Spalte in absteigender Reihenfolge sortiert werden 🙂

Der WSM 11 wird auch Fireboxen mit Fireware 10.x verwalten können. Dies ermöglicht in meinen Augen für den Anfang einen interessanten Mischbetrieb: die verbesserten Möglichkeiten des WSM 11 (speziell Logging und Reporting) in Verbindung mit der letzten stabilen 10-er Version auf der Firebox selbst. Die Version 11 wird im Rahmen der Live Security kostenfrei zum Download angeboten, kann aber nur installiert werden, wenn auf der Firebox ein gültiger Feature Key vorhanden ist.