Die Sophos Firewall unterstützt Hochverfügbarkeit. Dies gewährleistet WAN-Konnektivität, Appliance-Verfügbarkeit und Failover von Datenverkehr und Diensten, wodurch Ausfallzeiten und Unterbrechungen in Ihrem Netzwerk minimiert werden. Dadurch wird ein Single-Point-of-Failure im Netzwerk verhindert.
Sophos Firewall HA-Cluster Modi und Lizenzierung
Aktiv/Passiv
Im HA-Modus Aktiv/Passiv übernimmt die passive Sophos Firewall automatisch die Verarbeitung des Datenverkehrs, wenn die primäre aktive Sophos Firewall ausfällt und verhindert so Ausfallzeiten.
Eine Lizenzierung der passiven Sophos Firewall im Aktiv/Passiv HA-Cluster ist nicht nötig. Lediglich ein Upgrade des in Xstream und Standard Protection enthaltenen Sophos Enhanced Support der aktiven Sophos Firewall auf den Sophos Enhanced Plus Support wird benötigt, um die erweiterte Gewährleistung und Support auch auf die passive Firewall Appliance zu erweitern.
Aktiv/Aktiv
Im HA-Modus Aktiv/Aktiv verarbeiten sowohl die primäre als auch die zusätzliche Sophos Firewall den Datenverkehr. Die primäre Sophos Firewall empfängt den gesamten Netzwerkverkehr und sorgt für einen Lastausgleich, indem sie einen Teil des Datenverkehrs über die zusätzliche Sophos Firewall abwickelt. Fällt die primäre Sophos Firewall aus, übernimmt die zusätzliche Sophos Firewall die gesamte Verarbeitung des Netzwerkverkehrs.
Alle Firewalls im Aktiv/Aktiv HA-Cluster benötigen eine entsprechende Lizenzierung, was zu erheblichen Mehrkosten führt.
Wenn Sie Sophos Firewalls über unser Sophos Produkt-Leasing beziehen, erhalten diese ohne Mehrkosten den Enhanced Plus Support Leistungsumfang. Somit ist der Aufbau eines Aktiv/Passiv HA-Clusters mit Leasing-Lizenzen nochmals deutlich günstiger als mit Laufzeit-Lizenzen. Allgemeine Informationen zum Sophos Produkt-Leasing über Firewalls24 und Aphos finden Sie hier.
Voraussetzungen für den Aufbau eines Sophos Firewall HA-Clusters
Sophos Firewalls im HA-Cluster müssen das gleiche Modell und Revision aufweisen. So kann beispielsweise eine XGS 2100 nur mit einer anderen XGS 2100 verbunden werden. Auch eine Mischung zwischen XG, XGS oder auch SG Modellen ist nicht möglich.
Alle Sophos Firewalls müssen die gleiche Anzahl von Ports oder Schnittstellen haben. Hier müssen für alle Sophos Firewalls im HA-Cluster auch die gleichen FleXi-Port-Module verwendet werden.
Auf den Sophos Firewalls muss die gleiche Firmware-Version installiert sein. Dies gilt auch für Wartungsversionen und Hotfixes.
Sophos HA wird von Sophos Wireless Firewall Modellen nicht unterstützt.
Sophos Firewalls im HA-Cluster vernetzen
Die Kabel aller überwachten Ports müssen auf allen Sophos Firewalls des HA-Clusters angeschlossen sein.
Der dedizierte HA-Link-Port muss Mitglied einer Zone vom Typ DMZ sein und eine eindeutige IP-Adresse auf beiden Sophos Firewalls haben. SSH muss für die DMZ-Zone beider Geräte aktiviert sein. Die IP-Adressen der HA-Link-Ports aller Sophos Firewalls des HA-Clusters müssen sich im selben Subnetz befinden.
DHCP und PPPoE müssen auf den HA-Schnittstellen deaktiviert sein, bevor die Hochverfügbarkeit konfiguriert wird.
Wenn die Sophos Firewalls im HA-Cluster an einen Ethernet-Switch angeschlossen werden, der das Spanning-Tree-Protokoll (STP) verwendet, muss möglicherweise die Link-Aktivierungszeit an dem Switch-Port angepasst werden, der mit den Schnittstellen der Sophos Firewall verbunden ist. Bei einem Switch der Cisco Catalyst-Serie muss beispielsweise für jeden Port, der mit den Sophos Firewall-Schnittstellen verbunden ist, Spanning Tree Port-Fast aktiviert werden. Das heißt für die Switch-Ports, mit denen die Sophos Firewall verbunden ist, muss Port-Fast aktiviert und STP sowie RSTP deaktiviert werden.
Der dedizierte HA-Link muss die Standardverbindungsgeschwindigkeit und MTU-MSS verwenden.
Die Latenz des HA-Links nimmt mit Entfernung zu. Wir empfehlen, das Spanning Tree Protocol (STP) auf dem dedizierten HA-Link zu deaktivieren.
Konfiguration des HA-Clusters auf Sophos Firewalls
Die Hochverfügbarkeit (HA) kann auf Sophos Firewalls auf zwei Arten konfiguriert werden, QuickHA oder Interaktiv. Je nachdem, in welchem Umfang Anpassungen an der Standard-Konfiguration durchgeführt werden sollen. Wir empfehlen die Konfiguration mit QuickHA durchzuführen.
Konfiguration Sophos Firewall Aktiv/Passiv Cluster
Die Schritt-für-Schritt Anleitungen zur Sophos HA-Cluster Konfiguration im Aktiv/Passiv Modus mit QuickHA finden Sie hier.
Die Schritt-für-Schritt Anleitungen zur Sophos HA-Cluster Konfiguration im Aktiv/Passiv Modus im interaktiven Modus finden Sie hier.
Konfiguration Sophos Firewall Aktiv/Aktiv Cluster
Die Schritt-für-Schritt Anleitungen zur Sophos HA-Cluster Konfiguration im Aktiv/Aktiv Modus mit QuickHA finden Sie hier.
Die Schritt-für-Schritt Anleitungen zur Sophos HA-Cluster Konfiguration im Aktiv/Aktiv Modus im interaktiven Modus finden Sie hier.
