Przełączniki webowe przejmują funkcje zapór ogniowych

Postęp w technologii przełączników webowych może przejawić się nie tylko w optymalizacji serwerów webowych – przełączniki te można wykorzystać do rozwiązania problemów z zaporami ogniowymi.

Postęp w technologii przełączników webowych może przejawić się nie tylko w optymalizacji serwerów webowych – przełączniki te można wykorzystać do rozwiązania problemów z zaporami ogniowymi.

Przełączniki webowe przejmują funkcje zapór ogniowych

Jak to działa

Co prawda zapory ogniowe bardzo efektywnie zabezpieczają sieci przed intruzami i są podstawą bezpieczeństwa użytkowników i usług sieciowych, ale jednak ich stosowanie jest związane z wysokimi kosztami. Mówiąc wprost, zapory ogniowe mogą ograniczyć wydajność i skalowalność. Urządzenia te, pracując w trybie online, w przypadku wystąpienia błędu zmniejszają dostępność sieci.

Łącząc zapory ogniowe z nową webową technologią przełączania można radykalnie polepszyć skalowalność, wydajność i dostępność.

Większość popularnych zapór ogniowych jest realizowana przez oprogramowanie zainstalowane na serwerze, wyposażonym w dwie sieciowe karty interfejsowe i włączonym na drodze przesyłania danych. Jedna z tych kart jest połączona z siecią publiczną, najczęściej z routerem łączącym system z Internetem, druga z zasobami wymagającymi zabezpieczenia.

Ponieważ cały ruch pomiędzy Internetem a siecią lokalną przechodzi przez zaporę pracującą w trybie online, wydajność i skalowalność sieci są w znacznym stopniu ograniczone. Zapora ogniowa musi badać każdy pakiet.

Realizuje ona filtrowanie i inne działania, wcześniej zdefiniowane przez administratora sieci.

Problem tkwi w tym, że architektura przetwarzająca, która pracuje na rzecz zapór ogniowych, nie jest dobrze przystosowana do badania dużych liczb pakietów danych. Skalowanie wydajności zapór ogniowych wiąże się z kosztownym zwiększaniem mocy obliczeniowej serwera.

Powszechnie się sądzi, że rozwijająca się technologia przełączania webowego jest rozwiązaniem sprzyjającym większej skalowalności zapór ogniowych i zwiększeniu dostępności tych urządzeń. Do zrównoważenia obciążenia zapory są wymagane dwa przełączniki webowe - jeden po stronie sieci publicznej, drugi po stronie sieci lokalnej. Każdy przełącznik webowy kieruje przychodzący przez zaporę ogniową ruch IP do partnerskiego przełącznika po drugiej stronie. Tak powstaje efekt równoważenia ruchu poprzez zaporę ogniową, co pozwala obu przełącznikom na równoległą pracę, skalowanie wydajności i wyeliminowanie zapory jako pojedynczego punktu wywołującego błędy.

W odróżnieniu od tradycyjnych przełączników pakietowych przełączniki webowe mają możność utrzymywania stanu indywidualnych sesji TCP w sieciach pracujących z szybkościami Fast i Gigabit Ethernet. Ponieważ zapory ogniowe są urządzeniami w pełni statycznymi, to wszystkie pakiety związane z nawiązaną sesją muszą przepływać przez tę samą zaporę. Przełączniki webowe w sposób inteligentny podtrzymują informacje o ruchu przepływającym przez nie. Dzięki temu zapewniają, że przepływ ruchu pomiędzy określonymi parami adresów IP źródła i miejsca przeznaczenia jest kierowany zawsze przez tę samą zaporę. Mówiąc inaczej, sesje ustalone przez zapory ogniowe są utrzymywane przez czas ich trwania.

Równoważenie obciążenia zapory można również użyć do zmniejszenia wymagań filtrowania ruchu. Jest to poważna zaleta przy implementacji strefy DMZ (demilitarized zone), gdzie zasoby - takie jak internetowe serwery webowe - wymagają publicznego dostępu.

Filtrowanie ruchu jest konieczne do określenia, które pakiety powinny być wysłane do strefy DZM, a które muszą przejść przez zaporę ogniową. Wyręczenie zapory w pełnieniu tej funkcji znacznie zwiększa jej wydajność i szybkość ruchu.

Przełączniki webowe konfiguruje się z filtrami, które zezwalają na dostęp do serwerów DMZ. W ten sposób implementuje się dwa poziomy zabezpieczeń: jeden ograniczający dostęp przez użycie filtra skonfigurowanego w przełączniku webowym oraz drugi, ograniczający dostęp przez użycie stałej weryfikacji wykonywanej przez zapory ogniowe.

W celu utrzymania wysokiej dostępności zapór ogniowych przełączniki webowe monitorują stan zapory przez konsekwentne badanie każdego skonfigurowanego interfejsu w skojarzonym z nim przełączniku webowym.

Jeśli zapora ogniowa lub interfejs przełącznika zawiodą, ruch jest ekspediowany przez pozostały sprawny przełącznik sprzężony ze ścianami ogniowymi.

Równoważenie obciążenia zapory ogniowej przez użycie nowej technologii przełączania webowego rozwiązuje wiele problemów związanych z wydajnością i skalowalnością. Technika ta pozwala zaporom ogniowym działać równolegle, maksymalizować i skalować wydajność bez istotnego unowocześniania tudzież eliminować zapory ogniowe jako pojedyncze punkty generowania błędów.


TOP 200