В современных центрах обработки данных безопасность сети, серверов и приложений имеет первостепенное значение. Ключевым компонентом этой инфраструктуры безопасности является брандмауэр, который защищает от злонамеренного или несанкционированного доступа. Однако, поскольку деловая деятельность все больше зависит от бесперебойного подключения к Интернету, решающее значение имеет надежная, масштабируемая и высокодоступная инфраструктура брандмауэра. Именно здесь в игру вступает балансировка нагрузки межсетевого экрана (FWLB).

Что такое балансировка нагрузки межсетевого экрана? #

Балансировка нагрузки брандмауэра — это архитектура развертывания, в которой несколько систем брандмауэра стратегически расположены за балансировщиками нагрузки сервера. Сетевой трафик распределяется по группе межсетевых экранов, создавая масштабируемую и высокодоступную инфраструктуру безопасности. Такая настройка гарантирует, что в случае сбоя одного межсетевого экрана другие смогут легко взять его на себя, обеспечивая непрерывность бизнеса.

Важность балансировки нагрузки межсетевого экрана #

Масштабируемость #

Межсетевые экраны выполняют тяжелую работу по проверке, анализу и изменению пакетов на основе политик безопасности. По мере увеличения трафика вычислительные требования к брандмауэрам растут, что требует дополнительных ресурсов. С помощью FWLB можно динамически добавлять новые межсетевые экраны, увеличивая производительность без нарушения работы существующих систем. Эта масштабируемость необходима для адаптации к растущим нагрузкам на трафик и обеспечения стабильной производительности.

Надежность #

Высокая доступность имеет решающее значение для любой инфраструктуры безопасности. FWLB повышает надежность за счет распределения трафика между несколькими межсетевыми экранами. Если брандмауэр выходит из строя, балансировщик нагрузки обнаруживает сбой и перенаправляет трафик на другие работающие брандмауэры. Такое резервирование сводит к минимуму время простоя и обеспечивает непрерывную защиту.

Управляемость #

Обслуживание брандмауэров может быть сложной задачей, особенно при обновлении политик безопасности или обновлении программного обеспечения. FWLB упрощает управление, позволяя отключать отдельные межсетевые экраны для обслуживания без нарушения пользовательского трафика. Такой подход обеспечивает бесперебойное обновление и снижает риск непредвиденных проблем.

Реализация балансировки нагрузки межсетевого экрана #

В типичной настройке FWLB межсетевые экраны расположены между балансировщиками нагрузки сервера. Трафик из Интернета и внутренних сетей направляется на наименее загруженный межсетевой экран. Установленные сетевые сеансы последовательно маршрутизируются через один и тот же брандмауэр для проверки пакетов и анализа безопасности.

Обзор тематического исследования #

Рассмотрим развертывание, в котором модуль переключения контента (CSM) используется для балансировки нагрузки межсетевых экранов в трех безопасных сегментах: Интернет (INET), демилитаризованная зона (DMZ) и локальная сеть (LAN). Цель состоит в том, чтобы обеспечить высокую доступность, бесперебойное управление и надежную безопасность во всех этих сегментах.

Требования к серверу и приложению #

• Серверам в демилитаризованной зоне требуется прямое управление со станций локальной сети.
• Серверы должны инициировать сеансы для обновлений и исправлений.
• Основные приложения в демилитаризованной зоне основаны на протоколах HTTP и HTTPS и требуют постоянных соединений.

Требования безопасности #

• Балансировка нагрузки передается со всех сегментов на межсетевые экраны.
• Каждый сетевой путь через брандмауэр должен быть проверен перед использованием.
• Высокая доступность и возможность обработки приложений с несколькими соединениями, таких как FTP.

Требования к инфраструктуре #

• Минимальное нарушение существующих сетевых протоколов.
• Бесшовная интеграция CSM в существующую инфраструктуру.
• Надежные механизмы аварийного переключения для обработки сбоев брандмауэра.

Проектные требования #

• Используйте зонды ICMP для мониторинга путей межсетевого экрана.
• Настройте каналы портов для серверных и клиентских VLAN, чтобы избежать единых точек отказа.
• Убедитесь, что виртуальные IP-адреса (VIP) в конфигурации виртуального сервера правильно разделены на подсети, чтобы избежать петель маршрутизации.

FWLB-зонды #

ICMP-зонды имеют решающее значение для проверки доступности путей через межсетевые экраны. Эти зонды настроены на мониторинг всех каналов брандмауэра, обеспечивая непрерывную доступность каналов. Интервал, повторные попытки и пороговые значения ошибок для зондов можно настроить в соответствии с конкретными требованиями, обеспечивая своевременное обнаружение и реагирование на сбои межсетевого экрана.

Как реализовать FWLB с помощью RELIANOID Балансировщик нагрузки #

Реализация FWLB (балансировка нагрузки межсетевого экрана) с помощью RELIANOID Load Balancer предполагает настройку его в качестве внешнего балансировщика нагрузки, который направляет трафик в пул брандмауэров, гарантируя, что соединения последовательно направляются к одному и тому же брандмауэру на протяжении всего сеанса. Вот подробное руководство о том, как добиться этой настройки:

Обзор сетевой архитектуры #

• Внешний балансировщик нагрузки (RELIANOID): Он будет обрабатывать входящий трафик и распределять его по пулу брандмауэров.
• Брандмауэры: они будут фильтровать и перенаправлять трафик внутри страны после обработки внешним балансировщиком нагрузки.
• Внутренние балансировщики нагрузки. При необходимости внутренние балансировщики нагрузки во внутренней сети могут дополнительно распределять трафик после прохождения через межсетевые экраны.

Настроить RELIANOID Балансировщик нагрузки (внешний балансировщик нагрузки) #

Создание ферм уровня 4

• Войти в RELIANOID веб интерфейс.
• Перейдите в раздел «Ферма» или аналогичный.
• Создайте фермы уровня 4, соответствующие типам трафика, которые вам необходимо обрабатывать (например, TCP, UDP).
• Определите прослушиваемые IP-адреса и порты для каждой фермы.
• Укажите серверы (в данном случае межсетевые экраны), которые будут получать трафик от каждой фермы.
• Настройте проверки работоспособности, чтобы отслеживать доступность каждого брандмауэра.

Установить постоянство (сходство)

• Включите постоянство (иногда называемое сходством или закрепленными сеансами), чтобы гарантировать, что соединения с одного и того же IP-адреса клиента постоянно направляются на один и тот же брандмауэр. Это крайне важно для поддержания непрерывности сеанса, особенно для таких протоколов, как HTTP/HTTPS, где сеансы могут охватывать несколько соединений.

Настройка пула брандмауэра
Определите пул брандмауэров в RELIANOID конфигурация балансировщика нагрузки.

• Этот пул представляет собой набор межсетевых экранов, которые будут обрабатывать входящий трафик.
• Убедитесь, что брандмауэры правильно настроены для обработки трафика, пересылаемого RELIANOID балансировщик нагрузки.

Транспортный поток #

Обработка внешнего трафика

• Входящий трафик достигает RELIANOID балансировщик нагрузки.
• В зависимости от конфигурации фермы уровня 4 балансировщик нагрузки перенаправляет трафик на соответствующий брандмауэр на основе IP-адреса назначения, порта или подсети.

Механизм сохранения

• Балансировщик нагрузки использует механизмы сохранения (обычно сходство исходного IP-адреса), чтобы гарантировать, что соединения с одного и того же IP-адреса клиента направляются на один и тот же брандмауэр.
• Это важно для поддержания состояния сеанса при нескольких соединениях от одного и того же клиента.

Обработка брандмауэром

• Каждый брандмауэр в пуле получает трафик от балансировщика нагрузки.
• Брандмауэры проверяют и фильтруют трафик на основе настроенных правил (например, разрешая/запрещая трафик на основе IP-адреса источника/назначения, портов, протоколов).

Внутренние балансировщики нагрузки (дополнительно) #

• При желании внутри вашей внутренней сети вы можете использовать дополнительные балансировщики нагрузки для дальнейшего распределения трафика после его прохождения через межсетевые экраны.
• Эти внутренние балансировщики нагрузки могут работать на уровне приложения или сети в зависимости от ваших конкретных требований.

Тестирование и проверка #

Проверьте конфигурацию, чтобы убедиться, что:

• Трафик правильно маршрутизируется от внешнего балансировщика нагрузки к брандмауэрам.
• Механизмы сохранения (привязанные/прикрепленные сеансы) работают должным образом.
• Брандмауэры правильно фильтруют и перенаправляют трафик во внутреннюю сеть.

Мониторинг и обслуживание #

• Регулярно контролировать работу RELIANOID балансировщик нагрузки, брандмауэры и внутренние сетевые компоненты.
• Убедитесь, что конфигурации обновляются по мере развития требований к сети и приложениям.

Дополнительные соображения #

• Безопасность.: убедитесь, что правила брандмауэра правильно настроены для защиты вашей сети от несанкционированного доступа.
• Масштабируемость: планируйте масштабирование инфраструктуры балансировщика нагрузки и брандмауэра по мере увеличения требований к трафику.
• Документация: Ведите подробную документацию по вашей конфигурации, включая сетевые схемы и параметры конфигурации, для облегчения устранения неполадок и получения справок в будущем.

Заключение #

Балансировка нагрузки межсетевого экрана необходима для создания масштабируемой, надежной и управляемой инфраструктуры безопасности. Распределяя трафик между несколькими межсетевыми экранами и обеспечивая высокую доступность, FWLB защищает от сбоев сети и повышает общую безопасность. Внедрение FWLB требует тщательного планирования и настройки, но преимущества улучшенной масштабируемости, надежности и управляемости делают его выгодной инвестицией для любой организации, стремящейся поддерживать надежную кибербезопасность.

Выполнив эти шаги, вы сможете эффективно реализовать FWLB с помощью RELIANOID Load Balancer в качестве внешнего и внутреннего балансировщика нагрузки, обеспечивающий эффективную маршрутизацию трафика к межсетевым экранам и управление им в соответствии с политиками безопасности вашей сети перед пересылкой во внутреннюю сеть.