Firewalls für die Netzwerk-Optimierung

Die Diskussion über Next-Generation-Firewalls dreht sich fast ausschließlich um die Abwehr von Bedrohungen. Dabei könnten Firewalls auch zur Steigerung der Produkti­vität eingesetzt werden: als Bestandteil einer hoch verfüg­baren Kommunikationsmethode, die den heutigen weitverzweigten Unternehmensnetzwerken mit integrierten Cloud-Komponenten gerecht wird.

Der jetzige Zustand ist historisch gewachsen. Firmennetzwerke bestanden lange Zeit vornehmlich aus LANs, hinzu kamen teilweise noch WANs, die die Büros in den Niederlassungen mit dem Hauptstandort verbanden. Die Zentralisierung der Backend-Strukturen in den Rechenzentren und die Ausdehnung von Applikationen, die nicht für Umgebungen mit den hohen Latenzen eines WANs konzipiert waren, führten dann zu Leistungseinbußen und beeinträchtigten die Produktivität der Belegschaft.

So entstand eine neue Gattung von WAN-Optimierungsprodukten, die Kompression, Techniken der Datendeduplizierung und protokollspezifische Erweiterungen für Apps anwenden. Allerdings fehlte es diesen Produkten meistens an der entsprechenden VPN- oder Deep-Packet-Inspection-Funktionalität.

Grundsätzlich hätten Unternehmen besser Firewall-Lösungen für Virtual Private Networks (VPN) und Inspektionen zusammen mit WAN-Optimierung nutzen müssen. Doch schreckten sie vor diesem Schritt zurück – nicht allein wegen des Aufwands, mehrere Geräte verwalten zu müssen, sondern auch, weil damit sehr komplexe Datenübertragungsmuster entstanden wären.

Eine Alternative wäre es beispielsweise gewesen, auf fehlertolerantere und kosteneffizientere Hybrid-WANs zu setzen, die VPN-WANs mit MPLS-Verbindungen (Multi-Protocol Label Switching) kombinieren. In Verbindung mit einem Sicherheitsinspektionsgerät hätte dies einen unmittelbaren Internetbreakout von jedem Firmenstandort aus ermöglicht. Stattdessen begnügten sich Unternehmen damit, MPLS-basierte WAN-Strukturen mit oder ohne Optimierung der Datenverkehrrückholung zum Rechenzentrum zu verwenden.

Die Methode der Zurückführung des Datenverkehrs ins zentrale Rechenzentrum (Backhauling) war in der guten alten Zeit der Firmennetzwerke unter Umständen noch praktikabel. Für die Bereitstellung von Cloud-Services jedoch erweist sich die Datenverkehrrückholung endgültig als ungeeignet. Ein MPLS-Basisnetz ist nicht in der Lage, zwischen Applikationen zu unterscheiden, die dieselbe physikalische Leitung nutzen. Daher wird diese Leitung durch interne Backup-Apps oder Update-Anwendungen überflutet.

Zudem gibt es bei beliebten SaaS-Angeboten wie Micro­soft Office 365 Beschränkungen, wie viele Nutzer über eine spezielle öffentliche IP-Adresse die Cloud ansteuern können. Der traditionelle Ansatz erschwert somit die Verwendung der für die Geschäftstätigkeit relevanten Online-Applikationen.

Gerade die Mitarbeiter in weltweit verstreuten Niederlassungen nehmen die schlechte Service-Qualität wahr, die durch den Umweg entsteht, den die Daten nehmen müssen. Besonders irritiert sie, dass der Zugriff vom Homeoffice oder auf Reisen schneller ist als beim Zugriff aus dem Büronetzwerk.

Letztlich ist es notwendig, die unterschiedlichen Typen von Anwendungsdatenverkehr voneinander zu trennen. Dann lässt sich die Latenz verringern, indem man entweder eine physische oder eine logische Trennung des Datenverkehrs verwendet. Wichtige Daten (wie ERP-Daten) oder solche, bei denen Latenz stark stört (wie VoIP-Daten) laufen dann über eine bessere physikalische Leitung oder zumindest priorisiert mit einer reservierten Bandbreite.

Dies bedeutet, dass in der Niederlassung eine Firewall installiert sein muss, die die Datenströme erkennt und über die richtige Leitung schickt. Dann lässt sich zugleich auch die IT-Architektur so verändern, dass der Datenverkehr zwischen Nutzer und Anwendung direkt verläuft und keine Umwege mehr machen muss.

Um Cloud- und SaaS-Angebote mit hoher Service-Qualität nutzen zu können, sind direkte Internetbreakouts an jedem Firmenstandort ideal. Dies erreicht man durch die Einrichtung speziell optimierter Next-Generation-Firewalls. Sie ermöglichen eine intelligente, dynamische Pfadauswahl sowie die lokale Umsetzung zentral verwalteter Sicherheitsricht­linien. Mit einer derart zentralisierten Firewall-Architektur bleibt der Aufwand für die Verwaltung der Firewall-Instanzen gering und erfordert nicht einmal IT-Fachpersonal an den Standorten.

Dieser Lösungsansatz ermöglicht die Einrichtung redundanter Datenwege, auf denen der Datenverkehr via Kompression, Datendeduplikation und Protokolloptimierungstechniken durchlaufen kann. Er bietet zudem die Chance, ein hybrides WAN einzusetzen, das traditionelle WAN-Leitungen durch internetbasierte VPN-Verbindungen ergänzt.

Diese Methode hebt auch die typische Abhängigkeit der Unternehmen von einem einzigen Internet-Service-Provider (ISP) auf. Für eine höhere Verfügbarkeit bindet man einfach weitere ISP an, um mehrere Tunnel zu schaffen. Wenn die Leitung eines ISP nicht mehr verfügbar ist, weil zum Beispiel bei einer Baustelle versehentlich das Glasfaserkabel gekappt wurde, bleibt das Unternehmen über den alternativen Internetlink (mög­licherweise via 3G oder Satellit) online. Sollte eine einzelne Verbindung nicht funktionieren, verteilt die Firewall die Datenlast entsprechend angepasst an die neue Leitung ohne Service-Unterbrechung neu.

Die beschriebene Firewall-Architektur ergibt letztlich ein „Application Delivery Network“, also ein Netzwerk, das eine sichere und dennoch belastbare Bereitstellung von Applikationen garantiert. Neben den gewöhnlichen Firewall-Funk­tionen ist entscheidend, dass die Gesamtarchitektur die einfache Verwaltung von Richtlinien und Lifecycle-Management ermöglicht. Weil ihnen genau diese Architektur lange fehlte, haben Unternehmen in der Vergangenheit die Richtliniendurch­setzung zentralisiert und standardmäßig Backhauling implementiert. Doch nun wäre der Weg frei, der Organisation einen verlässlichen und leistungsfä­higen Zugang zu Business-Anwendungen zur Verfügung zu stellen.

Dieser Beitrag wurde von Klaus Gheri verfasst, Vizepräsident Network Security bei Barracuda Networks.