Firewall High Availability - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 29-05-2008 à 16:10:09
"Firewall High Availability" ça veut juste dire une chose, quand t'as deux firewall montés en "haute disponibilité", quand y en a un en rade, l'autre prend la main tout seul et c'est transparent. Grosso modo, y a pas de différence entre les différents produits.
data synchronisation c'est que lorsque tu as une panne, les sessions sont conservées.
le dial backup et le wan load balancing, c'est pas la HA des firewalls mais des liens en amont
Marsh Posté le 29-05-2008 à 18:14:44
Merci pour ta réponse.
Juste une precision, est ce que la synchronisation des données est incluse par défaut dans les firewall supportant la HA??
Que veut dire WAN load balancing?? est-ce le fait de prendre plusieurs lignes internet ??
Même si dial backup et WAN load balancing ne font pas partie de la HA des firewalls, si on veut implémenter la HA des liens, le firewall doit quand meme supporter la fonction Link Failover pour détecter qu'un lien est down.
Merci
Marsh Posté le 29-05-2008 à 18:16:42
lipaika a écrit : Merci pour ta réponse. |
tous les firewalls commerciaux oui.
Citation : Que veut dire WAN load balancing?? est-ce le fait de prendre plusieurs lignes internet ?? |
oui et oui.
Marsh Posté le 29-05-2008 à 18:52:41
Une dernière question et j'aurai bouclé la boucle. lol
Dans la HA firewall, il y a 2 modes active-passive et Active-active. Je ne vois pas l'intérêt du active-passive étant donné que le active-active permet le load balancing et réduit considérablement le temps de transition nécessaire après échec.
Par ailleurs, je voudrais savoir si le load balancing est toujours implémenté pour la HA des connections internet. Y a t'il un mode AA et AP???
Merci
Marsh Posté le 29-05-2008 à 19:07:24
le active/active est utilisé quand tu fais de la virtualisation de fw avec des contextes. Sinon le standard c'est le actif/passif
Marsh Posté le 29-05-2008 à 23:33:57
le modèle actif/actif est interessant lorsque tu fais du transactionnel. En cas de pb, c'est vriament transparent pour l'utilitateur. Alors que dans un cas actif/passif, le client peut potentiellement perdre son contexe et voir sa transaction annulée.
Le choix étant bien evidement en fonction des besoins de tes utilisateurs/clients.
Marsh Posté le 30-05-2008 à 11:22:45
Dans le choix d'une archi A/A ou A/P y'a aussi un point tout bête, basique, à pas oublier : en A/A il faut que chacun des membres soit utilisé à moins de 50% de ses capacités, sinon si un des membres tombe celui qui reste ne pourra pas gérer tout le trafic...
Marsh Posté le 31-05-2008 à 12:53:37
Merci pour ce complément d'info sur le A/A. Je ne ne vois pas trop le rapport avec la virtualisation (en quoi n'est ce pas possible de réaliser la virtualisation en A/P?)
Citation : |
Pour ce qui est des 50% d'activité, c'est sans doute mieux, mais sinon, ili iy a possibilité de créer des règles de priorités pour que seuls les les services critiques aux business soient actifs.
Marsh Posté le 02-06-2008 à 02:18:49
vrobaina a écrit : le modèle actif/actif est interessant lorsque tu fais du transactionnel. En cas de pb, c'est vriament transparent pour l'utilitateur. Alors que dans un cas actif/passif, le client peut potentiellement perdre son contexe et voir sa transaction annulée. |
NON.
L'intérêt d'Actif/Actif est commercial essentiellement (et n'est jamais que du actif/passif un peu tuné), ou si vraiment on veut y trouver une utilité technique, de diviser l'infra en plusieurs sous-groupes utilisant par défaut l'un ou l'autre hardware ... je vois pas l'intérê,t mais soyons ouverts.
En actif / passif, crois moi, transactionnel ou non, personne ne vois rien quand tu bascules ( checkpoint et cisco en tout cas, j'imagine que pour les autres vrais constructeurs c'est pareil).
Marsh Posté le 02-06-2008 à 07:11:00
si fortinet c'est de la daube, la GARP met 15 sec pour etre envoyé et toutes les sessions sont coupées, faut upgrader le bouzin 3 fois avant que ça marche normalement
Marsh Posté le 03-06-2008 à 01:13:30
dreamer18 a écrit : si fortinet c'est de la daube, la GARP met 15 sec pour etre envoyé et toutes les sessions sont coupées, faut upgrader le bouzin 3 fois avant que ça marche normalement |
merci, tu m'as coupé l'herbe sous le pied.
le modèle actif/passif, c'est SUPER....... sauf - je le repète - quand tu fais du transactionnel : tu perds ton contexte et/ou ta session (merci fortinet, merci netasq, merci juniper ....) : moralité tout ce que tu avais saisi ou que tu étais en train de saisir (genre une commande client), tu le pers. Alors que dans une architecture actif/actif (ou je l'accorde actif/passif correct), l'utilisateur ne "voit" strictement rien.
Marsh Posté le 03-06-2008 à 07:01:48
bah sur les cisco, tu peux baisser les timers pour que le failover se fasse en trois secondes, et y a aucune pile TCP qui casse à ce niveau parce qu'avec les mécanismes de retransmissions TCP, le temps de reprise est suffisant
Marsh Posté le 29-05-2008 à 15:37:43
Bonjour,
Toujours dans mon étude de plusieurs firewalls, cette fois sur la fonction High Availability. J'essaye de déterminer quelles sont les similarités et qu'est ce qui se cachent derrière les mots. Je pense que le sujet peut s'avérer utile pour tous alors je me lance:
des charactéristiques communes:
Device HA (active-active & active-passive) est la capacité du firewall à être en mode active-active (load balancing entre les 2 firewall) et/ou en mode active-passive (un seul firewall active secondé par le passif si il échoue)
Device Failure Detection est la capacité à détecter des erreurs hardware et software du firewall (software crash, power loss). Y a t'il des différences entre les différent produits sur leur capacité à détecter différents types d'erreurs??
VPN HA est la capacité du firewall à détecter les erreurs de VPN et donc d'activer la fonction VPN sur l'autre firewall
Spécificités:
Zyxell définit: Link Monitoring, Auto-sync Configurations, Multiple WAN Load Balancing
Fortinet définit: stateful failover (FW and VPN), Link Status Monitor, Link Failover
Juniper définit: dial backup et dial untrust
Astaro définit: full state and data synchronisation
Link Monitoring (zyxell) et Link Status Monitor (fortinet) doit être sensiblement la même chose. c'est la capacité à monitorer le lien entre les 2 firewalls (est-ce que ça comprend le log de l'état du lien?? si le lien est down, ça alerte l'admin?? )
Link Failover (Fortinet) est la capacité à détecter que le lien de backup entre les 2 firewalls est down. Mais quelle difference avec le monitor??
(Link Failover ne serait-ce pas la capacité à détecter que la conection internet est down, pour permettre d'activer une autre ligne de back-up??)
dial backup(Juniper) est la capacité à détecter l'internet down et d'activer un lien 56K en remplacement.
dual untrust (Juniper) est la même chose, mais le backup se fait par une autre connection ADSL.
(Je suis sûre de ces 2 paramètres(Netscreen). ces notions ne sont pas trouvées dans les datasheets d'autres constructeurs, ms je suppose que juniper n'est pas le seul à proposer cette fonction, est-ce que ces 2 notions sont implicites à Link Failover ou Link Monitoring??)
Quant à data synchronisation: n'est ce pas inhérent à la fonction HA? tous les contructeurs ne le spécifient pas, ms je pense que c'est évident qu'une méthode de synchronisation est implémentée, je me trompe??
Multiple WAN Load Balancing(ZyXell): qu'est ce que ça apporte en plus, dans quel cas c'est utile??
Merci de votre attention