Fortinet - FortiGate HA-Cluster pour une configuration de pare-feu à sécurité intégrée
Fortinet
Que votre FortiGate soit utilisé comme passerelle de sécurité, comme pare-feu de segmentation interne, dans le cloud ou dans un environnement MSSP, tant que le trafic critique passe par lui, il y a un risque qu'il soit un point unique de défaillance. Les pannes physiques peuvent être causées par des coupures de courant, des défaillances de la connexion physique, des pannes d'émetteurs-récepteurs ou des coupures de l'alimentation électrique. Les pannes non physiques peuvent être causées par le routage, des problèmes de ressources ou des paniques du noyau.
Les pannes de réseau entraînent des interruptions de l'activité commerciale, des temps d'arrêt et de la frustration chez les utilisateurs et peuvent, dans certains cas, entraîner des revers financiers. Lors de la conception de votre réseau et de votre architecture, il est important d'évaluer les risques et les conséquences des pannes inattendues.
Pour lutter de manière proactive contre de tels problèmes, chaque FortiGate peut être utilisé dans un cluster à haute disponibilité. Pour ce faire, il faut tenir compte de quelques éléments :
-
Seuls des modèles identiques peuvent coopérer au sein d'un cluster.
Cela signifie que deux FortiGate 100F peuvent former un cluster, mais pas un FortiGate 100F et un FortiGate 101F. Une combinaison de FortiGate 100F et de FortiGate 100E n'est pas non plus possible. -
Les deux pare-feux doivent faire l'objet d'une licence complète.
Dans un cluster HA, on utilise ici le plus petit dénominateur commun de licences. Si l'un des FortiGate est équipé de la licence UTP et l'autre d'une licence de support, seule la licence de support sera disponible dans le cluster. - Les deux pare-feu doivent également utiliser la même version de firmware au moment de la formation du cluster.
- Pour permettre un basculement sans problème, du matériel supplémentaire peut être nécessaire. Par exemple, un commutateur situé entre les pare-feux FortiGate et l'appareil d'accès à Internet, par exemple un modem ou un routeur. Cela permet au pare-feu de secours d'établir automatiquement la connexion à Internet sans que personne ne doive débrancher le câble. En outre, les deux pare-feux FortiGate devraient également être reliés à un commutateur en direction du réseau interne, afin qu'un basculement soit également possible à cette extrémité sans qu'il soit nécessaire de changer de prise.
Pour un cluster HA, Fortinet mise par défaut sur un cluster actif-actif. Cela signifie que les deux pare-feu sont actifs et se répartissent le travail entre eux. En cas de panne d'un pare-feu, le second prend directement le relais et, dans l'idéal, seul l'administrateur réseau est informé de ce qui s'est passé.
Bien entendu, les clusters actifs-passifs sont également possibles.
Mais comment mettre en place un HA ?
En principe, il faut bien planifier ce genre de choses.
-
Le câblage doit être construit de manière logique. Dans une configuration simple, cela ressemblerait à ceci :
Internet -> Routeur -> Commutateur -> Cluster FortiGate -> Commutateur -> Réseau interne - S'il s'agit d'une nouvelle infrastructure, procéder à la configuration de base pour les pare-feux FortiGate.
- S'il s'agit d'un pare-feu déjà existant, effectuer la configuration de base sur la deuxième appliance.
- Effectuer la configuration suivante dans Système -> HA :
- Mode : Active-Active ou Active-Passive
- Device Priority : 128 ou plus (uniquement pour le pare-feu primaire !)
- Group name : Saisir ici le nom du cluster souhaité.
- Interfaces Heartbeat : indiquer ici une ou plusieurs interfaces par lesquelles les deux pare-feux sont directement reliés entre eux. Les paramètres, les sessions et les informations Heartbeat sont échangés via ces interfaces.
Procéder à la même configuration pour le deuxième pare-feu, mais abaisser la priorité pour qu'il s'inscrive comme pare-feu secondaire dans le cluster.
Que dois-je faire si je veux mettre à jour le firmware ?
Ici, on a deux possibilités. Une mise à jour sans interruption, qui prend plus de temps, ou une mise à jour avec interruption. En principe, le processus de mise à jour du firmware d'un cluster n'est pas différent de celui d'un FortiGate individuel. On choisit via Système -> Firmware le firmware souhaité à installer et on déclenche le processus de mise à jour. Le firmware est alors installé sur un pare-feu secondaire, qui devient ensuite un pare-feu primaire. Celui-ci prend alors le relais, une sorte de basculement est donc effectué. Le micrologiciel est ensuite exécuté sur le pare-feu primaire. Une fois cette opération terminée, le pare-feu primaire est à nouveau sélectionné sur la base de la configuration du cluster.
Si le pare-feu secondaire devait tomber en panne ou ne plus répondre pendant la mise à jour, le pare-feu primaire continuerait à fonctionner et n'effectuerait une mise à jour que lorsque le secondaire rejoindrait à nouveau le cluster avec une mise à jour réussie.
Si vous êtes intéressé par un pare-feu Fortinet FortiGate ou si vous souhaitez redondancer votre infrastructure existante à l'aide d'un cluster, nous vous conseillerons volontiers. Contactez-nous pour un premier entretien gratuit via notre numéro de téléphone, notre adresse e-mail ou notre formulaire de contact.