Was sind eigentlich... Hochverfügbarkeits-Cluster?

Die Firewall ist ausgefallen, plötzlich ist das Netz intern nicht nur ungesichert, sondern von außen auch nicht mehr erreichbar. Ein wahres Horrorszenario, nicht nur die Produktivität im Unternehmen ist beeinträchtigt, sondern auch das Vertrauen der Kunden in Ihr Unternehmen. Zweites Beispiel, ein Fabrik dessen Fließband eigentlich nie still stehen darf, kann nach dem Ausfall der Firewall nicht mehr kontrolliert werden. Produktionsausfälle und Verzögerungen sind die Folge. Beide Fälle haben eins gemeinsam, dass keine zweite Firewall als Fail-Over-Cluster benutzt wurde. Weitere Vorteile, Möglichkeiten der Nutzung und auch die Kosten eines Clusters erfahren Sie hier.

Was ist ein Firewall-Cluster?

Ein Cluster ist ein Zusammenschluss von IT-Geräten um Datenredundanz zu ermöglichen, Verluste von wichtigen Daten und Ausfall von Equipment zu verhindern bzw zu reduzieren. Ein Firewall-Cluster soll zusätzlich sicherstellen, dass die Standardsicherheit und/oder ein Load-Balancing im Netzwerk gehalten werden. Dabei ist zu beachten, dass jeder Hersteller eine andere Art des Clusters benutzt und daher andere Kosten auf Sie zukommen.

Was gibt es für Cluster-Arten?

Die Art des Clusters hängt von zwei wichtigen Faktoren ab. Zum ersten wie viele Firewalls in den Cluster integriert werden sollen und der Zweck ihres Clusters. Zum Load-Balancing ist beispielsweise ein active-active Cluster geeignet, als einfache Fail-Over-Firewall würde schon ein active-passive Cluster ausreichen.
Der active-active Cluster kann ebenfalls als Fail-Over-Firewall benutzt werden. Im Normalfall ist nur eine der beiden Firewalls direkt mit dem Internet verbunden, diese Firewall wird als „Master“ bezeichnet, sollte jene einen Defekt aufweisen, übernimmt der „Slave“ binnen weniger Millisekunden. Das Netz ist nie vollkommen ungeschützt, jedoch kostet diese Sicherheit etwas mehr, da beide Firewalls identische Lizenzen benötigen.
Beim active-passive Cluster, reagiert die passive Firewall ebenfalls bei einem Defekt. Da die Daten der beiden Firewalls konstant synchronisiert werden, kann die passive Firewall innerhalb kürzester Zeit in den aktiven Zustand wechseln und das Netzwerk ist weiterhin abgesichert. Der active-passive Cluster hat den Vorteil, dass nur eine der beiden Firewalls „voll“ lizenziert werden muss, die andere Firewall benötigt in der Regel nur eine Support Lizenz.

Welches Hochverfügbarkeitsmodell verwendet wird, hängt von dem jeweiligen Hersteller ab, eine Übersicht finden Sie in folgender Tabelle:

  HerstellerCluster ArtKostenBesonderheit
Fortinet Active-Active Jede Firewall „voll“ lizensiert einfache Cluster Einstellung, dank Fortinet Cookbook
Sophos Active-Active Je nach geplantem Cluster 1 bis 10 Firewalls „voll“ lizensiert; alle passiven Firewalls nur Support-Lizenz Bis zu 10 Firewalls in einem Cluster möglich
Active-Passive
Stormshield Active-Passive 1 Firewall “voll” lizensiert, HA-Firewall Support-Lizenz Extra HA-Firewall, schnelle Übertragung der Lizenzen und Aktivierung der HA
Tags: Cluster, Firewall

Die mit einem * markierten Felder sind Pflichtfelder.