Firewalls für die Netzwerk-Optimierung

Die Diskussion über Next-Generation-Firewalls dreht sich fast ausschließlich um die Abwehr von Bedrohungen. Dabei könnten Firewalls auch zur Steigerung der Produkti­vität eingesetzt werden: als Bestandteil einer hoch verfüg­baren Kommunikationsmethode, die den heutigen weitverzweigten Unternehmensnetzwerken mit integrierten Cloud-Komponenten gerecht wird.

Der jetzige Zustand ist historisch gewachsen. Firmennetzwerke bestanden lange Zeit vornehmlich aus LANs, hinzu kamen teilweise noch WANs, die die Büros in den Niederlassungen mit dem Hauptstandort verbanden. Die Zentralisierung der Backend-Strukturen in den Rechenzentren und die Ausdehnung von Applikationen, die nicht für Umgebungen mit den hohen Latenzen eines WANs konzipiert waren, führten dann zu Leistungseinbußen und beeinträchtigten die Produktivität der Belegschaft.

So entstand eine neue Gattung von WAN-Optimierungsprodukten, die Kompression, Techniken der Datendeduplizierung und protokollspezifische Erweiterungen für Apps anwenden. Allerdings fehlte es diesen Produkten meistens an der entsprechenden VPN- oder Deep-Packet-Inspection-Funktionalität.

Grundsätzlich hätten Unternehmen besser Firewall-Lösungen für Virtual Private Networks (VPN) und Inspektionen zusammen mit WAN-Optimierung nutzen müssen. Doch schreckten sie vor diesem Schritt zurück – nicht allein wegen des Aufwands, mehrere Geräte verwalten zu müssen, sondern auch, weil damit sehr komplexe Datenübertragungsmuster entstanden wären.

Eine Alternative wäre es beispielsweise gewesen, auf fehlertolerantere und kosteneffizientere Hybrid-WANs zu setzen, die VPN-WANs mit MPLS-Verbindungen (Multi-Protocol Label Switching) kombinieren. In Verbindung mit einem Sicherheitsinspektionsgerät hätte dies einen unmittelbaren Internetbreakout von jedem Firmenstandort aus ermöglicht. Stattdessen begnügten sich Unternehmen damit, MPLS-basierte WAN-Strukturen mit oder ohne Optimierung der Datenverkehrrückholung zum Rechenzentrum zu verwenden.

Die Methode der Zurückführung des Datenverkehrs ins zentrale Rechenzentrum (Backhauling) war in der guten alten Zeit der Firmennetzwerke unter Umständen noch praktikabel. Für die Bereitstellung von Cloud-Services jedoch erweist sich die Datenverkehrrückholung endgültig als ungeeignet. Ein MPLS-Basisnetz ist nicht in der Lage, zwischen Applikationen zu unterscheiden, die dieselbe physikalische Leitung nutzen. Daher wird diese Leitung durch interne Backup-Apps oder Update-Anwendungen überflutet.

Zudem gibt es bei beliebten SaaS-Angeboten wie Micro­soft Office 365 Beschränkungen, wie viele Nutzer über eine spezielle öffentliche IP-Adresse die Cloud ansteuern können. Der traditionelle Ansatz erschwert somit die Verwendung der für die Geschäftstätigkeit relevanten Online-Applikationen.

Gerade die Mitarbeiter in weltweit verstreuten Niederlassungen nehmen die schlechte Service-Qualität wahr, die durch den Umweg entsteht, den die Daten nehmen müssen. Besonders irritiert sie, dass der Zugriff vom Homeoffice oder auf Reisen schneller ist als beim Zugriff aus dem Büronetzwerk.