高可用性(HA)ファイアウォール

高可用性 (HA) ファイアウォールクラスターは、冗長システムを使用して重要なシステムのダウンタイムを最小限に抑えるように設計されています。 HA ファイアウォールは、アクティブ/アクティブとアクティブ/パッシブなど、さまざまなクラスタリングモードを使用して、重要なサービスの可用性を最大化できます。アクティブ/アクティブモードでは、複数のファイアウォールがクラスタ全体で負荷をアクティブに共有しますが、アクティブ/パッシブモードでは、1 つのファイアウォールがスタンバイであり、プライマリファイアウォールに障害が発生するとアクティブになります。この記事では、HAファイアウォールとは何か、さまざまなクラスタリングモードの欠点の利点、および最新のハイパースケール・ネットワーク・セキュリティテクノロジーにより、回復力のあるシステムを必要とするオンプレミスネットワークに対して、クラウドのような弾力性とスケーラビリティが可能になります。

デモをリクエストする NGFWバイヤーズガイド

高可用性(HA)ファイアウォールとは?

HA ファイアウォールデプロイメントの目標は、組織のネットワークインフラストラクチャ内の単一障害点を排除することです。 1 つのファイアウォールネットワークを保護するために、2 つ以上のファイアウォールがクラスタとしてグループに展開されます。

これらのファイアウォールは、ハートビート接続を使用して相互に同期し、一方のファイアウォールがダウンした場合に他方のファイアウォールに通知します。これが発生した場合、冗長ファイアウォールは既存の接続をシームレスにフェールオーバーし、中断することなく継続的な保護を提供できます。

ファイアウォールの N+1 冗長性とは

HA ファイアウォールは、さまざまなクラスタリング・ノード構成.一般的な構成には、次のようなものがあります。

アクティブ/パッシブ: アクティブ/パッシブ構成では、各アクティブノードには、アクティブノードがダウンした場合にのみオンラインになる冗長ファイアウォールがあります。
アクティブ/アクティブ: アクティブ/アクティブ構成には、複数のアクティブノードがあります。 1 つのノードがダウンすると、そのノード宛てのトラフィックは別のオンラインノードに再割り当てされます。
N+1: N+1 構成には、N 個のアクティブ・ノードのグループに対して少なくとも 1 つのバックアップ・ノードがあります。アクティブ・ノードがダウンした場合、バックアップ・ノードはその役割を引き継ぐことができる必要があります。
N+M: N+M 構成には複数のバックアップノードがあり、N+1 セットアップよりも冗長性が高くなります。
N から N: N 対 N クラスタは、アクティブ/アクティブ構成と同様に、障害が発生したノードの負荷をクラスタ内の他のノード間で負荷分散しますが、1 対 1 のマッピングはありません。

HA と負荷分散

負荷分散とは、システム内のすべてのノードが常にアクティブであることを意味します。一部の HA ノード構成では、アクティブ/アクティブ構成などの負荷分散が実行されます。ただし、アクティブ/パッシブなどの一部のノード構成は、通常、負荷分散されません。システム内の少なくとも 1 つのノードは、バックアップ・ノードであるか、ノードに障害が発生して別のノードがその役割を引き継いだために、常にアクティブではありません。

場合によっては、組織は負荷分散を使用して N+1 および同様の構成を実装することがあります。通常はオフラインになる冗長ノードはアクティブなままで、プライマリノードがオフラインになるまでトラフィックの負荷が分散されます。この場合、「バックアップ」ノードがその役割を引き受けます。

ファイアウォールの負荷分散

ほとんどのファイアウォールベンダーは、ファイアウォールが相互に通信してクラスタを形成するクラスタリングソリューションを提供しています。もう 1 つのオプションは、アプリケーションデリバリコントローラー (ADC) とも呼ばれるサーバーロードバランサーの間に複数のファイアウォールを "挟まれて" デプロイすることです。このアーキテクチャでは、ネットワークトラフィックがファイアウォールのグループに負荷分散され、よりスケーラブルで可用性の高いセキュリティインフラストラクチャが提供されます。

Server Load Balancer は、クラスターのファイアウォールメンバー間でトラフィックを均等に転送します。一般に、負荷分散には、次のような多くの利点があります。

可用性： HAクラスタの一部として使用される負荷分散は、ノード障害によって引き起こされるダウンタイムを削減または排除するのに役立ちます。
Scalability: ADCは複数のノードにトラフィックを分散できるため、クラスタは単一のアプライアンスが処理できるよりも多くのトラフィックを処理できます。
Performance: 負荷分散は、クラスター内で使用可能な最適なノードにトラフィックを送信することで、パフォーマンスを向上させることができます。
管理： 負荷分散は、ダウンタイムなしのメンテナンスなど、管理上の利点を提供します。

高可用性ファイアウォールクラスタの構成の課題

多くの場合、アクティブ/パッシブノード構成のサポートは、ファイアウォールソリューションに組み込まれています。ただし、負荷分散に依存する構成を実装するには、ファイアウォールクラスタの前面と背面にADCを導入する必要があります。ただし、これにより、追加のファイアウォール管理非対称ルーティング、暗号化されたトラフィックの管理、クラスターのサイズが大きくなるにつれてのソリューションのスケーラビリティなどの課題。もう一つの課題は、ADCとファイアウォールという複数の製品の管理です。

高可用性(HA)と負荷分散ファイアウォールシステム(チェック・ポイント付き)

チェック・ポイントは、HAファイアウォールの導入を検討しているお客様向けに、複数のソリューションを提供しています。組織が最大 5 つのノードを持つシンプルな HA ファイアウォールクラスタを実装する場合は、組み込みの HA および負荷分散機能を使用して実現できますチェック・ポイントのファイアウォールのドキュメントに記述されています.

チェック・ポイント Quantum Maestroは、サードパーティのサーバーロードバランサーを必要としないスケーラブルな負荷分散ソリューションである、別の高可用性ファイアウォールオプションです。 Maestroでは、複数の次世代ファイアウォール単一の統合システムとして機能できます。エントリーレベルのMaestroソリューションには、ハイパースケールオーケストレーターに加えて2つまたは3つのファイアウォールが含まれており、必要に応じてファイアウォールを追加して、セキュリティスループットをシームレスに拡張できます。

1 つ以上の Maestroハイパースケール Orchestrator は、共通のセキュリティ機能セットとポリシー(セキュリティグループとも呼ばれる)を持つ 1 つのグループとして管理される複数のファイアウォールに、内部および外部のネットワークトラフィックを均等に分散します。

Maestro HyperSyncクラスタリングテクノロジーは、システム内に完全な冗長性を提供します。同時に、トラフィックはすべての論理セキュリティグループメンバー間で分散され、すべてのハードウェアリソースが完全に利用されるようにします。セキュリティグループ内では、各接続が 2 つのセキュリティグループメンバー(アクティブメンバーとバックアップメンバー)に同期され、単一障害点がないようにします。 Maestroの利点は次のとおりです。

効率的な N+1 クラスタリング: Maestroは、チェック・ポイントHyperSyncテクノロジーを使用して、内部および外部のネットワークトラフィックを複数のQuantumファイアウォールに分散します。 HyperSyncは、グループメンバーのアクティブ/バックアップ状態を追跡します。
セグメンテーション： 論理セキュリティグループを作成して、組織のネットワークの論理的なセグメンテーションを可能にします。セキュリティグループ内のファイアウォールには、自動的に共通のセキュリティがあります構成、ポリシー、機能セット – このアーキテクチャは、従来のアプローチよりもはるかに管理しやすくなっています。
Scalability: Maestroは、わずか2つのGartner Magic Quadrantで導入でき、ノードを追加して、最大3 Tbpsのファイアウォールスループットまたは最大1 Tbpsのレイヤー1〜7の高度な脅威対策スループットをサポートできます。
負荷分散: Maestroは、サードパーティのサーバーロードバランサーを必要とせずに負荷分散を実装します。これにより、管理が簡素化され、負荷分散されたファイアウォールクラスターの総所有コスト (TCO) が削減されます。

チェック・ポイント HA ファイアウォールソリューションの詳細については、デモのスケジュールまたは私たちを読んでくださいホワイトペーパー.