高可用性(HA)ファイアウォール

高可用性 (HA) ファイアウォール クラスターは、冗長システムを使用して重要なシステムのダウンタイムを最小限に抑えるように設計されています。 HA ファイアウォールは、アクティブ/アクティブとアクティブ/パッシブなど、さまざまなクラスタリング モードを使用して、重要なサービスの可用性を最大化できます。 アクティブ/アクティブ モードでは、複数のファイアウォールがクラスタ全体で負荷をアクティブに共有しますが、アクティブ/パッシブ モードでは、1 つのファイアウォールがスタンバイであり、プライマリ ファイアウォールに障害が発生するとアクティブになります。 この記事では、HAファイアウォールとは何か、さまざまなクラスタリングモードの欠点の利点、および最新の ハイパースケール・ネットワーク・セキュリティ テクノロジーにより、回復力のあるシステムを必要とするオンプレミスネットワークに対して、クラウドのような弾力性とスケーラビリティが可能になります。

デモをリクエストする NGFWバイヤーズガイド

高可用性(HA)ファイアウォールとは?

HA ファイアウォール デプロイメントの目標は、組織のネットワーク インフラストラクチャ内の単一障害点を排除することです。 1 つの ファイアウォール ネットワークを保護するために、2 つ以上のファイアウォールがクラスタとしてグループに展開されます。

これらのファイアウォールは、ハートビート接続を使用して相互に同期し、一方のファイアウォールがダウンした場合に他方のファイアウォールに通知します。 これが発生した場合、冗長ファイアウォールは既存の接続をシームレスにフェールオーバーし、中断することなく継続的な保護を提供できます。

ファイアウォールの N+1 冗長性とは

HA ファイアウォールは、さまざまな クラスタリング・ノード構成.一般的な構成には、次のようなものがあります。

  • アクティブ/パッシブ: アクティブ/パッシブ構成では、各アクティブ ノードには、アクティブ ノードがダウンした場合にのみオンラインになる冗長ファイアウォールがあります。
  • アクティブ/アクティブ: アクティブ/アクティブ構成には、複数のアクティブ ノードがあります。 1 つのノードがダウンすると、そのノード宛てのトラフィックは別のオンライン ノードに再割り当てされます。
  • N+1: N+1 構成には、N 個のアクティブ・ノードのグループに対して少なくとも 1 つのバックアップ・ノードがあります。 アクティブ・ノードがダウンした場合、バックアップ・ノードはその役割を引き継ぐことができる必要があります。
  • N+M: N+M 構成には複数のバックアップ ノードがあり、N+1 セットアップよりも冗長性が高くなります。
  • N から N: N 対 N クラスタは、アクティブ/アクティブ構成と同様に、障害が発生したノードの負荷をクラスタ内の他のノード間で負荷分散しますが、1 対 1 のマッピングはありません。

HA と負荷分散

負荷分散とは、システム内のすべてのノードが常にアクティブであることを意味します。 一部の HA ノード構成では、アクティブ/アクティブ構成などの負荷分散が実行されます。 ただし、アクティブ/パッシブなどの一部のノード構成は、通常、負荷分散されません。 システム内の少なくとも 1 つのノードは、バックアップ・ノードであるか、ノードに障害が発生して別のノードがその役割を引き継いだために、常にアクティブではありません。

場合によっては、組織は負荷分散を使用して N+1 および同様の構成を実装することがあります。 通常はオフラインになる冗長ノードはアクティブなままで、プライマリノードがオフラインになるまでトラフィックの負荷が分散されます。 この場合、「バックアップ」ノードがその役割を引き受けます。

ファイアウォールの負荷分散

ほとんどのファイアウォールベンダーは、ファイアウォールが相互に通信してクラスタを形成するクラスタリングソリューションを提供しています。 もう 1 つのオプションは、アプリケーション デリバリ コントローラー (ADC) とも呼ばれるサーバー ロード バランサーの間に複数のファイアウォールを "挟まれて" デプロイすることです。 このアーキテクチャでは、ネットワーク トラフィックがファイアウォールのグループに負荷分散され、よりスケーラブルで可用性の高いセキュリティ インフラストラクチャが提供されます。

Server Load Balancer は、クラスターのファイアウォール メンバー間でトラフィックを均等に転送します。 一般に、負荷分散には、次のような多くの利点があります。

  • 可用性: HAクラスタの一部として使用される負荷分散は、ノード障害によって引き起こされるダウンタイムを削減または排除するのに役立ちます。
  • Scalability: ADCは複数のノードにトラフィックを分散できるため、クラスタは単一のアプライアンスが処理できるよりも多くのトラフィックを処理できます。
  • Performance: 負荷分散は、クラスター内で使用可能な最適なノードにトラフィックを送信することで、パフォーマンスを向上させることができます。
  • 管理: 負荷分散は、ダウンタイムなしのメンテナンスなど、管理上の利点を提供します。

高可用性ファイアウォールクラスタの構成の課題

多くの場合、アクティブ/パッシブ ノード構成のサポートは、ファイアウォール ソリューションに組み込まれています。 ただし、負荷分散に依存する構成を実装するには、ファイアウォールクラスタの前面と背面にADCを導入する必要があります。 ただし、これにより、追加の ファイアウォール管理 非対称ルーティング、暗号化されたトラフィックの管理、クラスターのサイズが大きくなるにつれてのソリューションのスケーラビリティなどの課題。 もう一つの課題は、ADCとファイアウォールという複数の製品の管理です。

高可用性(HA)と負荷分散ファイアウォールシステム(チェック・ポイント付き)

チェック・ポイントは、HAファイアウォールの導入を検討しているお客様向けに、複数のソリューションを提供しています。 組織が最大 5 つのノードを持つシンプルな HA ファイアウォール クラスタを実装する場合は、組み込みの HA および負荷分散機能を使用して実現できます チェック・ポイントのファイアウォールのドキュメントに記述されています.

Check Point Maestro Hyperscale Firewall is another Highly Available firewall option that is a scalable load balancing solution that does not require third party Server Load Balancers. With Maestro, multiple 次世代ファイアウォール 単一の統合システムとして機能できます。 エントリーレベルのMaestroソリューションには、ハイパースケールオーケストレーターに加えて2つまたは3つのファイアウォールが含まれており、必要に応じてファイアウォールを追加して、セキュリティスループットをシームレスに拡張できます。 

1 つ以上の Maestroハイパースケール Orchestrator は、共通のセキュリティ機能セットとポリシー(セキュリティ グループとも呼ばれる)を持つ 1 つのグループとして管理される複数のファイアウォールに、内部および外部のネットワーク トラフィックを均等に分散します。 

Maestro HyperSyncクラスタリングテクノロジーは、システム内に完全な冗長性を提供します。 同時に、トラフィックはすべての論理セキュリティグループメンバー間で分散され、すべてのハードウェアリソースが完全に利用されるようにします。 セキュリティグループ内では、各接続が 2 つのセキュリティグループメンバー(アクティブメンバーとバックアップメンバー)に同期され、単一障害点がないようにします。 Maestroの利点は次のとおりです。

  • 効率的な N+1 クラスタリング: Maestro distributes both internal and external network traffic across multiple Check Point Firewalls using Check Point HyperSync technology. HyperSync tracks the Active/Backup state of group members. 
  • セグメンテーション: 論理セキュリティグループを作成して、組織のネットワークの論理的なセグメンテーションを可能にします。 セキュリティグループ内のファイアウォールには、自動的に共通のセキュリティがあります 構成、ポリシー、機能セット – このアーキテクチャは、従来のアプローチよりもはるかに管理しやすくなっています。
  • Scalability: Maestroは、わずか2つのGartner Magic Quadrantで導入でき、ノードを追加して、最大3 Tbpsのファイアウォールスループットまたは最大1 Tbpsのレイヤー1〜7の高度な脅威対策スループットをサポートできます。
  • 負荷分散: Maestroは、サードパーティのサーバーロードバランサーを必要とせずに負荷分散を実装します。 これにより、管理が簡素化され、負荷分散されたファイアウォール クラスターの総所有コスト (TCO) が削減されます。

チェック・ポイント HA ファイアウォールソリューションの詳細については、 デモのスケジュール または私たちを読んでください ホワイトペーパー.

スタート

スケーラブルなファイアウォールクラスタソリューション

インフォグラフィック:ハイパースケールセキュリティの7つの理由

ビデオ: Maestro Lightboard Series

Maestroハイパースケール・ネットワーク・セキュリティ

次世代ファイアウォール(NGFW)

ハイパースケール・ネットワーク・セキュリティ

関連トピック

データセンターセキュリティのベストプラクティス

5 必須のファイアウォール機能

ハイパースケールとは

ファイアウォールとは?

ファイアウォール管理

ファイアウォールの構成