Ir al contenido
Avanet

¿Qué variantes existen para un clúster HA de Sophos Firewall?

Sophos Firewall

Para una solución de alta disponibilidad, puedes ejecutar Sophos Firewall en un clúster HA. Esto garantiza que, en caso de fallo de hardware, el segundo firewall pueda tomar el relevo y tu red siga funcionando sin problemas.

Requisitos

Para crear un clúster de Sophos Firewall, debes seguir algunas reglas:

Dispositivos Sophos Firewall

  • Deben ser exactamente los mismos dispositivos Sophos Firewall (modelo, revisión, firmware).
  • No se pueden agrupar aparatos diferentes (por ejemplo, XGS 136 y XGS 2100).
  • No se pueden agrupar revisiones diferentes (por ejemplo, XG 210 Rev. 2 y XG 210 Rev. 3.).
  • No se pueden agrupar modelos W como (XGS 87w, 107w, 116w, 126w, 136w).
  • Una pregunta frecuente es también si un dispositivo de hardware y un dispositivo virtual funcionan como un clúster. No.

Dos variantes diferentes

Puedes elegir entre dos tipos de clústeres de alta disponibilidad para conectar tus dos Sophos Firewall:

Clúster activo / pasivo (recomendado)

En esta configuración de clúster, hay un cortafuegos activo que procesa todo el tráfico de datos y proporciona las funciones de seguridad necesarias. El cortafuegos pasivo está en modo de espera y espera un fallo del cortafuegos activo.

Si el cortafuegos activo falla o funciona mal, el cortafuegos pasivo asume automáticamente el papel del activo y garantiza que el tráfico de red siga estando protegido y filtrado. La interrupción es inferior a un minuto y se pierden de 1 a 4 pings durante un cambio planificado, como un reinicio o una actualización de software.

En esta configuración de clúster de alta disponibilidad de Sophos Firewall, sólo el dispositivo activo necesita una licencia. Esta es una de las razones por las que el 100% de nuestros clientes eligen esta solución.

Clúster activo / activo

También en este caso, los dos firewalls están conectados entre sí a través de un puerto HA. Sin embargo, el tráfico se enruta a través de ambos firewalls, por lo que se reparte la carga. Con este tipo de clúster también se necesita una licencia para el segundo dispositivo. Si, por ejemplo, se utiliza una licencia Xstream Protection en el firewall principal, el nodo 2 también necesitará una licencia Xstream Protection.

Información: Si quieres crear un clúster activo / activo para aumentar el rendimiento, debes tener en cuenta que no todas las funciones pueden distribuirse en este modo, por ejemplo VPN. Por tanto, no puedes esperar un aumento de rendimiento del 100 %. Según Sophos, añadir un firewall adicional aumenta el rendimiento aproximadamente un 50 %. En lugar del 100 % inicial, dispondrás después de alrededor del 150 % de potencia.

Más información

Sophos ofrece información completa sobre la configuración y gestión de clústeres de alta disponibilidad (HA) de Sophos Firewall. Allí encontrarás una introducción a la funcionalidad HA, sus ventajas y los distintos modos, así como instrucciones detalladas para configurar, gestionar y supervisar clústeres HA. También se explican los requisitos previos, la arquitectura subyacente, el funcionamiento y la actualización del firmware en modo HA para proteger de forma óptima un entorno de firewall. Documentación sobre alta disponibilidad de Sophos Firewall