La Alta Disponibilidad o High Availability (HA), es el sistema pensado para garantizar la continuidad de los sistemas en caso de fallo de hardware, fallo humano, o factores ambientales como cortes de suministro de energía.
En el ámbito de la seguridad perimetral, una solución de alta disponibilidad con Sophos SG, XG o XGS asegura que, en caso de fallar el primer firewall , el segundo dispositivo puede hacerse cargo de las tareas y nuestra red seguirá funcionando sin problemas.
Este sistema puede implementarse con appliance físicos, virtuales como una solución en la nube (AWS, Azure, etc)
Una aplicacion práctica lo tenemos en empresas que necesitan aumentar el ancho de banda y hacer balanceo de las líneas de los diferentes ISP para garantizar la disponibilidad del servicio.
Requisitos para crear un clúster entre dos firewalls Sophos SG, XG o XGS
Debemos cumplir algunos requisitos:
Deben ser el mismo modelo de hardware o el mismo tipo de firewall virtual. Por lo tanto, no se pueden agrupar diferentes dispositivos (por ejemplo, XGS 136 y XGS 2100)
Con el mismo número de revisión de hardware para evitar conflictos durante la sincronización entre ambos dispositivos (p.e. no vale XG 210 Rev. 2 y XG 210 Rev. 3).
Ambos firewalls (en el caso de appliances físicos) deben estar registrados con sus números de serie.
Puertos de HA dedicados: necesitamos conectar el mismo puerto LAN en ambas unidades con un cable cruzado.
Deben tener la misma versión de SFOS (firmware).
Alta Disponibilidad en los cortafuegos de Sophos
Podemos elegir entre dos configuraciones para conectar los Sophos Firewall entre sí:
Clúster Activo / Pasivo
El clúster «Activo/Pasivo» es la opción más económica y es suficiente para la mayoría de las empresas. Los dos cortafuegos están conectados entre sí directamente a través del mismo puerto HA. El dispositivo principal procesa todo el tráfico y el Firewall auxiliar actúa como un dispositivo de reserva/respaldo. Si el principal falla, el segundo cortafuegos se hace cargo del tráfico en unos pocos segundos, por lo que solo tenemos un tiempo mínimo de inactividad.
Este modo permite HA pero sin la ganancia de rendimiento.
Clúster Activo/Activo (tolerancia a Fallos)
En este escenario, no existe el concepto de firewall de respaldo. Ambos cortafuegos están conectados entre sí a través de un puerto HA y procesan por igual el tráfico entrante y saliente. Si uno de los dos firewalls se desconecta, no hay tiempo de inactividad, ya que el otro firewall sigue procesando el tráfico.
Este modo permite un mayor rendimiento en nuestro entorno de red, ya que ambos dispositivos se reparten la carga de trabajo.
Nota: la configuración del clúster activo-activo no produce un aumento del 100% en el rendimiento. Según Sophos, al añadir un firewall adicional se puede aumentar el rendimiento en aproximadamente un 50 %… Además, no todas las funciones admiten la configuración del clúster activo-activo (como, por ejemplo, las VPN).
Licencias necesarias para 2 dispositivos en alta disponibilidad (HA) de Sophos Firewall
Activo-Pasivo
Sólo necesitamos licencia para el dispositivo principal (pueden ser licencias individuales o en paquetes como la protección Standard y Xstream). Para el dispositivo de respaldo sólo hay que adquirir un Upgrade de soporte mejorado Enhanced Plus (para casos de RMA avanzado). SFOS asegura que el dispositivo de respaldo guarda una copia de la misma licencia que el dispositivo maestro, para que, en caso de fallo, pueda asumir las tareas de procesamiento.
Con los firewalls de Software o virtuales, solo necesitamos comprar la licencia Básica para el dispositivo principal, o si lo preferimos también podemos ampliarlo con licencias individuales o un paquete de «Dispositivo virtual» con la protección Standard o Xstream. Una vez registrado, con SFOS podremos vincular el otro dispositivo SW/virtual, que no precisa de ninguna licencia adicional.
Activo-Activo
Cada máquina requiere su propia licencia. Además, la suscripción debe ser la misma en ambos dispositivos (P.e. Protección de red, Web Proteccion, etc). Las fechas de vencimiento de las suscripciones no tienen por qué coincidir (aunque sería preferible).
Los firewalls de Software o virtuales se licencian igual que si fueran appliances físicos (cada dispositivo requiere de su propia licencia). Deben adquirise con la licencia básica, y en caso de necesitarlo podemos ampliarlo con licencias individuales o un paquete de «Dispositivo virtual» (p.e. SF SW/Virtual Xstream Protection: HASTA 4 NÚCLEOS y 6 GB de RAM).
Notas: Las dimensiones del número núcleos/RAM de las suscripciones deben coincidir con el dispositivo virtual en el que se ejecutan. La configuración Activo/Pasivo aún no está disponible para SFOS en Azure. Los dispositivos de hardware con Wi-Fi integrado (modelos w) no son compatibles con HA.
Esta página web utiliza cookies. ¿Las aceptas?AceptarLeer más
Cookies & Política de Privacidad
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
