ファイアウォール負荷分散とは?
ファイアウォール負荷分散(ファイアウォールロードバランス)とは、複数のファイアウォールシステムをサーバ負荷分散装置(サーバーロードバランサー)の背後に配置するアーキテクチャです。ネットワークトラフィックは、ファイアウォール群に負荷分散され、スケーラブルで高可用性のセキュリティインフラを提供します。
セキュリティファイアウォールは、ネットワークインフラにとってミッションクリティカルな存在です。堅牢なセキュリティインフラには、信頼性、可用性、拡張性に優れたファイアウォールインフラが必要です。インターネット接続に障害が発生すると、ビジネス活動は大きく妨げられ、完全に停止します。ビジネス継続を確保するためには、ファイアウォールインフラが重要なのです。
この記事では、アプリケーション配信コントローラー(ADC)の後ろで負荷分散されるファイアウォールシステムのクラスタについて説明します。
ファイアウォール負荷分散ソリューション
インターネットからのトラフィックは、ファイアウォール群内の1つのファイアウォールへ振り分けられます。組織内からのインターネットへのトラフィックも同様に振り分けられます。
サーバーロードバランサはネットワークセッションを監視し、新規ネットワーク接続を最も負荷の低いファイアウォールに負荷分散されるようにします。 確立済みのセッションからのトラフィックは同じファイアウォールにルーティングされ、パケット検査と継続的なセキュリティ分析を維持します。
ファイアウォール負荷分散のメリット
スケーラビリティ
ファイアウォールは、安全でないネットワーク間でトラフィックを転送するために必要とされます。 各ファイアウォールを通過する各パケットは、検査、分析、ネットワーク制御ポリシーやセキュリティルールとの比較、そして多くの場合には修正が必要です。 ファイアウォールシステムは基本的にコンピューターシステムであり、複雑な処理にはCPU、メモリー、ネットワークデータ転送などのコンピューティングリソースが必要です。ファイアウォールでは、対応できるネットワークトラフィック量に限界があるため、ファイアウォールシステムを追加することが必要です。 負荷分散構成では、ファイアウォールを動的に追加し、処理可能量を増やすことができます。また、既存のファイアウォールシステムに影響を与えることなく、ファイアウォールの処理量を随時追加することができます。
信頼性
アプリケーションサーバーの負荷分散は、可用性の高いアプリケーションインフラを提供するために一般的に行われていますが、ファイアウォールシステムにも同様の手法が適用できます。 複数のファイアウォールで負荷分散されている場合、ファイアウォール1つに障害が発生しても深刻な障害を引き起こすことはありません。 障害を受けたユーザーセッションは他のファイアウォールへ送られ、ユーザーセッションは再確立されます。
管理性
ファイアウォールのメンテナンスは、負荷分散をしていない環境では困難であり、稼働中のシステムでセキュリティポリシーを変更すると、予期せぬ問題や停止が容易に発生します。 ADC/ロードバランサーが導入されている場合、背後にあるファイアウォールシステムはユーザーに影響を与えずにサービスから削除することができ、新しいセキュリティポリシーでアップグレード、交換、更新することができます。 これらのファイアウォールシステムは運用状態に戻す前に、テストすることも可能です。
