ファイアウォール負荷分散 (FWLB) とは

  • Blog
  • ファイアウォール負荷分散 (FWLB) とは

ナレッジベース

サイト信頼性エクスペリエンス

カテゴリを表示

ファイアウォール負荷分散 (FWLB) とは

所要時間

目次

今日のデータ センターでは、ネットワーク、サーバー、アプリケーションのセキュリティが最も重要です。このセキュリティ インフラストラクチャの主要コンポーネントは、悪意のあるアクセスや不正アクセスから保護するファイアウォールです。ただし、ビジネス活動が中断のないインターネット接続にますます依存するようになるにつれて、堅牢でスケーラブル、かつ可用性の高いファイアウォール インフラストラクチャが重要になります。ここで、ファイアウォール ロード バランシング (FWLB) が役立ちます。

ファイアウォール負荷分散とは何ですか? #

ファイアウォール ロード バランシングは、複数のファイアウォール システムをサーバー ロード バランサーの背後に戦略的に配置する展開アーキテクチャです。ネットワーク トラフィックはファイアウォールのグループ全体に分散され、スケーラブルで可用性の高いセキュリティ インフラストラクチャが作成されます。この設定により、1 つのファイアウォールに障害が発生した場合でも、他のファイアウォールがシームレスに引き継ぐことができ、ビジネスの継続性が維持されます。

FWLB

ファイアウォール負荷分散の重要性 #

拡張性 #

ファイアウォールは、セキュリティ ポリシーに基づいてパケットを検査、分析、変更するという重労働を担います。トラフィックが増加すると、ファイアウォールの計算需要が高まり、追加のリソースが必要になります。FWLB を使用すると、新しいファイアウォールを動的に追加して、既存のシステムを中断することなく容量を拡張できます。このスケーラビリティは、増大するトラフィック負荷に対応し、一貫したパフォーマンスを確保するために不可欠です。

信頼性の向上 #

高可用性は、あらゆるセキュリティ インフラストラクチャにとって重要です。FWLB は、トラフィックを複数のファイアウォールに分散することで信頼性を高めます。ファイアウォールに障害が発生すると、ロード バランサが障害を検出し、トラフィックを他の機能しているファイアウォールにリダイレクトします。この冗長性により、ダウンタイムが最小限に抑えられ、継続的な保護が保証されます。

管理容易性 #

ファイアウォールのメンテナンスは、特にセキュリティ ポリシーの更新やソフトウェアのアップグレードを実行する場合には困難です。FWLB は、ユーザー トラフィックを中断することなく、個々のファイアウォールをメンテナンスのためにサービス停止できるようにすることで、管理を簡素化します。このアプローチにより、シームレスな更新が可能になり、予期しない問題のリスクが軽減されます。

ファイアウォール負荷分散の実装 #

一般的な FWLB 設定では、ファイアウォールはサーバー ロード バランサーの間に挟まれます。インターネットと内部ネットワークからのトラフィックは、負荷が最も少ないファイアウォールに送られます。確立されたネットワーク セッションは、パケット検査とセキュリティ分析を維持するために、常に同じファイアウォールを介してルーティングされます。

事例概要 #

コンテンツ スイッチ モジュール (CSM) を使用して、インターネット (INET)、非武装地帯 (DMZ)、ローカル エリア ネットワーク (LAN) の 3 つの安全なセグメント間でファイアウォールの負荷を分散する展開について考えてみましょう。目標は、これらのセグメント全体で高可用性、シームレスな管理、および堅牢なセキュリティを確保することです。

サーバーおよびアプリケーションの要件 #

  • DMZ 内のサーバーは、LAN ステーションから直接管理する必要があります。
  • サーバーは更新とパッチのセッションを開始する必要があります。
  • DMZ 内の主なアプリケーションは HTTP および HTTPS ベースであり、永続的な接続が必要です。

セキュリティ要件 #

  • 負荷分散はすべてのセグメントからファイアウォールに流れます。
  • ファイアウォールを通過する各ネットワーク パスは、使用前に検証する必要があります。
  • 高可用性と、FTP などの複数接続アプリケーションを処理する機能。

インフラストラクチャ要件 #

  • 既存のネットワーク プロトコルへの影響は最小限です。
  • 現在のインフラストラクチャへの CSM のシームレスな統合。
  • ファイアウォールの障害を処理するための堅牢なフェイルオーバー メカニズム。

設計上の考慮事項 #

  • ICMP プローブを使用してファイアウォール パスを監視します。
  • 単一障害点を回避するために、サーバーおよびクライアント VLAN のポート チャネルを構成します。
  • ルーティング ループを防ぐために、仮想サーバー構成内の仮想 IP (VIP) が正しくサブネット化されていることを確認します。

FWLBプローブ #

ICMP プローブは、ファイアウォールを通過するパスの可用性を確認するために不可欠です。これらのプローブは、すべてのファイアウォール リンクを監視するように設定されており、パスの継続的な可用性を保証します。プローブの間隔、再試行、および障害しきい値は、特定の要件に合わせて調整できるため、ファイアウォールの障害をタイムリーに検出して対応できます。

FWLBを実装する方法 RELIANOID ロードバランサ #

FWLB(ファイアウォール負荷分散)の実装 RELIANOID ロード バランサでは、トラフィックをファイアウォールのプールにルーティングする外部ロード バランサとして構成し、セッションの期間中、接続が一貫して同じファイアウォールにルーティングされるようにします。この設定を実現する方法の詳細なガイドは次のとおりです。

ネットワークアーキテクチャの概要 #

  • 外部ロードバランサ(RELIANOID): 着信トラフィックを処理し、ファイアウォールのプールに分散します。
  • ファイアウォール: 外部ロード バランサーによって処理された後、トラフィックを内部でフィルタリングして転送します。
  • 内部ロード バランサ: オプションで、内部ネットワーク内の内部ロード バランサは、ファイアウォールを通過した後、トラフィックをさらに分散する場合があります。

構成 RELIANOID ロードバランサー(外部ロードバランサー) #

レイヤー4ファームの作成

  • にログインします。 RELIANOID Webインターフェイス。
  • ファームセクションなどに移動します。
  • 処理する必要があるトラフィックの種類 (TCP、UDP など) に対応するレイヤー 4 ファームを作成します。
    • 各ファームのリスニング IP アドレスとポートを定義します。
    • 各ファームからのトラフィックを受信するサーバー (この場合はファイアウォール) を指定します。
    • 各ファイアウォールの可用性を監視するためにヘルス チェックを構成します。

持続性(アフィニティ)を設定する

  • 永続性 (アフィニティ セッションまたはスティッキー セッションと呼ばれることもあります) を有効にして、同じクライアント IP からの接続が常に同じファイアウォールに送信されるようにします。これは、セッションが複数の接続にまたがる可能性がある HTTP/HTTPS などのプロトコルの場合に特に、セッションの継続性を維持するために重要です。

ファイアウォール プールを構成する
ファイアウォールのプールを定義する RELIANOID ロードバランサーの構成。

  • このプールは、着信トラフィックを処理するファイアウォールのセットを表します。
  • ファイアウォールが、転送されたトラフィックを処理するように正しく設定されていることを確認してください。 RELIANOID ロードバランサー。

交通流 #

外部トラフィック処理

  • 着信トラフィックは RELIANOID ロードバランサー。
  • レイヤー 4 ファームの構成に基づいて、ロード バランサは宛先 IP アドレス、ポート、またはサブネットに基づいてトラフィックを適切なファイアウォールに転送します。

永続化メカニズム

  • ロード バランサは永続性メカニズム (通常はソース IP アフィニティ) を使用して、同じクライアント IP からの接続が同じファイアウォールに送信されるようにします。
  • これは、同じクライアントからの複数の接続にわたってセッション状態を維持するために不可欠です。

ファイアウォール処理

  • プール内の各ファイアウォールは、ロード バランサーからトラフィックを受信します。
  • ファイアウォールは、設定されたルールに基づいてトラフィックを検査およびフィルタリングします (例: 送信元/宛先 IP、ポート、プロトコルに基づいてトラフィックを許可/拒否します)。

内部ロードバランサー(オプション) #

  • オプションとして、内部ネットワーク内で追加のロード バランサを使用して、ファイアウォールを通過したトラフィックをさらに分散することもできます。
  • これらの内部ロード バランサは、特定の要件に応じて、アプリケーション レベルまたはネットワーク レベルで動作できます。

テストと検証 #

構成をテストして次のことを確認します。

  • トラフィックは外部ロードバランサからファイアウォールに正しくルーティングされます。
  • 永続性メカニズム (アフィニティ/スティッキー セッション) は期待どおりに機能しています。
  • ファイアウォールはトラフィックを適切にフィルタリングし、内部ネットワークに転送します。

監視と保守 #

  • 定期的にパフォーマンスを監視し、 RELIANOID ロードバランサ、ファイアウォール、および内部ネットワーク コンポーネント。
  • ネットワークとアプリケーションの要件が進化するにつれて、構成が更新されることを確認します。

その他の考慮事項 #

  • セキュリティ: 不正アクセスからネットワークを保護するために、ファイアウォール ルールが正しく構成されていることを確認します。
  • 拡張性: トラフィック需要の増加に応じて、ロード バランサーとファイアウォール インフラストラクチャを拡張する計画を立てます。
  • ドキュメント: トラブルシューティングや将来の参照を容易にするために、ネットワーク図や構成設定などの構成の詳細なドキュメントを維持します。

結論 #

ファイアウォール負荷分散は、スケーラブルで信頼性が高く、管理しやすいセキュリティ インフラストラクチャを構築する上で不可欠です。FWLB は、トラフィックを複数のファイアウォールに分散し、高可用性を確保することで、ネットワーク障害から保護し、全体的なセキュリティを強化します。FWLB を実装するには、慎重な計画と構成が必要ですが、スケーラビリティ、信頼性、管理性が向上するというメリットがあるため、堅牢なサイバーセキュリティの維持に注力する組織にとっては価値のある投資となります。

これらの手順に従うことで、FWLBを効果的に実装できます。 RELIANOID ロード バランサーは外部および内部のロード バランサーとして機能し、トラフィックがファイアウォールに効率的にルーティングされ、内部ネットワークに転送される前にネットワーク セキュリティ ポリシーに従って管理されることを保証します。

📄 この文書をPDF形式でダウンロードする #

    EMAIL: *

    Powered by ベタードックス