firewallde alta disponibilidad (HA)

Los clústeres de firewall de alta disponibilidad (HA) están diseñados para minimizar el tiempo de inactividad de los sistemas críticos mediante el uso de sistemas redundantes. firewall HA puede maximizar la disponibilidad de servicios críticos utilizando varios modos de agrupación en clústeres, como activo/activo frente a activo/pasivo. En el modo Activo/Activo, varios firewalls comparten activamente la carga en todo el clúster, mientras que en el modo Activo/Pasivo un firewall es un firewall en espera que se activa cuando falla el firewall principal. En este artículo analizamos qué es un firewall HA, los beneficios y desventajas de los diferentes modos de agrupación en clústeres y qué tan moderno es. Seguridad de red a hiperescala Las tecnologías permiten elasticidad y escalabilidad similares a las de la nube para redes locales que requieren sistemas resilientes.

Solicite una demostración Guía del comprador de NGFW

¿Qué es un firewall de alta disponibilidad (HA)?

El objetivo de la implementación de un firewall HA es eliminar puntos únicos de falla dentro de la infraestructura de red de una organización. En lugar de usar una sola firewall Para proteger la red, se implementan dos o más firewall en un grupo como un clúster.

Estos firewall se sincronizan entre sí mediante una conexión de latido, que informa a un firewall si el otro ha caído. Si esto ocurre, el firewall redundante puede conmutar sin problemas las conexiones existentes, brindando protección continua sin interrupciones.

¿Qué es la redundancia N+1 para firewall?

firewall HA se puede implementar utilizando varios configuraciones de nodos de agrupamiento. Algunas de las configuraciones comunes incluyen:

  • Activo/Pasivo: En una configuración activa/pasiva, cada nodo activo tiene un firewall redundante que solo se conecta si el nodo activo deja de funcionar.
  • Activo/Activo: Una configuración activa/activa tiene varios nodos activos. Si un nodo se apaga, el tráfico destinado a él se reasigna a otro nodo en línea.
  • N+1: Una configuración N+1 tiene al menos un nodo de backup para un grupo de N nodos activos. Si algún nodo activo se apaga, el nodo de backup debe ser capaz de asumir sus funciones.
  • N+M: Una configuración N+M tiene más de un nodo de backup, lo que proporciona más redundancia que una configuración N+1.
  • N a N: Los clústeres N a N equilibran la carga de los deberes de un nodo fallido en los otros nodos del clúster de manera similar a una configuración activa/activa pero sin una asignación 1:1.

HA vs Equilibrio de carga

El equilibrio de carga implica que todos los nodos del sistema están activos todo el tiempo. Algunas configuraciones de nodos HA realizan balanceo de carga, como configuraciones activas/activas. Sin embargo, algunas configuraciones de nodos, como activa/pasiva, generalmente no tienen equilibrio de carga. En cualquier momento, al menos un nodo del sistema no está activo, ya sea porque es un nodo de backup o porque un nodo ha fallado y otro nodo ha asumido su función.

En algunos casos, una organización puede implementar N+1 y configuraciones similares mediante el balanceo de carga. Los nodos redundantes que normalmente estarían fuera de línea permanecen activos y tienen la carga de tráfico equilibrada hasta que un nodo principal se desconecta. Si esto ocurre, el nodo de “copia de seguridad” asume sus funciones.

Equilibrio de carga firewall

La mayoría de los proveedores firewall ofrecen soluciones de agrupación en clústeres en las que los firewall se comunican entre sí para formar el clúster. Otra opción es implementar múltiples firewall “intercalados” entre Server Load Balancers, también llamados Delivery Controllers de aplicación (ADC). En esta arquitectura, la carga del tráfico de red se equilibra con el grupo de firewall, lo que proporciona una infraestructura de seguridad más escalable y de alta disponibilidad.

Los Server Load Balancers dirigen el tráfico por igual a través de los miembros del firewall del clúster.  En general, el balanceo de carga proporciona numerosos beneficios, que incluyen:

  • Disponibilidad: El balanceo de carga utilizado como parte de un clúster de alta disponibilidad ayuda a reducir o eliminar el tiempo de inactividad causado por fallas en los nodos.
  • Scalability: Los ADC pueden distribuir el tráfico a través de varios nodos, lo que permite que el clúster procese más tráfico del que puede manejar cualquier dispositivo individual.
  • Performance: El balanceo de carga puede mejorar el rendimiento enviando tráfico al mejor nodo disponible en el clúster.
  • Administración: El balanceo de carga puede proporcionar beneficios de administración, como mantenimiento sin tiempo de inactividad.

Desafíos de configurar clústeres de firewall de alta disponibilidad

A menudo, la compatibilidad con configuraciones de nodos activos/pasivos está integrada en una solución de firewall. Sin embargo, para implementar configuraciones que dependen del equilibrio de carga, se debe implementar un ADC delante y detrás del clúster de firewall. Sin embargo, esto puede crear más gestión firewall desafíos, como el enrutamiento asimétrico, la gestión del tráfico cifrado y la escalabilidad de la solución a medida que crece el tamaño del clúster. Otro desafío es la gestión de múltiples productos, es decir, el ADC y el firewall.

Sistema firewall de alta disponibilidad (HA) y equilibrio de carga con Check Point

Check Point ofrece múltiples soluciones para clientes que buscan implementar un firewall HA. Si una organización desea implementar un clúster de firewall de HA simple con hasta 5 nodos, esto se puede lograr utilizando la funcionalidad integrada de HA y carga compartida. descrito en la documentación del firewall de Check Point.

Check Point Quantum Maestro es otra opción de firewall de alta disponibilidad que es una solución de equilibrio de carga escalable que no requiere equilibradores de carga de servidor de terceros. Con Maestro, múltiple Firewalls de Última Generación puede actuar como un sistema único y unificado. La solución Maestro de nivel básico incluye un Orchestrator hiperescala más dos o tres firewall y se puede agregar firewall adicional según sea necesario para escalar sin problemas el rendimiento de seguridad. 

Uno o más Maestro Hyperscale Orchestrator distribuyen el tráfico de red interno y externo por igual a través de múltiples firewall administrados como un solo grupo con un conjunto de características y políticas de seguridad comunes, también llamado grupo de seguridad. 

La tecnología de clustering Maestro HyperSync proporciona redundancia completa dentro de un sistema. Al mismo tiempo, el tráfico se equilibra entre todos los miembros lógicos del Grupo de Seguridad, lo que garantiza que todos los recursos de hardware se utilicen por completo. Dentro de un grupo de seguridad, cada conexión se sincroniza con dos miembros del grupo de seguridad, un miembro activo y un miembro de respaldo, lo que garantiza que no haya un solo punto de falla.   Los beneficios del Maestro incluyen:

  • Aclusión N+1 eficiente: Maestro distribuye el tráfico de red interno y externo a través de múltiples firewall Quantum utilizando la tecnología Check Point HyperSync. HyperSync rastrea el estado activo/respaldo de los miembros del grupo. 
  • Segmentación: Cree grupos de seguridad lógicos para permitir la segmentación lógica de la red de una organización. firewall en un grupo de seguridad tiene automáticamente una seguridad común. configuración, políticas y conjunto de características: haciendo que esta arquitectura sea mucho más fácil de administrar que los enfoques tradicionales.
  • Scalability: Maestro se puede implementar con tan solo dos puertas de enlace y se pueden agregar nodos adicionales para admitir hasta 3 Tbit/s de rendimiento de firewall o hasta 1 Tbit/s de rendimiento de prevención de amenazas avanzadas de capa 1 a 7.
  • Equilibrio de carga: Maestro implementa el equilibrio de carga sin la necesidad de un balanceador de carga de servidor de terceros. Esto simplifica la administración y reduce el costo total de propiedad (TCO) de un clúster de firewall con equilibrio de carga.

Para obtener más información sobre las soluciones de firewall HA de Check Point, PROGRAME UNA DEMOSTRACIÓN o lea nuestro Informe técnico.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.