Chapitre Firewall (suite)

Proposition de solutions
pour la répartition et l’équilibrage de charge
(Load Balancing)

1
Khaled Sammoud
 Equilibrage de charge entre FW
• Le FireWall est un point unique de panne. En cas d'incident sur cet élément
vital, plus aucune communication n'est possible.
– Solution : acquisition d'un second FireWall, en attente, qui n'est utilisé qu'en cas
d'incident majeur.
• Le basculement de l'unité opérationnelle à l'unité de secours se fait
généralement manuellement et dans l'urgence.
• Les FireWall sont des "goulots d'étranglement". Les tâches qu'ils ont à
accomplir sont très exigeantes en termes de charge CPU. L'installation d'un
FireWall sur un serveur plus puissant ne résout pas tous les problèmes de
capacité

2
Khaled Sammoud
 Equilibrage de charge entre FW
Le FireProof de Radware :

• Peut travailler avec beaucoup de

FireWalls du marché

• Avantages d’utilisation :
– En cas d'incident sur l'un des
FireWall, ou sur le "chemin"
emprunté par les utilisateurs, le
FireProof le détecte
automatiquement et reroute
aussitôt et de façon transparente
les appels utilisateurs.

– Répartit les requêtes entre

plusieurs FireWall, en tenant
compte de leur taille, de leur
disponibilité et vos choix. 3
Khaled Sammoud
 Equilibrage de charge entre FW
En résumé :

Le FireProof de Radware :

• Architecture à tolérance de panne

• Equilibrage de charge
• Travailles avec beaucoup de FireWalls du marché!

4
Khaled Sammoud
Solution de load balancing de FW et de multihoming
Objectifs :
• Le premier objectif d’une solution de partage de charge pour Firewalls est
de garantir la continuité du service.
• Mais comment garantir cette disponibilité si tous les flux sont véhiculés via
une seule connexion Internet ?
• Mise en œuvre une solution de multihoming (accès à plusieurs ISP)

5
Khaled Sammoud
Solution de load balancing de FW et de multihoming
• Le second objectif est d’augmenter les performances de son
architecture.
– Ne consiste pas uniquement à multiplier les ressources.
– Le contenu soit délivré le plus rapidement possible à l’Internaute.
– le chemin suivi par le flux entre le client et le serveur est le meilleur.
=> Il faut donc choisir le meilleur Firewall mais aussi l’ISP qui garantira le
meilleur temps de réponse.
• La solution LinkProof/FireProof permet de différencier les flux suivant
l’origine, la destination et l’application.
• Simplicité d’ajouter ou de retirer des firewalls et des accès Internet et ce
sans perturbation du service.
– Service de « désactivation progressive » : lorsqu’un firewall est placé en
mode shutdown, plus aucune nouvelle connexion n’est envoyée à ce firewall,
alors que les utilisateurs du moment sont maintenus.
– Service « graceful activation » ou « warm up » : permet de graduellement
faire monter en charge le firewall qui est remis en service. Ainsi le firewall
n’explose pas littéralement lorsqu’il remonte ses connections.
6
Khaled Sammoud
 Solution d’équilibrage entre serveurs web
protégés par des Firewalls
Objectifs :
• garantir la continuité du service. (environnement eCommerce, la perte de
n’importe quel équipement de la chaîne doit être transparente du point de vue de
l’utilisateur).
• offrir une répartition de charge intelligente tenant compte de critères
garantissant que le contenu sera proposé par le serveur le plus adapté au client.

7
Khaled Sammoud