Welche Varianten für ein Sophos Firewall HA Cluster gibt es?

Für eine hochverfügbare Lösung, kannst du deine Sophos Firewall in einem HA Cluster betreiben. Dadurch sorgst du vor, dass im Falle eines Hardwareausfalls die zweite Firewall die Aufgaben übernehmen kann und dein Netzwerk weiter ohne Probleme funktioniert.

Voraussetzungen

Um ein Sophos Firewall Cluster zu erstellen, musst du ein paar Regeln beachten:

Sophos Firewall Appliances

• Es müssten exakt die gleichen Sophos Firewall Appliances sein (Modell, Revision, Firmware)
• Es können keine unterschiedlichen Appliances geclustert werden (z. B. XGS 136 und XGS 2100)
• Es können keine unterschiedlichen Revisionen geclustert werden (z. B. XG 210 Rev. 2 und XG 210 Rev. 3.)
• Es können keine W-Modelle geclustert werden wie z. B. (XGS 87w, 107w, 116w, 126w, 136w)
• Eine oft gestellte Frage ist auch, ob eine Hardware Appliance und eine virtuelle Appliance als Cluster funktionieren. Nein.

Zwei unterschiedliche Varianten

Du kannst zwischen zwei verschiedenen Arten von High Availability Clustern wählen, um deine zwei Sophos Firewalls miteinander zu verbinden:

Active / Passive Cluster (Empfohlen)

In dieser Cluster-Konfiguration gibt es eine aktive Firewall, die den gesamten Datenverkehr verarbeitet und die erforderlichen Sicherheitsfunktionen bereitstellt. Die passive Firewall befindet sich im Standby-Modus und wartet auf einen Ausfall der aktiven Firewall.

Wenn die aktive Firewall ausfällt oder eine Fehlfunktion aufweist, übernimmt die passive Firewall automatisch die Rolle der aktiven Firewall und stellt sicher, dass der Netzwerkverkehr weiterhin geschützt und gefiltert wird. Der Unterbruch beträgt unter einer Minute und bei einem geplanten Wechsel wie z.B. einem Reboot oder Software-Update verliert man 1–4 Pings.

Bei dieser Sophos Firewall High Availability Cluster Konfiguration benötigt nur die aktive Appliance eine Lizenz. Dies ist unter anderem der Grund, wieso sich 100 % unserer Kunden für diese Lösung entscheiden.

Active / Active Cluster

Auch hier werden die zwei Firewalls über einen HA-Port miteinander verbunden. Der Traffic wird jedoch über beide Firewalls geleitet. Es findet also ein Load Balancing statt. Bei dieser Art von Cluster wird auch für die zweite Hardware eine Lizenz benötigt. Läuft also auf der Primary-Firewall z. B. eine Xstream Protection Lizenz, benötigt auch die Node2-Firewall eine Xstream Protection Lizenz.

Info: Falls du ein Active-Active Cluster machen möchtest, um eine Leistungssteigerung zu bewirken, musst du wissen, dass bei einem Active-Active Cluster nicht sämtliche Funktionen verteilt werden können (wie z. B. bei VPN). Du kannst also keine Leistungssteigerung von 100 % erwarten. Gemäss Sophos beträgt die Leistungssteigerung beim Hinzufügen einer zusätzlichen Firewall ungefähr 50 %. Anstelle 100 % Leistung stehen dir nachher ca. 150 % Leistung zur Verfügung.

Mehr Informationen

Sophos bietet umfassende Informationen zur Konfiguration und Verwaltung von High Availability (HA)-Clustern der Sophos Firewall. Hier finden Sie eine Einführung in die HA-Funktionalität, ihre Vorteile und die verschiedenen HA-Modi sowie detaillierte Anleitungen zur Konfiguration, Verwaltung und Überwachung von HA-Clustern. Erfahren Sie mehr über die Voraussetzungen, die zugrundeliegende Architektur, den Betrieb und das Firmware-Upgrade im HA-Modus, um eine Firewall-Umgebung optimal abzusichern. Sophos Firewall High Availability-Dokumentation