Fortinet - klaster FortiGate HA dla bezpiecznej konfiguracji firewalla
Fortinet
Niezależnie od tego, czy FortiGate jest wdrożony jako brama bezpieczeństwa, firewall segmentu wewnętrznego, w chmurze lub w środowisku MSSP, tak długo jak krytyczny ruch przechodzi przez niego, jest on narażony na ryzyko bycia pojedynczym punktem awarii. Awarie fizyczne mogą być spowodowane przerwami w zasilaniu, awariami łączy fizycznych, awariami transceiverów lub awariami zasilania. Awarie niefizyczne mogą być spowodowane przez routing, problemy z zasobami lub panikę jądra.
Awarie sieci powodują zakłócenia w działalności, przestoje i frustrację użytkowników, a w niektórych przypadkach mogą skutkować stratami finansowymi. Podczas projektowania sieci i architektury ważne jest, aby rozważyć ryzyko i konsekwencje nieoczekiwanych przestojów.
Aby proaktywnie przeciwdziałać takim problemom, każdy FortiGate może zostać wdrożony w klastrze wysokiej dostępności. Aby to zrobić, należy wziąć pod uwagę kilka rzeczy:
-
W ramach klastra mogą współpracować tylko identyczne modele.
Oznacza to, że dwa FortiGate 100F mogą tworzyć klaster, ale jeden FortiGate 100F i jeden FortiGate 101F nie mogą. Połączenie FortiGate 100F i FortiGate 100E również nie jest możliwe. -
Oba firewalle muszą być w pełni licencjonowane.
W klastrze HA stosowany jest tu najmniejszy wspólny mianownik licencji. Jeśli więc na jednym FortiGate działa pakiet licencji UTP, a na drugim tylko licencja support, to w pracy klastra dostępna byłaby tylko licencja support. - Oba firewalle muszą też korzystać z tej samej wersji firmware w momencie tworzenia klastra.
- Aby umożliwić płynne przełączanie awaryjne, może być wymagany dodatkowy sprzęt. Na przykład przełącznik, który znajduje się między zaporami FortiGate a urządzeniem dostępowym do Internetu, takim jak modem lub router. Dzięki temu zapasowa zapora może automatycznie połączyć się z Internetem bez konieczności przekładania kabla. Ponadto oba firewalle FortiGate powinny być również podłączone do przełącznika w kierunku sieci wewnętrznej, aby failover był możliwy również na tym końcu bez konieczności ponownego łączenia.
Fortinet standardowo stosuje klaster HA w układzie active-active. Oznacza to, że oba firewalle są aktywne i dzielą między siebie pracę. W przypadku awarii jednego firewalla, drugi przejmuje wtedy bezpośrednio jego zadania i najlepiej, aby tylko administrator sieci był świadomy, że coś się stało.
Oczywiście możliwe są również klastry active-passive.
Ale jak właściwie skonfigurować HA?
Coś takiego zawsze powinno być dobrze zaplanowane.
-
Okablowanie musi być ustawione logicznie. W prostej konfiguracji wyglądałoby to tak:
Internet -> Router -> Switch -> klaster FortiGate -> Switch -> sieć wewnętrzna. - Jeśli jest to nowa infrastruktura, wykonaj podstawową konfigurację na firewallach FortiGate.
- Jeśli jest to istniejący firewall, wykonaj podstawową konfigurację na drugim urządzeniu.
- Wykonaj następującą konfigurację w System -> HA:
- Mode: Active-Active lub Active-Passive
- Device Priority: 128 lub wyższy (tylko dla głównego firewalla!)
- Nazwa grupy: Wprowadź tutaj pożądaną nazwę klastra.
- Heartbeat interfaces: Wprowadź jeden lub więcej interfejsów, przez które oba firewalle są bezpośrednio połączone ze sobą. Przez te interfejsy wymieniane są ustawienia, sesje i informacje heartbeat.
Przeprowadź taką samą konfigurację dla drugiego firewalla, ale ustaw niższy priorytet, aby rejestrował się jako drugi firewall w klastrze.
Co mam zrobić, jeśli chcę zaktualizować firmware?
Masz tutaj dwie opcje. Nieprzerwana aktualizacja, która zajmuje więcej czasu, lub taka z przerwami. Zasadniczo proces aktualizacji firmware klastra nie różni się od procesu aktualizacji pojedynczego urządzenia FortiGate. Wybierasz pożądany firmware do zainstalowania poprzez System -> Firmware i uruchamiasz proces aktualizacji. Firmware jest następnie instalowany najpierw na firewallu wtórnym, a ten jest następnie uznawany za firewall główny. Przejmuje on wtedy pracę, czyli następuje swego rodzaju failover. Następnie oprogramowanie sprzętowe jest uruchamiane na firewallu głównym. Po zakończeniu tego procesu następuje ponowny wybór firewalla głównego w oparciu o konfigurację klastra.
Jeśli firewall wtórny ulegnie awarii lub przestanie odpowiadać podczas aktualizacji, firewall pierwotny będzie nadal działał i przeprowadzi aktualizację dopiero wtedy, gdy wtórny powróci do klastra z udaną aktualizacją.
Jeśli jesteś zainteresowany zaporą Fortinet FortiGate lub chcesz uczynić swoją istniejącą infrastrukturę redundantną za pomocą klastra, chętnie udzielimy Ci porady. Skontaktuj się z nami w celu uzyskania bezpłatnej wstępnej konsultacji za pośrednictwem naszego numeru telefonu, adresu e-mail lub naszego formularza kontaktowego.