firewallde alta disponibilidade (HA)

Os clusters de firewall de alta disponibilidade (HA) são projetados para minimizar o tempo de inatividade de sistemas críticos por meio do uso de sistemas redundantes. firewall HA pode maximizar a disponibilidade de serviços críticos usando vários modos de cluster, como ativo/ativo versus ativo/passivo. No modo Ativo/Ativo, vários firewalls compartilham ativamente a carga no cluster, enquanto no modo Ativo/Passivo um firewall é um modo de espera que se torna ativo quando o firewall primário falha. Neste artigo discutimos o que é um firewall HA, os benefícios e desvantagens dos diferentes modos de clustering e quão moderno Segurança de rede em hiperescala As tecnologias permitem elasticidade e escalabilidade semelhantes às da nuvem para redes locais que exigem sistemas resilientes.

Solicite uma demo Guia do comprador NGFW

O que é um firewall de alta disponibilidade (HA)?

O objetivo de uma implantação de firewall HA é eliminar pontos únicos de falha na infraestrutura de rede de uma organização. Em vez de usar um único firewall para proteger a rede, dois ou mais firewall são implantados em um grupo como um cluster.

Esses firewalls são sincronizados entre si usando uma conexão de pulsação, que informa um firewall se o outro caiu. Se isso ocorrer, o firewall redundante poderá fazer failover perfeitamente das conexões existentes, fornecendo proteção contínua sem interrupção.

O que é redundância N+1 para firewall?

firewall HA pode ser implantado usando vários configurações de nó de cluster. Algumas das configurações comuns incluem:

  • Passivo ativo: Em uma configuração ativa/passiva, cada nó ativo possui um firewall redundante que só fica online se o nó ativo ficar inativo.
  • Ativo/Ativo: Uma configuração ativa/ativa possui vários nós ativos. Se um nó ficar inativo, o tráfego destinado a ele será reatribuído a outro nó online.
  • N+1: Uma configuração N+1 possui pelo menos um nó de backup para um grupo de N nós ativos. Se algum nó ativo ficar inativo, o nó de backup deverá ser capaz de assumir suas funções.
  • N+M: Uma configuração N+M possui mais de um nó de backup, fornecendo mais redundância do que uma configuração N+1.
  • N para N: Os clusters N a N equilibram a carga das tarefas de um nó com falha nos outros nós do cluster, de forma semelhante a uma configuração ativa/ativa, mas sem um mapeamento 1:1.

HA vs balanceamento de carga

O balanceamento de carga implica que todos os nós do sistema estejam ativos o tempo todo. Algumas configurações de nó HA executam balanceamento de carga, como configurações ativas/ativas. No entanto, algumas configurações de nós, como ativo/passivo, geralmente não têm balanceamento de carga. A qualquer momento, pelo menos um nó no sistema não está ativo, seja porque é um nó de backup ou porque um nó falhou e outro nó assumiu sua função.

Em alguns casos, uma organização pode implementar configurações N+1 e similares usando balanceamento de carga. Os nós redundantes que normalmente estariam off-line permanecem ativos e têm a carga de tráfego balanceada até que um nó primário fique off-line. Caso isso ocorra, o nó “backup” assume suas funções.

Balanceamento de carga de firewall

A maioria dos fornecedores de firewall oferece soluções de cluster onde os firewalls se comunicam entre si para formar o cluster. Outra opção é implantar vários firewall “ensanduichados” entre Server Load Balancers, também chamados de aplicativos Delivery Controllers (ADC). Nesta arquitetura, o tráfego de rede é balanceado em carga para o grupo de firewall, proporcionando uma infraestrutura de segurança mais escalável e altamente disponível.

Os Server Load Balancers direcionam o tráfego igualmente entre os membros do firewall do cluster.  Em geral, o balanceamento de carga oferece vários benefícios, incluindo:

  • Disponibilidade: O balanceamento de carga usado como parte de um cluster de alta disponibilidade ajuda a reduzir ou eliminar o tempo de inatividade causado por falhas de nós.
  • Scalability: Os ADCs podem distribuir o tráfego entre vários nós, permitindo que o cluster processe mais tráfego do que qualquer dispositivo único pode suportar.
  • Performance: O balanceamento de carga pode melhorar o desempenho enviando tráfego para o melhor nó disponível no cluster.
  • Gerenciamento: O balanceamento de carga pode fornecer benefícios de gerenciamento, como manutenção sem tempo de inatividade.

Desafios da configuração de clusters de firewall altamente disponíveis

Freqüentemente, o suporte para configurações de nós ativos/passivos é integrado a uma solução de firewall. No entanto, para implementar configurações que dependem do balanceamento de carga, um ADC deve ser implantado na frente e atrás do cluster de firewall. No entanto, isso pode criar gerenciamento de firewall desafios, como roteamento assimétrico, gerenciamento de tráfego criptografado e escalabilidade da solução à medida que o tamanho do cluster aumenta. Outro desafio é o gerenciamento de múltiplos produtos, ou seja, o ADC e o firewall.

Sistema de firewall de alta disponibilidade (HA) e balanceamento de carga com Check Point

A Check Point oferece múltiplas soluções para clientes que desejam implantar um firewall HA. Se uma organização deseja implementar um cluster de firewall HA simples com até 5 nós, isso pode ser feito usando a funcionalidade integrada de HA e compartilhamento de carga descrito na documentação do firewall da Check Point.

Check Point Quantum Maestro é outra opção de firewall altamente disponível que é uma solução de balanceamento de carga escalonável que não requer balanceadores de carga de servidor de terceiros. Com o Maestro, múltiplos Firewalls de Última Geração pode atuar como um sistema único e unificado. A solução Maestro de nível básico inclui um orquestrador de hiperescala mais dois ou três firewall e firewall adicionais podem ser adicionados conforme necessário para dimensionar perfeitamente o rendimento da segurança. 

Um ou mais Maestro Hyperscale Orchestrators distribuem o tráfego de rede interno e externo igualmente através de vários firewall gerenciados como um único grupo com um conjunto de recursos e políticas de segurança comuns, também chamado de Grupo de Segurança. 

A tecnologia de cluster Maestro HyperSync fornece redundância total em um sistema. Ao mesmo tempo, o tráfego é equilibrado entre todos os membros lógicos do Grupo de Segurança, garantindo que todos os recursos de hardware sejam totalmente utilizados. Dentro de um grupo de segurança, cada conexão é sincronizada com dois membros do grupo de segurança, um membro ativo e um membro de backup, garantindo que não haja um único ponto de falha.   Os benefícios do Maestro incluem:

  • Clustering N+1 eficiente: O Maestro distribui o tráfego de rede interno e externo através de vários firewall Quantum usando a tecnologia Check Point HyperSync. O HyperSync rastreia o estado Ativo/Backup dos membros do grupo. 
  • Segmentação: Crie grupos de segurança lógicos para permitir a segmentação lógica da rede de uma organização. firewall em um grupo de segurança tem automaticamente uma segurança comum configuração, políticas e conjunto de recursos – tornando essa arquitetura muito mais fácil de gerenciar do que as abordagens tradicionais.
  • Scalability: O Maestro pode ser implantado com apenas dois gateway, e nós adicionais podem ser adicionados para suportar até 3 Tbps de taxa de transferência de firewall ou até 1 Tbps de taxa de transferência avançada de prevenção de ameaça de Camada 1 – 7.
  • Balanceamento de carga: O Maestro implementa balanceamento de carga sem a necessidade de um balanceador de carga de servidor de terceiros. Isso simplifica o gerenciamento e diminui o custo total de propriedade (TCO) de um cluster de firewall com balanceamento de carga.

Para saber mais sobre as soluções de firewall Check Point HA, AGENDAR UMA DEMONSTRAÇÃO ou leia nosso Artigo técnico.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK