Phone call Mail
Jetzt kostenfreie Erstberatung per Mail oder Telefon: +49 228 33 8889 0
EnBITCon GmbH
Fortinet HA-Cluster Blog

Fortinet - FortiGate HA-Cluster für ein ausfallsicheres Firewall-Setup

20. August 2021   Bastian Seibel
Fortinet

Unabhängig davon, ob Ihre FortiGate als Sicherheits-Gateway, als interne Segmentierungs-Firewall, in der Cloud oder in einer MSSP-Umgebung eingesetzt wird, solange kritischer Datenverkehr über sie läuft, besteht das Risiko, dass sie ein Single Point of Failure ist. Physikalische Ausfälle können durch Stromausfälle, Ausfälle der physischen Verbindung, Ausfälle von Transceivern oder Ausfälle der Stromversorgung verursacht werden. Nicht-physikalische Ausfälle können durch Routing, Ressourcenprobleme oder Kernel-Panik verursacht werden.

Netzwerkausfälle führen zu Unterbrechungen des Geschäftsbetriebs, zu Ausfallzeiten und Frustration bei den Benutzern und können in manchen Fällen auch finanzielle Rückschläge nach sich ziehen. Bei der Konzeption Ihres Netzwerks und Ihrer Architektur ist es wichtig, die Risiken und Folgen unerwarteter Ausfälle abzuwägen.

Um solchen Problemen proaktiv entgegen zu wirken, kann jede FortiGate in einem Hochverfügbarkeits-Cluster eingesetzt werden. Hierzu müssen ein paar Dinge beachtet werden:

  1. Es können nur identische Modelle innerhalb eines Clusters zusammenarbeiten.
    Das bedeutet, dass zwei FortiGate 100F einen Cluster bilden können, eine FortiGate 100F und eine FortiGate 101F wiederrum nicht. Auch eine Kombination aus FortiGate 100F und FortiGate 100E ist nicht möglich.
  2. Beide Firewalls müssen voll lizenziert werden.
    Bei einem HA-Cluster wird hier der kleinste gemeinsame Nenner an Lizenzen genutzt. Sollte also auf einer FortiGate das UTP Lizenzpaket laufen, auf der zweiten aber nur eine Supportlizenz, so stünde im Clusterbetrieb nur die Supportlizenz zur Verfügung.
  3. Beide Firewalls müssen zum Zeitpunkt wo der Cluster gebildet wird, auch dieselbe Firmware-Version einsetzen.
  4. Um einen reibungslosen Failover zu ermöglichen, ist eventuell zusätzliche Hardware notwendig. Zum Beispiel ein Switch der zwischen den FortiGate-Firewalls und dem Zugangsgerät zum Internet sitzt, beispielsweise ein Modem oder ein Router. Damit kann dann automatisch die Backup-Firewall die Verbindung zum Internet aufbauen, ohne dass jemand das Kabel umstecken muss. Zudem sollten beide FortiGate-Firewalls auch in Richtung des internen Netzwerkes an einem Switch hängen, damit auch an diesem Ende ein Failover ohne Umstecken möglich ist.

Fortinet setzt bei einem HA-Cluster standardmäßig auf einen Aktiv-Aktiv Cluster. Das heißt, beide Firewalls sind aktiv tätig und teilen die Arbeit unter sich auf. Im Falle eines Ausfalls einer Firewall würde dann die zweite direkt übernehmen und im Idealfall nur der Netzwerkadmin mitbekommen, dass etwas passiert ist.
Selbstverständlich sind Active-Passive Cluster ebenso möglich.

Doch wie richtet man einen HA jetzt eigentlich ein?

Sowas sollte grundsätzlich gut geplant sein.

  1. Die Verkabelung muss logisch aufgebaut werden. In einem einfachen Setup würde es wie folgt aussehen:
    Internet -> Router -> Switch -> FortiGate-Cluster -> Switch -> internes Netzwerk
  2. Falls es eine neue Infrastruktur ist, bei den FortiGate-Firewalls die Grundkonfiguration vornehmen.
  3. Bei einer bereits bestehenden Firewall, bei der zweiten Appliance die Grundkonfiguration vornehmen.
  4. Folgende Konfiguration vornehmen in System -> HA:
    • Mode: Active-Active oder Active-Passive
    • Device Priority: 128 oder höher (nur für primäre Firewall!)
    • Group name: Hier gewünschten Clusternnamen eingeben
    • Heartbeat Interfaces: Hier ein oder mehrere Interfaces angeben über den beide Firewalls direkt mit einander verbunden sind. Über diese werden Einstellungen, Sessions und Heartbeat Informationen ausgetauscht.

Bei der zweiten Firewall dieselbe Konfiguration vornehmen, allerdings die Priorität niedriger setzen, damit sich diese als sekundäre Firewall im Cluster anmeldet.

Was mache ich, wenn ich die Firmware aktualisieren möchte?

Hier hat man zwei Möglichkeiten. Ein unterbrechungsfreies Upgrade, welches mehr Zeit in Anspruch nimmt, oder eines mit Unterbrechung. Grundsätzlich unterscheidet sich der Prozess des Firmware-Updates eines Clusters nicht von dem von einer einzelnen FortiGate. Man wählt über System -> Firmware die gewünschte Firmware die installiert werden soll und löst den Upgrade-Prozess aus. Daraufhin wird die Firmware erst auf einer sekundären Firewall installiert und diese dann zu einer primären Firewall erklärt. Diese übernimmt daraufhin die Arbeit, es wird also eine Art Failover durchgeführt. Dann wird die Firmware auf der primären Firewall durchgeführt. Nachdem dies abgeschlossen wurde, wird dann anhand der Cluster-Konfiguration die Primärfirewall neu ausgewählt.

Sollte während des Updates die sekundäre Firewall abstürzen oder nicht mehr reagieren, würde die primäre Firewall weiterlaufen und ein Update erst durchführen, sobald die sekundäre mit einem erfolgreichen Update wieder dem Cluster beitritt.

Sollten Sie Interesse an einer Fortinet FortiGate Firewall haben, oder ihre bestehende Infrastruktur mit Hilfe eines Clusters redundant auslegen wollen, beraten wir Sie gerne. Kontaktieren Sie uns für ein kostenloses Erstgespräch über unsere Telefonnummer, E-Mail-Adresse oder unser Kontaktformular

Diese Website verwendet Cookies, um Ihnen eine bestmögliche Erfahrung bieten zu können und uns die Möglichkeit einzuräumen unseren Webauftritt kontinuierlich zu verbessern. Unsere Datenschutzinformationen finden SIe hier: Mehr Informationen