Технологиям Web-коммутации стало тесно в рамках задачи оптимизации Web-серверов. Сегодня они способны решать и задачи управления безопасностью.
Одним из наиболее эффективных средств предотвращения вторжений в сети являются брандмауэры, которые уже успели стать важнейшим элементом обеспечения безопасности Web-серверов и служб. Однако цена их применения достаточно высока. Не углубляясь в технические детали, скажу лишь, что речь идет об ограничении производительности и масштабируемости. Кроме того, брандмауэр подключается «в разрыв» сети, а значит, в случае его неисправности нарушается и нормальное функционирование последней.
Большинство популярных брандмауэров — это программные продукты, предназначенные для установки на сервер с двумя сетевыми интерфейсами. Один из них подключается к общедоступной части сети, чаще всего к маршрутизатору, связывающему ее с Internet (так называемая «грязная половина»), другой — к той части сети, где находятся подлежащие защите ресурсы («чистая половина»). Все данные, которые транспортируются с одного сетевого интерфейса на другой (т.е. при обмене информацией между «чистой» и «грязной» половинами сети), фильтруются брандмауэром, так как обязательно проходят через него. Каждый пакет анализируется брандмауэром с помощью фильтров и иных методов, однако именно это ведет к ограничению производительности и масштабируемости.
Главная проблема заключается в том, что алгоритмы обработки данных, наиболее полно отвечающие требованиям безопасности, не слишком хорошо приспособлены для анализа большого количества пакетов. Масштабирование брандмауэров в целях увеличения производительности может вызывать трудности, поскольку обычно требует покупки более мощного сервера — как правило, с самым быстрым процессором из имеющихся на день покупки.
Сегодня для решения этой проблемы предлагается использовать последние достижения в области Web-коммутации. Два Web-коммутатора (по одному на «чистой» и «грязной» половинах) могут выровнять нагрузку, обмениваясь IP-трафиком через несколько параллельно работающих брандмауэров. При отказе одного из них наращивание производительности и возможность дальнейшей работы обеспечиваются за счет перераспределения трафика между остальными устройствами.
В отличие от традиционных пакетных коммутаторов, Web-коммутаторы способны анализировать содержание отдельных сеансов протокола TCP при таких скоростях передачи, которые характерны для каналов Fast Ethernet и Gigabit Ethernet. Все пакеты, которые проходят между парой IP-адресов (источника и адресата), пропускаются по одному маршруту, связывающему «чистую» и «грязную» половины. Это позволяет направлять пакеты, относящиеся к конкретному сеансу, через один и тот же брандмауэр, что важно, поскольку брандмауэры тоже учитывают содержимое пакетов при анализе.
Web-коммутаторы не только распределяют нагрузку, но и избавляют брандмауэры от рутинной работы разделения потоков трафика по признаку доступа к защищенным ресурсам. Если в сети имеется «демилитаризованная зона» (demilitarized zone, DMZ), где размещаются общедоступные Web-серверы и другие не слишком строго защищаемые ресурсы, обмен данными между ней и внешним миром может происходить без участия брандмауэра. Очевидно, что передача Web-коммутатору функций разделения трафика повышает производительность и скорость передачи пакетов конечному пользователю. Фильтр, разрешающий или запрещающий доступ к ресурсам «демилитаризованной зоны», встроен в Web-коммутатор. В результате сеть получает два уровня безопасности: один реализуется благодаря этому фильтру, а другой — за счет анализа содержания трафика, т.е. обычной для брандмауэра процедуры.
Чтобы обеспечить высокий уровень надежности сети, Web-коммутаторы регулярно контролируют работу брандмауэров с помощью ping-запросов. Если обнаруживается сбой в функционировании интерфейса или обслуживающего его брандмауэра, трафик перераспределяется на остальные интерфейсы (а следовательно, и брандмауэры).
Выравнивание нагрузки Web-коммутаторами позволяет решить многие проблемы производительности и масштабируемости, свойственные брандмауэрам. Применение этой технологии делает возможным параллельное включение в сеть нескольких брандмауэров, обеспечивает ее масштабирование и резервирование устройств без дорогостоящих модернизаций.
ОБ АВТОРЕ
Берт Уилльямс (Bert Williams) — директор по развитию рынка в фирме Alteon WebSystems. Его адрес: bwilliams@alteon.com.
1. Трафик из Internet, адресованный серверам сети (как защищенным, так и расположенным в «демилитаризованной зоне»), поступает на Web-коммутатор, который служит «таможней» для линейки брандмауэров. 2. Web-коммутатор маркирует пакеты, отделяя те, которые адресованы в DMZ, от трафика для защищенных серверов. Последний распределяется по брандмауэрам. 3. Любой порт Web-коммутатора сконфигурирован для статического соединения с одним из портов его напарника, так что трафик между каждой парой интерфейсов всегда поступает через один и тот же брандмауэр. Это гарантирует, что все пакеты конкретного сеанса связи пройдут через один брандмауэр. |
Применение Web-коммутаторов позволяет параллельно устанавливать несколько брандмауэров и выравнивать нагрузку между ними, а значит, наращивать производительность без дорогостоящих модернизаций |