Fortinet - Cluster FortiGate HA per una configurazione del firewall a prova di guasto
Fortinet
Che il FortiGate sia implementato come gateway di sicurezza, firewall di segmentazione interna, nel cloud o in un ambiente MSSP, finché il traffico critico passa attraverso di esso, è a rischio di essere un singolo punto di guasto. I guasti fisici possono essere causati da interruzioni di corrente, guasti ai collegamenti fisici, guasti ai ricetrasmettitori o guasti all'alimentazione. I guasti non fisici possono essere causati da problemi di routing, di risorse o di kernel panic.
Le interruzioni di rete causano interruzioni dell'attività, tempi di inattività e frustrazione degli utenti e, in alcuni casi, possono comportare contraccolpi finanziari. Quando si progetta la rete e l'architettura, è importante valutare i rischi e le conseguenze di interruzioni impreviste.
Per contrastare in modo proattivo tali problemi, ogni FortiGate può essere distribuito in un cluster ad alta disponibilità. A tal fine, è necessario considerare alcuni aspetti:
-
Solo i modelli identici possono lavorare insieme in un cluster.
Ciò significa che due FortiGate 100F possono formare un cluster, ma un FortiGate 100F e un FortiGate 101F no. Non è possibile nemmeno una combinazione di FortiGate 100F e FortiGate 100E. -
Entrambi i firewall devono essere dotati di licenza completa.
In un cluster HA, viene utilizzato il minimo comune denominatore delle licenze. Pertanto, se il pacchetto di licenze UTP è in esecuzione su un FortiGate, ma solo una licenza di supporto sul secondo, solo la licenza di supporto sarà disponibile nel funzionamento del cluster. - Entrambi i firewall devono inoltre utilizzare la stessa versione del firmware al momento della formazione del cluster.
- Per consentire un failover senza problemi, potrebbe essere necessario dell'hardware aggiuntivo. Ad esempio, uno switch da interporre tra i firewall FortiGate e il dispositivo di accesso a Internet, come un modem o un router. In questo modo il firewall di backup può connettersi automaticamente a Internet senza dover spostare il cavo. Inoltre, entrambi i firewall FortiGate dovrebbero essere collegati a uno switch in direzione della rete interna, in modo che il failover sia possibile anche da questo punto di vista senza dover riconnettersi.
Fortinet utilizza un cluster attivo-attivo come standard per un cluster HA. Ciò significa che entrambi i firewall sono attivi e si dividono il lavoro. In caso di guasto di un firewall, il secondo subentra direttamente e, idealmente, solo l'amministratore di rete si accorge che è successo qualcosa.
Naturalmente, sono possibili anche cluster attivi-passivi.
Ma come si configura effettivamente un HA?
Una cosa del genere dovrebbe essere sempre ben pianificata.
-
Il cablaggio deve essere impostato in modo logico. In una configurazione semplice, il cablaggio dovrebbe essere il seguente:
Internet -> Router -> Switch -> cluster FortiGate -> Switch -> rete interna - Se si tratta di una nuova infrastruttura, eseguire la configurazione di base sui firewall FortiGate.
- Se si tratta di un firewall esistente, eseguire la configurazione di base sul secondo dispositivo.
- Eseguire la seguente configurazione in Sistema -> HA:
- Modalità: Attivo-Attivo o Attivo-Passivo
- Priorità dispositivo: 128 o superiore (solo per il firewall primario!)
- Nome del gruppo: inserire qui il nome del cluster desiderato.
- Interfacce heartbeat: inserire una o più interfacce attraverso le quali i due firewall sono direttamente collegati tra loro. Le impostazioni, le sessioni e le informazioni heartbeat vengono scambiate attraverso queste interfacce.
Eseguire la stessa configurazione per il secondo firewall, ma impostare una priorità più bassa in modo che si registri come firewall secondario nel cluster.
Cosa devo fare se voglio aggiornare il firmware?
In questo caso si hanno due opzioni. Un aggiornamento ininterrotto, che richiede più tempo, o uno con interruzione. Fondamentalmente, il processo di aggiornamento del firmware di un cluster non differisce da quello di una singola unità FortiGate. Si seleziona il firmware desiderato da installare tramite Sistema -> Firmware e si attiva il processo di aggiornamento. Il firmware viene installato prima su un firewall secondario, che viene poi dichiarato firewall primario. Quest'ultimo si fa carico del lavoro, vale a dire che viene effettuata una sorta di failover. Quindi il firmware viene eseguito sul firewall primario. Al termine, il firewall primario viene selezionato nuovamente in base alla configurazione del cluster.
Se il firewall secondario si blocca o smette di rispondere durante l'aggiornamento, il firewall primario continua a funzionare ed esegue l'aggiornamento solo quando il secondario rientra nel cluster con un aggiornamento riuscito.
Se siete interessati a un firewall Fortinet FortiGate o volete rendere ridondante la vostra infrastruttura esistente con l'aiuto di un cluster, saremo lieti di consigliarvi. Contattateci per una prima consulenza gratuita tramite il nostro numero di telefono, l'indirizzo e-mail o il nostro modulo di contatto.