R: Firewall e load balancing

Ciao,
scrivo per chiarire insieme dei concetti e per vedere se siamo sempre tutti d'accordo al di là delle diverse tecnologie utilizzate dai vendor ;-)
Quindi...
High availability (HA) è per non avere interruzioni in caso di guasti,
Load balancing (LB) serve quando il carico è talmente elevato da non essere gestibile attraverso una singola macchina.
Diciamo che la scala delle soluzioni di firewalling, dalla più semplice alla più performante e affidabile è:
- 1 FW (no HA, no LB)
- 2 FW (HA)
- >2 FW (HA e LB)

Le soluzioni di HA che conosco utilizzano circuiti di VRRP, che permettono di creare degli IP virtuali a cui risponderà un FW master. Gli altri FW saranno backup finchè il master non smetterà di rispondere.
Tecnicamente è possibile avere LB anche con 2 FW, ma attenzione. Se abbiamo 2 FW che fanno LB, ognuno con un carico superiore al 50%, in caso di guasto ci troveremmo ad avere un solo FW che non è in grado di gestire tutto il traffico. (perchè la somma dei carichi sarebbe maggiore al 100%...).
Quindi LB è necessario quando abbiamo un buon numero di FW che lavorano in parallelo.
Le soluzioni di LB che conosco io sono di 2 tipi: SW e HW.
Le soluzioni SW consistono nell'utilizzare dei MAC address multicast.
Il pacchetto con MAC multicast viene ricevuto da tutti i FW, ma solo quello con meno carico lo processa. I firewall si scambiano ovviamente info sul carico oltre che la tabella delle connessioni che permette l'HA.
Le soluzioni HW consistono in apparati dedicati a fare load balancing, chiamati curiosamente bilanciatori di carico.
Questi non sono limitati a bilanciare FW, ma possono essere utilizzati in molte applicazioni diverse (es. bilanciare il carico WEB su diversi WEB server) e hanno spesso funzioni molto avanzate (da layer 2 a layer 7) per cui funzionano da content swtich poichè riescono a lavorare anche a livello applicativo (= di contenuto).
Una possibile applicazione dei bilanciatori è il Firewall Load Balancing. Se si bilancia il carico tra più FW usando un bilanciatore HW esso deve garantire la persistenza della connessione verso lo stesso FW per tutta la sua durata.
Manco a dirlo i bilanciatori alzano il prezzo della soluzione, ma anche le performance e l'affidabilità, direi.
Un altro modo per bilanciare il carico è fare Load Sharing: in questo caso il carico viene diviso sui FW in modo statico e non viene scelto dinamicamente secondo l'effettivo carico del FW come nel Load Balancing.
Per esempio, se abbiamo 3000 client che devono navigare attraverso un gruppo di 3 FW potremmo assegnare un gateway diverso ogni 1000 client.
Forse prima va scelta l'architettura (almeno a grandi linee) e poi si vede quali prodotti si possono usare per realizzarla.
Spero che qualcuno abbia osservazioni e aggiunte da fare! ;-)

Ciao,
---
Daniele Besana - ICQ 21963839
IT Virtual Community
www.itvirtualcommunity.net


> -----Messaggio originale-----
> Da: Simo Sorce [mailto:simo.sorce@xsec.it]
> Inviato: giovedì 9 gennaio 2003 11.19
> A: ml@sikurezza.org
> Oggetto: Firewall e load balancing
> 
> 
> Salve a tutti,
> ho cercato un po' in giro ma ho trovato poche informazioni complete su
> firewalls in grado di fare load balancing in modo serio.
> Qualcuno ha una lista di firewall (e magari con specifiche un po'
> approfondite su come esattamente funzionano) che sono in grado di
> lavorare in load balancing/high availability?
> 
> Ciao,
> Simo.
> 
> -- 
> Simo Sorce - simo.sorce@xsec.it
> Xsec s.r.l.
> via Durando 10 Ed. G - 20158 - Milano
> tel. +39 02 2399 7130 - fax: +39 02 700 442 399
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 
> 
>

smime.p7s