Configurar Alta Disponibilidade (HA) no Sophos Firewall
Alta Disponibilidade, ou HA, conecta dois Sophos Firewalls em um cluster. O objetivo não é tornar um único firewall indestrutível, mas sim controlar a falha de um dispositivo, de portas críticas individuais ou de manutenções planeadas.
Um ambiente HA não substitui um bom design de rede, backups adequados e processos de manutenção documentados. Um cluster mal planeado pode ser mais difícil de operar em caso de falha do que um único firewall. Este artigo explica não apenas onde ativar o HA, mas como planear, configurar, operar e verificar um cluster HA do Sophos Firewall de forma eficaz.
Índice
- Resumo Rápido
- Guias em vídeo
- O que significa Alta Disponibilidade no Sophos Firewall
- Active-Passive ou Active-Active
- Funções, Estado e Arquitetura
- Requisitos
- Planeamento e Design
- Preparar a Configuração
- Configurar Active-Passive com QuickHA
- Configurar Active-Active com QuickHA
- Configuração Manual de HA
- Validar o Cluster
- Operação e Manutenção
- Atualizações de Firmware e Backups
- Resolução de Problemas
- Listas de Verificação de Melhores Práticas
Resumo Rápido
Na maioria dos ambientes produtivos, Active-Passive é a melhor opção de HA. Um firewall processa todo o tráfego, enquanto o segundo está pronto para assumir em caso de falha ou manutenção. O design é mais simples, a licença é mais econômica e o comportamento em caso de falha é mais fácil de entender.
Active-Active só vale a pena quando os limites e restrições são aceites conscientemente. Não é um load balancing simétrico clássico, em que ambas as firewalls estão igualmente posicionadas em todas as partes da rede. A Primary Firewall continua a receber o tráfego e distribui certas ligações para a Auxiliary Firewall. Nem todos os serviços e tipos de tráfego são distribuídos.
| Pergunta | Recomendação |
|---|---|
| Máxima estabilidade e facilidade de operação | Active-Passive |
| Usar o segundo firewall sem licença de proteção separada | Active-Passive |
| Necessidade de mais throughput para certas conexões TCP | Verificar Active-Active |
| Muitos casos de VPN, Proxy, RED, NDR ou especiais | Preferir Active-Passive |
| Ambiente pequeno ou médio sem problema claro de desempenho | Active-Passive |
| Requisito claro de desempenho e licenciamento adequado para ambos os dispositivos | Active-Active após teste |
Guias em vídeo
Os Sophos Techvids seguintes mostram visualmente HA no Sophos Firewall. Os vídeos não substituem um planeamento correto, mas ajudam a compreender melhor QuickHA, funções, estados e o comportamento básico de um cluster HA.
O que significa Alta Disponibilidade no Sophos Firewall
Um cluster HA do Sophos Firewall consiste em dois firewalls. Os dispositivos trocam heartbeats, estado do dispositivo, informações de conexão e dados de configuração através de um link HA dedicado. A configuração é sincronizada do Firewall Primário para o Firewall Auxiliar.
HA protege contra falhas típicas:
- Falha do Firewall Primário
- Falha de energia ou hardware
- Falha de uma interface monitorizada
- Problema de software ou serviço que torna um dispositivo inoperante
- Atualizações de firmware planeadas
- Troca de função planeada durante a manutenção
No entanto, HA não resolve todos os problemas:
- Uma regra de firewall incorreta permanece incorreta mesmo no cluster.
- Uma falha de switch comum pode afetar ambos os firewalls simultaneamente.
- Um design de VLAN defeituoso ou um conceito de roteamento incorreto não será corrigido automaticamente.
- Logs e relatórios não são totalmente sincronizados entre os dois firewalls.
- Um backup continua sendo obrigatório.
Quem planeia HA deve primeiro esclarecer os fundamentos para zonas, interfaces, VLANs, LAGs e bridges. Para isso é adequado o guia Planear e configurar zonas e interfaces do Sophos Firewall.
Active-Passive ou Active-Active
Active-Passive
No modo Active-Passive, um firewall processa todo o tráfego produtivo. O segundo firewall é passivo e só assume quando o firewall ativo falha ou um failover é acionado manualmente ou por manutenção.
Características típicas:
- O Firewall Primário processa o tráfego.
- O Firewall Auxiliar permanece em standby.
- Sessões são sincronizadas, na medida em que o serviço respectivo suporta.
- Apenas o dispositivo com licença precisa das assinaturas de proteção em appliances de hardware.
- O Firewall Auxiliar assume no failover com o mesmo endereço MAC virtual.
- Dispositivos de rede geralmente não precisam reaprender suas vizinhanças.
Active-Passive é geralmente a melhor escolha para ambientes corporativos clássicos, filiais, data centers e ambientes onde a estabilidade é mais importante do que um possível ganho de desempenho.
Active-Active
No modo Active-Active, ambos os firewalls processam tráfego. No entanto, a arquitetura permanece assimétrica: o Firewall Primário recebe o tráfego e decide se processa uma conexão por si mesmo ou a encaminha para o Firewall Auxiliar.
A Sophos usa, entre outras coisas, o endereço IP de origem para a distribuição. Conexões TCP de endereços IP de origem pares são tipicamente processadas no Primário, enquanto endereços IP de origem ímpares podem ser encaminhados para o Auxiliar. Tráfego não-TCP e certos serviços não são distribuídos igualmente.
Características típicas:
- Ambos os firewalls podem processar tráfego.
- O Firewall Primário permanece o ponto de entrada central.
- Ambos os firewalls precisam de licenças adequadas.
- Nem todos os serviços são distribuídos.
- Logs e relatórios são gerados no dispositivo que processa o tráfego respectivo.
- A resolução de problemas se torna mais complexa, pois conexões podem terminar em ambos os nós.
Active-Active é útil quando há um objetivo claro de desempenho e foi testado previamente se o tráfego relevante é realmente distribuído. Para alta disponibilidade pura, Active-Passive geralmente é mais limpo.
Funções, Estado e Arquitetura
Funções no Cluster HA
| Termo | Significado |
|---|---|
| Primário | Dispositivo que mantém a configuração central do cluster. Em ambos os modos HA, o Primário recebe o tráfego. |
| Auxiliar | Segundo dispositivo no cluster. Sincroniza a configuração do Primário e assume quando necessário. |
| Primário inicial | O dispositivo que foi iniciado como Primário durante a configuração. Em Active-Passive, geralmente é também o dispositivo com licença. |
| Primário preferido | Dispositivo preferido que deve se tornar Primário novamente após um failover, assim que estiver disponível de forma estável. |
Valores de Estado em Operação
| Estado | Significado |
|---|---|
| Ativo | O dispositivo processa tráfego. |
| Passivo | O dispositivo está pronto, mas não processa tráfego produtivo em Active-Passive. |
| Autônomo | O dispositivo não vê o par ou o HA não está totalmente ativo. Em caso de problemas no HA-Link, ambos os dispositivos podem se tornar autônomos. |
| Defeituoso | O dispositivo não está saudável o suficiente para participar normalmente do cluster. |
Endereço MAC Virtual
O Sophos Firewall usa endereços MAC virtuais para as interfaces produtivas no cluster HA. Apenas o Primário responde a solicitações ARP para o cluster. Em um failover, o Auxiliar assume esse endereço MAC virtual. Isso mantém a acessibilidade para switches, roteadores e clientes mais estável, pois a associação IP e MAC não muda fundamentalmente.
Importante é o ID do Cluster. Este ID é usado para o endereço MAC virtual. Se vários clusters HA forem operados no mesmo ambiente de camada 2, cada cluster deve ter um ID de cluster exclusivo. Caso contrário, podem ocorrer conflitos de MAC.
O que é Sincronizado
| Área | Sincronização |
|---|---|
| Regras de firewall, políticas, objetos, roteamento, configuração CLI | Sincronizado do Primário para o Auxiliar. |
| Sessões ativas | Sincronizadas dependendo do protocolo e serviço. |
| Chave Mestra de Armazenamento Seguro e credenciais de acesso ao WebAdmin | Sincronizadas. |
| Link HA dedicado | Não é sincronizado como configuração de interface produtiva normal. |
| Porta de Administração do Par | Tratada separadamente e não sincronizada como uma interface normal. |
| Logs e Relatórios | Não são sincronizados entre os dispositivos. |
Comportamento de Failover
Um failover pode ser acionado por vários eventos:
- ausência de heartbeats pelo HA-Link
- falha de uma porta monitorizada
- falha de energia
- falha de hardware
- problema de software ou serviço
- troca de função planeada
- atualização de firmware
Os heartbeats ocorrem através do HA-Link dedicado. Por padrão, são usados intervalos muito curtos. Se vários heartbeats consecutivos estiverem ausentes, o par é considerado inacessível. A seguir, o firewall verifica o estado e executa a troca de função.
Em um failover, muitas conexões são continuadas ou rapidamente restabelecidas. No entanto, um failover não é totalmente transparente para todas as aplicações. Conexões TCP stateful, sessões web, conexões proxy ou certos cenários de VPN podem ser interrompidos brevemente ou precisar ser restabelecidos.
Balanceamento de Carga em Active-Active
Active-Active não significa que ambos os firewalls estão posicionados como dois roteadores iguais na rede. O Firewall Primário permanece o ponto de entrada central e distribui certas conexões para o Firewall Auxiliar.
Pontos importantes:
- O balanceamento de carga só existe em Active-Active.
- O método não pode ser ajustado livremente.
- Balanceadores de carga externos antes de um cluster HA não são usados como design padrão pela Sophos para esta lógica de HA.
- Nem todo tráfego é distribuído.
- Tráfego não-TCP, SD-RED, tráfego tunelado e algumas funções de camada 7 podem ser tratadas de forma diferente.
- A resolução de problemas deve incluir ambos os nós.
Na prática, Active-Active só deve ser usado se estiver claro previamente qual tráfego está causando o gargalo e se esse tráfego é realmente distribuído.
Serviços Suportados e Restrições
O HA da Sophos suporta a maioria dos serviços de firewall. No entanto, alguns serviços têm particularidades.
| Serviço ou Função | Observação |
|---|---|
| Regras de Firewall e NAT | Sincronizadas. Em Active-Active, é importante saber qual nó processa uma conexão. |
| VPN | Muitos cenários de VPN funcionam com HA, mas nem todo tipo de sessão é transferido sem interrupção. IPsec pode assumir UDP/ICMP sem estado melhor do que TCP com estado. |
| Proteção Web | Funciona no cluster. Em Active-Active, alertas podem vir de ambos os nós. |
| Proteção de Email | Quarentena e liberação podem ser específicas do nó, pois cada dispositivo armazena dados para o tráfego de email processado. |
| Controle de Aplicação Sincronizado | Não é adequado para Active-Active se a função não for suportada na versão SFOS usada. |
| NDR Essentials | Planear apenas com Active-Passive para ambientes HA. |
| sFlow | Funciona em ambientes HA apenas no Primário. |
| Relatórios | Relatórios locais são gerados por dispositivo. Relatórios consolidados são mais adequados através do Sophos Central Firewall Reporting. |
| WAN Celular | Deve ser desativado para HA. |
| Modelos Wi-Fi XGS | HA não é suportado em modelos Wi-Fi XGS. |
Se relatórios ou armazenamento de logs forem importantes, deve-se planear antecipadamente se um servidor Syslog externo ou o Sophos Central Firewall Reporting será usado. Mais informações estão em Ativar Central Firewall Reporting.
Requisitos
Antes da implementação, deve-se verificar cuidadosamente os requisitos de HA em relação ao próprio ambiente. Especialmente igualdade de modelo, versão de firmware, interfaces, WAN Celular e plataformas virtuais são pontos onde pequenas diferenças podem ter grandes impactos mais tarde.
Compatibilidade de Hardware e Modelo
| Requisito | Exigência |
|---|---|
| Modelo de Appliance | Ambos os firewalls devem ser do mesmo modelo XGS, por exemplo, XGS 2100 com XGS 2100. |
| Revisão de Hardware | Revisões de hardware diferentes são possíveis no mesmo modelo XGS. |
| Modelos Wi-Fi XGS | Não suportados. Exemplos são XGS 126w ou XGS 136w. |
| Módulos Flexi Port | Se módulos de expansão forem usados, o número de portas Flexi deve ser o mesmo em ambos os dispositivos. |
| Firmware | Ambos os dispositivos devem usar a mesma versão SFOS, incluindo o Maintenance Release e o Build. |
| Hardware mais Appliance Virtual | Não é possível como um par HA. |
Appliances Virtuais e de Software
Appliances virtuais ou de software também devem ser muito bem compatíveis entre si.
| Requisito | Exigência |
|---|---|
| Plataforma | Mesmo tipo de appliance e mesma plataforma SFOS. |
| Hypervisor | Mesmo tipo de hypervisor. |
| Recursos | Mesmos núcleos de CPU, recursos comparáveis e mesmo número de interfaces de rede. |
| Firmware | Mesma versão SFOS, incluindo o Build. |
| Endereços MAC | Em ambientes virtuais, a opção para endereços MAC atribuídos pelo hypervisor pode ser relevante para que o modo promíscuo não seja necessário. Uma alteração causa downtime. |
Implantações em Nuvem
Em ambientes de nuvem, aplicam-se requisitos adicionais de plataforma. Roteamento, interfaces virtuais, endereços IP, grupos de segurança, UDRs ou mecanismos de failover específicos da nuvem devem se adequar ao design de nuvem respectivo. A abordagem normal de HA de appliance não pode ser transferida sem verificação para Azure, AWS ou outros ambientes de nuvem.
Se um Sophos Firewall for operado na nuvem, deve-se verificar a documentação atual da Sophos para a plataforma respectiva e a arquitetura de rede da nuvem antes de planear o HA.
Licenciamento e Registro
O licenciamento de HA varia conforme a plataforma e o modo HA. Três perguntas são decisivas: Trata-se de hardware ou virtual/software? Está sendo usado Active-Passive ou Active-Active? E qual dispositivo é o Primário Inicial, ou seja, o dispositivo que mantém a licença para o cluster? Esses pontos devem ser verificados antes da implementação com o estado da licença, números de série e modo alvo.
| Cenário | Requisito de Licença |
|---|---|
| Base Firewall | Para HA, é necessária uma licença Base Firewall. Appliances de hardware têm essa licença por padrão. Em appliances virtuais/software, deve ser licenciada adequadamente. |
| Active-Passive Hardware | Apenas o dispositivo Primário Inicial precisa das assinaturas produtivas. O Firewall Auxiliar recebe uma cópia das assinaturas e pode processar tráfego após um failover. |
| Active-Active Hardware | Ambos os firewalls precisam de suas próprias licenças adequadas. Os tipos de licença devem corresponder, mas as datas de expiração podem ser diferentes. |
| Active-Passive Virtual/Software | Apenas o Primário precisa das licenças necessárias, incluindo a Base Firewall. |
| Active-Active Virtual/Software | Ambos os dispositivos precisam de uma licença Base Firewall própria e de outras licenças de proteção adequadas. |
| Registro de Hardware | Ambos os dispositivos de hardware devem ser conhecidos no Sophos Central ou no portal de licenciamento da Sophos e poder sincronizar suas licenças. |
| Registro Virtual/Software Active-Passive | Em Active-Passive Virtual/Software, apenas o Primário é reivindicado, segundo a Sophos. |
| Gestão Sophos Central | Sincronização de licença e claim não significam automaticamente que as firewalls também são geridas pelo Sophos Central Firewall Management. Para isso, é necessária uma subscrição adicional adequada. |
| RMA e Suporte | Para troca de hardware e substituição avançada, o estado de suporte é importante. Em Active-Passive Hardware, a Sophos menciona o Enhanced Plus Support no dispositivo Primário como um requisito relevante para a substituição avançada de hardware. Em Active-Active, o estado de suporte deve ser adequado em ambos os dispositivos. |
Importante: Em Active-Passive, o Primário Inicial é particularmente importante, pois este dispositivo mantém a licença para o cluster. Na visão de HA, o dispositivo correspondente indica que mantém a licença para o cluster. Em caso de dúvida, o dispositivo deve ser documentado claramente no manual de operação.
Se as licenças em Active-Active não corresponderem, o balanceamento de carga para inicialmente, segundo a Sophos. Se a discrepância persistir por mais tempo, o HA pode ser desativado. Em uma configuração inicial, o HA Active-Active não é ativado corretamente com licenças incompatíveis. Portanto, uma verificação de licença é obrigatória na rotina de operação.
Em appliances virtuais/software, a licença Base Firewall é particularmente crítica. Se for desativada ou se o Primário Inicial não puder sincronizar a licença por um longo período, o HA pode ser desativado e outras funções de proteção se tornarão inativas. Aqui, é relevante uma sincronização com o servidor de licenças pelo menos uma vez a cada 90 dias. Para ambientes produtivos, isso significa que o cluster HA não só deve funcionar tecnicamente, mas também deve poder alcançar regularmente o servidor de licenças.
Para a operação, deve-se documentar pelo menos:
- qual dispositivo é o Primário Inicial
- quais números de série ou IDs de appliance pertencem ao cluster
- quais licenças estão ativas em qual dispositivo
- quando as licenças foram sincronizadas pela última vez
- qual nível de suporte está disponível para RMA ou substituição avançada
- quem aprova alterações de licença, renovações e processos de RMA
Requisitos de Rede
| Área | Recomendação |
|---|---|
| HA-Link | Conexão dedicada entre os dois firewalls, idealmente diretamente com cabo Ethernet. |
| Zona HA-Link | Zona DMZ com SSH ativado para a zona. |
| Endereços IP do HA-Link | Endereços IP estáticos na mesma sub-rede, mas endereços diferentes. |
| Qualidade do HA-Link | Alta largura de banda, baixa latência, sem perda de pacotes. |
| Switches | Ativar RSTP em switches conectados às portas do firewall. |
| Portas Monitorizadas | Monitorar apenas portas que estão realmente conectadas e são críticas. |
| WAN Celular | Desativar para HA. |
| Porta de Administração | Planear separadamente para que o Firewall Auxiliar permaneça acessível. |
O HA-Link não processa tráfego normal de cliente ou servidor. Ele é apenas para heartbeats, estado, sincronização de sessões, sincronização de configuração e distribuição Active-Active. No entanto, é extremamente crítico. Se o HA-Link falhar, ambos os firewalls podem acreditar que são Primários. Este cenário de split-brain deve ser evitado.
Portas e Interfaces
| Tipo de Porta | Propósito | Recomendação |
|---|---|---|
| Link HA dedicado | Heartbeat, estado, sincronização de configuração e sessão | Conectar diretamente ou através de switch muito confiável. Não usar para tráfego produtivo. |
| Portas monitorizadas | Monitorização de links produtivos críticos | Monitorar WAN, DMZ importante ou uplinks principais. Não selecionar portas não utilizadas. |
| Porta de Administração do Par | Acesso ao WebAdmin do Auxiliar | Planear e documentar separadamente. Cliente deve estar na sub-rede adequada. |
| Interfaces de Produção | LAN, WAN, DMZ, VLANs, LAGs | Conectar e projetar de forma idêntica em ambos os firewalls. |
Como link HA dedicado, são possíveis interfaces físicas, VLANs ou LAGs. Interfaces de ponte e endereços IP de alias não podem ser usados como link HA dedicado. Se um LAG for usado como link HA, as interfaces parent em ambas as appliances devem ser configuradas da mesma forma.
Planeamento e Design
Topologia Recomendada para Active-Passive
Um design típico de Active-Passive é assim:
- ambos os firewalls estão no mesmo rack ou em racks próximos
- todas as interfaces produtivas estão conectadas de forma idêntica
- WAN vai para switches redundantes ou transições de provedor bem documentadas
- LAN/DMZ vão para estruturas de switch redundantes
- o HA-Link está conectado diretamente
- um acesso de gestão ou administração separado é previsto
- portas WAN e principais/DMZ são definidas como portas monitorizadas
O ponto mais importante: o segundo firewall deve poder assumir a mesma posição de rede em caso de falha. Portanto, VLANs, trunks, LAGs, portas de switch e conexões de provedor devem ser planeados de forma consistente.
Topologia Recomendada para Active-Active
Active-Active requer a mesma limpeza física que Active-Passive, mas também uma expectativa clara sobre o tráfego distribuível.
Antes de Active-Active, deve-se responder:
- Qual tráfego é o gargalo?
- Esse tráfego é distribuído em Active-Active?
- Ambas as appliances estão totalmente e adequadamente licenciadas?
- Logs, relatórios e processos de resolução de problemas estão preparados para ambos os nós?
- Existem serviços como VPN, NDR, Controle de Aplicação Sincronizado ou cenários de proxy que falam contra Active-Active?
Sem uma resposta clara, Active-Passive é a melhor escolha.
LAN, WAN, DMZ e HA-Link
| Área | Dica de Design |
|---|---|
| LAN | Zonear redes internas de forma limpa. Planear VLANs não apenas tecnicamente, mas também em termos de segurança. |
| WAN | Conexão do provedor, gateways de failover e SD-WAN devem ser considerados separadamente do HA. HA não substitui um conceito de redundância WAN. |
| DMZ | Manter redes de servidores e publicações externas separadas de redes de clientes. |
| HA-Link | Conexão própria, endereçada estaticamente, zona DMZ, SSH permitido para DMZ. Não conduzir comunicação de utilizador ou servidor sobre isso. |
| Gestão | Restringir conscientemente o acesso de administração, Device Access e ACLs. |
Para proteger os serviços locais do firewall, veja Proteger o acesso ao Sophos Firewall: configurar corretamente o Device Access.
Requisitos de Switch
Switches são frequentemente o fator de risco invisível em HA. Um cluster HA só funciona tão bem quanto o ambiente de camada 2 abaixo dele.
Recomendações:
- Ativar RSTP nos switches envolvidos.
- Configurar trunks de forma idêntica em ambos os firewalls.
- Permitir VLANs de forma consistente em todas as portas envolvidas.
- Construir LAGs de forma idêntica.
- Não selecionar portas monitorizadas inacabadas ou não utilizadas.
- Conectar o HA-Link diretamente, se possível.
- Se o HA-Link passar por switches, o caminho deve ser estável, com baixa latência e sem perda de pacotes.
VLANs, LAGs, Pontes e RED
VLANs e LAGs são possíveis em HA, mas aumentam os requisitos de planeamento. O cluster HA não deve ser o primeiro lugar para experimentar um design de VLAN ou LAG.
| Tecnologia | Dica de HA |
|---|---|
| VLAN | Planear de forma idêntica em ambos os dispositivos. Observar a interface parent. VLAN como HA-Link é possível, mas apenas com design muito limpo. |
| LAG | Útil para uplinks principais ou conexão redundante de switch. As interfaces parent devem ser consistentes. |
| Ponte | HA no modo ponte é suportado, mas torna a resolução de problemas mais complexa. Para novos designs, o modo gateway geralmente é mais transparente. |
| RED | Cenários RED e remotos podem influenciar o HA, especialmente se redes forem estendidas entre locais. Desempenho, latência e padrões de erro devem ser verificados previamente. |
| VPN | O failover de VPN funciona de forma diferente dependendo do protocolo e tipo de sessão. IPsec e acesso remoto devem ser testados separadamente. |
Evitar Split-Brain
Split-brain significa que ambos os firewalls acreditam que são ativos ou autônomos responsáveis. Isso pode acontecer se o HA-Link falhar, mas os dispositivos ainda estiverem na rede de produção.
Medidas:
- Não conduzir o HA-Link por caminhos de switch inseguros ou instáveis.
- Preferir conexão direta para o HA-Link.
- Selecionar portas monitorizadas conscientemente.
- Configurar RSTP corretamente.
- Não usar cabeamento assimétrico.
- Verificar o estado do HA após cada alteração de switch ou VLAN.
- Ajustar valores de keepalive apenas com motivo.
Preparar a Configuração
Antes de configurar o HA, não improvise na rede de produção. Esta preparação economiza muito tempo depois.
Preparação de Ambos os Firewalls
- Trazer ambos os firewalls para a mesma versão SFOS, incluindo o Build.
- Verificar o estado de licença e registro.
- Desativar WAN Celular.
- Garantir que os modelos sejam compatíveis.
- Verificar a configuração de portas Flexi.
- Documentar interfaces e portas de switch.
- Definir a porta HA-Link.
- Conectar diretamente o HA-Link ou verificar o caminho do switch.
- Planear a zona DMZ e o acesso SSH para o HA-Link.
- Documentar o acesso de administração a ambos os dispositivos.
- Criar backup da configuração existente.
Backups não são opcionais em HA. Antes da configuração, antes de atualizações de firmware e antes de grandes alterações de interface, deve haver um backup. Os fundamentos estão em Criar ou restaurar backup do Sophos Firewall.
QuickHA ou Configuração Manual
| Método | Quando é útil |
|---|---|
| QuickHA | Caso padrão. Rápido, robusto e suficiente para a maioria das configurações Active-Passive e Active-Active. |
| Configuração Manual | Quando portas de administração, HA-Link, ID do Cluster, endereços de par e valores detalhados precisam ser definidos conscientemente. |
QuickHA reconhece o par através das interfaces HA-Link escolhidas. Assim que os dispositivos se encontram, o cluster é formado. A palavra-passe é usada para estabelecer o túnel SSH criptografado e depois não é tratada como uma palavra-passe reutilizável. Se um dispositivo for substituído, o HA deve ser desativado e reconfigurado.
Os passos descritos aqui seguem a configuração oficial de HA da Sophos, mas são formulados conscientemente como uma lista de verificação prática para administradores. Para alterações produtivas, não basta apenas seguir o assistente, mas documentar previamente funções, HA-Link, acesso de administração, backup, estado de licença e caminho de retorno.
Configurar Active-Passive com QuickHA
1. Preparar o Firewall Primário
- Faça login no WebAdmin do futuro Firewall Primário.
- Vá para System services > High availability.
- Escolha o modo Primary (active-passive).
- Use QuickHA.
- Opcionalmente, atribua um nome de nó, por exemplo,
FW01. - Defina uma palavra-passe HA.
- Armazene a palavra-passe com segurança, pois ela será necessária no Firewall Auxiliar.
- Selecione o link HA dedicado.
- Inicie Initiate HA.
Notas:
- O HA-Link não deve ter dependências produtivas.
- Se o QuickHA usar uma interface não vinculada, a Sophos atribui a zona DMZ a essa interface e define configurações específicas de HA.
- O HA-Link usa endereços IP estáticos na faixa de link-local se o QuickHA usar os valores padrão.
- O SSH deve ser permitido para a zona HA-Link, pois o túnel HA é estabelecido sobre ele.
2. Preparar o Firewall Auxiliar
- Faça login no futuro Firewall Auxiliar.
- Vá para System services > High availability.
- Escolha a função Auxiliary.
- Use QuickHA.
- Opcionalmente, atribua um nome de nó, por exemplo,
FW02. - Insira a mesma palavra-passe HA.
- Selecione a mesma porta HA-Link que no lado Primário.
- Inicie Initiate HA.
Após a configuração, o Firewall Primário sincroniza a configuração com o Firewall Auxiliar. No Firewall Auxiliar, muitas configurações locais são sobrescritas. Portanto, o Auxiliar não deve ser configurado paralelamente como um firewall produtivo independente antes da configuração do HA.
3. Verificar Configurações Avançadas
Após a formação do cluster, não basta apenas clicar para sair, mas verificar os seguintes pontos:
- Estado de HA de ambos os nós
- Função e estado no canto superior direito do WebAdmin
- Link HA dedicado
- Portas monitorizadas
- Porta de Administração do Par
- Primário preferido
- Intervalo de keepalive e tentativas
- Detentor da licença em Active-Passive
- Registro no Sophos Central, se usado
4. Definir Portas Monitorizadas
Portas monitorizadas decidem se uma falha de interface aciona um failover. Candidatos típicos:
- Uplink WAN
- Uplink LAN principal
- Uplinks DMZ ou de servidor importantes
Não deve-se monitorar portas que às vezes estão offline intencionalmente, não estão conectadas ou são usadas apenas para cenários opcionais. Uma porta monitorizada configurada incorretamente é uma causa comum de failovers inesperados ou de um cluster que não inicia.
Configurar Active-Active com QuickHA
Active-Active é configurado de forma semelhante, mas com um objetivo diferente. Antes, ambos os firewalls devem estar licenciados adequadamente.
1. Verificar Previamente
- Ambos os firewalls têm licenças adequadas.
- Os tipos de licença correspondem.
- Ambos os dispositivos estão registados.
- Ambos os dispositivos estão na mesma versão SFOS, incluindo o Build.
- O tráfego relevante realmente se beneficia de Active-Active.
- Serviços com restrições Active-Active foram verificados.
- Monitorização e resolução de problemas estão preparados para ambos os nós.
2. Configurar o Firewall Primário
- Vá para System services > High availability.
- Selecione Primary (active-active).
- Use QuickHA.
- Atribua um nome de nó.
- Defina a palavra-passe HA.
- Selecione o link HA dedicado.
- Inicie o HA.
3. Configurar o Firewall Auxiliar
- No segundo dispositivo, vá para System services > High availability.
- Selecione Auxiliary.
- Use QuickHA.
- Insira a mesma palavra-passe.
- Selecione a mesma porta HA-Link.
- Inicie o HA.
4. Testar Após a Configuração
Em Active-Active, mais deve ser testado do que apenas o estado do HA:
- As conexões são distribuídas para ambos os nós?
- Os logs são visíveis em ambos os dispositivos?
- As conexões VPN funcionam após uma troca de função?
- Proteção Web, IPS, Controle de Aplicação e recursos de segurança relevantes funcionam?
- Existem aplicações que se destacam por comportamento assimétrico?
- Relatórios e alertas são gerados conforme esperado?
Configuração Manual de HA
A configuração manual de HA é útil quando a lógica automática do QuickHA não oferece controle suficiente.
Razões típicas:
- endereços IP fixos do HA-Link devem ser usados
- Porta de Administração do Par deve ser definida precisamente
- ID do Cluster deve ser definido conscientemente
- vários clusters HA existem no mesmo ambiente de camada 2
- appliances virtuais devem ser operadas com opções de MAC específicas
- é necessário um rollout muito controlado
Na configuração manual, o Firewall Auxiliar é preparado primeiro e depois o Firewall Primário é configurado. O Primário deve conhecer o endereço IP do HA-Link do par.
Campos importantes:
| Campo | Significado |
|---|---|
| Modo de operação | Active-Passive ou Active-Active. |
| Função inicial do dispositivo | Primário ou Auxiliar. |
| Link HA dedicado | Interface para heartbeat, estado e sincronização. |
| IPv4 do link HA do par | Endereço da interface HA-Link no segundo dispositivo. |
| ID do Cluster | Base para endereços MAC virtuais. Definir de forma única em vários clusters. |
| Portas monitorizadas | Portas críticas cuja falha deve acionar um failover. |
| Configurações de administração do par | Acesso ao Firewall Auxiliar. |
| Primário preferido | Dispositivo que deve se tornar Primário novamente após um failover. |
| Intervalo de keepalive / Tentativas | Sensibilidade da detecção de HA. Ajustar conscientemente apenas. |
Validar o Cluster
Após a configuração, o cluster HA deve ser verificado sistematicamente.
Verificação no WebAdmin
- Faça login no Firewall Primário.
- Verifique o estado do HA no canto superior direito.
- Vá para System services > High availability.
- Verifique funções, estado, números de série e modo.
- Certifique-se de que o cluster está sincronizado.
- Em Active-Passive, verifique qual dispositivo mantém a licença para o cluster.
Verificação na CLI
Na Device Console, é possível apresentar o estado do HA:
system ha show details
Se não estiver claro qual dispositivo é o Primário Inicial com licença, este valor pode ajudar na Advanced Shell:
nvram get "#li.master"
YES indica o dispositivo Primário Inicial, NO indica o dispositivo Auxiliar. Esses comandos devem ser documentados e usados apenas em casos claros de manutenção ou diagnóstico.
Se o acesso ao Shell ainda não estiver preparado, o guia Conectar ao Sophos Firewall via SSH pode ajudar.
Teste Funcional
- Testar cliente da LAN para a Internet.
- Testar acesso a servidores internos.
- Testar VPN.
- Testar cenários DNAT ou WAF.
- Testar DNS e DHCP, se o firewall fornecer esses serviços.
- Verificar logs no Log Viewer.
- Testar troca de função de HA em uma janela de manutenção.
- Depois, documentar funções, estado e comportamento de sessão.
Operação e Manutenção
Monitorização Contínuo
Um cluster HA deve ser monitorizado ativamente. Apenas porque dois firewalls estão no rack, o ambiente não é automaticamente altamente disponível.
Devem ser monitorizados:
- Estado de HA
- Estado de função Primário/Auxiliar
- HA-Link
- Portas monitorizadas
- Estado de licença e assinatura
- Versões de firmware
- Recursos como CPU, RAM, disco
- Serviços centrais como IPS, Web, VPN, DNS, DHCP
- Logs no Log Viewer
- Alertas no Sophos Central ou por e-mail
Para questões de disco e hardware, ambos os nós devem ser considerados separadamente. Relatórios locais, ficheiros de log e estado do SSD podem diferir. Os artigos Verificar espaço de armazenamento do Sophos Firewall e gerir relatórios e Verificar saúde do SSD do Sophos Firewall via SMART são adequados.
Logs e Relatórios
Logs e relatórios não são simplesmente mesclados em um único conjunto de dados local. Cada dispositivo grava logs para o tráfego que processa. Em Active-Active, isso é especialmente importante, pois o tráfego pode aparecer em ambos os nós.
O Sophos Central Firewall Reporting é útil em ambientes HA, pois pode avaliar dados de vários firewalls centralmente. Logs de resolução de problemas locais são encontrados no próprio firewall. O artigo Resolução de Problemas do Sophos Firewall: Serviços e Logs explica quais serviços e ficheiros de log são relevantes para análises.
Runbook para Operação de HA
Um cluster HA precisa de um runbook de operação curto. Deve indicar qual dispositivo é o Primário Inicial, quais portas são monitorizadas, como acessar o Auxiliar, quem aprova atualizações de firmware e quando o HA é desativado para substituição ou reimage.
Documentar pelo menos:
- Número de série, localização, posição no rack e função de ambas as appliances.
- Link HA dedicado, Porta de Administração do Par, ID do Cluster e Portas Monitorizadas.
- Primário preferido e comportamento esperado após failover.
- Detentor da licença, estado de suporte e caminho de contato para RMA.
- Procedimento para atualização de firmware, backup, reimage e troca de hardware.
- Pessoa responsável por logs, Central Reporting, Syslog e casos de suporte.
Se apenas o WebAdmin em um nó estiver travado, o cluster HA inteiro não está automaticamente com defeito. Deve-se verificar se um Reinício da GUI do WebAdmin ou um Reinício controlado do serviço é suficiente antes de acionar um failover ou reinício.
Alterações no Cluster
Alterações de configuração são feitas no Firewall Primário. O Firewall Auxiliar não é o local para alterações normais de regras, interfaces ou políticas.
Antes de grandes alterações:
- Criar backup.
- Definir janela de manutenção.
- Verificar estado do HA.
- Atualizar documentação.
- Definir caminho de rollback.
- Após a alteração, testar sincronização e tráfego.
Isso é especialmente válido para:
- Interfaces
- VLANs
- LAGs
- Zonas
- Roteamento
- NAT
- VPN
- Device Access
- SD-WAN
Atualizações de Firmware e Backups
Atualizações de Firmware em Ambientes HA
Atualizações de firmware são iniciadas no Firewall Primário. Os dispositivos são atualizados um após o outro, e o cluster pode trocar de função durante o processo.
Fluxo típico:
- Iniciar atualização no Firewall Primário.
- O Firewall Auxiliar é atualizado.
- O Firewall Auxiliar reinicia e assume temporariamente.
- O Primário anterior é atualizado.
- O Primário anterior reinicia.
- Se o Primário preferido estiver ativo, pode ocorrer uma troca de volta para o dispositivo preferido.
Ainda assim, atualizações de firmware devem ocorrer em uma janela de manutenção. Mesmo que o processo seja projetado para minimizar o downtime, sessões individuais, conexões VPN ou aplicações especiais podem reagir brevemente.
Para preparação, veja Atualização de Firmware do Sophos Firewall - Preparação e Melhores Práticas.
Atualizações de Padrões
Atualizações de padrões são instaladas no Firewall Primário e sincronizadas com o Firewall Auxiliar. Isso também se aplica a ambientes onde as atualizações são controladas ou aplicadas offline.
Se um cluster HA for operado em um ambiente isolado, deve estar claro antes de cada atualização manual de padrão ou licença qual nó é o Primário Inicial e qual nó é o Primário atual. O fluxo de trabalho de air-gap é descrito em Operar Licenciamento e Atualizações de Padrões do Sophos Firewall em Air-Gap.
Backup e Restauro
Backup e restauro têm particularidades em ambientes HA:
- Backups devem ser criados regularmente e antes de cada grande alteração.
- A restauro é feita no Firewall Primário atual.
- Após a restauro, ambos os firewalls são removidos do registo do Sophos Central e devem ser registados novamente.
- A restauro causa reinício e downtime, não um failover normal.
- Se um backup sem configuração de HA for restaurado em um cluster HA, o HA é desativado e deve ser reconfigurado.
Substituição de um Nó do Cluster
Na substituição ou reimage de um nó, o HA não deve simplesmente continuar com o par antigo.
Pontos importantes:
- A Sophos distingue no processo RMA se é substituída a Auxiliary ou a Primary.
- RMA e reimage em Active-Passive causam downtime planeado e não devem ser tratados como failover normal.
- Antes de reimage ou substituição, desativar o HA corretamente.
- Documentar versão de firmware e build.
- Criar backup.
- Identificar o detentor da licença.
- Remover o dispositivo do Sophos Central Management se for devolvido ou substituído.
- Registar novo dispositivo.
- Reconfigurar o HA, pois a palavra-passe HA antiga não é reutilizada para um novo dispositivo.
Se a Auxiliary for substituída, a Primary saudável normalmente continua primeiro como equipamento HA standalone. Se a Primary for substituída, deve esclarecer-se com especial cuidado qual equipamento era o Initial Primary, que backup será usado e quando os cabos serão ligados ao equipamento de substituição. Em ambos os casos, devem ser documentados modelo, revisão de hardware, versão de firmware, build, transferência de licença, estado Sophos Central e estado msync. O serviço e o ficheiro de log adequado estão classificados no artigo Sophos Firewall Troubleshooting: serviços e logs.
Para a nova instalação técnica, veja Reinstalar o Sophos Firewall OS: Reimage com USB. Se houver um defeito de hardware ou processo de RMA em questão, deve-se também planear Preparar corretamente para defeito de hardware e RMA da Sophos.
Resolução de Problemas
Em casos de falhas profundas, deve-se permanecer estruturado: primeiro verificar estado, HA-Link, portas monitorizadas, versão de firmware e estado de licença, depois recorrer a casos especiais ou orientações do fabricante. Assim, fica claro se há um problema real de HA ou se licença, interface, versão de firmware ou monitorização estão causando o erro.
Logs Importantes e Locais de Diagnóstico
| Área | Verificação |
|---|---|
| Estado de HA | System services > High availability |
| Logs de Eventos | Log viewer > System |
| Logs de Resolução de Problemas | Diagnostics > Tools ou via SSH em /log |
| Detalhes de HA na CLI | system ha show details |
| Problemas de Interface | show network interfaces, ifconfig, dmesg em casos de diagnóstico adequados |
| Detentor da Licença | Visão de HA no WebAdmin ou nvram get "#li.master" |
Para análises mais profundas, o artigo Resolução de Problemas na CLI do Sophos Firewall: comandos importantes é útil.
Tabela de Resolução de Problemas
| Sintoma | Possível Causa | Verificação | Solução |
|---|---|---|---|
| Cluster não é formado | Versão de firmware ou build diferente | Verificar versão em ambos os dispositivos | Trazer ambos os dispositivos para a mesma versão SFOS |
| Cluster não é formado | Modelo incorreto ou appliance incompatível | Verificar modelo e número de série | Usar apenas modelos XGS iguais e compatíveis |
| HA não pôde ser ativado | Link HA dedicado não conectado ou par inacessível | Verificar estado da porta, cabo, switch, ping no IP do HA-Link | Corrigir cabeamento, conectar o HA-Link de forma estável |
| HA-Link inativo | Cabo, porta do switch, VLAN ou LAG com defeito | Verificar estado da interface, velocidade/duplex, trunk VLAN, membros do LAG | Substituir cabo/porta do switch, corrigir VLAN/LAG |
| Ambos os dispositivos se tornam autônomos | HA-Link falhou, risco de split-brain | Verificar conexão física do HA-Link e caminho do switch | Desligar um dispositivo de forma controlada, reparar o HA-Link, depois reiniciar |
| Falha na validação do IP da interface HA | Portas de administração ou endereços do HA-Link não estão na sub-rede esperada | Verificar endereços IP e /log/syslog.log | Corrigir endereçamento |
| Failover ocorre inesperadamente | Porta monitorizada falhou ou foi selecionada incorretamente | Verificar portas monitorizadas e estado do switch | Monitorar apenas portas realmente críticas e estáveis |
| Failover não ocorre | Porta relevante não está sendo monitorizada | Verificar portas monitorizadas | Inserir portas WAN/Core/DMZ críticas como portas monitorizadas |
| Active-Active não distribui como esperado | Tipo de tráfego não é balanceado | Verificar tipo de conexão, protocolo e logs de ambos os nós | Usar Active-Passive ou ajustar design |
| Logs aparentemente ausentes | Tráfego foi processado pelo outro nó ou logging não está ativo | Verificar em ambos os nós e no Log Viewer | Ativar logging em regras, usar Central Reporting/Syslog |
| Relatórios diferem | Relatórios locais são específicos do nó | Comparar relatórios de ambos os dispositivos | Usar Sophos Central Firewall Reporting |
| Problema de licença em Active-Active | Tipos de licença não correspondem | Verificar licenciamento em ambos os firewalls | Alinhar e sincronizar licenças |
| Problemas após atualização de firmware | Um nó não foi atualizado corretamente ou o cluster não está sincronizado | Verificar estado do HA, versões de firmware, logs | Usar janela de manutenção, sincronizar cluster, envolver suporte da Sophos |
| Link HA Flexi-Port não funciona | Velocidade/duplex ou auto-negociação não correspondem | Verificar configurações avançadas de interface em ambos os dispositivos | Configurar ambos os lados de forma igual ou usar porta fixa |
| WebAdmin do Auxiliar inacessível | Porta de Administração do Par inacessível ou cliente não está na sub-rede | Verificar IP/sub-rede e rota | Planear acesso de administração corretamente |
Procedimento em Caso de Falha do HA-Link
Se o link HA dedicado falhar, é necessário ter cuidado. Ambos os firewalls podem não se ver mais. No pior caso, ambos os dispositivos enviam ARP/GARP e tentam reivindicar o MAC do cluster para si.
Procedimento seguro:
- Estabilizar o estado da rede.
- Decidir qual dispositivo deve permanecer ativo.
- Desligar o outro dispositivo de forma controlada ou desconectá-lo da rede de produção.
- Reparar cabo, porta do switch, VLAN ou LAG do HA-Link.
- Reiniciar o dispositivo.
- Verificar estado do HA.
- Controlar logs e funções.
Comandos CLI Relevantes
system ha show details
Mostra detalhes de HA na Device Console.
show network interfaces
Ajuda com estado de interface e informações de link.
nvram get "#li.master"
Mostra na Advanced Shell se o dispositivo é o Primário Inicial com licença.
dmesg | grep PortE
Pode fornecer dicas sobre flaps de link em problemas específicos de hardware/interface.
Nem todo comando pertence a cada ambiente. Para sistemas produtivos, vale: primeiro documentar o estado, depois verificar de forma direcionada.
Listas de Verificação de Melhores Práticas
Planeamento
- Verificar Active-Passive como variante padrão.
- Usar Active-Active apenas com objetivo claro de desempenho.
- Verificar ambos os dispositivos quanto a modelo, firmware, portas Flexi e licenciamento.
- Conectar o HA-Link de forma dedicada e, se possível, diretamente.
- Selecionar portas monitorizadas conscientemente.
- Planear acesso de gestão ao Primário e Auxiliar.
- Documentar ID do Cluster de forma única.
- Documentar design de switch, VLANs e LAGs.
- Planear RSTP em switches relevantes.
- Considerar cenário de split-brain.
- Documentar processo de backup e restauro.
Implementação
- Criar backup antes.
- Trazer ambos os firewalls para a mesma versão SFOS.
- Desativar WAN Celular.
- Preparar HA-Link com endereçamento estático e zona DMZ.
- Permitir SSH para a zona HA-Link.
- Nomear claramente Primário e Auxiliar.
- Usar palavra-passe apenas para configuração e não tratá-la como palavra-passe de administrador permanente.
- Após QuickHA, verificar configurações avançadas.
- Definir portas monitorizadas apenas quando estiver claro quais links são estáveis e críticos.
- Testar failover em uma janela de manutenção.
Operação
- Verificar estado de HA regularmente.
- Monitorar licenças e sincronização.
- Realizar atualizações de firmware apenas preparadas e com janela de manutenção.
- Testar backups regularmente.
- Fazer alterações de configuração apenas no Primário.
- Após alterações de switch, VLAN ou interface, verificar estado de HA.
- Incluir logs de ambos os nós.
- Usar Sophos Central Firewall Reporting ou Syslog para análises mais longas.
- Realizar substituição ou reimage de um nó apenas com desativação planeada de HA e reconfiguração.
Não Fazer
- Não clusterizar modelos diferentes.
- Não planear modelos Wi-Fi XGS para HA.
- Não deixar WAN Celular ativa em HA.
- Não definir portas não conectadas como portas monitorizadas.
- Não usar VLAN ou caminho de switch instável como HA-Link.
- Não conduzir serviços produtivos sobre o HA-Link.
- Não considerar Active-Active como uma simples duplicação de desempenho.
- Não esperar ou planear alterações no Firewall Auxiliar.
- Não realizar restauro sem janela de manutenção.
FAQ
É necessário ter duas licenças completas para Active-Passive?
É possível clusterizar dois modelos XGS diferentes?
Revisões de hardware diferentes são permitidas?
É possível operar uma appliance de hardware com uma appliance virtual como HA?
O HA-Link pode passar por um switch?
É necessário ativar o Primário preferido?
Os logs são sincronizados entre os dois firewalls?
Quem é hauser nos logs do Sophos Firewall?
hauser não é um administrador pessoal. É o utilizador HA interno do Sophos Firewall, que pode aparecer durante operações do cluster HA. Isto inclui, por exemplo, sincronização, mudanças de função, failover ou comunicação interna do cluster. Se surgirem ao mesmo tempo mensagens como interface down, monitored port down ou alterações de estado HA, deve-se verificar o estado HA, as portas afetadas e os logs de ambos os nós do cluster.
Para determinar se uma pessoa alterou uma configuração, o Log Viewer, os logs do Central e os Audit Trail Logs são mais relevantes do que apenas a entrada hauser.