Firewalls als Traffic Cops

Letztlich ist es notwendig, die unterschiedlichen Typen von Anwendungsdatenverkehr voneinander zu trennen. Dann lässt sich die Latenz verringern, indem man entweder eine physische oder eine logische Trennung des Datenverkehrs verwendet. Wichtige Daten (wie ERP-Daten) oder solche, bei denen Latenz stark stört (wie VoIP-Daten) laufen dann über eine bessere physikalische Leitung oder zumindest priorisiert mit einer reservierten Bandbreite.

Dies bedeutet, dass in der Niederlassung eine Firewall installiert sein muss, die die Datenströme erkennt und über die richtige Leitung schickt. Dann lässt sich zugleich auch die IT-Architektur so verändern, dass der Datenverkehr zwischen Nutzer und Anwendung direkt verläuft und keine Umwege mehr machen muss.

Um Cloud- und SaaS-Angebote mit hoher Service-Qualität nutzen zu können, sind direkte Internetbreakouts an jedem Firmenstandort ideal. Dies erreicht man durch die Einrichtung speziell optimierter Next-Generation-Firewalls. Sie ermöglichen eine intelligente, dynamische Pfadauswahl sowie die lokale Umsetzung zentral verwalteter Sicherheitsricht­linien. Mit einer derart zentralisierten Firewall-Architektur bleibt der Aufwand für die Verwaltung der Firewall-Instanzen gering und erfordert nicht einmal IT-Fachpersonal an den Standorten.

Dieser Lösungsansatz ermöglicht die Einrichtung redundanter Datenwege, auf denen der Datenverkehr via Kompression, Datendeduplikation und Protokolloptimierungstechniken durchlaufen kann. Er bietet zudem die Chance, ein hybrides WAN einzusetzen, das traditionelle WAN-Leitungen durch internetbasierte VPN-Verbindungen ergänzt.

Diese Methode hebt auch die typische Abhängigkeit der Unternehmen von einem einzigen Internet-Service-Provider (ISP) auf. Für eine höhere Verfügbarkeit bindet man einfach weitere ISP an, um mehrere Tunnel zu schaffen. Wenn die Leitung eines ISP nicht mehr verfügbar ist, weil zum Beispiel bei einer Baustelle versehentlich das Glasfaserkabel gekappt wurde, bleibt das Unternehmen über den alternativen Internetlink (mög­licherweise via 3G oder Satellit) online. Sollte eine einzelne Verbindung nicht funktionieren, verteilt die Firewall die Datenlast entsprechend angepasst an die neue Leitung ohne Service-Unterbrechung neu.

Die beschriebene Firewall-Architektur ergibt letztlich ein „Application Delivery Network“, also ein Netzwerk, das eine sichere und dennoch belastbare Bereitstellung von Applikationen garantiert. Neben den gewöhnlichen Firewall-Funk­tionen ist entscheidend, dass die Gesamtarchitektur die einfache Verwaltung von Richtlinien und Lifecycle-Management ermöglicht. Weil ihnen genau diese Architektur lange fehlte, haben Unternehmen in der Vergangenheit die Richtliniendurch­setzung zentralisiert und standardmäßig Backhauling implementiert. Doch nun wäre der Weg frei, der Organisation einen verlässlichen und leistungsfä­higen Zugang zu Business-Anwendungen zur Verfügung zu stellen.

Dieser Beitrag wurde von Klaus Gheri verfasst, Vizepräsident Network Security bei Barracuda Networks.