Hochverfügbarkeits-Firewall (HA).

Hochverfügbarkeits-Firewall-Cluster (HA) sind darauf ausgelegt, Ausfallzeiten für kritische Systeme durch den Einsatz redundanter Systeme zu minimieren. HA Firewall kann die Verfügbarkeit kritischer Dienste mithilfe verschiedener Clustering-Modi maximieren, z. B. Aktiv/Aktiv vs. Aktiv/Passiv. Im Aktiv/Aktiv-Modus teilen sich mehrere Firewalls aktiv die Last im Cluster, während im Aktiv/Passiv-Modus eine Firewall als Standby-Firewall fungiert, die aktiv wird, wenn die primäre Firewall ausfällt. In diesem Artikel diskutieren wir, was eine HA-Firewall ist, welche Vorteile und Nachteile verschiedene Clustering-Modi haben und wie modern sie ist Hyperscale Network Security Technologien ermöglichen Cloud-ähnliche Elastizität und Skalierbarkeit für lokale Netzwerke, die belastbare Systeme erfordern.

Demo anfordern NGFW-Käuferratgeber

Was ist eine Hochverfügbarkeits-Firewall (HA)?

Das Ziel einer HA-Firewall-Bereitstellung besteht darin, einzelne Fehlerquellen innerhalb der Netzwerkinfrastruktur einer Organisation zu beseitigen. Anstatt eine einzelne zu verwenden Firewall Um das Netzwerk zu schützen, werden zwei oder mehr Firewall in einer Gruppe als Cluster bereitgestellt.

Diese Firewalls synchronisieren sich untereinander über eine Heartbeat-Verbindung, die eine Firewall benachrichtigt, wenn die andere ausgefallen ist. In diesem Fall kann die redundante Firewall bestehende Verbindungen nahtlos umleiten und so kontinuierlichen Schutz ohne Unterbrechung bieten.

Was ist N+1-Redundanz für Firewall?

HA Firewall kann mit verschiedenen bereitgestellt werden Clustering-Knotenkonfigurationen. Zu den gängigen Konfigurationen gehören:

  • Aktiv passiv: In einer Aktiv/Passiv-Konfiguration verfügt jeder aktive Knoten über eine redundante Firewall, die nur dann online geht, wenn der aktive Knoten ausfällt.
  • Aktiv/Aktiv: Eine Aktiv/Aktiv-Konfiguration verfügt über mehrere aktive Knoten. Wenn ein Knoten ausfällt, wird der für ihn bestimmte Datenverkehr einem anderen Online-Knoten zugewiesen.
  • N+1: Eine N+1-Konfiguration verfügt über mindestens einen Backup-Knoten für eine Gruppe von N aktiven Knoten. Wenn ein aktiver Knoten ausfällt, sollte der Backup-Knoten in der Lage sein, seine Aufgaben zu übernehmen.
  • N+M: Eine N+M-Konfiguration verfügt über mehr als einen Backup-Knoten und bietet so mehr Redundanz als ein N+1-Setup.
  • N nach N: N-zu-N-Cluster verteilen die Last eines ausgefallenen Knotens auf die anderen Knoten im Cluster, ähnlich wie bei einer Aktiv/Aktiv-Konfiguration, jedoch ohne 1:1-Zuordnung.

HA vs. Lastausgleich

Lastausgleich bedeutet, dass alle Knoten im System jederzeit aktiv sind. Einige HA-Knotenkonfigurationen führen einen Lastausgleich durch, beispielsweise Aktiv/Aktiv-Konfigurationen. Allerdings verfügen einige Knotenkonfigurationen, wie z. B. Aktiv/Passiv, im Allgemeinen nicht über einen Lastausgleich. Zu jedem Zeitpunkt ist mindestens ein Knoten im System nicht aktiv, entweder weil es sich um einen Backup-Knoten handelt oder weil ein Knoten ausgefallen ist und ein anderer Knoten seine Rolle übernommen hat.

In einigen Fällen kann eine Organisation N+1- und ähnliche Konfigurationen mithilfe des Lastausgleichs implementieren. Die redundanten Knoten, die normalerweise offline wären, bleiben aktiv und die Verkehrslast wird auf sie verteilt, bis ein primärer Knoten offline geht. In diesem Fall übernimmt der „Backup“-Knoten seine Aufgaben.

Firewall-Lastausgleich

Die meisten Firewall-Anbieter bieten Clustering-Lösungen an, bei denen die Firewalls miteinander kommunizieren, um einen Cluster zu bilden. Eine weitere Möglichkeit besteht darin, mehrere Firewall „sandwiched“ zwischen Server-Load-Balancern, auch Anwendung Delivery Controllern (ADC) genannt, bereitzustellen. In dieser Architektur wird der Netzwerkverkehr lastenverteilt auf die Firewall Gruppe verteilt, wodurch eine skalierbarere und hochverfügbare Sicherheitsinfrastruktur bereitgestellt wird.

Die Server Load Balancer leiten den Datenverkehr gleichmäßig über die Firewall-Mitglieder des Clusters.  Im Allgemeinen bietet der Lastausgleich zahlreiche Vorteile, darunter:

  • Verfügbarkeit: Der als Teil eines HA-Clusters eingesetzte Lastausgleich trägt dazu bei, durch Knotenausfälle verursachte Ausfallzeiten zu reduzieren oder zu vermeiden.
  • Scalability: ADCs können den Datenverkehr auf mehrere Knoten verteilen, sodass der Cluster mehr Datenverkehr verarbeiten kann, als eine einzelne Appliance verarbeiten kann.
  • Performance: Durch den Lastausgleich kann die Leistung verbessert werden, indem der Datenverkehr an den besten verfügbaren Knoten im Cluster gesendet wird.
  • Management: Der Lastausgleich kann Verwaltungsvorteile bieten, beispielsweise eine Wartung ohne Ausfallzeiten.

Herausforderungen bei der Konfiguration hochverfügbarer Firewall-Cluster

Häufig ist die Unterstützung für Aktiv/Passiv-Knotenkonfigurationen in eine Firewall-Lösung integriert. Um jedoch Konfigurationen zu implementieren, die vom Lastausgleich abhängig sind, muss ein ADC vor und hinter dem Firewall-Cluster bereitgestellt werden. Dies kann jedoch zu zusätzlichen Schäden führen Firewall-Management Herausforderungen wie asymmetrisches Routing, Verwaltung des verschlüsselten Datenverkehrs und die Skalierbarkeit der Lösung bei zunehmender Clustergröße. Eine weitere Herausforderung ist die Verwaltung mehrerer Produkte, also des ADC und der Firewall.

Hochverfügbarkeits- (HA) und Lastausgleichs- Firewall mit Check Point

Check Point bietet mehrere Lösungen für Kunden, die eine HA-Firewall bereitstellen möchten. Wenn eine Organisation einen einfachen HA-Firewall-Cluster mit bis zu 5 Knoten implementieren möchte, kann dies mithilfe der integrierten HA- und Lastverteilungsfunktionalität erreicht werden beschrieben in der Firewall-Dokumentation von Check Point.

Check Point Quantum Maestro ist eine weitere hochverfügbare Firewall-Option, die eine skalierbare Lastausgleichslösung darstellt, die keine Server-Lastausgleichsmodule von Drittanbietern erfordert. Mit Maestro, mehrfach Next Generation Firewalls kann als ein einziges, einheitliches System fungieren. Die Maestro-Einstiegslösung umfasst einen Hyperscale Orchestrator sowie zwei oder drei Firewall . Bei Bedarf können zusätzliche Firewall hinzugefügt werden, um den Sicherheitsdurchsatz nahtlos zu skalieren. 

Ein oder mehrere Maestro Hyperscale Orchestratoren verteilen den internen und externen Netzwerkverkehr gleichmäßig über mehrere Firewall , die als einzelne Gruppe mit einem gemeinsamen Sicherheitsfeaturesatz und einer gemeinsamen Richtlinie, auch Sicherheitsgruppe genannt, verwaltet werden. 

Die Clustering-Technologie Maestro HyperSync sorgt für vollständige Redundanz innerhalb eines Systems. Gleichzeitig wird der Datenverkehr auf alle logischen Mitglieder der Sicherheitsgruppe verteilt, um sicherzustellen, dass alle Hardwareressourcen vollständig genutzt werden. Innerhalb einer Sicherheitsgruppe wird jede Verbindung mit zwei Sicherheitsgruppenmitgliedern synchronisiert, einem aktiven und einem Backup-Mitglied, um sicherzustellen, dass es keinen einzigen Fehlerpunkt gibt.   Zu den Vorteilen von Maestro gehören:

  • Effizientes N+1-Clustering: Maestro verteilt mithilfe der Check Point HyperSync-Technologie sowohl den internen als auch den externen Netzwerkverkehr über mehrere Quantum Firewall . HyperSync verfolgt den Aktiv-/Backup-Status der Gruppenmitglieder. 
  • Segmentierung: Erstellen Sie logische Sicherheitsgruppen, um eine logische Segmentierung des Netzwerks einer Organisation zu ermöglichen. Firewall in einer Sicherheitsgruppe verfügen automatisch über eine gemeinsame Sicherheit Aufbau, Richtlinie und Funktionsumfang – wodurch diese Architektur viel einfacher zu verwalten ist als herkömmliche Ansätze.
  • Scalability: Maestro kann mit nur zwei Gateway eingesetzt werden, und zusätzliche Knoten können hinzugefügt werden, um bis zu 3 TB/s Firewall-Durchsatz oder bis zu 1 TB/s Layer 1–7 Advanced Bedrohungsprävention-Durchsatz zu unterstützen.
  • Lastverteilung: Maestro implementiert den Lastausgleich, ohne dass ein Server Load Balancer eines Drittanbieters erforderlich ist. Dies vereinfacht die Verwaltung und senkt die Gesamtbetriebskosten (TCO) eines Firewall-Clusters mit Lastausgleich.

Um mehr über Check Point HA-Firewall-Lösungen zu erfahren, DEMO VEREINBAREN oder lesen Sie unsere Whitepaper.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK