1. 產品
  2. 儲存設備及高可靠運算
  3. Fortigate FG-60F 防火牆主機 HA 佈署服務
銷售牌價

Fortigate FG-60F 防火牆主機 HA 佈署服務

    此組合不存在。

    部署高可靠性防火牆及 VPN

    問題詢問

    使用FortiGate防火牆的高可用性(HA)在許多關鍵網絡安全和高正常運行時間的環境中具有多項重要優勢。以下是為什麼需要使用HA的原因:

    1. 提高正常運行時間和可靠性

    • 減少停機時間:HA確保當主防火牆發生故障時,網絡流量能夠繼續不中斷地運行。在主動-被動模式下,如果主(主動)設備離線,備(被動)設備會接管,最大限度減少停機時間。
    • 自動故障轉移:HA提供自動故障轉移功能。當主設備出現故障(硬體、軟體或網絡問題)時,備設備能無縫接管,無需人工干預。

    2. 冗餘性

    • 硬體冗餘:通過將兩個或更多FortiGate設備組成HA叢集,您可以獲得硬體冗餘。如果因硬體問題(例如電源故障、網卡故障)導致一台設備失效,另一台設備會接管,減少單點故障風險。
    • 路徑冗餘:除了硬體冗餘,FortiGate HA還能實現網絡冗餘。如果某個網絡路徑不可用,它可以重新路由流量,保持連接。

    3. 負載均衡(主動-主動模式)

    • 主動-主動HA設置中,流量可以在多個FortiGate設備之間分配,改善性能,通過共享負載來優化資源利用。這對於高流量的環境特別有用,因為它可以防止單個防火牆負載過重。

    4. 無縫固件升級

    • 零停機升級:通過HA,您可以在保持網絡運行的情況下依次對每台設備進行固件升級。首先升級備設備,然後將流量切換到備設備,再升級主設備。這個過程可以實現無縫升級,不會中斷網絡。

    5. 會話和配置同步

    • 會話同步:在主動-被動模式下,會話狀態(例如已建立的連線)會在主設備和備設備之間同步。這使得狀態化的故障轉移成為可能,即使在故障轉移期間也能保持活動連線不中斷。
    • 配置同步:主設備的配置會自動同步到備設備,確保兩台設備始終準備執行相同的功能。

    6. 業務連續性

    • HA通過在意外故障或維護期間保持網絡安全和訪問,確保業務連續性。它對於關鍵任務應用程式、線上服務以及對正常運行時間有嚴格服務級別協議(SLA)的組織尤為重要。

    7. 防範安全漏洞

    • 故障轉移期間無安全漏洞:FortiGate HA確保在故障轉移期間,安全策略、威脅情報以及所有防火牆規則都會同步並強制執行,防止在設備故障時出現安全漏洞。

    8. 可擴展性

    • HA允許企業在不增加複雜性的情況下擴展其安全基礎設施。如果需要更多的性能(例如應對更高的流量負載),可以使用主動-主動叢集來擴展部署。

    9. 易於管理

    • 您可以將整個HA叢集作為一個實體進行管理,簡化管理流程,減少IT人員的負擔。配置和策略通過主設備管理,並自動同步到備設備。

    常見應用場景:

    • 企業網絡:需要高網絡可用性的擁有關鍵業務應用的大型組織。
    • 服務提供商:需要強大防火牆以確保一致服務交付的ISP和雲端服務提供商。
    • 數據中心:需要不間斷訪問和安全的高需求環境。

    總而言之,使用FortiGate HA對於確保網絡安全基礎設施的高可用性業務連續性容錯能力至關重要。它是一種防範故障的保險措施,否則故障可能會導致較長時間的網絡停機、安全漏洞以及業務中斷。

    Fortigate FG-61F 主機

    遠程運作,安全可靠

    FortiGate 60F 採用單一無風扇桌面安裝形式,為擁有分支機構的企業和中型企業提供出色的安全和 SD-WAN 解決方案。透過簡單、價格合理且易於部署的解決方案,Fortinet 利用專用加速晶片和業界領先的安全 SD-WAN 解決方案,提供網路與新一代安全緊密整合,共同防禦網路威脅。

    原廠連結
    規格說明

    防火牆主機的高可用性(High Availability,HA)部署是一種用來確保防火牆在故障時可以自動切換到備援設備,從而保持網路的連續性和服務的穩定性。以下是防火牆主機 HA 部署的基本步驟和考量:

    1. 選擇 HA 模式

    常見的防火牆 HA 部署模式包括:

    • Active/Passive 模式:一台防火牆主機為主動設備(Active),另一台為備援設備(Passive)。當主動設備出現問題時,流量會自動切換到備援設備。
    • Active/Active 模式:兩台防火牆主機同時處於活動狀態,處理不同的流量。當其中一台設備失效時,另一台可以承接全部的流量。

    2. 網路拓撲設計

    • 對等設備:HA 部署中的防火牆設備應為相同型號、相同的硬體配置,並運行相同版本的軟體。
    • 連接方式:防火牆之間需要透過心跳連接(Heartbeat Link)和狀態同步鏈接來進行信息同步。常見的連接方式包括:
      • Heartbeat Interface:用來監控兩台防火牆的運行情況,當主設備失效時,備援設備可以檢測到。
      • Sync Interface:同步連接用來確保兩台防火牆之間的會話狀態、路由表及配置文件保持一致。
    • 網路設備冗餘:為避免單點故障,最好確保路由器、交換機等其他關鍵設備也有冗餘設計。

    3. IP 地址規劃

    在 HA 部署中通常會涉及多種 IP 地址:

    • 虛擬 IP 地址(VIP):用於對外提供單一的 IP,無論哪台防火牆處於活動狀態,虛擬 IP 都不變。
    • 實體 IP 地址:每台防火牆都有自己獨立的實體 IP,這些 IP 在 HA 模式下會自動切換,不會影響網路的外部訪問。

    4. 配置同步

    確保防火牆設備之間的配置同步是 HA 部署的關鍵步驟。這通常包括以下幾個方面:

    • 會話同步:確保當主防火牆發生故障時,備援設備可以無縫接管已建立的會話。
    • 配置同步:確保兩台防火牆的策略、路由等配置保持一致。
    • 使用者認證同步:同步使用者的登入狀態及認證信息。

    5. 故障轉移測試

    在 HA 部署完成後,進行故障轉移測試以確保系統可以正常運作。常見的測試包括:

    • 模擬主動設備故障,檢查備援設備是否可以順利接管。
    • 測試會話是否能夠在切換過程中保持連續性(如 VPN 連接、使用者登入等)。

    6. 監控與維護

    • HA 狀態監控:持續監控防火牆之間的心跳狀態,及早發現問題。
    • 定期進行升級和備份:確保設備的韌體和配置文件保持更新,並定期進行數據備份。

    7. 故障切換時間與恢復策略

    確保在故障發生時,切換到備援設備的時間要盡量縮短。通常 HA 配置會允許幾秒鐘內完成故障轉移,不會對業務產生明顯影響。

    注意事項:

    • 兩台防火牆的硬體配置、韌體版本、配置文件需要保持一致。
    • 保證心跳線路和同步線路的可靠性,避免單點故障。
    • 在進行配置變更時,盡量避免在高峰時段進行操作。

    這些步驟應該能幫助你建立一個穩定的防火牆 HA 部署。


    Recently viewed Products