Diplomarbeit Skalierbare Hochverfügbarkeitslösungen mit Lastverteilung für E-Commerce Sites Mai 2000
3.4 Firewalls - High Availability und Load Balancing
Der Skalierbarkeit von Netzwerken wird durch den Einsatz von Firewalls und ihren spezifischen Anforderungen Grenzen gesetzt. Dies kann mit Hilfe von Hochverfügbarkeits- und Lastverteilungs-Technologien vermieden werden.
3.4.1 Motivation
Im Zuge der Ausweitung der E-Commerce-Geschäftstätigkeit eines modernen Unternehmens ist die Sicherheit der Anbindung an das Internet von entscheidender Bedeutung. Die Sicherheitsanforderungen dieser Anbindung werden durch den Einsatz von Firewalls gewährleistet.
Dabei erweist sich der Einsatz einer einzelnen Firewall als nicht sinnvoll. Ein einzelnes Gerät ist in der Lage, einen Datendurchsatz von etwa 50-100 Mbit/s zu bewältigen; demzufolge müssen bei einem höheren Datendurchsatz mehrere Firewalls parallel eingesetzt werden.130 Desweiteren kommt es des öfteren vor, dass Benutzer aus dem Intranet versuchen, die Firewall zu umgehen, falls diese aufgrund hoher Auslastung den Datentransfer mit dem Internet verzögert. Mit Hilfe von Load Balancing kann nun die Last entsprechend den spezifischen Anforderungen auf die einzelnen Firewalls verteilt und die Leistungsfähigkeit der Internetanbindung erhöht werden.
Ein weiteres Problem besteht darin, dass eine einzelne Firewall einen Single Point of Failure bildet. Um die Hochverfügbarkeit einer sicheren Anbindung an das Internet zu gewährleisten, müssen deshalb ebenfalls zwei oder mehr Firewalls bereitgestellt werden, so dass bei Ausfall eines Gerätes die Internetanbindung mit Hilfe der anderen Firewalls aufrechterhalten werden kann. Idealerweise sollte dabei die Last auf die funktionierenden Firewalls aufgeteilt werden.
3.4.2 Lösungsansätze
Firewalls unterscheiden sich von anderen Netzwerkkomponenten wie Router oder Switches dadurch, dass eine TCP-Session vollständig über dieselbe Firewall geführt werden muß. Eine Firewall überprüft immer nur das erste Paket einer TCP-Session entsprechend der Filterregeln. Sofern die Filterregeln diese Session akzeptieren, wird sie in einer Session-Tabelle gespeichert und das Paket wird weitergeleitet. Die nachfolgenden Pakete einer Session werden ohne zusätzliche Überprüfung durchgelassen, allerdings nur, wenn sie einem Eintrag in der Session-Tabelle zugehörig sind.
Wenn nun zwei oder mehr Firewalls zu Verfügung stehen, über die Datenpakete geleitet werden können, kann es zu Problemen kommen, wie in Abb. 3.13 dargestellt. Das erste Paket der Session wird von Firewall A geprüft und akzeptiert. Die nachfolgenden Pakete werden nun von Firewall A ebenfalls durchgelassen. Pakete dieser Session werden allerdings von Firewall B nicht durchgelassen, sondern verworfen, da diese über keinen Eintrag in ihrer Session-Tabelle verfügt. Das TCP-Protokoll wird zwar verlorene Pakete erneut anfordern, da aber bei zwei Firewalls im Durchschnitt jedes zweite Paket über die falsche Firewall geleitet wird, ist eine zuverlässige Internetverbindung nicht aufrechtzuerhalten.
Abbildung 3.13 : TCP-Session über zwei Firewalls
Eine Lösung dieser Problematik besteht darin, dass von zusätzlichen Netzwerkkomponenten, wie Layer4-Switches, sämtliche Pakete einer Session über dieselbe Firewall geleitet werden. Dabei wird aber zusätzliche Hardware benötigt. Eine andere Lösungsmöglichkeit ist, dass die Firewalls ihre Session-Tabellen untereinander austauschen. Es wird dazu auf den Firewalls implementierte zusätzliche Software eingesetzt, die jedoch zusätzliche Rechenzeit benötigt und dadurch die Latenzzeit bzw. den Datendurchsatz negativ beeinflußt.131
130vgl. [8],Kap. 6.3
131vgl. <51>