Gemeinsam sind wir schnell

Pakete verteilen ist out, intelligentes Verwalten von Sessions ist in. WAN Load Balancing ist heute eine Wissenschaft für sich. Die Geräte schauen sich die eingehenden Pakete genau an, verteilen nach komplexen Regeln und schützen vor Attacken.

Natürlich ist der Administrator den Geräten nicht hilflos ausgeliefert. Im Gegenteil, fast alle Hersteller erlauben ihren Kunden, die Regeln und Richtlinien der Load-Balancer praktisch nach Gusto zu beeinflussen. Da lassen sich Pakete komplett ausfiltern, zum Beispiel wenn man bekannte Bugs in Anwendungen aushebeln will. Ebenso möglich: den berüchtigten HTML-Error 404 entweder durch eine aussagekräftige Nachricht ersetzen oder ganz vermeiden, indem auf einen anderen Server umgeleitet wird.

Die Änderungen direkt im Protokollstrom sind deshalb so praktisch, weil sie völlig betriebssystemunabhängig funktionieren. Das machen sich die Anbieter auch bei der Sicherheit zunutze. Eine Sicherheitslücke in einem Webserver oder einer anderen Applikation kann durch entsprechende Filterregeln vollständig vor Exploitversuchen geschützt werden, ohne dass der Administrator Server, Betriebssystem oder Anwendung auch nur anfassen müsste. Als Soforthilfe bei Zero-Day-Schwachstellen eine interessante Option.

Allerdings gibt es auch Load-Balancer für spezielle Umgebungen. So hat Cisco eine maßgeschneiderte Version für IBM Z-Series Mainframes im Angebot. Von Cisco gibt es natürlich auch Load-Balancer als Add-On-Modul für die Catalyst 6000 Switches, während die meisten anderen Hersteller nur auf den Appliance-Formfaktor setzen.

Großes Geld und kleines Geld

Load-Balancer für den Enterprise-Bereich können viel, kosten aber auch veritable Summen. Kleine und kleinste Firmen haben zwar selten Bedarf an Load Balancing für ihre E-Commerce-Umgebung – die wird, wenn überhaupt, vom ISP gehostet. Allerdings steht auch beim Mittelstand Hochverfügbarkeit weit oben auf der Wunschliste. Und so wundert es nicht, dass Barracuda Networks ein relativ einfach gestricktes, aber trotzdem recht leistungsfähiges und preisgünstiges Modell anbietet. Es analysiert zwar nur bis Layer 4 und verteilt nur auf höchstens zehn Server. Doch das erhält der Kunde zu einem Preis, der auch mit schmalen Budgets zu stemmen ist.

Noch eine Ebene tiefer, im SMB-Bereich, haben die Taiwanesen den Markt fest in der Hand. Load Balancing ist dort, auf kleiner Flamme, ebenfalls angekommen. Die etwas besseren Geräte von D-Link, Compex, Allnet, Zyxel und Co. bringen durchweg zwei WAN-Ports mit, mit denen sich zwei DSL-Ports kombinieren lassen. Compex baut in seinen SGX3226 Switch sogar bis zu vier frei wählbare DSL-Ports ein, Zyxel geht noch einen Schritt weiter. Im Zywall 1050 können vier der fünf Ethernet-Ports als WAN-Schnittstelle konfiguriert werden, jeder verwaltet bis zu 12 DSL-PPPoE Konfigurationen.

Der Anwender setzt also einen Switch vor die Firewall, die die physikalischen Anschlüsse von den DSL-Modems entgegen nimmt, die Zywall macht eine aggregierte Bandbreite daraus. Das funktioniert bei den meisten High-End-Geräten auch. Die kommen damit aber selten in Berührung, denn sie sitzen weit hinter der Firewall und allen physikalischen WAN-Ports. Trotzdem agieren sie nochmals als Sicherheitsbarriere: nicht auf Layer 2 oder 3, sondern als Applikations-Firewall für Layer 7.

Immer mehr Security-Aufgaben

Sicherheit und Load Balancing wachsen zusammen, der Trend ist klar zu erkennen, berichten alle Hersteller übereinstimmend. Schließlich sitzt die Engine zur Beurteilung der Session, Link-Auslastung und Anwendungsperformance ohnehin so tief im Datenstrom, wie es auch eine Deep Inspection Firewall tut. Und natürlich setzen alle Hersteller ihre Engines auch dazu ein, Malware und Attacken auszufiltern, wenn sie es geschafft haben, an der eigentlichen Perimeter-Firewall vorbei zu kommen.

Sicherheit kann auch im Kleinen verbessert werden. So lässt sich durch die Script-Sprache der Load-Balancer jede Kreditkarteninformation unterdrücken, damit sie nicht im Eingabefeld der Website angezeigt wird.

Noch ein Trend, den die Hersteller beobachten, ist das Ausnutzen von Applikationsbeschleunigung, nicht auf Paket- sondern auf Anwendungsebene. Fast alle Browser unterstützen komprimierten HTML-Code, doch die wenigsten Server liefern ihn. Das dürfte sich in den nächsten Monaten ändern.