hi all

mình đọc tài liệu cisco có failover trong pix firewall có ai biết giải thích dùm mình. nó có gióng serial port của router k? nếu khác thì chức năng của nó là gì

Hi KhanhChau!

Failover hay High Availability (HA) là những thuật ngữ cũng như là các kỹ thuật mà chúng ta thường gặp khi tiếp xúc với các hệ thống Firewall phần cứng.
Đây là một trong những kỹ thuật thiết yếu nhằm để trang bị cho hệ thống mạng của chúng ta một hệ thống phòng vệ mạnh và luôn có tính sẵn sàng cao
Sẽ rất rộng để nói về Failover , mình chỉ xin được trao đổi với bạn một vài ý kiến sau :

1.Failover hay HA là các giao diện dùng để kết nối 2 hay nhiều Firewall lại với nhau trong mục đích dự phòng

2.Cong Fialover sẽ có giao diện là RS-232, giống như cổng COM1 trên máy tính. Cổng HA thường sẽ có giao diện là RJ-45. Đôi lúc cũng có một số dòng Firewalll gọi tên là cổng HA, nhưng lại dùng giao diện RS-232. Tuy nhiên hầu như phần lớn các dòng FW cứng đều hỗ trợ kỹ thuật này

3. Tùy theo dòng sản phẩm mà số lượng thành viên(FW) trong một HA cluster sẽ thay đổi tương ứng. VỚi Cisco PIX Firewall, Failover hình như chỉ gói gọn trong một cặp 2 Firewall!!!Tuy nhiên, cần lưu ý là tất cà các thành viên trong một Failover cluster hay một HA Cluster phải hoàn toàn đổng bộ về mọi đặc thù và thông số tương ứng (tất nhiên chúng phải có cùng platform) như là phiên bản hệ điều hành, số lượng cổng giao tiếp, phiên bản iDS, phiên bản Antivirus ,...

4. Với mô hình Failover của Cisco PIX, chúng ta sẽ có 2 chế độ để chọn lựa.:

+ Active-Passive : Trong chế độ này, một FW sẽ giữ vai trò Primary, thắng còn lại sẽ là Backup unit hay còn gọi là Failover Unit. Thông qua một sơi cáp Failover nối 2 cổng RS-232 lại, tất cả các thông tin được xử lý trên Primary unit đều được ghi nhận lại trên Failover unit. Trong trường hợp xảy ra sự cố, Primary die, thì mọi session đang tồn tại trên Primary sẽ lập tức đựoc chuyển hướng sang Failover unit, và Backup FW sẽ ngay lập tức thóat khỏi trạng thái Standby để active thay thế cho vai trò của Primary

+ Active-Active : Trong chế độ này cả 2 FW sẽ cùng đồng thời thực thi tác vu trong ngữ cảnh chia tải trong họat động phòng thủ ở cửa ngõ

5. Mặc dù giống nhau hoàn toàn, nhưng Failover PIX thường chỉ bằng 3/5 giá của Primary unit về giá cả. Các hãng khác hình như là đồng nhất về giá cho các thành viên trong HA Cluster

6. Phần lớn, chúng ta phải mua thêm license cho tính năng Failover . Với PIX Firewall Primary của bạn cần phải thuộc nhóm license không giới hạn (UR) thì mới có thể triển khai thêm một Backup FW nối thêm vào

Mong được trao đổi thêm cùng bạn về chủ đề này

thank cvo15303 nhiều

sory nhe. mấy ngày nay bận làm việc nhiều nên mình không trả lời bạn dc

giờ mình đã hiểu thêm 1 ít về fixfirewall . còn về software của fix firewall thì sau nó có giống như Router hay Switch không.? hay là gì khác. bạn giải thích dùm mình nhe cám ơn nhiều !

Hiện nay PIX mới chỉ làm được Failover, chưa làm được Active-Active. Các loại Firewall khác như Netscreen, Check Point (Crossbeam, Interspect, Nokia) đều làm được Active-Active (hoặc thậm chí Fullmesh Active-Active từ lâu rồi)

Version 7.0 sắp tới của PIX cho phép PIX có thể chạy được Active-Active nhưng version này mới đang thử nghiệm Beta, chưa phát hành chính thức