高可用性 (HA) 防火牆叢集旨在透過使用冗餘系統來最大限度地減少關鍵系統的停機時間。高可用性防火牆可以使用各種叢集模式(例如主動/主動與主動/被動)來最大限度地提高關鍵服務的可用性。在主動/主動模式下,多個防火牆主動分擔整個叢集的負載,而在主動/被動模式下,一個防火牆是備用防火牆,當主防火牆發生故障時,它將變為主動防火牆。在本文中,我們討論什麼是高可用性防火牆、不同叢集模式的優點和缺點以及現代防火牆如何 超大規模網路安全防護 技術為需要彈性系統的本地網路提供類似雲端的彈性和可擴展性。
高可用性防火牆部署的目標是消除組織網路基礎架構內的單點故障。而不是使用單一 防火牆 為了保護網絡,將兩台或多台防火牆部署為一組,形成叢集。
這些防火牆使用心跳連線相互同步,如果另一道防火牆已關閉,則連線會通知一個防火牆。如果發生這種情況,冗餘防火牆可以無縫地對現有連接進行故障轉移,從而提供不間斷的持續保護。
HA防火牆可以使用多種方式部署 叢集節點組態。一些常見的配置包括:
負載平衡意味著系統中的所有節點一直處於作用中狀態。 某些 HA 節點組態會執行負載平衡,例如主動/作用中的組態。 但是,某些節點配置,例如主動/被動,通常不會負載平衡。 在任何時候,系統中至少有一個節點不作用中,無論是因為它是備份節點,或是節點失敗,而另一個節點已承擔其角色。
在某些情況下,組織可以使用負載平衡來實作 N+1 和類似的組態。 通常離線的冗餘節點會保持作用中狀態,並將流量負載平衡,直到主要節點離線為止。 如果發生這種情況,「備份」節點會承擔其職責。
大多數防火牆供應商提供叢集解決方案,其中防火牆一起通訊以形成叢集。另一種選擇是在伺服器負載平衡器(也稱為應用程式交付控制器(ADC))之間部署「夾在」多個防火牆。在此架構中,網路流量會對防火牆群組進行負載平衡,從而提供更具可擴展性和高度可用的安全基礎架構。
伺服器負載平衡器均勻地引導流量穿過叢集的防火牆成員。一般而言,負載平衡提供許多優點,包括:
通常,防火牆解決方案內建對主動/被動節點配置的支援。然而,為了實現依賴負載平衡的配置,必須在防火牆叢集的前後部署ADC。但是,這可以創建其他 防火牆管理 挑戰,例如非對稱路由、管理加密流量以及隨著叢集規模的成長解決方案的可擴展性。另一個挑戰是多個產品的管理,即 ADC 和防火牆。
Check Point 為希望部署高可用性防火牆的客戶提供多種解決方案。如果組織想要實施最多 5 個節點的簡單 HA 防火牆集群,則可以使用內建 HA 和負載共享功能來實現 Check Point 的防火牆文件中進行了描述。
Check Point Quantum Maestro 是另一個高可用防火牆選項,它是可擴展的負載平衡解決方案,不需要第三方伺服器負載平衡器。與大師一起,多重 次世代防火牆 可以作為一個單一的統一系統。 入門級 Maestro 解決方案包括一個超大規模 Orchestrator 以及兩個或三個防火牆,並且可以根據需要添加其他防火牆以無縫擴展安全吞吐量。
一個或多個 Maestro Hyperscale Orchestrator 跨多個防火牆平均分配內部和外部網路流量,這些防火牆會作為單一群組管理,具有通用安全功能集和策略(也稱為安全群組)。
Maestro HyperSync 叢集技術可在系統內提供完整備援。 同時,所有邏輯安全群組成員之間的流量均衡,確保所有硬體資源都能充分利用。 在安全群組中,每個連線都會同步到兩個安全性群組成員 (作用中和備份成員),確保沒有單一失敗點。 大師的好處包括: