Alta disponibilità (HA) firewall

I cluster di firewall ad alta disponibilità (HA) sono progettati per ridurre al minimo i tempi di inattività dei sistemi critici attraverso l'uso di sistemi ridondanti. I firewall HA possono massimizzare la disponibilità dei servizi critici utilizzando varie modalità di clustering, come attivo/attivo vs. attivo/passivo. Nella modalità Attiva/Attiva più firewall condividono attivamente il carico nel cluster, mentre nella modalità Attiva/Passiva un firewall è uno standby che diventa attivo quando il firewall primario si guasta. In questo articolo discutiamo di cosa sia un firewall HA, dei vantaggi e degli svantaggi delle diverse modalità di clustering e di come i moderni Hyperscale Network Security le tecnologie consentono un'elasticità e una scalabilità simili a quelle del cloud per le reti on-premise che richiedono sistemi resilienti.

Richiedi una Demo Guida all'acquisto NGFW

Che cos'è un firewall ad alta disponibilità (HA)?

L'obiettivo di un firewall HA deployment è quello di eliminare i singoli punti di guasto all'interno dell'infrastruttura di rete di un'organizzazione. Invece di utilizzare un singolo Firewall per proteggere la rete, due o più firewall vengono distribuiti in un gruppo come cluster.

Questi firewall si sincronizzano tra loro utilizzando una connessione heartbeat, che informa un firewall se l'altro è inattivo. Se ciò si verifica, il firewall ridondante è in grado di fare il failover delle connessioni esistenti senza soluzione di continuità, fornendo una protezione continua senza interruzioni.

Che cos'è la ridondanza N+1 per i firewall?

I firewall HA possono essere implementati utilizzando diversi configurazioni dei nodi di clustering. Alcune delle configurazioni più comuni includono:

  • Attivo/Passivo: In una configurazione attiva/passiva, ogni nodo attivo ha un firewall ridondante che si attiva solo se il nodo attivo si spegne.
  • Attivo/Attiva: Una configurazione attiva/attiva ha più nodi attivi. Se un nodo si abbassa, il traffico ad esso destinato viene riassegnato ad un altro nodo online.
  • N+1: Una configurazione N+1 prevede almeno un nodo di backup per un gruppo di N nodi attivi. Se un nodo attivo si spegne, il nodo di backup deve essere in grado di assumerne i compiti.
  • N+M: Una configurazione N+M dispone di più di un nodo di backup, fornendo una maggiore ridondanza rispetto a una configurazione N+1.
  • Da N a N: I cluster N a N bilanciano il carico dei compiti di un nodo guasto sugli altri nodi del cluster in modo simile a una configurazione attiva/attiva, ma senza una mappatura 1:1.

HA vs. bilanciamento del carico

Il bilanciamento del carico implica che tutti i nodi del sistema siano sempre attivi. Alcune configurazioni di nodi HA eseguono il bilanciamento del carico, come ad esempio le configurazioni attivo/attivo. Tuttavia, alcune configurazioni di nodi, come quella attiva/passiva, non sono generalmente bilanciate. In qualsiasi momento, almeno un nodo del sistema non è attivo, o perché è un nodo di backup o perché un nodo si è guastato e un altro nodo ha assunto il suo ruolo.

In alcuni casi, un'organizzazione può implementare configurazioni N+1 e simili utilizzando il bilanciamento del carico. I nodi ridondanti che di solito sarebbero offline rimangono attivi e il carico di traffico viene bilanciato su di loro fino a quando un nodo primario non va offline. In questo caso, il nodo "di riserva" assume i suoi compiti.

Bilanciamento del carico del firewall

La maggior parte dei fornitori di firewall offre soluzioni di clustering in cui i firewall comunicano insieme per formare il cluster. Un'altra opzione è quella di distribuire più firewall "incastrati" tra i Server Load Balancer, chiamati anche Application Delivery Controller (ADC). In questa architettura, il traffico di rete viene bilanciato sul gruppo di firewall, fornendo un'infrastruttura di sicurezza più scalabile e altamente disponibile.

I Server Load Balancer dirigono il traffico in modo equo tra i firewall membri del cluster.  In generale, il bilanciamento del carico offre numerosi vantaggi, tra cui:

  • Disponibilità: Il bilanciamento del carico utilizzato come parte di un cluster HA aiuta a ridurre o eliminare i tempi di inattività causati da guasti ai nodi.
  • Scalability: Gli ADC possono distribuire il traffico su più nodi, consentendo al cluster di elaborare più traffico di quello che può gestire una singola apparecchiatura.
  • Performance: Il bilanciamento del carico può migliorare le prestazioni inviando il traffico al miglior nodo disponibile nel cluster.
  • Gestione: Il bilanciamento del carico può offrire vantaggi di gestione, come la manutenzione a tempo zero.

Le sfide della configurazione di cluster di firewall ad alta disponibilità

Spesso, il supporto per le configurazioni di nodi attivi/passivi è integrato in una soluzione firewall. Tuttavia, per implementare le configurazioni che dipendono dal bilanciamento del carico, è necessario distribuire un ADC davanti e dietro il cluster di firewall. Tuttavia, questo può creare ulteriori gestione del firewall sfide, come il routing asimmetrico, la gestione del traffico criptato e la scalabilità della soluzione al crescere delle dimensioni del cluster. Un'altra sfida è la gestione di più prodotti, ossia l'ADC e i firewall.

Sistema firewall ad alta disponibilità (HA) e bilanciamento del carico con Check Point

Check Point offre diverse soluzioni per i clienti che desiderano implementare un firewall HA. Se un'organizzazione desidera implementare un semplice cluster di firewall HA con un massimo di 5 nodi, può farlo utilizzando la funzionalità HA e di condivisione del carico integrata. descritto nella documentazione del firewall di Check Point.

Check Point Quantum Maestro è un'altra opzione di firewall ad alta disponibilità che rappresenta una soluzione di bilanciamento del carico scalabile che non richiede server load balancer di terze parti. Con Maestro, più Firewall di Nuova Generazione possono agire come un sistema unico e unificato. La soluzione Maestro entry level comprende un Orchestrator hyperscale più due o tre firewall, mentre altri firewall possono essere aggiunti in base alle necessità per scalare senza problemi il flusso di sicurezza. 

Uno o più orchestratori Maestro Hyperscale distribuiscono equamente il traffico di rete interno ed esterno su più firewall gestiti come un unico gruppo con un set di funzioni e criteri di sicurezza comuni, chiamato anche Gruppo di sicurezza. 

La tecnologia di clustering Maestro HyperSync offre una ridondanza completa all'interno di un sistema. Allo stesso tempo, il traffico viene bilanciato tra tutti i membri logici del Gruppo di Sicurezza, assicurando il pieno utilizzo di tutte le risorse hardware. All'interno di un Gruppo di sicurezza, ogni connessione è sincronizzata con due membri del Gruppo di sicurezza, uno attivo e uno di backup, assicurando che non vi sia un singolo punto di guasto.   I vantaggi di Maestro includono:

  • Clustering N+1 efficiente: Maestro distribuisce il traffico di rete interno ed esterno su più firewall Quantum, utilizzando la tecnologia Check Point HyperSync. HyperSync tiene traccia dello stato Active/Backup dei membri del gruppo. 
  • Segmentazione: Creare Gruppi di sicurezza logici per consentire la segmentazione logica della rete di un'organizzazione. I firewall in un Gruppo di sicurezza hanno automaticamente una sicurezza comune. configurazione, le politiche e il set di funzionalità - rendendo questa architettura molto più facile da gestire rispetto agli approcci tradizionali.
  • Scalability: Maestro può essere implementato con appena due gateway, e si possono aggiungere altri nodi per supportare fino a 3 Tbps di throughput del firewall o fino a 1 Tbps di throughput del layer 1 - 7 avanzato di threat prevention.
  • Bilanciamento del carico: Maestro implementa il bilanciamento del carico senza la necessità di un Server Load Balancer di terze parti. Questo semplifica la gestione e riduce il costo totale di proprietà (TCO) di un cluster di firewall con bilanciamento del carico.

Per saperne di più sulle soluzioni firewall Check Point HA, PROGRAMMA UNA DEMO oppure legga il nostro Whitepaper.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK