L’ISP redundancy di Checkpoint permette la connesione a Internet attraverso links ISP multipli , monitorizza tali links e instrada le connesioni a seconda della modalità operativa. Per gestire il doppio link internet su gateway Checkpoint singolo o in cluster esistono due modalità: • •
Primary/Backup Load Sharing (il doppio link è supportato da versione NG R55 su SecurePlatform, RedHat 7.2 o superiore e IPSO).
Nella modalità Primary/Backup le connessioni vengono instradate di default sul link configurato come primario e vengono spostate sul secondario nel caso il link primario avesse un malfunzionamento. Quando il link primario viene ripristinato le nuove connessioni vengono assegnate a questo link mentre quelle esistenti sono mantenute su quello di backup fino a quando non vengono chiuse. Nella modalità Load Sharingle connessioni in uscita vengono instradate su entrambi i links in modalità randomica, nel caso ci fosse un malfunzionamento su un link le nuove connessioni verrebbero indirizzate tutte sul link rimasto attivo. Per le connessioni in entrata verso i server e servizi pubblici, i pacchetti vengono trattati in modo che ritornino sul link da cui la connessione è stata iniziata. Nel caso particolare della modalità Load Sharing le connessioni entranti possono raggiungere i server interni da entrambi gli ISP se si utilizza la funzione di DNS presente a bordo Checkpoint, soluzione che permette di monitorare il link e rispondere alla query DNS del server pubblico con l’ip address prima appartenentea un link e poi all’altro in maniera alternata. Per monitorare i links e determinare il loro stato l’ISP Redundancy Monitorverifica se l’interfaccia relativa a ogni link è funzionante e col cavo inserito e controlla la raggiungibilità del next hop router. Opzionalmente è possibile indicare una lista di host da monitorare tramite ping, nel caso uno solo di questi host non sia raggiungibile tramite tale interfaccia il link viene considerato inattivo. Per la default route sui gateway è necessario impostarne solo una e non impostare una metrica. Lavorando in modalità Primary/Backup bisogna impostare come default il router del link primario, per la modalità Load Sharing il router del primo ISP indicato nell’interfaccia ISP Redundancy. In caso di malfunzionamento di un link sarà lo script interno dell’ISP Redundancy di Checkpoint che provvederà a cambiare in automatico la default route e nel caso di ripristino del link sarà sempre lo script a reimpostare la route corretta. Lo script in questione è “$FWDIR/bin/cpisp_update”, configurabile anche nel caso si vogliano utilizzare dei comandi per bloccare alcuni tipi di traffico in caso di switch del link primario per diminuire il carico sul link di backup. Per testare o forzare un cambio di link si può usare il comando “fw isp_link” sia direttamente sui nodi gateway che dalla smartcenter (in caso di installazione distribuita come nel cluster, ma in questo caso diventa necessario specificare il nodo target del comando).
In caso di vpn con oggetti Checkpoint se si seleziona nell’interfaccia ISP redundancy “apply to vpn traffic” le ozpzioni qui impostate andranno a sostituire e disabilitare quelle relative presenti nell’interfaccia VPN->Topology->ISP redundancy
Per maggiori dettagli consultare la Firewall_SmartDefense_Adminguide di Checkpoint. Autore: Fabrizio Rosina Per altra documentazione e articoli: www.gzone.it