Hoppa till innehållet
Avanet

Vilka varianter finns för ett Sophos Firewall HA Cluster?

Sophos Firewall

För en högtillgänglig lösning kan du köra din Sophos Firewall i ett HA Cluster. På så sätt ser du till att den andra firewallen kan ta över uppgifterna vid ett hårdvarufel och att nätverket fortsätter fungera utan problem.

Förutsättningar

För att skapa ett Sophos Firewall Cluster måste du följa några regler:

Sophos Firewall Appliances

  • Det måste vara exakt samma Sophos Firewall Appliances (modell, revision, firmware)
  • Olika appliances kan inte köras i cluster (t.ex. XGS 136 och XGS 2100)
  • Olika revisioner kan inte köras i cluster (t.ex. XG 210 Rev. 2 och XG 210 Rev. 3)
  • W-modeller kan inte köras i cluster, till exempel XGS 87w, 107w, 116w, 126w, 136w
  • En vanlig fråga är om en hardware appliance och en virtuell appliance kan bilda ett cluster. Nej.

Två olika varianter

Du kan välja mellan två typer av High Availability Cluster för att koppla ihop dina två Sophos Firewalls:

Active / Passive Cluster (rekommenderas)

I den här cluster-konfigurationen finns en aktiv firewall som bearbetar all datatrafik och tillhandahåller de säkerhetsfunktioner som behövs. Den passiva firewallen ligger i standby-läge och väntar på ett bortfall av den aktiva firewallen.

Om den aktiva firewallen faller bort eller får ett fel tar den passiva firewallen automatiskt över rollen som aktiv firewall och ser till att nätverkstrafiken fortsätter skyddas och filtreras. Avbrottet är under en minut, och vid ett planerat byte, till exempel reboot eller software update, tappar man 1-4 pings.

I denna Sophos Firewall High Availability Cluster-konfiguration behöver bara den aktiva appliance en licens. Det är bland annat därför 100 % av våra kunder väljer den här lösningen.

Active / Active Cluster

Även här kopplas två firewalls ihop via en HA-port. Trafiken leds dock via båda firewalls, alltså sker load balancing. Vid denna typ av cluster krävs även en licens för den andra hårdvaran. Om Primary Firewall till exempel kör en Xstream Protection-licens behöver även Node2 Firewall en Xstream Protection-licens.

Info: Om du vill skapa ett Active-Active Cluster för att öka prestandan måste du veta att inte alla funktioner kan distribueras i ett Active-Active Cluster, till exempel VPN. Du kan alltså inte förvänta dig en prestandaökning på 100 %. Enligt Sophos är prestandaökningen när en extra firewall läggs till ungefär 50 %. I stället för 100 % prestanda har du alltså cirka 150 % prestanda efteråt.

Mer information

Sophos erbjuder omfattande information om konfiguration och administration av High Availability (HA)-clusters för Sophos Firewall. Där finns en introduktion till HA-funktionen, dess fördelar och de olika HA-lägena samt detaljerade instruktioner för konfiguration, administration och övervakning av HA-clusters. Läs mer om förutsättningar, underliggande arkitektur, drift och firmware upgrade i HA-läge för att säkra en firewallmiljö optimalt. Sophos Firewall High Availability-dokumentation