Lancom Systems UF-560
Ganz im Vertrauen
Veröffentlicht in Ausgabe 04/2026 - TESTS
Seit 2018 gehört Lancom Systems vollständig zu Rohde & Schwarz. Gemeinsam haben beide Unternehmen die Unified-Firewall-Serie (UF) entwickelt. Die getestete UF-560 positioniert sich im mittleren Leistungssegment der Reihe und richtet sich – so der Hersteller – gezielt an Mittelstand und Behörden. Sie nutzt wie alle Schwestermodelle das Betriebssystem LCOS FX, das auf einem Linux-Kernel basiert. Die UF-560 bringt dabei eine große Anschlussvielfalt mit: Acht GBit-Ethernet-Ports (RJ45) und zwei 10G-SFP+-Slots stehen bereit, ergänzt durch einen seriellen Konsolenport. Optional lässt sich das Gerät per Erweiterungsmodul mit weiteren 1/10G-RJ45-, 1/10G-SFP(+)- oder sogar 40G-QSFP+-Ports ausrüsten.
Mit einem maximalen Firewalldurchsatz von 20 GBit/s und einem IPSec-VPN-Durchsatz von 9 GBit/s eignet sich die UF-560 für sehr hohe Datenlasten. Der UTM-Durchsatz für HTTPS liegt bei 1,5 GBit/s, der reine IPS-Durchsatz bei 4,7 GBit/s. Das Gerät bewältigt bis zu vier Millionen gleichzeitige Sessions und erlaubt nach Herstellerangaben bis zu 3000 VPN-Tunnel. Trotz dieser Leistungswerte bleibt die Firewall mit nur einer Höheneinheit sehr kompakt. Redundante Netzteile fehlen jedoch. Für höhere Verfügbarkeit unterstützt sie ein Aktiv/Passiv-Setup, ein echtes Aktiv/Aktiv-Clustering bietet sie jedoch nicht.
| Produkt | Firewall-Appliance mit UTM-Funktionen. |
|---|---|
| Hersteller | Lancom Systems
|
| Preis | 5490 Euro |
| Systemanforderungen | Webbrowser für die Administration.
Formfaktor: Eine Höheneinheit
Schnittstellen: - 8x 1G Kupfer RJ45 - 2x 10G SFP+-Slots - 1x RJ45 Konsole - 3x USB-Port - über Erweiterungsmodule: 1G RJ45, 1G SFP, 10G SFP+ oder 40G QSFP+ |
| Technische Daten |
Vielseitiges Management
Im Test überzeugte die UF-560 mit sehr unterschiedlichen Verwaltungs- und Monitoringmöglichkeiten. Lokal standen ein Web-GUI, SSH sowie der serielle Konsolenport zur Verfügung. Mehrere Firewalls – und auch andere Lancom-Komponenten – ließen sich zentral über die Lancom Management Cloud (LMC) verwalten, die wahlweise als Public Cloud oder als Private-Cloud-Installation betrieben werden kann. Die genauen Funktionen der LMC stellen wir später vor. Zusätzlich bietet die Firewall ein REST-API, mit der sich Aufgaben per Skript automatisieren oder in eigene Managementsysteme einbinden lassen.
Seit 2018 gehört Lancom Systems vollständig zu Rohde & Schwarz. Gemeinsam haben beide Unternehmen die Unified-Firewall-Serie (UF) entwickelt. Die getestete UF-560 positioniert sich im mittleren Leistungssegment der Reihe und richtet sich – so der Hersteller – gezielt an Mittelstand und Behörden. Sie nutzt wie alle Schwestermodelle das Betriebssystem LCOS FX, das auf einem Linux-Kernel basiert. Die UF-560 bringt dabei eine große Anschlussvielfalt mit: Acht GBit-Ethernet-Ports (RJ45) und zwei 10G-SFP+-Slots stehen bereit, ergänzt durch einen seriellen Konsolenport. Optional lässt sich das Gerät per Erweiterungsmodul mit weiteren 1/10G-RJ45-, 1/10G-SFP(+)- oder sogar 40G-QSFP+-Ports ausrüsten.
Mit einem maximalen Firewalldurchsatz von 20 GBit/s und einem IPSec-VPN-Durchsatz von 9 GBit/s eignet sich die UF-560 für sehr hohe Datenlasten. Der UTM-Durchsatz für HTTPS liegt bei 1,5 GBit/s, der reine IPS-Durchsatz bei 4,7 GBit/s. Das Gerät bewältigt bis zu vier Millionen gleichzeitige Sessions und erlaubt nach Herstellerangaben bis zu 3000 VPN-Tunnel. Trotz dieser Leistungswerte bleibt die Firewall mit nur einer Höheneinheit sehr kompakt. Redundante Netzteile fehlen jedoch. Für höhere Verfügbarkeit unterstützt sie ein Aktiv/Passiv-Setup, ein echtes Aktiv/Aktiv-Clustering bietet sie jedoch nicht.
| Produkt | Firewall-Appliance mit UTM-Funktionen. |
|---|---|
| Hersteller | Lancom Systems
|
| Preis | 5490 Euro |
| Systemanforderungen | Webbrowser für die Administration.
Formfaktor: Eine Höheneinheit
Schnittstellen: - 8x 1G Kupfer RJ45 - 2x 10G SFP+-Slots - 1x RJ45 Konsole - 3x USB-Port - über Erweiterungsmodule: 1G RJ45, 1G SFP, 10G SFP+ oder 40G QSFP+ |
| Technische Daten |
Vielseitiges Management
Im Test überzeugte die UF-560 mit sehr unterschiedlichen Verwaltungs- und Monitoringmöglichkeiten. Lokal standen ein Web-GUI, SSH sowie der serielle Konsolenport zur Verfügung. Mehrere Firewalls – und auch andere Lancom-Komponenten – ließen sich zentral über die Lancom Management Cloud (LMC) verwalten, die wahlweise als Public Cloud oder als Private-Cloud-Installation betrieben werden kann. Die genauen Funktionen der LMC stellen wir später vor. Zusätzlich bietet die Firewall ein REST-API, mit der sich Aufgaben per Skript automatisieren oder in eigene Managementsysteme einbinden lassen.
Schon nach der Ersteinrichtung über den Wizard schränkte das Gerät den lokalen Zugriff auf RFC1918-Adressen ein. Zur weiteren Minimierung der Angriffsfläche empfiehlt es sich, den Zugriff noch stärker auf reine Administrationsnetze zu beschränken. Leider fehlte im Test jede Möglichkeit, den lokalen Administrator per Multifaktor-Authentifizierung abzusichern. Der Hersteller kündigte diese Funktion für dieses Jahr an. Für das Monitoring standen SNMP und Syslog bereit – auch hierzu folgen später Details.
Lauter Start, aber ruhiger Betrieb
Beim ersten Hochfahren fiel der Lüfter der UF-560 deutlich hörbar auf, beruhigte sich jedoch schnell und arbeitete im Normalbetrieb unauffällig leise. Kurz darauf stand das lokale Web-GUI über HTTPS auf Port 3438 zur Verfügung. Der integrierte Setupassistent bot zunächst die Möglichkeit, ein vorhandenes Backup wiederherzustellen. Daran anschließend fragte er nach der Freigabe von Nutzungsstatistiken und Diagnosedaten an Lancom.
Danach richteten wir WAN- und LAN-Schnittstellen grundlegend ein. Für WAN-Verbindungen standen DHCP, statische IP-Konfiguration sowie xDSL mit PPPoE-Einwahl bereit. Allerdings ließen sich zunächst nur die Ports "eth0" bis "eth3" auswählen – die SFP(+)-Slots für Glasfaser blieben vorerst unberücksichtigt. Im LAN konnten wir IPv4-Adressbereiche frei definieren und den einzelnen Schnittstellen zuweisen. Anschließend vergaben wir für die jeweiligen Netze Internet- und E-Mail-Zugriffsrechte und aktivierten ausgewählte SicherheitsfunkUnter den Sicherheitsoptionen fanden sich Antivirus für E-Mail- und Webtraffic inklusive Sandboxing, Content-Filter sowie IDS. Warum Lancom den reinen IPS-Schutz nicht bereits im Wizard anbot, blieb uns rätselhaft – wir mussten diese Funktion später manuell im IDS/IPS-Menü einschalten. Der Content-Filter blockierte standardmäßig Werbung sowie pornografische, kriminelle und gewaltverherrlichende Inhalte zuverlässig.
Nach Abschluss des Wizards gelangten wir zum Dashboard. Die Aufteilung in vier Bereiche wirkte anfangs etwas ungewohnt, erwies sich nach kurzer Einarbeitung jedoch als durchaus praktisch. Oben thronte eine Kopfzeile, links eine zweigeteilte Navigation, daneben der zentrale Desktopbereich und ganz rechts eine einklappbare Übersicht. Im Desktopbereich erschienen sogenannte Objekte – etwa Benutzer, Hosts, Hostgruppen oder IP-Netze –, die als Bausteine für Richtlinien dienten: von Quelle (erste Auswahl) zu Ziel (zweite Auswahl).
Die linke Menüstruktur präsentierte sich als klassisches Hamburgermenü mit den Hauptkategorien "Firewall", "Monitoring & Statistiken", "Netzwerk/Desktop", "UTM", "Benutzerauthentifizierung", "VPN", "Zertifikatsverwaltung" und "Diagnose-Tools". Ein Live-Update der Firewall über das GUI klappte reibungslos. Zudem ließen sich Updates zeitgesteuert planen, sodass Sicherheitsfixes oder empfohlene Hotfixes automatisch einspielten. Auch automatisierte Backups per Secure Copy Protocol (SCP) stellten wir problemlos ein.
Teils eingeschränkte Routingfunktionalität
Die UF-560 erlaubte es, mehrere physische Schnittstellen entweder als Bridge zu gruppieren oder klassisch einzeln zu routen. Diese Flexibilität passte sich gut an unterschiedliche Topologien an – sei es die klare Trennung von DMZ, LAN und WAN oder die Bündelung mehrerer Ports für kompaktere Standorte im LAN-Bereich.
Leider ließen sich Linkgeschwindigkeit und Duplexmodus der Ethernet-Ports nicht manuell festlegen; die Firewall handelte diese Parameter stets automatisch aus. Link Aggregation etwa via LACP funktionierte einwandfrei, erforderte jedoch, dass alle beteiligten Schnittstellen aktiv waren – ein potenzieller Nachteil in produktiven Umgebungen, da eine deaktivierte Vorbereitung somit entfiel. PPP-Schnittstellen unterstützte das Gerät ebenfalls, was den Einsatz bei Einwahlverbindungen wie xDSL ermöglichte. Hier traten im Test keinerlei Auffälligkeiten auf.
IPv6 ließ sich im WAN sowohl statisch als auch per DHCPv6 konfigurieren. Die statische Variante arbeitete zuverlässig, erforderte allerdings separate Schnittstellen-Definitionen für IPv4 und IPv6. Im LAN fehlte IPv6-Unterstützung komplett, weshalb weitere Tests – etwa DHCPv6 im LAN – scheiterten. DHCPv6 im WAN wiederum scheiterte gänzlich; in Paket-Mittschnitten entdeckten wir keinerlei Anfragen der Firewall. Dieses Problem blieb bis Redaktionsschluss ungeklärt.
blieb bis Redaktionsschluss ungeklärt.
Das Routingprotokoll BGP lief hingegen tadellos, bot jedoch nur begrenzte Möglichkeiten zur Pfadoptimierung. OSPF stand zum Testzeitpunkt nicht zur Verfügung. Lancom kündigte an, OSPF in einem Release für 2026 einzuführen – mittlerweile ist diese Funktion mit LCOS FX 11.1 realisiert (als erweiterbares, User-definiertes Protokoll). Ein vollwertiges SD-WAN fehlte ebenfalls.
DNS und DHCP mit kleinen Schwächen
Die UF-560 integrierte einen rekursiven DNS-Resolver, wie er bei vielen Routern und Firewalls Standard ist. Er erlaubte die gezielte Weiterleitung einzelner DNS-Zonen an bis zu zwei externe Resolver pro Zone. Autoritative DNS-Funktionen fehlten jedoch gänzlich. Im Test trat ein ärgerlicher Fehler auf: Der Dig-Prozess reagierte nicht mehr. Nur ein vollständiges Zurücksetzen auf Werkseinstellungen löste das Problem.
Den DHCP-Dienst konfigurierten wir pro Schnittstelle flexibel als Server oder Relay. Sowohl der DHCP-Server (inklusive Optionen) als auch der Relay arbeiteten für IPv4 einwandfrei. DHCP blieb allerdings strikt auf IPv4 beschränkt – IPv6-Unterstützung gab es nicht.
Beschränkte Diagnose, solider Virenschutz
Klassische Firewallregeln legten wir im "Desktop"-Bereich an. Zuerst erstellten wir Objekte für Hosts, Netzwerke, Benutzer, Benutzergruppen, Dienste, Dienstgruppen und Protokolle – allesamt unter "Desktop-Objekte" zu finden. Netzwerkschnittstellen parametrisierten wir separat unter "Desktop-Verbindungen". Änderungen an diesen Objekten erforderten eine explizite Aktivierung über die obere Menüleiste.
Anschließend bauten wir Regelwerke zwischen den Objekten auf: Ein Klick auf das Quellobjekt, dann auf das Verbindungs-Icon und schließlich auf das Zielobjekt – schon öffnete sich der Kontext-Dialog. Hier definierten wir klassische 5-Tupel-Regeln inklusive Richtung, ergänzt um NAT, Proxy, URL- und Applikationsfilter sowie Traffic Shaping. Alles funktionierte reibungslos. Neben reichlich vordefinierten Diensten ließen sich eigene erstellen und zu Gruppen bündeln.
Die grafische Oberfläche erwies sich nach kurzer Gewöhnung als sehr übersichtlich und intuitiv. In komplexen Umgebungen mit vielen Elementen könnte der Überblick jedoch leiden. Eine Geo-Blocking-Option suchten wir vergeblich – Lancom kündigte diese für 2026 an (Stand Januar 2026 ist sie in aktuellen LCOS-FX-Versionen noch nicht dokumentiert oder allgemein verfügbar). Über applikationsbasierte Routingregeln gelang es uns jedoch, latenzkritische Trafficarten wie VoIP direkt lokal aus dem zentralen VPN-Tunnel auszukoppeln und in die Cloud zu leiten.
Die Diagnosemöglichkeiten blieben überschaubar: Im Web-GUI standen lediglich Ping und Traceroute bereit, ohne Optionen wie die Festlegung einer Quellschnittstelle. Ein Policycheck zur Simulation oder Überprüfung von Firewall- oder Routingentscheidungen fehlte komplett – das machte die Fehlersuche bei Konfigurationsproblemen unnötig mühsam. Paketmitschnitte (PCAP) über das GUI waren ebenfalls nicht möglich; dafür mussten wir auf tcpdump in der Kommandozeile zurückgreifen. Die CLI-Befehle dokumentierte Lancom jedoch kaum. Insgesamt wirkten die Diagnosefunktionen der UF-560 daher stark eingeschränkt.
Das Antivirusmodul basierte auf Bitdefender-Signaturen. Konfigurierbar waren Dateigrößenlimits, maximale Scangrößen, Verhalten bei fehlerhaften Scans, Archivuntersuchung, Updateintervalle in Stunden sowie Whitelists für Webserver und E-Mail-Adressen (Sender/Empfänger). Im Gegensatz zu manchen Konkurrenten gab es keine Kombination mehrerer AV-Engines. Stattdessen bot die Firewall Cloud-Sandboxing für verdächtige Dateien.
Im Test verhielt sich das System wie beschrieben: Downloads starteten verzögert, wurden auf die Appliance heruntergeladen, gescannt und bei sauberem Ergebnis weitergeleitet. Das führt potenziell zu Verwirrung bei Endnutzern, die den Eindruck gewinnen, der Download starte gar nicht. Ein Blockieren nach Dateiendung wie ".scr", ".doc" oder ".xls" fehlte leider.
Das Applikationsmanagement erlaubte das Erstellen von Filterprofilen mit Kategorien, die sich dann in Firewallregeln einbinden ließen – ideal, um Nutzergruppen einen selektiven Zugriff auf bestimmte Anwendungen oder Kategorien zu gewähren oder zu verweigern. Im Test klappte das tadellos. Verfügbar waren 47 Kategorien sowie eine Vielzahl einzelner Applikationen.
In den Datenverkehr geschaut
Der Web-Proxy der UF-560 arbeitete transparent für HTTP und HTTPS – bei HTTPS erforderte er, wie bei vielen Konkurrenzprodukten üblich, das Herunterladen und Verteilen eines CA-Zertifikats des Herstellers an die Clients. Nur so konnte die Firewall TLS-Verbindungen aufbrechen, eigene Zertifikate on-the-fly generieren und ausliefern, ohne dass Clients Zertifikatswarnungen erhielten. Neben dem transparenten Modus stand auch ein expliziter Proxy-Modus zur Verfügung. Für Anwendungen, die bekanntermaßen mit Proxys kollidieren, ließ sich ein Whitelisting einrichten, das solche Umgehungen erlaubte. In unseren Tests lief der transparente Proxy stabil und ohne erkennbare Probleme.
Der E-Mail-Proxy nutzte ebenfalls ein von Lancom signiertes Zertifikat. Überraschend: In den Standardeinstellungen validierte er die Serverzertifikate nicht – ein potenzielles Risiko für Man-in-the-Middle-Angriffe. Als Spam erkannte Mails markierte die Firewall wahlweise im Header (anpassbar) oder in der Betreffzeile. Alternativ konnten Spamnachrichten als Anhang angehängt werden. Black- und Whitelists sowie der globale E-Mail-Filter boten jedoch keine Regex-Unterstützung für präzise Filterregeln. S/MIME oder PGP suchten wir vergeblich; Lancom verwies auf die Möglichkeit, über "Secure On Edge" und Docker-Unterstützung spezialisierte E-Mail-Security-Tools nachzurüsten.
Der Reverse-Proxy blieb standardmäßig deaktiviert, ließ sich aber unkompliziert über das Web-GUI einschalten und konfigurieren. Wir definierten zunächst das Frontend – öffentliche IP und Port – und wiesen ihm ein oder mehrere Backendserver zu. Besonders praktisch: TLS-Offloading, bei dem die Firewall die HTTPS-Entschlüsselung übernahm und die Backends entlastete. Pfadbasierte Blockaden, etwa das Sperren spezifischer URLs, funktionierten im Test zuverlässig.
IPS ein wenig zu starr
Das Intrusion Prevention System (IPS) basierte auf der Open-Source-Engine Suricata und zog Signaturen von Proofpoint – eine Kombination, die aktuelle und umfassende Bedrohungserkennung versprach. Im Test verhielt sich die UF-560 zunächst rein als Intrusion Detection System (IDS) und meldete Gefahren nur passiv. Wir aktivierten dann das echte IPS und ließen die Firewall verdächtige Verbindungen aktiv blocken oder stillschweigend droppen.
Das IPS brachte eine starke Blacklist-Funktion mit: Es blockte IP-Adressen, erkannte Malware-Muster in Verbindungen, Netzwerkscans, Brute-Force-Attacken und weitere klassische Angriffsszenarien. Ausnahmen ließen sich gezielt per Signatur-ID (SID) definieren – gut für Feinabstimmungen. Leider fehlten konfigurierbare Schwellenwerte, etwa für Anti-DDoS-Maßnahmen. Zwar deaktivierten wir IDS/IPS pro Netzwerk individuell, Ausnahmen per SID galten jedoch immer global – eine netzwerkspezifische Feinjustierung war nicht möglich.
Solides VPN, aber kein SD-WAN
Im VPN-Bereich deckte die UF-560 ein breites Spektrum ab. Zur Verfügung standen uns IPSec, TLS (OpenVPN) und WireGuard für Remote-Access sowie Site-to-Site-Verbindungen. SD-WAN-Tech- nologien fehlten jedoch komplett (auch in aktuellen LCOS-FX-Versionen bis 11.1 nicht integriert; der Fokus liegt auf klassischem Routing und Traffic Shaping). Bei IPSec punktete die Firewall mit einer Fülle vordefinierter Profile für gängige Gegenstellen – das vereinfachte die Einrichtung enorm und reduzierte manuelle Parameterabstimmungen. Die Implementierung unterstützte sowohl policy-based als auch route-based VPNs.
Für TLS-VPN setzte Lancom auf OpenVPN und den eigenen Lancom VPN-Client. Beide Varianten erlaubten den direkten Download vorkonfigurierter Profile aus dem Web-GUI – ideal für die einfache Verteilung an Clients. Moderne Verschlüsselungsalgorithmen und Zertifikatsauthentifizierung standen bereit. WireGuard konfigurierte sich ebenfalls einfach. Ein Nachteil: Es gab keine Profil-Exportfunktion wie bei IPSec oder OpenVPN, sodass wir Konfigurationen manuell übertragen mussten – das erschwert eine mögliche Skalierung auf viele Endgeräte.
Umfassendes QoS und Logging
Unter dem Menüpunkt "Traffic Shaping" überraschte die UF-560 mit bemerkenswert umfangreichen QoS-Funktionen, die deutlich über einfaches Bandbreiten-Management hinausgingen. Der Ansatz basiert auf der Klassifizierung des Datenverkehrs in Trafficgruppen anhand von DSCP-Werten. Jeder Gruppe ließen sich individuelle Prioritäten (1 = höchste, 7 = niedrigste), garantierte sowie maximale Bandbreiten zuweisen. Leider fehlte hier jede Applikationsintelligenz oder die Möglichkeit, Gruppen direkt über Ports, IP-Adressen oder Protokolle zu definieren – die Klassifizierung blieb strikt auf DSCP beschränkt.
Die Logging- und Monitoringfunktionen boten nützliche Einblicke sowohl für den täglichen Betrieb als auch für mittel- bis langfristige Analysen und Sicherheitsüberwachung. Unter "Alarmprotokolle" fasste die Firewall Firewall-, Antivirus- und IPS-Logs zentral zusammen. Die Filteroptionen erwiesen sich als äußerst flexibel: Standardmäßig verknüpfte sie Bedingungen mit UND, ODER-Kombinationen ließen sich jedoch einfach durch neue Zeilen realisieren. Zeitraumeinschränkungen funktionierten einwandfrei, und selbst große Datenmengen luden schnell und performant. Gefilterte Ergebnisse exportierten wir wahlweise als HTML, PDF oder CSV – ideal für die weitere Auswertung.
Besonders hilfreich fanden wir die detaillierten Statistiken zu Inhalten, Verbindungen, Top-Talkers, Top-Domains und geblockten Domains – abrufbar für Tag, Woche, Monat oder Jahr. Diese Übersichten dienten als frühzeitige Indikatoren für Anomalien oder ungewöhnliche Netzwerkaktivitäten. Noch feiner wurde es bei der ereignisbasierten Protokollierung: Für bestimmte Ereignisse – etwa positive/negative Zugriffe, Malware in E-Mails oder Webtraffic – legten wir individuell fest, ob nur Statistiken, Rohdaten lokal oder per Syslog an externe Server übermittelt werden sollten.
Automatisierte Berichte versandte die Firewall wöchentlich oder monatlich per E-Mail in PDF-, HTML- oder CSV-Format. Kritische Ereignisse wie unerwartete Neustarts, WAN-Ausfälle, IPSec-Tunnel-Probleme oder HA-Rollenwechsel lösten sofort E-Mail-Benachrichtigungen aus – das verkürzte Reaktionszeiten spürbar. Auditprotokolle zeichneten jede Konfigurationsänderung strukturiert in JSON auf und erleichterten so Nachverfolgung und Compliancedokumentation.
Bei den externen Schnittstellen zeigte sich die UF-560 gut gerüstet: SNMPv3 mit Authentifizierung und Verschlüsselung richteten wir problemlos ein und fragten ab. Syslog funktionierte zuverlässig über UDP und TCP. Einzig TLS-Verschlüsselung für Syslog fehlte. Das REST-API ermöglichte die Automatisierung von Konfigurationsaufgaben und die Anbindung an externe Systeme; die zugehörige Dokumentation war direkt im Web-GUI verlinkt.
Zentrales Management mit einfacher Einbindung
Für die Verwaltung mehrerer Firewalls in verteilten Umgebungen bietet Lancom die Management Cloud – entweder als Public-Cloud-Variante von Lancom gehostet oder lokal installiert. Im Test nutzten wir die Public-Cloud-Version. Positiv: Die LMC ließ sich per TOTP-basierter Multifaktor-Authentifizierung absichern. Die Einbindung der Firewall erfolgte über einen simplen Aktivierungscode und klappte schnell und fehlerfrei. Allerdings änderte sich beim ersten Verbinden ohne Vorwarnung das lokale Admin-Passwort – das neue Kennwort blieb wenigstens in der LMC einsehbar.
In der LMC bereiteten wir Konfigurationen zentral vor und rollten sie entweder sofort oder zeitgesteuert aus. Firmware-Updates, Lizenzvergabe und geplante Neustarts ließen sich ebenfalls zentral steuern. Die Lifecycle-Übersicht für Geräteflotten mit Lizenzlaufzeiten und End-of-Life-Informationen im übersichtlichen Dash- board gefiel uns sehr. Eigene Dashboards mit Widgets – etwa für Schnittstellenauslastung, gedroppte Pakete, Cloud-Antwortzeiten, Durchsatzraten, blockierte Verbindungen/Inhalte oder DHCP-Statistiken – bauten wir flexibel auf. Ein echtes zentrales Firewall-Log mit detaillierten Drop-Informationen fehlte allerdings; nur ein normales Geräte-Log stand zur Verfügung. Auf Anfrage teilte Lancom mit, dass ein erweitertes Firewall-Log in der LMC bereits in Arbeit ist.
Netze definierten wir global und wiesen sie dann gemeinsam mit Geräten Standorten zu. Konfigurationen bereiteten wir in der LMC vor und rollten sie per Klick aus. Wichtig: Über die LMC erstellte Objekte ließen sich lokal nicht mehr ändern. Zunächst fehlte auch die Möglichkeit, Netze anderen Schnittstellen (zum Beispiel "eth1") zuzuweisen – das erforderte den Umweg über eine Systemvariable in den LMC-Add-ins.
Sicherheitsregelwerke definierten wir zunächst global und banden sie dann über Profile an Netze. Verfügbar waren Regelwerke für Applikationsmanagement, Content-Filter, Paketfilter und Antivirus – allerdings mit eingeschränkten Parametern im Vergleich zum lokalen Management, etwa bei Dateigrößen für AV. E-Mail-Filter, IDS/IPS, Reverse-Proxy und Loadbalancer ließen sich zunächst gar nicht konfigurieren, da direkte Einstellungen fehlten; auch hier halfen nur Add-ins weiter. Dafür integrierte sich Zscaler-SASE einfach und reibungslos. Die verfügbaren Konfigurationen funktionierten im Test tadellos.
Einfaches Lizenzmodell
Lancom verfolgt ein klares, zweistufiges abonnementbasiertes Lizenzmodell: Basic und Full. Die Basic-Lizenz umfasst grundlegendes Routing (statisch und dynamisch), Benutzerverwaltung, Backups, Netzwerksegmentierung sowie VPN-Funktionen. Die Full-Lizenz erweitert das Paket um applikationsbasierte Filter via Deep Packet Inspection (DPI), TLS-Inspection, Spamschutz, Antivirus, URL- und DNS-Filter mit Kategorien sowie IDS/IPS. Die Firewall kommt standardmäßig mit einer dreijährigen Garantie, die optional auf fünf Jahre verlängert werden kann. Flexible Laufzeiten von einem, drei oder fünf Jahren stehen für beide Lizenzstufen zur Wahl.
Im lokalen GUI-Management boten vordefinierte Rechtekategorien – Sicherheit (etwa Applikationsmanagement, IDS/IPS), Allgemein (DHCP, Firewall-Neustart et cetera) sowie Berichte (Monitoring und Statistiken) – eine gute Grundlage. Jede Kategorie ließ sich mit den Rechten "Verboten", "Lesen/Öffnen" oder "Schreiben/Ausführen" versehen. So realisierten wir im Test feingranulare Berechtigungen. Für größere Teams wäre es jedoch praktisch, wenn Lancom vorgefertigte Rechtegruppen anbieten würde, die man einfach Nutzern zuweist, statt jedes Recht individuell zu konfigurieren.
Zur Benutzerauthentifizierung standen klassische Verzeichnisdienste wie LDAP und Kerberos sowie moderne Identity-Provider über SAML bereit. Im Test verliefen alle Anbindungen reibungslos und ohne Auffälligkeiten.
Fazit
Die Lancom UF-560 ist eine solide, benutzerfreundliche und preislich attraktive Firewall für kleinere bis mittelgroße Umgebungen. Besonders die Weboberfläche überzeugte nach kurzer Einarbeitung: Sie ermöglicht auch weniger versierten Administratoren eine intuitive Konfiguration und laufende Verwaltung. Doch fehlten uns bei der zentralen Administration über die Lancom Management Cloud teilweise wichtige Konfigurationsoptionen, die den Einsatz in heterogenen oder komplexeren Umgebungen einschränken.
Für größere Szenarien oder anspruchsvollere Anforderungen stößt die Firewall an deutliche Grenzen: Redundante Netzteile fehlen ebenso wie Aktiv/Aktiv-Redundanz. Die Flexibilität bei IPS-Ausnahmen, E-Mail-Filterung oder TLS-Inspection bleibt begrenzt, und der Durchsatz kann bei sehr hohen Lasten oder extrem detaillierten Inspektionen an Kapazitätsgrenzen stoßen. Wer trotz allem eine kompakte, überschaubare und dennoch leistungsstarke UTM-Firewall für den Mittelstand sucht, findet in der UF-560 ein durchdachtes und praxisgerechtes Modell.
(dr)
Next-Generation-Firewalling | 6 |
Richtlinienverwaltung | 7 |
Performance | 6 |
VPN-Funktionalität | 6 |
Routing in Unternehmensnetzen | 5 |
|
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik |
|