Przejdz do tresci
Avanet

Jakie warianty klastra HA Sophos Firewall są dostępne?

Sophos Firewall

Dla wysokiej dostępności można uruchomić Sophos Firewall w klastrze HA. Dzięki temu w przypadku awarii sprzętu drugie urządzenie przejmuje zadania, a sieć dalej działa bez większych zakłóceń.

Wymagania

Aby utworzyć klaster Sophos Firewall, trzeba przestrzegać kilku zasad:

Sophos Firewall Appliances

  • Muszą to być dokładnie takie same urządzenia Sophos Firewall (model, rewizja, firmware)
  • Nie można łączyć w klaster różnych urządzeń, na przykład XGS 136 i XGS 2100
  • Nie można klastrować różnych rewizji, na przykład XG 210 Rev. 2 i XG 210 Rev. 3
  • Nie można klastrować modeli W, takich jak XGS 87w, 107w, 116w, 126w, 136w
  • Często pojawia się też pytanie, czy urządzenie sprzętowe i instancja wirtualna mogą działać jako klaster. Nie.

Dwa różne warianty

Możesz wybrać między dwoma typami klastrów High Availability, aby połączyć ze sobą dwa firewalle Sophos:

Active / Passive Cluster (zalecane)

W tej konfiguracji klastra działa aktywny firewall, który przetwarza cały ruch sieciowy i udostępnia wymagane funkcje bezpieczeństwa. Pasywny firewall pozostaje w trybie standby i czeka na ewentualną awarię aktywnego urządzenia.

Jeśli aktywny firewall ulegnie awarii albo wystąpi błąd działania, pasywny firewall automatycznie przejmuje jego rolę i zapewnia dalszą ochronę oraz filtrowanie ruchu sieciowego. Przerwa trwa poniżej minuty, a przy planowanym przełączeniu, na przykład po restarcie lub aktualizacji oprogramowania, traci się zwykle 1-4 pingi.

W tej konfiguracji klastra Sophos Firewall High Availability licencji potrzebuje tylko aktywne urządzenie. To między innymi powód, dla którego 100 % naszych klientów wybiera to rozwiązanie.

Active / Active Cluster

Także tutaj dwa firewalle są połączone ze sobą przez port HA. Ruch jest jednak kierowany przez oba urządzenia, czyli działa load balancing. W tym typie klastra licencja jest potrzebna również dla drugiego urządzenia. Jeśli więc na Primary Firewall działa na przykład licencja Xstream Protection, Node2 Firewall także potrzebuje licencji Xstream Protection.

Informacja: Jeśli chcesz utworzyć Active-Active Cluster, aby zwiększyć wydajność, musisz wiedzieć, że w klastrze Active-Active nie wszystkie funkcje mogą być rozdzielone, na przykład VPN. Nie można więc oczekiwać wzrostu wydajności o 100 %. Według Sophos wzrost wydajności po dodaniu dodatkowego firewalla wynosi około 50 %. Zamiast 100 % wydajności dostępne jest później około 150 %.

Więcej informacji

Sophos udostępnia obszerne informacje o konfiguracji i zarządzaniu klastrami High Availability (HA) Sophos Firewall. Znajdziesz tam wprowadzenie do funkcji HA, jej zalety, różne tryby HA oraz szczegółowe instrukcje konfiguracji, zarządzania i monitorowania klastrów HA. Dowiesz się więcej o wymaganiach, architekturze, działaniu i aktualizacji firmware w trybie HA, aby optymalnie zabezpieczyć środowisko firewall. Dokumentacja Sophos Firewall High Availability