고가용성(HA) 방화벽

고가용성(HA) 방화벽 클러스터는 중복 시스템을 사용하여 중요한 시스템의 다운타임을 최소화하도록 설계되었습니다. HA 방화벽은 액티브/액티브 대 액티브/패시브와 같은 다양한 클러스터링 모드를 사용하여 중요한 서비스의 가용성을 극대화할 수 있습니다. 액티브/액티브 모드에서는 여러 방화벽이 클러스터 전체에서 로드를 적극적으로 공유하는 반면, 액티브/패시브 모드에서는 하나의 방화벽이 기본 방화벽에 장애가 발생할 때 활성화되는 대기 방화벽입니다. 이 기사에서는 HA 방화벽이 무엇인지, 다양한 클러스터링 모드의 단점 및 최신 방법에 대해 설명합니다. 하이퍼스케일 네트워크 보안 기술은 복원력 있는 시스템이 필요한 온프레미스 네트워크를 위해 클라우드와 같은 탄력성과 확장성을 가능하게 합니다.

데모 요청하기 Frost & Sullivan 보고서 읽기

고가용성(HA) 방화벽이란 무엇입니까?

HA 방화벽 배포의 목표는 조직의 네트워크 인프라 내에서 단일 장애 지점을 제거하는 것입니다. 단일 Firewall 네트워크를 보호하기 위해 두 개 이상의 방화벽이 그룹에 클러스터로 배포됩니다.

이러한 방화벽은 하트비트 연결을 사용하여 서로 동기화되며, 이는 다른 방화벽이 다운된 경우 한 방화벽에 알립니다. 이 경우 중복 방화벽은 기존 연결을 원활하게 장애 조치하여 중단 없이 지속적인 보호를 제공할 수 있습니다.

방화벽에 대한 N+1 이중화란 무엇입니까?

HA 방화벽은 다양한 용도로 배포할 수 있습니다. 클러스터링 노드 구성. 몇 가지 일반적인 구성은 다음과 같습니다.

액티브/패시브: 액티브/패시브 구성에서 각 액티브 노드에는 액티브 노드가 다운된 경우에만 온라인 상태가 되는 중복 방화벽이 있습니다.
액티브/액티브: 액티브/액티브 구성에는 여러 개의 액티브 노드가 있습니다. 한 노드가 다운되면 해당 노드로 향하는 트래픽이 다른 온라인 노드로 재할당됩니다.
N+1: N+1 구성에는 N개의 활성 노드 그룹에 대해 하나 이상의 백업 노드가 있습니다. 액티브 노드가 다운되면 백업 노드가 해당 업무를 맡을 수 있어야 합니다.
N+미디엄: N+M 구성에는 둘 이상의 백업 노드가 있어 N+1 설정보다 더 많은 이중화를 제공합니다.
N에서 N까지: N - N 클러스터는 액티브/액티브 구성과 유사하지만 1:1 매핑이 없는 클러스터의 다른 노드에서 실패한 노드의 의무를 부하 분산합니다.

HA와 로드 밸런싱 비교

로드 밸런싱은 시스템의 모든 노드가 항상 활성 상태임을 의미합니다. 일부 HA 노드 구성은 액티브/액티브 구성과 같은 로드 밸런싱을 수행합니다. 그러나 액티브/패시브와 같은 일부 노드 구성은 일반적으로 부하가 분산되지 않습니다. 언제든지 시스템에서 하나 이상의 노드가 활성 상태가 되지 않는데, 이는 해당 노드가 백업 노드이거나 노드에 장애가 발생하여 다른 노드가 해당 역할을 맡았기 때문입니다.

경우에 따라 조직에서 부하 분산을 사용하여 N+1 및 유사한 구성을 구현할 수 있습니다. 일반적으로 오프라인 상태인 중복 노드는 활성 상태로 유지되며 기본 노드가 오프라인 상태가 될 때까지 트래픽 부하가 분산됩니다. 이 경우 "백업" 노드가 해당 임무를 맡습니다.

방화벽 로드 밸런싱(Firewall Load Balancing)

대부분의 방화벽 공급업체는 방화벽이 함께 통신하여 클러스터를 형성하는 클러스터링 솔루션을 제공합니다. 또 다른 옵션은 애플리케이션 Delivery Controller(ADC)라고도 하는 Server Load Balancer 사이에 "끼워진" 여러 방화벽을 배포하는 것입니다. 이 아키텍처에서 네트워크 트래픽은 방화벽 그룹으로 부하가 분산되어 보다 확장 가능하고 가용성이 높은 보안 인프라를 제공합니다.

Server Load Balancer는 클러스터의 방화벽 멤버를 통해 트래픽을 균등하게 전달합니다. 일반적으로 부하 분산은 다음과 같은 다양한 이점을 제공합니다.

가용도: HA 클러스터의 일부로 사용되는 로드 밸런싱은 노드 장애로 인한 다운타임을 줄이거나 제거하는 데 도움이 됩니다.
Scalability: ADC는 여러 노드에 트래픽을 분산할 수 있으므로 클러스터가 단일 어플라이언스가 처리할 수 있는 것보다 더 많은 트래픽을 처리할 수 있습니다.
Performance: 부하 분산은 클러스터에서 사용 가능한 최상의 노드로 트래픽을 전송하여 성능을 향상시킬 수 있습니다.
경영: 부하 분산은 가동 중지 시간 없는 유지 관리와 같은 관리 이점을 제공할 수 있습니다.

고가용성 방화벽 클러스터 구성의 과제

액티브/패시브 노드 구성에 대한 지원은 방화벽 솔루션에 내장되어 있는 경우가 많습니다. 그러나 부하 분산에 종속된 구성을 구현하려면 ADC를 방화벽 클러스터 앞뒤에 배포해야 합니다. 그러나 이로 인해 추가 방화벽 관리 비대칭 라우팅, 암호화된 트래픽 관리, 클러스터 크기 증가에 따른 솔루션의 확장성과 같은 문제. 또 다른 과제는 여러 제품(예: ADC 및 방화벽)을 관리하는 것입니다.

High Availability (HA) and Load Balancing Firewall system with 체크 포인트

체크 포인트는 HA 방화벽을 구축하려는 고객을 위해 여러 솔루션을 제공합니다. 조직에서 최대 5개의 노드가 있는 간단한 HA 방화벽 클러스터를 구현하려는 경우 기본 제공 HA 및 로드 공유 기능을 사용하여 이 작업을 수행할 수 있습니다 체크 포인트의 방화벽 문서에 설명되어 있습니다..

체크 포인트 Quantum Maestro는 타사 서버 로드 밸런서가 필요하지 않은 확장 가능한 로드 밸런싱 솔루션인 또 다른 고가용성 방화벽 옵션입니다. Maestro를 사용하면 여러 차세대 방화벽 단일 통합 시스템으로 작동할 수 있습니다. 엔트리 레벨 Maestro 솔루션에는 하이퍼스케일 오케스트레이터와 2개 또는 3개의 방화벽이 포함되어 있으며, 필요에 따라 방화벽을 추가하여 보안 처리량을 원활하게 확장할 수 있습니다.

하나 이상의 Maestro Hyperscale Orchestrator는 보안 그룹이라고도 하는 공통 보안 기능 집합 및 정책을 사용하여 단일 그룹으로 관리되는 여러 방화벽에 내부 및 외부 네트워크 트래픽을 균등하게 분산합니다.

Maestro HyperSync 클러스터링 기술은 시스템 내에서 완벽한 이중화를 제공합니다. 동시에 트래픽은 모든 논리적 보안 그룹 구성원 간에 분산되어 모든 하드웨어 리소스가 완전히 활용되도록 합니다. 보안 그룹 내에서 각 연결은 두 개의 보안 그룹 멤버(활성 및 백업 멤버)와 동기화되어 단일 실패 지점이 없도록 합니다. Maestro의 장점은 다음과 같습니다.

효율적인 N+1 클러스터링: Maestro는 체크 포인트 HyperSync 기술을 사용하여 여러 Quantum 방화벽에 내부 및 외부 네트워크 트래픽을 분산합니다. HyperSync는 그룹 구성원의 활성/백업 상태를 추적합니다.
세분화: 논리적 보안 그룹을 생성하여 조직 네트워크의 논리적 세분화를 지원합니다. 보안 그룹의 방화벽에는 자동으로 공통 보안이 적용됩니다 구성, 정책 및 기능 세트 – 이 아키텍처는 기존 접근 방식보다 훨씬 쉽게 관리할 수 있습니다.
Scalability: Maestro는 최소 2개의 게이트웨이로 배포할 수 있으며, 최대 3 Tbps 의 방화벽 처리량 또는 최대 1 Tbps 의 레이어 1 – 7 고급 위협 차단 처리량을 지원하기 위해 노드를 추가할 수 있습니다.
로드 밸런싱: Maestro는 타사 서버 로드 밸런서 없이 로드 밸런싱을 구현합니다. 이렇게 하면 관리가 간소화되고 부하가 분산된 방화벽 클러스터의 TCO(총 소유 비용)가 줄어듭니다.

체크 포인트 HA 방화벽 솔루션에 대해 자세히 알아보려면, 데모 예약하기 또는 우리를 읽으십시오 백서.