WAN-Optimierung mit NG Firewalls
Bessere Anbindung von Zweigstellen
Der Wandel zur Cloud und zu IP-basierenden Unified-Communications-Konzepten steigert die Anforderungen an die WAN-Bandbreite vieler Unternehmen. Zwar stellen MPLS-Leitungen dafür eine Lösung dar, doch sind sie außerhalb von Ballungsräumen oft teuer oder nicht verfügbar. Daher nutzen IT-Verantwortliche alternative Links wie DSL - etwa in Verbindung mit einem traditionellen Link Balancer. Mehr Flexibilität bieten in solchen Szenarien allerdings Next Generation (NG) Firewalls. Um die Infrastruktur eines Unternehmens mit einem Link Balancer zu erweitern, müssen die IT-Verantwortlichen diesen einrichten, verwalten und pflegen. Dabei stoßen die IT-Teams mittelständischer Unternehmen oft an die Grenzen ihrer Kapazitäten, sowohl personell als auch in Bezug auf das nötige Fachwissen. Next Generation Firewalls bieten einen Ausweg aus diesem Dilemma, da sie neben der Sicherheit auch Traffic-Intelligence-Funktionen übernehmen. Zudem ermöglichen sie mit Diagnosefunktionen eine intelligentere Wahl der Priorität und des optimalen Wegs, den eine Datenverbindung nehmen kann. Beziehen die Administratoren ferner Informationen über die Wegeverfügbarkeit oder die Qualität mit in die Wegewahl ein, nutzen sie die verfügbare Bandbreite ausfallssicher und effektiv. Dies macht Investitionen in eine bessere WAN-Anbindung überflüssig. Zudem spart das IT-Personal durch die einheitliche Verwaltung der unterschiedlichen Funktionen Zeit beim operativen Betrieb. Die Problematik der WAN-Optimierung betrifft nicht nur große Unternehmen. Jede Firma mit mehreren Standorten muss diese ins Unternehmensnetzwerk einbinden. Solange die Zweigstellen nur E-Mail und Internet-Zugriff erhalten, sind die Anforderungen an Bandbreite und Verfügbarkeit gering. Doch mittlerweile sollen unternehmenswichtige Applikationen immer und überall erreichbar sein. Fällt die Datenleitung aus, kommt die Arbeit in der Niederlassung zum Erliegen. Traffic Shaping für Echtzeitanwendungen Diese Gefahr steigt mit dem Einsatz von Cloud-Applikationen, IP-Telefonie und Unified Communications. Internet-basierende Kanäle senken vor allem im internationalen Geschäft im Vergleich zum klassischen Telefonanschluss die Verbindungskosten erheblich. Gleichzeitig belasten sie aber die Datenleitung, da die Voice-over-IP-(VoIP-)Übertragung nur minimale Latenzzeiten zulässt. Im Gegensatz zur Telefonie sind E-Mail-Daten geduldiger. Eine Minute Verzögerung bei der Übertragung fällt meist nicht ins Gewicht. Wenn ein IT-Administrator also der VoIP-Applikation bei der Übertragung Priorität verleiht, geht er mit diesem "Traffic Shaping" ein erster Schritt zur WAN-Optimierung, ohne dabei das bestehende Netzwerk zu verändern. Die Firewall als Wachmann fürs Unternehmensnetz Die Cloud eröffnet einen weiteren Weg, um Unternehmensnetze zu optimieren. Vor allem die IT-Security profitiert von Cloud-Services, da diese die Mechanismen zum Schutz vor Angriffen dem unternehmenseigenen Netzwerk vorlagern. Die Firewall, IDS/IPS (Intrusion-Detection- und Intrusion-Prevention-Systeme), Filtering und Spam-Erkennung wirken alle gleichsam als Wächter vor dem "Datentor" des Betriebs. Der gesamte Datenverkehr von und zum Unternehmen fließt damit durch die Cloud Security. Auf diese Weise entlastet eine Cloud-Lösung das Unternehmensnetzwerk, ist beliebig skalierbar, flexibel und optimiert das WAN, da die Kontrolle des Datenverkehrs der Standorte nicht an der Unternehmenszentrale, sondern über einen externen Cloud-Sicherheitsspezialisten erfolgt. Wie das Beispiel von Telefonie und E-Mail-Verkehr zeigt, sind nicht alle Daten gleich wichtig. Durch ihre verschiedenen Prioritäten lassen sich Kosten dann einsparen, wenn die Übermittlung wichtiger Daten über eine kostspielige MPLS-Leitung erfolgt, aber weniger dringlichen Daten einen preiswerten Übertragungsweg wie etwa DSL, T1, Kabel oder G3 beziehungsweise G4 bekommen. Preisgünstige Links zu VPN zusammenschließen Anstatt die Außenstellen mit einer leistungsstarken MPSL-Leitung anzubinden, geht es oft auch eine Nummer kleiner. Unternehmen können die Verbindung durch alternative, preiswertere Links ergänzen oder mehrere der weniger zuverlässigen Links zu einem VPN (Virtual Private Network) zusammenschließen. Diese Kombination erreicht Verfügbarkeiten im Bereich der "fünf Neuner", also 99,999 Prozent. Dies entspricht einer ungefähren Ausfallzeit von fünf Minuten pro Jahr. Auch für die Kombination mehrerer Links zu einem VPN kann ein IT-Administrator auf entsprechende Stand-alone-Lösungen zurückgreifen. Dies verursacht allerdings mehr Aufwand bei der Einrichtung, Verwaltung und Pflege, weshalb die Kombination mit einer NG Firewall auch an diesem Punkt Kosten spart. Doch das Hauptargument für diese Integration unterschiedlicher Funktionen ist ein anderer Aspekt: die Synergie der Analysefunktionen. Ein- und Ausgang der Daten kontrollieren NG Firewalls sorgen für Sicherheit, indem sie den ein- und ausgehenden Datenverkehr analysieren, schädliche Verbindungen trennen und verdächtige Datenpakete blockieren. Ihre Leistung hängt damit ganz unmittelbar von ihrer Analysefähigkeit ab. Die Layer-7-Applikationskontrolle dieser Firewalls ist in der Lage, Datenpakete einzelnen Applikationen zuzuordnen, deren Urheber und Inhalt zu bestimmen sowie diese gemäß der vom Administrator festgelegten Regeln entweder zu blockieren oder passieren zu lassen. Mit der Möglichkeit zur SSL-Interception und Aufschlüsselung der Inhalte sowie der Deep-Application-Content-Erkennung kann eine solche Lösung auch einzelne Funktionen innerhalb einer Anwendung kontrollieren. Dann ist beispielsweise der Aufruf eines sozialen Netzwerks wie Facebook zwar generell erlaubt, aber nur Mitarbeiter der Marketing-Abteilung können dort auch Inhalte einstellen. Die Firewall agiert dabei wie ein Zöllner, der den Ein- und Ausgang der Kommunikationsdaten kontrolliert. In Kombination mit Traffic-Shaping-Funktionen eröffnet sich die Möglichkeit zur WAN-Optimierung mittels Traffic Intelligence. Die Firewall analysiert den Datenverkehr und erkennt, welche Applikation über welches Protokoll und von welchem Anwender Daten über die Verbindung übermitteln will. Dann entscheidet sie nicht nur darüber, ob sie diesen Vorgang erlaubt oder blockiert, sondern bestimmt auch, auf welcher der verschiedenen Datenleitungen wie viel Bandbreite zur Verfügung steht. Dafür greift die Firewall auf Regeln zurück, die der IT-Administrator definiert hat. Sollte eine der Leitungen ausfallen oder Performance-Probleme zeigen, sorgt ein Failover-Mechanismus dafür, dass die verbleibenden Verbindungen nahtlos einspringen. Dazu sollten die Firewall-Geräte an den verbundenen Standorten in regelmäßigen Abständen den Status der Leitungen testen. Weniger Daten - mehr Durchsatz Auch die klassischen Techniken einer WAN-Optimierung lassen sich gut in den Funktionsumfang einer Firewall integrieren. Dazu gehören Deduplikation und Komprimierung von Daten, Caching, die Optimierung und Bündelung von Abfragen für spezielle Protokolle (beispielsweise Filesharing) sowie vorausschauende Fehlerkorrektur (Forward Error Correction). Diese Techniken verringern das Datenaufkommen, optimieren den Datenverkehr und verbessern so die Gesamtleistung des WANs. Und sie können - als Alternative zu dedizierten Geräten -auch in der Firewall integriert sein. Letzteres verbessert die analytischen Funktionen der Firewall und ermöglicht eine bessere Optimierung des WANs. Zudem spart die einheitliche Verwaltung in einem Gerät und über die gleiche Oberfläche dem IT-Team Aufwand und Arbeitszeit. Fazit Eine NG Firewall ist heute weit mehr als ein Torwächter mit reiner Sicherheitsrolle. Sie verwaltet und gewährleistet die Kommunikation innerhalb des WANs: Sie analysiert, koordiniert und optimiert die verschiedenen Verbindungen zugunsten der Leistung und des IT-Budgets. Wenn die Security-Software ihre klassischen Elemente in die Cloud auslagert, leistet sie einen zusätzlichen Beitrag zur WAN-Optimierung. Des Weiteren kann die NG Firewall Archivierungsfunktionen übernehmen und Inhalte aus sozialen Netzwerken, die zunehmend Business-orientiert und damit rechtlich relevant sind, parallel zur Analyse speichern. Dies könnte die Karriere der Firewall vom Wächter zum Zöllner um einen weiteren Beruf ergänzen: den des Archivars.
Lesen Sie mehr zum Thema
