Fortinet - FortiGate HA cluster para uma configuração de firewall à prova de falhas
Fortinet
Quer o seu FortiGate seja implantado como um gateway de segurança, uma firewall de segmentação interna, na nuvem ou num ambiente MSSP, desde que o tráfego crítico passe por ele, corre o risco de ser um único ponto de falha. As falhas físicas podem ser causadas por falhas de energia, falhas nas ligações físicas, falhas no transceptor ou falhas no fornecimento de energia. As falhas não físicas podem ser causadas por roteamento, problemas de recursos ou pânico no kernel.
As interrupções da rede causam perturbações nos negócios, tempo de paragem e frustração dos utilizadores, e em alguns casos podem resultar em contratempos financeiros. Ao conceber a sua rede e arquitectura, é importante pesar os riscos e as consequências de interrupções inesperadas.
Para contrariar proactivamente tais problemas, qualquer FortiGate pode ser destacado para um cluster de alta disponibilidade. Para o fazer, algumas coisas precisam de ser consideradas:
-
Apenas modelos idênticos podem trabalhar em conjunto dentro de um agrupamento.
Isto significa que dois FortiGate 100F podem formar um aglomerado, mas um FortiGate 100F e um FortiGate 101F não podem. Uma combinação de FortiGate 100F e FortiGate 100E também não é possível. -
Ambas as firewalls devem estar totalmente licenciadas.
Num agrupamento HA, o menor denominador comum de licenças é aqui utilizado. Assim, se o pacote de licenças UTP estiver a funcionar num FortiGate, mas apenas uma licença de suporte no segundo, apenas a licença de suporte estaria disponível na operação de cluster. - Ambas as firewalls devem também utilizar a mesma versão de firmware no momento da formação do cluster.
- Para permitir um failover suave, poderá ser necessário hardware adicional. Por exemplo, um comutador que se situa entre as firewalls FortiGate e o dispositivo de acesso à Internet, tal como um modem ou router. Isto pode então permitir automaticamente que a firewall de salvaguarda se ligue à Internet sem que ninguém tenha de mover o cabo. Além disso, ambas as firewalls FortiGate devem também ser ligadas a um comutador na direcção da rede interna, de modo a que também seja possível o failover neste fim sem ter de voltar a ligar.
Fortinet utiliza um agrupamento activo-activo como padrão para um agrupamento HA. Isto significa que ambos os firewalls estão activos e dividem o trabalho entre eles. Em caso de falha de uma firewall, a segunda assumiria então directamente e, idealmente, apenas o administrador da rede estaria ciente de que algo aconteceu.
É claro que também são possíveis os clusters activos-passivos.
Mas como é que se cria realmente um HA?
Algo como isto deve ser sempre bem planeado.
-
A cablagem deve ser montada de forma lógica. Numa configuração simples, pareceria assim:
Internet -> Router -> Switch -> FortiGate cluster -> Switch -> rede interna - Se for uma nova infra-estrutura, faça a configuração básica nas firewalls do FortiGate.
- Se for uma firewall existente, faça a configuração básica no segundo aparelho.
- Efectuar a seguinte configuração em System -> HA:
- Modo: Activo-Activo ou Activo-Passivo
- Prioridade do dispositivo: 128 ou superior (apenas para firewall primário!)
- Nome do grupo: Introduza aqui o nome do grupo desejado.
- Interfaces de batimento cardíaco: Introduzir uma ou mais interfaces através das quais ambas as firewalls estão directamente ligadas uma à outra. Definições, sessões e informações sobre os batimentos cardíacos são trocadas através destas interfaces.
Realizar a mesma configuração para a segunda firewall, mas definir a prioridade mais baixa para que esta se registe como uma firewall secundária no cluster.
O que devo fazer se quiser actualizar o firmware?
Tem aqui duas opções. Uma actualização ininterrupta, que leva mais tempo, ou uma com interrupção. Basicamente, o processo de actualização do firmware de um cluster não difere do de uma única unidade FortiGate. Selecciona o firmware desejado para ser instalado através de System -> Firmware e desencadeia o processo de actualização. O firmware é então instalado primeiro numa firewall secundária e esta é então declarada uma firewall primária. Isto assume então o trabalho, ou seja, é realizada uma espécie de failover. Em seguida, o firmware é executado na firewall primária. Depois de isto estar concluído, a firewall primária é então re-seleccionada com base na configuração em cluster.
Se a firewall secundária falhar ou parar de responder durante a actualização, a firewall primária continuará a funcionar e só executará uma actualização assim que a secundária voltar a juntar-se ao cluster com uma actualização bem sucedida.
Se estiver interessado num Firewall Fortinet FortiGate ou quiser tornar a sua infra-estrutura existente redundante com a ajuda de um cluster, teríamos todo o prazer em aconselhá-lo. Contacte-nos para uma consulta inicial gratuita através do nosso número de telefone, endereço de correio electrónico ou do nosso formulário de contacto.