Par-feu de haute disponibilité (HA)

Les clusters de pare-feu à haute disponibilité (HA) sont conçus pour minimiser les temps d'arrêt des systèmes critiques grâce à l'utilisation de systèmes redondants. Les pare-feu HA peuvent maximiser la disponibilité des services critiques en utilisant différents modes de regroupement, tels que actif/actif ou actif/passif. En mode actif/actif, plusieurs pare-feux partagent activement la charge dans le cluster, tandis qu'en mode actif/passif, un pare-feu est en attente et devient actif en cas de défaillance du pare-feu principal. Dans cet article, nous expliquons ce qu'est un pare-feu HA, les avantages et les inconvénients des différents modes de mise en grappe et la manière dont les systèmes modernes de gestion de l'information peuvent être utilisés. Sécurité réseau hyperscale permettent une élasticité et une évolutivité comparables à celles du site cloudpour les réseaux sur site qui nécessitent des systèmes résilients.

Demander une démo Guide d'achat du FNGW

Qu'est-ce qu'un pare-feu à haute disponibilité (HA) ?

L'objectif du déploiement d'un pare-feu HA est d'éliminer les points de défaillance uniques au sein de l'infrastructure réseau d'une organisation. Au lieu d'utiliser un seul pare-feu pour protéger le réseau, deux pare-feu ou plus sont déployés dans un groupe sous forme de cluster.

Ces pare-feu se synchronisent entre eux à l'aide d'une connexion Heartbeat, qui informe un pare-feu si l'autre est en panne. Si cela se produit, le pare-feu redondant peut basculer de manière transparente les connexions existantes, assurant ainsi une protection continue sans interruption.

Qu'est-ce que la redondance N+1 pour les pare-feu ?

Les pare-feu HA peuvent être déployés à l'aide de différents configurations des nœuds de regroupement. Les configurations les plus courantes sont les suivantes :

  • Actif/passif : Dans une configuration active/passive, chaque nœud actif dispose d'un pare-feu redondant qui n'est activé que si le nœud actif tombe en panne.
  • Actif/Actif : Une configuration active/active comporte plusieurs nœuds actifs. Si un nœud tombe en panne, le trafic qui lui est destiné est réaffecté à un autre nœud en ligne.
  • N+1 : Une configuration N+1 comporte au moins un nœud de secours pour un groupe de N nœuds actifs. Si un nœud actif tombe en panne, le nœud de secours doit être capable d'assumer ses fonctions.
  • N+M : Une configuration N+M comporte plus d'un nœud de secours, ce qui offre plus de redondance qu'une configuration N+1.
  • N à N : Les grappes N to N répartissent les tâches d'un nœud défaillant entre les autres nœuds de la grappe, de la même manière qu'une configuration active/active, mais sans correspondance 1:1.

HA vs Load Balancing (équilibrage de charge)

L'équilibrage de la charge implique que tous les nœuds du système soient actifs en permanence. Certaines configurations de nœuds HA permettent d'équilibrer la charge, comme les configurations actif/actif. Toutefois, certaines configurations de nœuds, telles que active/passive, ne sont généralement pas équilibrées en termes de charge. À tout moment, au moins un nœud du système n'est pas actif, soit parce qu'il s'agit d'un nœud de secours, soit parce qu'un nœud est tombé en panne et qu'un autre nœud a pris son rôle.

Dans certains cas, une organisation peut mettre en œuvre des configurations N+1 et similaires en utilisant l'équilibrage de charge. Les nœuds redondants qui seraient normalement hors ligne restent actifs et bénéficient d'une répartition de la charge de trafic jusqu'à ce qu'un nœud principal soit hors ligne. Dans ce cas, le nœud "de secours" prend le relais.

Équilibrage de la charge du pare-feu

La plupart des fournisseurs de pare-feu proposent des solutions de regroupement où les pare-feu communiquent entre eux pour former le regroupement. Une autre option consiste à déployer plusieurs pare-feu "pris en sandwich" entre des équilibreurs de charge de serveur, également appelés application Delivery Controllers (ADC). Dans cette architecture, le trafic réseau est réparti en fonction de la charge vers le groupe de pare-feu, ce qui permet de disposer d'une infrastructure de sécurité plus évolutive et plus disponible.

Les équilibreurs de charge du serveur dirigent le trafic de manière égale entre les membres du pare-feu de la grappe.  En général, l'équilibrage de la charge offre de nombreux avantages, notamment

  • Disponibilité : L'équilibrage de la charge utilisé dans le cadre d'un cluster HA permet de réduire ou d'éliminer les temps d'arrêt causés par les défaillances des nœuds.
  • Scalability: Les ADC peuvent répartir le trafic sur plusieurs nœuds, ce qui permet à la grappe de traiter plus de trafic qu'un seul appareil ne peut le faire.
  • Performance: L'équilibrage de la charge peut améliorer les performances en envoyant le trafic vers le meilleur nœud disponible dans la grappe.
  • Gestion : L'équilibrage de la charge peut offrir des avantages en termes de gestion, tels que la maintenance sans interruption.

Défis liés à la configuration de clusters de pare-feu hautement disponibles

Souvent, la prise en charge des configurations de nœuds actifs/passifs est intégrée dans une solution de pare-feu. Cependant, pour mettre en œuvre des configurations qui dépendent de l'équilibrage de la charge, un ADC doit être déployé devant et derrière le cluster de pare-feu. Toutefois, cela peut créer des gestion du pare-feu La solution a permis de relever des défis tels que le routage asymétrique, la gestion du trafic crypté et l'évolutivité de la solution au fur et à mesure que la taille de la grappe augmentait. Un autre défi est la gestion de produits multiples, c'est-à-dire l'ADC et le pare-feu.

Système de pare-feu à haute disponibilité (HA) et équilibrage de charge avec Check Point

Check Point propose plusieurs solutions aux clients qui souhaitent déployer un pare-feu HA. Si une organisation souhaite mettre en place un simple cluster de pare-feu avec HA et jusqu'à 5 nœuds, elle peut le faire en utilisant les fonctionnalités intégrées de HA et de partage de charge. décrit dans la documentation du pare-feu de Check Point.

Check Point Quantum Maestro est une autre option de pare-feu hautement disponible. Il s'agit d'une solution d'équilibrage de charge évolutive qui ne nécessite pas d'équilibreur de charge de serveur tiers. Avec Maestro, plusieurs Pare-feux de nouvelle génération peuvent agir comme un système unique et unifié. La solution d'entrée de gamme Maestro comprend un hyperscale Orchestrator ainsi que deux ou trois pare-feu. Des pare-feu supplémentaires peuvent être ajoutés selon les besoins afin d'augmenter de manière transparente le débit de sécurité. 

Un ou plusieurs Maestro Hyperscale Orchestrators distribuent le trafic réseau interne et externe de manière égale sur plusieurs pare-feu gérés comme un groupe unique avec un ensemble de fonctionnalités et une politique de sécurité commune, également appelé groupe de sécurité. 

La technologie de clustering HyperSync de Maestro assure une redondance totale au sein d'un système. En même temps, le trafic est équilibré entre tous les membres logiques du groupe de sécurité, ce qui garantit que toutes les ressources matérielles sont pleinement utilisées. Au sein d'un groupe de sécurité, chaque connexion est synchronisée avec deux membres du groupe de sécurité, un membre actif et un membre de secours, ce qui garantit qu'il n'y a pas de point de défaillance unique.   Les avantages de Maestro sont les suivants

  • Regroupement efficace N+1 : Maestro distribue le trafic réseau interne et externe sur plusieurs pare-feu Quantum en utilisant la technologie HyperSync de Check Point. HyperSync suit l'état d'Active/Backup des membres du groupe. 
  • Segmentation : Créez des groupes de sécurité logiques pour permettre une segmentation logique du réseau d'une organisation. Les pare-feu d'un groupe de sécurité ont automatiquement une sécurité commune. configurationCette architecture est donc beaucoup plus facile à gérer que les approches traditionnelles.
  • Scalability: Maestro peut être déployé avec seulement deux passerelles, et des nœuds supplémentaires peuvent être ajoutés pour supporter jusqu'à 3 TB/s de débit de pare-feu ou jusqu'à 1 TB/s de débit de prévention des menaces avancées des couches 1 à 7.
  • Équilibrage de la charge : Maestro met en œuvre l'équilibrage de charge sans avoir besoin d'un équilibreur de charge de serveur tiers. Cela simplifie la gestion et réduit le coût total de possession (TCO) d'un cluster de pare-feu à charge équilibrée.

Pour en savoir plus sur les solutions de firewall de Check Point HA, DEMANDEZ UNE DÉMO. ou lisez notre Livre blanc.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK