Quali varianti sono disponibili per un cluster Sophos Firewall HA?

Per una soluzione ad alta disponibilità, è possibile eseguire il Sophos Firewall in un cluster HA. In questo modo si garantisce che, in caso di guasto hardware, il secondo firewall possa subentrare e la rete continui a funzionare senza problemi.

Requisiti

Per creare un cluster di Sophos Firewall, è necessario seguire alcune regole:

Appliance Sophos Firewall

• Devono essere esattamente le stesse appliance Sophos Firewall (modello, revisione, firmware).
• Non è possibile raggruppare apparecchi diversi (ad esempio, XGS 136 e XGS 2100).
• Non è possibile raggruppare revisioni diverse (ad esempio, XG 210 Rev. 2 e XG 210 Rev. 3).
• Non è possibile raggruppare modelli W come (XGS 87w, 107w, 116w, 126w, 136w).
• Una domanda frequente è anche se un’appliance hardware e un’appliance virtuale funzionano come un cluster. No.

Due diverse varianti

È possibile scegliere tra due diversi tipi di cluster ad alta disponibilità per collegare i due Sophos Firewall:

Cluster attivo/passivo (consigliato)

In questa configurazione del cluster, è presente un firewall attivo che elabora tutto il traffico dati e fornisce le necessarie funzioni di sicurezza. Il firewall passivo è in modalità standby e attende un guasto del firewall attivo.

In caso di guasto o malfunzionamento del firewall attivo, il firewall passivo ne assume automaticamente il ruolo, garantendo la protezione e il filtraggio del traffico di rete. L’interruzione è inferiore a un minuto e si perdono 1-4 ping durante un cambiamento pianificato, come un riavvio o un aggiornamento del software.

In questa configurazione di Sophos Firewall High Availability Cluster, solo l’appliance attiva richiede una licenza. Questo è uno dei motivi per cui il 100% dei nostri clienti sceglie questa soluzione.

Attivo / Cluster attivo

Anche in questo caso, i due firewall sono collegati tra loro tramite una porta HA. Tuttavia, il traffico viene instradato attraverso entrambi i firewall. Il bilanciamento del carico ha quindi luogo. Con questo tipo di cluster, è necessaria una licenza anche per il secondo hardware. Se, ad esempio, una licenza Xstream Protection è in esecuzione sul firewall primario, anche il firewall Node2 richiede una licenza Xstream Protection.

Info: Se si desidera creare un cluster attivo per aumentare le prestazioni, è necessario sapere che non tutte le funzioni possono essere distribuite con un cluster attivo (come nel caso della VPN). Quindi non ci si può aspettare un aumento del 100% delle prestazioni. Secondo Sophos, l’aumento delle prestazioni con l’aggiunta di un firewall supplementare è di circa il 50%. Invece del 100 % di potenza, in seguito si avrà a disposizione circa il 150 % di potenza.

Ulteriori informazioni

Sophos fornisce informazioni complete sulla configurazione e la gestione dei cluster Sophos Firewall High Availability (HA). Qui troverete un’introduzione alla funzionalità HA, ai suoi vantaggi e alle diverse modalità HA, oltre a istruzioni dettagliate su come configurare, gestire e monitorare i cluster HA. Ulteriori informazioni sui prerequisiti, l’architettura di base, il funzionamento e l’aggiornamento del firmware in modalità HA per proteggere in modo ottimale un ambiente firewall. Documentazione di Sophos Firewall High Availability