Welche Varianten für ein Sophos Firewall HA Cluster gibt es?

Für eine hochverfügbare Lösung, kannst du deine Sophos SG oder XG Firewall in einem Cluster betreiben. Dadurch sorgst du vor, dass im Falle eines Hardwareausfalls die zweite Firewall die Aufgaben übernehmen kann und dein Netzwerk weiter ohne Probleme funktioniert.

Voraussetzungen

Um ein Cluster zwischen zwei SG oder XG Firewalls zu erstellen, musst du ein paar Regeln beachten:

  • Es können keine unterschiedlichen Appliances geclustert werden (z. B. XG 135 und XG 210)
  • Es können keine unterschiedlichen Revisions geclustert werden (z. B. XG 210 Rev. 2 und XG 210 Rev. 3.)
  • Es können keine W-Modelle geclustert werden (SG/XG 85w, 105w, 115w, 125w, 135w)

Zwei unterschiedliche Varianten

Du kannst zwischen zwei verschiedenen Arten von Clustern wählen, um deine zwei Sophos Firewalls miteinander zu verbinden:

Active / Passive Cluster

Das “Active / Passive” Cluster ist die günstigere Variante und reicht in den meisten Fällen auch aus. Die zwei Firewalls werden dabei direkt über einen HA-Port miteinander verbunden und bei einem Ausfall des Masters, übernimmt dann die zweite Firewall innert weniger Sekunden. Der Unterbruch beträgt unter einer Minute.

Active / Active Cluster

Das “Active / Active” Cluster ist die Luxusvariante. Auch hier werden die zwei Firewalls über einen HA-Port miteinander verbunden. Der Traffic wird jedoch über beide Firewalls geleitet. Es findet also ein Load-Balancing statt. Bei dieser Art von Cluster wird auch für die zweite Hardware eine Lizenz benötigt. Läuft also auf der Master-Firewall z. B. eine FullGaurd Lizenz, benötigt auch die Slave-Firewall eine FullGaurd Lizenz.

Info: Falls du ein Active-Active Cluster machen möchtest, um eine Leistungssteigerung zu bewirken, musst du wissen, dass bei einem Active-Active Cluster nicht sämtliche Funktionen verteilt werden können (wie z. B. bei VPN). Du kannst also keine Leistungssteigerung von 100% erwarten. Gemäss Sophos beträgt die Leistungssteigerung beim Hinzufügen einer zusätzlichen Firewall ungefähr 50%. Anstelle 100% Leistung stehen dir nachher ca. 150% Leistung zur Verfügung.