Yüksek Erişilebilirlik (HA) Firewall Yapılandırması: Kesintisiz Ağ Güvenliği Rehberi

Modern işletmeler için internet ve ağ erişimi, elektrik veya su kadar temel bir ihtiyaç haline gelmiştir. Bir firewall cihazının donanımsal arızası, yazılımsal kilitlenmesi veya basit bir enerji problemi nedeniyle devre dışı kalması; üretimin durması, satışların kesilmesi ve personelin iş göremez hale gelmesi demektir. Bu riskleri minimize etmek için kullanılan Yüksek Erişilebilirlik (High Availability – HA) mimarisi, iki veya daha fazla firewall cihazının tek bir mantıksal ünite gibi çalışmasını sağlar. Bu makalede, High Availability Firewall yapılandırmasının teknik temellerini, Active-Passive ve Active-Active çalışma modlarını ve başarılı bir yedeklilik stratejisinin nasıl kurulacağını detaylandıracağız.

1. High Availability (HA) Temel Kavramları

Bir High Availability Firewall yapısını kurgulamadan önce, bu mimariyi oluşturan teknik bileşenleri anlamak gerekir:

Cluster (Kümeleme)

İki veya daha fazla fiziksel firewall cihazının bir araya gelerek oluşturduğu gruba “Cluster” denir. Dış dünyadan bakıldığında bu cihazlar High Availability Firewall teknolojisi kullanılarak tek bir IP ve MAC adresine sahip tek bir cihaz gibi görünür.

Heartbeat (Kalp Atışı) Bağlantısı

Cihazlar arasında fiziksel olarak kurulan bir veya birden fazla bağlantıdır. Bu hat üzerinden cihazlar birbirlerine sürekli “Ben hayattayım” sinyali ve konfigürasyon senkronizasyon verisi gönderirler. Eğer ikincil cihaz belirli bir süre (milisaniyeler) boyunca bu sinyali alamazsa, ana cihazın sustuğunu varsayarak trafiği devralır (Failover). Bu süreçte High Availability Firewall yapısı sistemin kesintisizliğini sağlar.

Session Synchronization (Oturum Senkronizasyonu)

HA’nın en kritik özelliğidir. Aktif cihaz üzerindeki tüm aktif bağlantılar (VPN tünelleri, web oturumları, dosya indirmeleri), pasif cihaza anlık olarak kopyalanır. Böylece bir cihaz arızalandığında kullanıcıların bağlantıları kopmadan diğer cihaz üzerinden devam eder. Yüksek erişilebilirlik için firewall’ın oturum senkronizasyonu da High Availability Firewall mimarisinde hayati öneme sahiptir.

2. HA Çalışma Modları: Hangisi Sizin İçin Uygun?

Firewall üreticileri genellikle iki ana HA modu sunar. Her birinin kullanım senaryosu ve maliyet etkisi farklıdır. Elbette, High Availability Firewall seçimi yapılırken gereksinimlerinizi göz önünde bulundurmanız gerekir.

A. Active-Passive (Aktif-Pasif) Modu

En yaygın ve stabil olan yöntemdir. Bu yapıda bir cihaz (Master) tüm trafiği yönetirken, diğer cihaz (Slave) hazırda bekler. Bu aktarımlar sırasında güvenlik için High Availability Firewall modeli genellikle tercih edilmektedir.

• Avantajları: Yönetimi kolaydır, oturum senkronizasyonu mükemmeldir ve konfigürasyon hataları riski düşüktür. Ayrıca birçok durumda High Availability Firewall ile kesintisiz hizmet sağlanır.
• Dezavantajları: İkinci cihaz donanım olarak boştadır; yani toplam kapasiteniz tek bir cihazın kapasitesiyle sınırlıdır.

B. Active-Active (Aktif-Aktif) Modu

Her iki cihazın da trafiği paylaştığı (Load Balancing) moddur. Özellikle High Availability Firewall aktif-aktif modunda toplam ağ performansı artmaktadır.

• Avantajları: Toplam ağ kapasitesini ve throughput değerini artırır. Çok yoğun trafiği olan yapılar için idealdir.
• Dezavantajları: Yapılandırması karmaşıktır. Cihazlardan biri arızalandığında, kalan tek cihaz toplam yükü taşıyamazsa performans darboğazı yaşanabilir.

3. Başarılı Bir HA Yapılandırması İçin Teknik Gereksinimler

HA kurulumunda ” Best Practice” (En İyi Uygulama) standartlarına uymak, sistemin felaket anında gerçekten çalışmasını sağlar.

• Donanım Uyumluluğu: Cluster içindeki cihazların model numaraları, donanım revizyonları ve bellek miktarları mutlaka aynı olmalıdır.
• Yazılım (Firmware) Uyumluluğu: Cihazlar aynı işletim sistemi sürümünü (Örn: FortiOS 7.2.4) koşturmalıdır.
• Lisans Senkronizasyonu: Çoğu üreticide, her iki cihazın da aynı güvenlik lisanslarına sahip olması gerekir.
• Yedekli Heartbeat: Heartbeat bağlantısı için tek bir kabloya güvenmeyin. Eğer o kablo bozulursa “Split-Brain” senaryosu yaşanabilir.

4. Failover Süreci ve Tetikleyiciler

Bir HA sisteminde geçişin (Failover) tetiklenmesi için profesyonel yapılandırmalarda şu tetikleyiciler kullanılır:

• Interface Monitoring: İnternetin geldiği dış hat portu (WAN) bozulursa, cihaz görevi diğerine devreder.
• Remote Link Monitoring: Cihaz dışarıdaki bir IP adresini pingler. Eğer internet çıkışı sağlanamıyorsa yedek cihaza geçer.
• Service Monitoring: Firewall üzerindeki kritik bir servis (IPS veya Antivirüs gibi) hata verirse sistem otomatik devralma yapar.

5. HA Yapılandırmasının İşletmenize Faydaları

1. Sıfır Kesintiyle Bakım: Firmware güncellemelerini mesai saatleri içinde yapabilirsiniz. Önce pasif cihazı günceller, trafiği ona aktarır, sonra ana cihazı güncellersiniz.
2. Donanım Arızalarına Karşı Zırh: Güç kaynağı yanması veya anakart arızası durumunda saniyeler içinde sistem ayağa kalkar.
3. Yasal ve Sözleşmesel Uyumluluk: Kritik sektörlerde (Finans, Sağlık, E-ticaret) erişilebilirlik bir zorunluluktur.

6. e-btservis ile Profesyonel HA Kurulumu

e-btservis olarak biz High Availability Firewall kurulumunda uzman kadro ile hizmet veriyoruz:

• Ağ topolojinizi analiz ederek en uygun HA modunu belirliyoruz.
• “Split-Brain” senaryolarını engellemek için yedekli Heartbeat kurguluyoruz.
• Kurulum sonrası gerçek zamanlı testler yaparak sistemin başarısını doğruluyoruz.
• Merkezi izleme sistemlerimizle cluster’ınızın sağlık durumunu 7/24 takip ediyoruz.

Sonuç

Yüksek Erişilebilirlik (HA), bir lüks değil, modern ağ yönetiminin temel sigortasıdır. e-btservis’in uzman kadrosuyla kuracağınız High Availability Firewall mimarisi sayesinde, donanım arızalarını arka planda çözülen basit birer teknik ayrıntıya dönüştürebilirsiniz.