Fortinet - FortiGate HA cluster voor een fail-safe firewall setup
Fortinet
Of uw FortiGate nu wordt ingezet als een security gateway, een interne segmentatie firewall, in de cloud of in een MSSP omgeving, zolang er kritisch verkeer doorheen gaat, loopt hij het risico een single point of failure te zijn. Fysieke storingen kunnen worden veroorzaakt door stroomuitval, fysieke linkstoringen, transceiverstoringen of voedingsstoringen. Niet-fysieke storingen kunnen worden veroorzaakt door routing, resourceproblemen of kernelpaniek.
Netwerkstoringen veroorzaken verstoring van het bedrijf, downtime en frustratie bij de gebruiker, en kunnen in sommige gevallen leiden tot financiële tegenslagen. Bij het ontwerpen van uw netwerk en architectuur is het belangrijk de risico's en gevolgen van onverwachte uitval af te wegen.
Om dergelijke problemen proactief tegen te gaan, kan elke FortiGate worden ingezet in een high availability cluster. Om dit te doen, moeten een paar dingen worden overwogen:
-
Alleen identieke modellen kunnen samenwerken binnen een cluster.
Dit betekent dat twee FortiGate 100F's een cluster kunnen vormen, maar één FortiGate 100F en één FortiGate 101F niet. Een combinatie van FortiGate 100F en FortiGate 100E is ook niet mogelijk. -
Beide firewalls moeten volledig gelicenseerd zijn.
In een HA cluster wordt hier de laagste gemene deler van licenties gebruikt. Dus als het UTP-licentiepakket op één FortiGate draait, maar alleen een supportlicentie op de tweede, zou alleen de supportlicentie beschikbaar zijn in het clusterbedrijf. - Beide firewalls moeten ook dezelfde firmwareversie gebruiken op het moment dat het cluster wordt gevormd.
- Voor een soepele failover kan extra hardware nodig zijn. Bijvoorbeeld een switch die tussen de FortiGate firewalls en het toegangsapparaat tot het internet zit, zoals een modem of router. Hierdoor kan de backup firewall dan automatisch verbinding maken met het internet zonder dat iemand de kabel hoeft te verplaatsen. Bovendien moeten beide FortiGate firewalls ook verbonden zijn met een switch in de richting van het interne netwerk, zodat failover ook aan deze kant mogelijk is zonder opnieuw verbinding te moeten maken.
Fortinet hanteert voor een HA-cluster standaard een active-active cluster. Dit betekent dat beide firewalls actief zijn en onderling het werk verdelen. Bij uitval van één firewall neemt de tweede het dan direct over en idealiter merkt alleen de netwerkbeheerder dat er iets is gebeurd.
Natuurlijk zijn actief-passieve clusters ook mogelijk.
Maar hoe zet je eigenlijk een HA op?
Zoiets moet altijd goed gepland worden.
-
De bekabeling moet logisch worden opgezet. In een eenvoudige opstelling zou het er als volgt uitzien:
Internet -> Router -> Switch -> FortiGate cluster -> Switch -> intern netwerk - Als het een nieuwe infrastructuur is, doe dan de basisconfiguratie op de FortiGate firewalls.
- Als het een bestaande firewall is, doet u de basisconfiguratie op het tweede apparaat.
- Voer de volgende configuratie uit in Systeem -> HA:
- Modus: Actief-Actief of Actief-Passief
- Apparaatprioriteit: 128 of hoger (alleen voor primaire firewall!)
- Groepsnaam: Voer hier de gewenste clusternaam in.
- Heartbeat interfaces: Voer een of meer interfaces in via welke beide firewalls direct met elkaar verbonden zijn. Via deze interfaces worden instellingen, sessies en heartbeat-informatie uitgewisseld.
Voer dezelfde configuratie uit voor de tweede firewall, maar stel de prioriteit lager in zodat deze zich registreert als een secundaire firewall in het cluster.
Wat moet ik doen als ik de firmware wil bijwerken?
U hebt hier twee opties. Een ononderbroken upgrade, die meer tijd kost, of één met onderbreking. In principe verschilt het proces voor het updaten van de firmware van een cluster niet van dat van een enkele FortiGate unit. U selecteert de gewenste firmware die moet worden geïnstalleerd via Systeem -> Firmware en start het upgradeproces. De firmware wordt dan eerst geïnstalleerd op een secundaire firewall en deze wordt vervolgens uitgeroepen tot primaire firewall. Deze neemt dan het werk over, d.w.z. er wordt een soort failover uitgevoerd. Vervolgens wordt de firmware uitgevoerd op de primaire firewall. Nadat dit is voltooid, wordt de primaire firewall opnieuw geselecteerd op basis van de clusterconfiguratie.
Mocht de secundaire firewall crashen of niet meer reageren tijdens de update, dan blijft de primaire firewall draaien en voert hij pas een update uit zodra de secundaire zich weer bij de cluster voegt met een succesvolle update.
Als u geïnteresseerd bent in een Fortinet FortiGate Firewall of uw bestaande infrastructuur redundant wilt maken met behulp van een cluster, adviseren wij u graag. Neem contact met ons op voor een gratis eerste advies via ons telefoonnummer, e-mailadres of ons contactformulier.