Quelles sont les variantes d’un cluster Sophos Firewall HA ?

Pour une solution à haute disponibilité, tu peux exécuter ton Sophos Firewall dans un cluster HA. Ainsi, en cas de panne matérielle, le deuxième pare-feu peut prendre le relais et ton réseau peut continuer à fonctionner sans problème.

Conditions préalables

Pour créer un cluster Sophos Firewall, tu dois respecter quelques règles :

Appliances Sophos Firewall

• Il devrait s’agir exactement des mêmes Sophos Firewall Appliances (modèle, révision, firmware).
• Il n’est pas possible de mettre en cluster des appliances différentes (par exemple, XGS 136 et XGS 2100).
• Il n’est pas possible de clusteriser des révisions différentes (par ex. XG 210 rév. 2 et XG 210 rév. 3).
• Il n’est pas possible de clusteriser des modèles W comme par exemple (XGS 87w, 107w, 116w, 126w, 136w).
• Une question souvent posée est également de savoir si une appliance matérielle et une appliance virtuelle fonctionnent en tant que cluster. Non.

Deux variantes différentes

Tu peux choisir entre deux types de clusters haute disponibilité pour relier tes deux Sophos Firewall :

Active / Passive Cluster (Recommandé)

Dans cette configuration en cluster, il y a un pare-feu actif qui traite tout le trafic de données et fournit les fonctions de sécurité nécessaires. Le pare-feu passif est en mode veille et attend une panne du pare-feu actif.

Si le pare-feu actif tombe en panne ou présente un dysfonctionnement, le pare-feu passif prend automatiquement le relais du pare-feu actif et veille à ce que le trafic réseau continue d’être protégé et filtré. L’interruption est inférieure à une minute et lors d’un changement planifié comme un redémarrage ou une mise à jour du logiciel, on perd 1 à 4 pings.

Dans cette configuration Sophos Firewall High Availability Cluster, seule l’appliance active nécessite une licence. C’est entre autres la raison pour laquelle 100 % de nos clients optent pour cette solution.

Active / Active Cluster

Ici aussi, les deux pare-feux sont reliés entre eux par un port HA. Le trafic est toutefois acheminé via les deux pare-feux. Il y a donc un load balancing. Dans ce type de cluster, une licence est également nécessaire pour le deuxième matériel. Par conséquent, si le pare-feu primaire dispose d’une licence Xstream Protection, le pare-feu Node2 aura également besoin d’une licence Xstream Protection.

Info : Si tu souhaites faire un cluster actif-actif pour améliorer les performances, tu dois savoir qu’avec un cluster actif-actif, toutes les fonctions ne peuvent pas être distribuées (comme par exemple avec VPN). Tu ne peux donc pas t’attendre à une augmentation des performances de 100 %. Selon Sophos, l’ajout d’un pare-feu supplémentaire augmente les performances d’environ 50 %. Au lieu de 100 % de puissance, tu disposeras ensuite d’environ 150 % de puissance.

Plus d’informations

Sophos fournit des informations complètes sur la configuration et l’administration des clusters de haute disponibilité (HA) de Sophos Firewall. Vous trouverez ici une introduction à la fonctionnalité HA, à ses avantages et aux différents modes HA, ainsi que des instructions détaillées sur la configuration, la gestion et la surveillance des clusters HA. Découvrez les conditions préalables, l’architecture sous-jacente, le fonctionnement et la mise à niveau du micrologiciel en mode HA afin de sécuriser au mieux un environnement de pare-feu. Documentation Sophos Firewall High Availability