고가용성(HA) 방화벽 클러스터는 중복 시스템을 사용하여 중요한 시스템의 다운타임을 최소화하도록 설계되었습니다. HA 방화벽은 액티브/액티브 대 액티브/패시브와 같은 다양한 클러스터링 모드를 사용하여 중요한 서비스의 가용성을 극대화할 수 있습니다. 액티브/액티브 모드에서는 여러 방화벽이 클러스터 전체에서 로드를 적극적으로 공유하는 반면, 액티브/패시브 모드에서는 하나의 방화벽이 기본 방화벽에 장애가 발생할 때 활성화되는 대기 방화벽입니다. 이 기사에서는 HA 방화벽이 무엇인지, 다양한 클러스터링 모드의 단점 및 최신 방법에 대해 설명합니다. 하이퍼스케일 네트워크 보안 기술은 복원력 있는 시스템이 필요한 온프레미스 네트워크를 위해 클라우드와 같은 탄력성과 확장성을 가능하게 합니다.
HA 방화벽 배포의 목표는 조직의 네트워크 인프라 내에서 단일 장애 지점을 제거하는 것입니다. 단일 Firewall 네트워크를 보호하기 위해 두 개 이상의 방화벽이 그룹에 클러스터로 배포됩니다.
이러한 방화벽은 하트비트 연결을 사용하여 서로 동기화되며, 이는 다른 방화벽이 다운된 경우 한 방화벽에 알립니다. 이 경우 중복 방화벽은 기존 연결을 원활하게 장애 조치하여 중단 없이 지속적인 보호를 제공할 수 있습니다.
HA 방화벽은 다양한 용도로 배포할 수 있습니다. 클러스터링 노드 구성. 몇 가지 일반적인 구성은 다음과 같습니다.
로드 밸런싱은 시스템의 모든 노드가 항상 활성 상태임을 의미합니다. 일부 HA 노드 구성은 액티브/액티브 구성과 같은 로드 밸런싱을 수행합니다. 그러나 액티브/패시브와 같은 일부 노드 구성은 일반적으로 부하가 분산되지 않습니다. 언제든지 시스템에서 하나 이상의 노드가 활성 상태가 되지 않는데, 이는 해당 노드가 백업 노드이거나 노드에 장애가 발생하여 다른 노드가 해당 역할을 맡았기 때문입니다.
경우에 따라 조직에서 부하 분산을 사용하여 N+1 및 유사한 구성을 구현할 수 있습니다. 일반적으로 오프라인 상태인 중복 노드는 활성 상태로 유지되며 기본 노드가 오프라인 상태가 될 때까지 트래픽 부하가 분산됩니다. 이 경우 "백업" 노드가 해당 임무를 맡습니다.
대부분의 방화벽 공급업체는 방화벽이 함께 통신하여 클러스터를 형성하는 클러스터링 솔루션을 제공합니다. 또 다른 옵션은 애플리케이션 Delivery Controller(ADC)라고도 하는 Server Load Balancer 사이에 "끼워진" 여러 방화벽을 배포하는 것입니다. 이 아키텍처에서 네트워크 트래픽은 방화벽 그룹으로 부하가 분산되어 보다 확장 가능하고 가용성이 높은 보안 인프라를 제공합니다.
Server Load Balancer는 클러스터의 방화벽 멤버를 통해 트래픽을 균등하게 전달합니다. 일반적으로 부하 분산은 다음과 같은 다양한 이점을 제공합니다.
액티브/패시브 노드 구성에 대한 지원은 방화벽 솔루션에 내장되어 있는 경우가 많습니다. 그러나 부하 분산에 종속된 구성을 구현하려면 ADC를 방화벽 클러스터 앞뒤에 배포해야 합니다. 그러나 이로 인해 추가 방화벽 관리 비대칭 라우팅, 암호화된 트래픽 관리, 클러스터 크기 증가에 따른 솔루션의 확장성과 같은 문제. 또 다른 과제는 여러 제품(예: ADC 및 방화벽)을 관리하는 것입니다.
체크 포인트는 HA 방화벽을 구축하려는 고객을 위해 여러 솔루션을 제공합니다. 조직에서 최대 5개의 노드가 있는 간단한 HA 방화벽 클러스터를 구현하려는 경우 기본 제공 HA 및 로드 공유 기능을 사용하여 이 작업을 수행할 수 있습니다 체크 포인트의 방화벽 문서에 설명되어 있습니다..
체크 포인트 Quantum Maestro는 타사 서버 로드 밸런서가 필요하지 않은 확장 가능한 로드 밸런싱 솔루션인 또 다른 고가용성 방화벽 옵션입니다. Maestro를 사용하면 여러 차세대 방화벽 단일 통합 시스템으로 작동할 수 있습니다. 엔트리 레벨 Maestro 솔루션에는 하이퍼스케일 오케스트레이터와 2개 또는 3개의 방화벽이 포함되어 있으며, 필요에 따라 방화벽을 추가하여 보안 처리량을 원활하게 확장할 수 있습니다.
하나 이상의 Maestro Hyperscale Orchestrator는 보안 그룹이라고도 하는 공통 보안 기능 집합 및 정책을 사용하여 단일 그룹으로 관리되는 여러 방화벽에 내부 및 외부 네트워크 트래픽을 균등하게 분산합니다.
Maestro HyperSync 클러스터링 기술은 시스템 내에서 완벽한 이중화를 제공합니다. 동시에 트래픽은 모든 논리적 보안 그룹 구성원 간에 분산되어 모든 하드웨어 리소스가 완전히 활용되도록 합니다. 보안 그룹 내에서 각 연결은 두 개의 보안 그룹 멤버(활성 및 백업 멤버)와 동기화되어 단일 실패 지점이 없도록 합니다. Maestro의 장점은 다음과 같습니다.