WatchGuard Firewall Cluster

Il Cluster di Firewall serve per garantire scalabilità e ridondanza.

Ci sono due modalità con cui è possibile creare un cluster :
1 – Active – Active
2 – Active – Passive

Nella active-active occorrono due licenze uguali con gli stessi servizi UTM, mentre nella seconda (active – passive) occorre una licenza con i vari servizi UTM e almeno una licenza Live Security per il secondo dispositivo.

Nella active active si ottengono ridondanza e scalabilità mentre nella modalità active passive si ottiene ridondanza.

Alcuni link a video e siti che spiegano meglio il concetto:


https://www.youtube.com/watch?v=1xAvgNsjJgg

https://www.youtube.com/watch?v=E9ljsF01FgM

https://www.youtube.com/watch?v=vQ3WXbTKk98

https://hackzenwerk.org/2018/01/04/watchguard-setting-up-a-cluster/

Operativamente parlando, una volta configurato il primo dispositivo (Master- member one) si può esportare la configurazione ed importarla nel secondo dispositivo (Backup – member two)

Ogni modifica apportata alla configurazione del primo firewall viene replicata al secondo firewall.

Solitamente occorre tenere in conto che conviene dedicare 2 interfacce per ogni firewall per mettere in collegamento diretto i due firewall tra di loro affinchè sia garantita la funzionalità del cluster in caso di guasto ad una delle porte.

Esempio : se avessimo solo un cavo diretto dalla porta 5 del primo firewall alla porta 5 del secondo firewall , in caso di guasto alla porta o al cavo di uno dei due firewall non avremmo possibilità di funzionamento corretto del Cluster in caso di bisogno.

Se invece prevediamo una cavo sulla porta 5 e uno sulla 6 che collega rispettivamente il primo firewall al secondo sulle medesime porte, risulta molto improbabile che entrambe le porte o i cavi si danneggino contemporaneamente! Questo ci garantirebbe il funzionamento corretto.

Detto questo, se non abbiamo porte a sufficienza possiamo usare un solo cavo di collegamento diretto tra i due firewall sfruttando la medesima porta (ad esempio la 5)

Ogni connessione, interna o esterna dovrà essere connessa ad uno switch separato, ed ogni switch sarà collegato sia al primo firewall che al secondo.

Ad esempio : La linea del nostro ISP dovrà collegarsi allo switch, poi dallo switch partiamo con due cavi, uno che va nella porta 0 del primo firewall e uno che va nella medesima porta del secondo firewall.

Lo schema seguente può farvi capire meglio il tutto: