高可用性 (HA) 防火牆

高可用性 (HA) 防火牆叢集旨在透過使用冗餘系統來最大限度地減少關鍵系統的停機時間。高可用性防火牆可以使用各種叢集模式(例如主動/主動與主動/被動)來最大限度地提高關鍵服務的可用性。在主動/主動模式下,多個防火牆主動分擔整個叢集的負載,而在主動/被動模式下,一個防火牆是備用防火牆,當主防火牆發生故障時,它將變為主動防火牆。在本文中,我們討論什麼是高可用性防火牆、不同叢集模式的優點和缺點以及現代防火牆如何 超大規模網路安全防護 技術為需要彈性系統的本地網路提供類似雲端的彈性和可擴展性。

申請示範 NGFW 購買指南

什麼是高可用性 (HA) 防火牆?

高可用性防火牆部署的目標是消除組織網路基礎架構內的單點故障。而不是使用單一 防火牆 為了保護網絡,將兩台或多台防火牆部署為一組,形成叢集。

這些防火牆使用心跳連線相互同步,如果另一道防火牆已關閉,則連線會通知一個防火牆。如果發生這種情況,冗餘防火牆可以無縫地對現有連接進行故障轉移,從而提供不間斷的持續保護。

什麼是防火牆N+1冗餘?

HA防火牆可以使用多種方式部署 叢集節點組態。一些常見的配置包括:

  • 主動/被動: 在主動/被動配置中,每個主動節點都有一個冗餘防火牆,只有當主動節點發生故障時,該防火牆才會上線。
  • 主動/主動: 主動/作用中組態具有多個作用中節點。 如果某個節點停機,則預定為該節點的流量重新分配到另一個線上節點。
  • N+1: N+1 組態至少有一個備份節點,用於 N 個作用中節點群組。 如果任何作用中節點出現故障,備份節點應該能夠承擔其職責。
  • N + 米: N+M 組態具有多個備份節點,提供比 N+1 設定更多的備援。
  • N 到 N: N 到 N 叢集負載平衡叢集中其他節點之間失敗節點的任務,類似於主動/作用中組態,但沒有 1:1 對映。

HA 與負載平衡

負載平衡意味著系統中的所有節點一直處於作用中狀態。 某些 HA 節點組態會執行負載平衡,例如主動/作用中的組態。 但是,某些節點配置,例如主動/被動,通常不會負載平衡。 在任何時候,系統中至少有一個節點不作用中,無論是因為它是備份節點,或是節點失敗,而另一個節點已承擔其角色。

在某些情況下,組織可以使用負載平衡來實作 N+1 和類似的組態。 通常離線的冗餘節點會保持作用中狀態,並將流量負載平衡,直到主要節點離線為止。 如果發生這種情況,「備份」節點會承擔其職責。

防火牆負載平衡

大多數防火牆供應商提供叢集解決方案,其中防火牆一起通訊以形成叢集。另一種選擇是在伺服器負載平衡器(也稱為應用程式交付控制器(ADC))之間部署「夾在」多個防火牆。在此架構中,網路流量會對防火牆群組進行負載平衡,從而提供更具可擴展性和高度可用的安全基礎架構。

伺服器負載平衡器均勻地引導流量穿過叢集的防火牆成員。一般而言,負載平衡提供許多優點,包括:

  • Availability: 作為 HA 叢集的一部分使用的負載平衡有助於減少或消除節點故障引起的停機時間。
  • Scalability: ADC 可在多個節點之間分配流量,讓叢集處理比任何單一應用裝置能處理的更多流量。
  • Performance: 負載平衡可透過傳送流量到叢集中最佳可用節點來提高效能。
  • 管理: 負載平衡可以提供管理優勢,例如零停機維護。

配置高可用防火牆叢集的挑戰

通常,防火牆解決方案內建對主動/被動節點配置的支援。然而,為了實現依賴負載平衡的配置,必須在防火牆叢集的前後部署ADC。但是,這可以創建其他 防火牆管理 挑戰,例如非對稱路由、管理加密流量以及隨著叢集規模的成長解決方案的可擴展性。另一個挑戰是多個產品的管理,即 ADC 和防火牆。

具有 Check Point 的高可用性 (HA) 和負載平衡防火牆系統

Check Point 為希望部署高可用性防火牆的客戶提供多種解決方案。如果組織想要實施最多 5 個節點的簡單 HA 防火牆集群,則可以使用內建 HA 和負載共享功能來實現 Check Point 的防火牆文件中進行了描述

Check Point Quantum Maestro 是另一個高可用防火牆選項,它是可擴展的負載平衡解決方案,不需要第三方伺服器負載平衡器。與大師一起,多重 次世代防火牆 可以作為一個單一的統一系統。 入門級 Maestro 解決方案包括一個超大規模 Orchestrator 以及兩個或三個防火牆,並且可以根據需要添加其他防火牆以無縫擴展安全吞吐量。 

一個或多個 Maestro Hyperscale Orchestrator 跨多個防火牆平均分配內部和外部網路流量,這些防火牆會作為單一群組管理,具有通用安全功能集和策略(也稱為安全群組)。 

Maestro HyperSync 叢集技術可在系統內提供完整備援。 同時,所有邏輯安全群組成員之間的流量均衡,確保所有硬體資源都能充分利用。 在安全群組中,每個連線都會同步到兩個安全性群組成員 (作用中和備份成員),確保沒有單一失敗點。 大師的好處包括:

  • 高效 N+1 叢集: Maestro 使用 Check Point HyperSync 技術跨多個 Quantum 防火牆分配內部和外部網路流量。HyperSync 追蹤群組成員的主動/備份狀態。 
  • 分段: 建立邏輯安全群組以實現組織網路的邏輯分段。安全群組中的防火牆自動具有共同的安全性 配置、政策和功能集 — 使此架構比傳統方法更容易管理。
  • Scalability: Maestro 可以部署最少兩個閘道器,並且可以添加額外的節點來支援高達 3 Tbps 的防火牆吞吐量或高達 1 Tbps 的第 1 – 7 層高級威脅防護吞吐量。
  • 負載平衡: Maestro 實作負載平衡,而無需第三方伺服器負載平衡器。 這簡化了管理並降低了負載平衡防火牆叢集的總擁有成本 (TCO)。

要了解有關 Check Point 高可用性防火牆解決方案的更多信息, 安排演示 或閱讀我們 白皮書

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明