tecnozero » Firewall » Clúster en alta disponibilidad Sophos Firewall

Alta Disponibilidad (HA), una red más segura

La Alta Disponibilidad o High Availability (HA), es el sistema pensado para garantizar la continuidad de los sistemas en caso de fallo de hardware, fallo humano, o factores ambientales como cortes de suministro de energía.

En el ámbito de la seguridad perimetral, una solución de alta disponibilidad con Sophos SG, XG o XGS asegura que, en caso de fallar el primer firewall , el segundo dispositivo puede hacerse cargo de las tareas y nuestra red seguirá funcionando sin problemas.

Este sistema puede implementarse con appliance físicos, virtuales como una solución en la nube (AWS, Azure, etc)

Una aplicacion práctica lo tenemos en empresas que necesitan aumentar el ancho de banda y hacer balanceo de las líneas de los diferentes ISP para garantizar la disponibilidad del servicio.

Requisitos para crear un clúster entre dos firewalls Sophos  SG, XG o XGS

Debemos cumplir algunos requisitos:

  • Deben ser el mismo modelo de hardware o el mismo tipo de firewall virtual. Por lo tanto, no se pueden agrupar diferentes dispositivos (por ejemplo, XGS 136 y XGS 2100)
  • Con el mismo número de revisión de hardware para evitar conflictos durante la sincronización entre ambos dispositivos (p.e. no vale XG 210 Rev. 2 y XG 210 Rev. 3).
  • Ambos firewalls (en el caso de appliances físicos) deben estar registrados con sus números de serie.
  • Puertos de HA dedicados: necesitamos conectar el mismo puerto LAN en ambas unidades con un cable cruzado.
  • Deben tener la misma versión de SFOS (firmware).

 

Alta Disponibilidad en los cortafuegos de Sophos

Podemos elegir entre dos configuraciones para conectar los Sophos Firewall entre sí:

Clúster Activo / Pasivo

El clúster «Activo/Pasivo» es la opción más económica y es suficiente para la mayoría de las empresas. Los dos cortafuegos están conectados entre sí directamente a través del mismo puerto HA. El dispositivo principal procesa todo el tráfico y el Firewall auxiliar actúa como un dispositivo de reserva/respaldo. Si el principal falla, el segundo cortafuegos se hace cargo del tráfico en unos pocos segundos, por lo que solo tenemos un tiempo mínimo de inactividad.

Este modo permite HA pero sin la ganancia de rendimiento.

ha-activo-pasivo-firewall-sophos

Clúster Activo/Activo (tolerancia a Fallos)

En este escenario, no existe el concepto de firewall de respaldo. Ambos cortafuegos están conectados entre sí a través de un puerto HA y procesan por igual el tráfico entrante y saliente. Si uno de los dos firewalls se desconecta, no hay tiempo de inactividad, ya que el otro firewall sigue procesando el tráfico.

Este modo permite un mayor rendimiento en nuestro entorno de red, ya que ambos dispositivos se reparten la carga de trabajo.

Nota: la configuración del clúster activo-activo no produce un aumento del 100% en el rendimiento. Según Sophos, al añadir un firewall adicional se puede aumentar el rendimiento en aproximadamente un 50 %… Además, no todas las funciones admiten la configuración del clúster activo-activo (como, por ejemplo, las VPN).

 

ha-activo-activo-firewall-sophos

Licencias necesarias para 2 dispositivos en alta disponibilidad (HA) de Sophos Firewall

Activo-Pasivo

Sólo necesitamos licencia para el dispositivo principal (pueden ser licencias individuales o en paquetes como la protección Standard y Xstream). Para el dispositivo de respaldo sólo hay que adquirir un Upgrade de soporte mejorado Enhanced Plus (para casos de RMA avanzado).
SFOS asegura que el dispositivo de respaldo guarda una copia de la misma licencia que el dispositivo maestro, para que en caso de fallo pueda asumir las tareas de procesamiento.

Con los firewalls de Software o virtuales, solo necesitamos comprar la licencia Básica para el dispositivo principal, o si lo preferimos también podemos ampliarlo con licencias individuales o un paquete de «Dispositivo virtual» con la protección Standard o Xstream. Una vez registrado, con SFOS podremos vincular el otro dispositivo SW/virtual, que no precisa de ninguna licencia adicional.

Activo-Activo

Cada máquina requiere su propia licencia. Además la suscripción debe ser la misma en ambos dispositivos (P.e. Protección de red, Web Proteccion, etc). Las fechas de vencimiento de las suscripciones no tienen por qué coincidir (aunque sería preferible). 

Los firewalls de Software o virtuales se licencian igual que si fueran appliances físicos (cada dispositivo requiere de su propia licencia). Deben adquirise con la licencia básica, y en caso de necesitarlo podemos ampliarlo con licencias individuales o un paquete de «Dispositivo virtual» (p.e. SF SW/Virtual Xstream Protection: HASTA 4 NÚCLEOS y 6 GB de RAM).

 

Notas:
Las dimensiones del número núcleos/RAM de las suscripciones deben coincidir con el dispositivo virtual en el que se ejecutan.
La configuración Activo/Pasivo aún no está disponible para SFOS en Azure.
Los dispositivos de hardware con Wi-Fi integrado (modelos w) no son compatibles con HA.