Recommandations et bonnes pratiques
La mise en place d'un cluster fonctionnel nécessite de respecter plusieurs paramètres, liés notamment à l'interconnexion des membres du cluster.
Choisir un modèle de firewall supportant la HA
- La HA est proposée pour l'ensemble de la gamme SNS à l'exception des firewalls modèles SN160(W) et SN210(W).
- La HA ne peut pas être configurée si le mécanisme de bypass est activé. Ces deux mécanismes sont incompatibles. Pour plus d'informations, reportez-vous à la section Onglet Configuration générale du Manuel Utilisateur SNS.
- Seuls deux firewalls d'un modèle identique peuvent composer un cluster.
- Dans le cas de firewalls acceptant des modules d'extension, les deux membres du cluster doivent comporter le même nombre d'interfaces réseau.
- La HA est supportée sur les plate-formes de virtualisation VMWare, HyperV et KVM. En revanche, elle n'est pas supportée sur les plate-formes publiques de virtualisation Microsoft Azure, Amazon Web Services et OpenStack.
Acquérir des firewalls compatibles
Pour établir un cluster de firewalls, il est nécessaire d'acquérir des firewalls selon l'un des deux modèles suivants :
- Un firewall standard (licence master) et un firewall de backup pour Haute disponibilité (licence slave),
- Deux firewalls standards (licence master).
Un cluster ne peut pas être configuré avec deux firewalls disposant chacun d'une option de licence HA slave.
Si vous avez opté pour une licence master et slave, vous pouvez identifier le FW de backup grâce à la mention HA sur l'étiquette de l'emballage (exemple : NA-SN6100 HA) ainsi que sur le bon de livraison du matériel.
Lors de la commande des firewalls participant au cluster, les options souscrites pour le firewall standard (Extended Web Control, Stormshield Network Vulnerability Manager, Antivirus avancé...) sont automatiquement reportées sur le firewall de backup, à l'exception de l'option "Échange express" qui est à souscrire pour chacun des firewalls, le cas échéant.
Disposer de la même version de firmware
- Pour que la HA soit fonctionnelle, la même version de firmware doit être installée sur les deux membres du cluster.
- Lorsque les deux firewalls disposent d'une version différente de firmware, le cluster fonctionne alors en mode dégradé afin de permettre la mise à jour du membre disposant de la version la plus ancienne de firmware.
Respecter scrupuleusement les règles de sécurité et les précautions d'installation
- Les firewalls sont accompagnés de documents précisant les règles de sécurité et les précautions d'installation : ces règles doivent impérativement être suivies afin de garantir une mise en œuvre optimale des firewalls Stormshield.
- Ces documents sont également accessibles au format PDF sur le site de documentation technique Stormshield (Guides d'installation, Règles de sécurité - Gamme SN, Règles de sécurité - SN6100 et Règles de sécurité - SNi40).
- Consultez également la section Branchement optimal pour liens de Haute-Disponibilité (HA) du Guide de présentation et d’installation des produits disponible sur le site de Documentation Technique Stormshield.
Recommandations sur les liens dédiés à la HA
- Les liens de contrôle HA peuvent être portés par des interfaces réseau ou des interfaces VLAN hors agrégat (LACP).
- Un lien de contrôle HA doit être impérativement connecté à la même interface physique sur les deux membres du cluster (exemple : dmz1).
- Les liens de HA ne doivent pas faire l'objet de translation d'adresses ou de routage.
- Les liens HA peuvent transiter par des commutateurs compatibles avec le multicast. Veillez dans ce cas à ce que les fonctionnalités de type IGMP snooping soient désactivées sur les ports accueillant les liens HA.
Stormshield recommande néanmoins une liaison directe entre les deux membres du cluster. - La perte de connectivité sur un lien de contrôle HA unique conduisant à une situation où chacun des membres du cluster tente de gérer les flux réseaux, ceci entraîne une forte instabilité du réseau.
Il est donc fortement recommandé de définir un lien de contrôle HA secondaire. -
La latence entre deux membres d'un cluster doit être inférieure à 200 ms. Il s'agit ici du temps aller/retour d'un paquet (soit 100 ms aller et 100 ms retour).
Architecture réseau - interconnexions
Afin d'éviter de créer un Single Point Of Failure (SPOF), il est fortement recommandé :
- De dupliquer les équipements réseau d'interconnexion (commutateurs),
- De raccorder les firewalls à chaque commutateur,
- De dupliquer les liens entre les commutateurs eux-mêmes.
Exemple :