Quali varianti sono disponibili per un cluster Sophos Firewall HA?
Per una soluzione ad alta disponibilità, è possibile eseguire il Sophos Firewall in un cluster HA. In questo modo si garantisce che, in caso di guasto hardware, il secondo firewall possa subentrare e la rete continui a funzionare senza problemi.
Requisiti
Per creare un cluster di Sophos Firewall, è necessario seguire alcune regole:
Appliance Sophos Firewall
- Devono essere esattamente le stesse appliance Sophos Firewall (modello, revisione, firmware).
- Non è possibile raggruppare apparecchi diversi (ad esempio, XGS 136 e XGS 2100).
- Non è possibile raggruppare revisioni diverse (ad esempio, XG 210 Rev. 2 e XG 210 Rev. 3).
- Non è possibile raggruppare modelli W come (XGS 87w, 107w, 116w, 126w, 136w).
- Una domanda frequente è anche se un’appliance hardware e un’appliance virtuale funzionano come un cluster. No.
Due diverse varianti
È possibile scegliere tra due diversi tipi di cluster ad alta disponibilità per collegare i due Sophos Firewall:
Cluster attivo/passivo (consigliato)
In questa configurazione del cluster, è presente un firewall attivo che elabora tutto il traffico dati e fornisce le necessarie funzioni di sicurezza. Il firewall passivo è in modalità standby e attende un guasto del firewall attivo.
In caso di guasto o malfunzionamento del firewall attivo, il firewall passivo ne assume automaticamente il ruolo, garantendo la protezione e il filtraggio del traffico di rete. L’interruzione è inferiore a un minuto e si perdono 1-4 ping durante un cambiamento pianificato, come un riavvio o un aggiornamento del software.
In questa configurazione di Sophos Firewall High Availability Cluster, solo l’appliance attiva richiede una licenza. Questo è uno dei motivi per cui il 100% dei nostri clienti sceglie questa soluzione.
Attivo / Cluster attivo
Anche in questo caso, i due firewall sono collegati tra loro tramite una porta HA. Tuttavia, il traffico viene instradato attraverso entrambi i firewall. Il bilanciamento del carico ha quindi luogo. Con questo tipo di cluster, è necessaria una licenza anche per il secondo hardware. Se, ad esempio, una licenza Xstream Protection è in esecuzione sul firewall primario, anche il firewall Node2 richiede una licenza Xstream Protection.
Info: Se si desidera creare un cluster attivo per aumentare le prestazioni, è necessario sapere che non tutte le funzioni possono essere distribuite con un cluster attivo (come nel caso della VPN). Quindi non ci si può aspettare un aumento del 100% delle prestazioni. Secondo Sophos, l’aumento delle prestazioni con l’aggiunta di un firewall supplementare è di circa il 50%. Invece del 100 % di potenza, in seguito si avrà a disposizione circa il 150 % di potenza.
Ulteriori informazioni
Sophos fornisce informazioni complete sulla configurazione e la gestione dei cluster Sophos Firewall High Availability (HA). Qui troverete un’introduzione alla funzionalità HA, ai suoi vantaggi e alle diverse modalità HA, oltre a istruzioni dettagliate su come configurare, gestire e monitorare i cluster HA. Ulteriori informazioni sui prerequisiti, l’architettura di base, il funzionamento e l’aggiornamento del firmware in modalità HA per proteggere in modo ottimale un ambiente firewall. Documentazione di Sophos Firewall High Availability