Les clusters de pare-feu à haute disponibilité (HA) sont conçus pour minimiser les temps d'arrêt des systèmes critiques grâce à l'utilisation de systèmes redondants. Les pare-feu HA peuvent maximiser la disponibilité des services critiques en utilisant différents modes de regroupement, tels que actif/actif ou actif/passif. En mode actif/actif, plusieurs pare-feux partagent activement la charge dans le cluster, tandis qu'en mode actif/passif, un pare-feu est en attente et devient actif en cas de défaillance du pare-feu principal. Dans cet article, nous expliquons ce qu'est un pare-feu HA, les avantages et les inconvénients des différents modes de mise en grappe et la manière dont les systèmes modernes de gestion de l'information peuvent être utilisés. Sécurité réseau hyperscale permettent une élasticité et une évolutivité comparables à celles du site cloudpour les réseaux sur site qui nécessitent des systèmes résilients.
L'objectif du déploiement d'un pare-feu HA est d'éliminer les points de défaillance uniques au sein de l'infrastructure réseau d'une organisation. Au lieu d'utiliser un seul pare-feu pour protéger le réseau, deux pare-feu ou plus sont déployés dans un groupe sous forme de cluster.
Ces pare-feu se synchronisent entre eux à l'aide d'une connexion Heartbeat, qui informe un pare-feu si l'autre est en panne. Si cela se produit, le pare-feu redondant peut basculer de manière transparente les connexions existantes, assurant ainsi une protection continue sans interruption.
Les pare-feu HA peuvent être déployés à l'aide de différents configurations des nœuds de regroupement. Les configurations les plus courantes sont les suivantes :
L'équilibrage de la charge implique que tous les nœuds du système soient actifs en permanence. Certaines configurations de nœuds HA permettent d'équilibrer la charge, comme les configurations actif/actif. Toutefois, certaines configurations de nœuds, telles que active/passive, ne sont généralement pas équilibrées en termes de charge. À tout moment, au moins un nœud du système n'est pas actif, soit parce qu'il s'agit d'un nœud de secours, soit parce qu'un nœud est tombé en panne et qu'un autre nœud a pris son rôle.
Dans certains cas, une organisation peut mettre en œuvre des configurations N+1 et similaires en utilisant l'équilibrage de charge. Les nœuds redondants qui seraient normalement hors ligne restent actifs et bénéficient d'une répartition de la charge de trafic jusqu'à ce qu'un nœud principal soit hors ligne. Dans ce cas, le nœud "de secours" prend le relais.
La plupart des fournisseurs de pare-feu proposent des solutions de regroupement où les pare-feu communiquent entre eux pour former le regroupement. Une autre option consiste à déployer plusieurs pare-feu "pris en sandwich" entre des équilibreurs de charge de serveur, également appelés application Delivery Controllers (ADC). Dans cette architecture, le trafic réseau est réparti en fonction de la charge vers le groupe de pare-feu, ce qui permet de disposer d'une infrastructure de sécurité plus évolutive et plus disponible.
Les équilibreurs de charge du serveur dirigent le trafic de manière égale entre les membres du pare-feu de la grappe. En général, l'équilibrage de la charge offre de nombreux avantages, notamment
Souvent, la prise en charge des configurations de nœuds actifs/passifs est intégrée dans une solution de pare-feu. Cependant, pour mettre en œuvre des configurations qui dépendent de l'équilibrage de la charge, un ADC doit être déployé devant et derrière le cluster de pare-feu. Toutefois, cela peut créer des gestion du pare-feu La solution a permis de relever des défis tels que le routage asymétrique, la gestion du trafic crypté et l'évolutivité de la solution au fur et à mesure que la taille de la grappe augmentait. Un autre défi est la gestion de produits multiples, c'est-à-dire l'ADC et le pare-feu.
Check Point propose plusieurs solutions aux clients qui souhaitent déployer un pare-feu HA. Si une organisation souhaite mettre en place un simple cluster de pare-feu avec HA et jusqu'à 5 nœuds, elle peut le faire en utilisant les fonctionnalités intégrées de HA et de partage de charge. décrit dans la documentation du pare-feu de Check Point.
Check Point Quantum Maestro est une autre option de pare-feu hautement disponible. Il s'agit d'une solution d'équilibrage de charge évolutive qui ne nécessite pas d'équilibreur de charge de serveur tiers. Avec Maestro, plusieurs Pare-feux de nouvelle génération peuvent agir comme un système unique et unifié. La solution d'entrée de gamme Maestro comprend un hyperscale Orchestrator ainsi que deux ou trois pare-feu. Des pare-feu supplémentaires peuvent être ajoutés selon les besoins afin d'augmenter de manière transparente le débit de sécurité.
Un ou plusieurs Maestro Hyperscale Orchestrators distribuent le trafic réseau interne et externe de manière égale sur plusieurs pare-feu gérés comme un groupe unique avec un ensemble de fonctionnalités et une politique de sécurité commune, également appelé groupe de sécurité.
La technologie de clustering HyperSync de Maestro assure une redondance totale au sein d'un système. En même temps, le trafic est équilibré entre tous les membres logiques du groupe de sécurité, ce qui garantit que toutes les ressources matérielles sont pleinement utilisées. Au sein d'un groupe de sécurité, chaque connexion est synchronisée avec deux membres du groupe de sécurité, un membre actif et un membre de secours, ce qui garantit qu'il n'y a pas de point de défaillance unique. Les avantages de Maestro sont les suivants
Pour en savoir plus sur les solutions de firewall de Check Point HA, DEMANDEZ UNE DÉMO. ou lisez notre Livre blanc.