Koncepcja funkcjonowania rozwiązania HA firewall polega na tym, iż cały ruch z określonej sieci, np. Internetu, sieci chronionej czy też tzw. strefy zdemilitaryzowanej (DMZ) jest kierowany jednocześnie do wszystkich urządzeń firewall. Na podstawie informacji o stanie poszczególnych urządzeń oprogramowanie klastrowe decyduje, które z nich powinno obsłużyć sesję. Rozdział obciążenia odbywa się na niskim poziomie. Odpowiada za to działający na każdym urządzeniu filtr pakietów, zaimplementowany "między" sterownikiem karty sieciowej a jądrem oprogramowania firewall (rys. 2). Warunkiem poprawnego działania rozwiązania HA firewall jest to, iż każde z urządzeń musi "wiedzieć", co dzieje się w pozostałych. Wymiana informacji pomiędzy modułami HA odbywa się za pośrednictwem dedykowanego protokołu, określanego w większości rozwiązań HA (nie tylko w dziedzinie zapór) mianem heartbeat. Za jego pośrednictwem urządzenia informują się wzajemnie m.in. o swoim statusie (np. normalny, awaria, wyłączony itp.), współdzielą informacje o identyfikatorach aktualnie obsługiwanych sesji oraz raportują stan obciążenia zasobów.

Rozwiązanie HA firewall, choć składa się z kilku urządzeń fizycznych, jest widziane w sieci jako całość dzięki zastosowaniu wirtualnych, tzw. klastrowych adresów IP. Pozwala to uniknąć problemów z konfiguracją routingu IP na stacjach roboczych i innych urządzeniach w sąsiedztwie klastra. Z kolei w celu uniknięcia kłopotów z konfiguracją znajdujących się w otoczeniu klastra przełączników dla klastrowych adresów IP stosuje się multicastowe adresy MAC. Dzięki temu pakiety zawierające w polu adresu docelowego klastrowy adres IP są kierowane na wszystkie porty przełącznika i trafiają równocześnie do wszystkich urządzeń klastra. Oprócz adresów klastrowych interfejsy urządzeń firewall pracujących w układzie HA firewall są też zwykle wyposażane w unikalne adresy IP, służące do nawiązywania połączeń inicjowanych z nich samych, np. zapytań do DNS. Przykładową adresację klastra HA przedstawiono na rys. 3.

Nierówny podział pracy

Wybór trybu pracy rozwiązania typu HA firewall powinien być uzależniony od tego, czy celem budowy środowiska wysokiej dostępności jest jedynie ochrona przed awariami, czy też podwyższenie wydajności pracy systemu zaporowego. W pierwszym przypadku z reguły znajduje zastosowanie tryb Active-Standby, określany także jako "gorąca rezerwa" (Hot-Standby). Tylko jedno urządzenie jest aktywne, pozostałe zaś to maszyny zapasowe, uruchamiane przy awarii urządzenia podstawowego. Przy dużych obciążeniach najczęściej stosuje się tryb Active-Active, w którym wszystkie urządzenia współdzielą ruch sieciowy w czasie rzeczywistym.

Klaster typu Active-Active może funkcjonować na dwa sposoby. W pierwszym, zwanym load sharing, między maszyny firewall są rozdzielane tylko nowe połączenia i połączenia z urządzeniem firewall, które uległo awarii. Ruch rozdzielany jest z użyciem routingu IP lub odpowiedniego algorytmu. Drugi tryb - load balancing - funkcjonuje podobnie jak load sharing z tym, że dodatkowo bada obciążenie maszyn firewall i pozwala na przenoszenie połączeń z urządzenia bardziej obciążonego na mniej obciążone.

Podział na load sharing i load balancing w przypadku rozwiązania typu HA firewall pracującego w układzie Active-Active ma w rzeczywistości niewielkie znaczenie. W praktyce bowiem implementacje obu trybów pracy są do siebie bardzo zbliżone: w obu przypadkach oprogramowanie przenosi sesje na inne urządzenie tylko w razie przeciążenia urządzenia bliskiego awarii. Wynika to z faktu, że przenoszenie sesji między urządzeniami jest bardzo ryzykowne: przenoszona sesja może bowiem zostać łatwo zablokowana z powodu ograniczeń mechanizmu synchronizacji stanu między urządzeniami.

Kłopoty z przejęciem sesji

Skuteczny system ochrony zapór firewall przed awariami powinien wykonywać testy sprzętu, stanu systemu operacyjnego oraz - co w praktyce okazuje się najtrudniejsze - stanu komponentów realizujących funkcje bezpieczeństwa. Chodzi tu m.in. o to, czy oprogramowanie funkcjonuje poprawnie, czy zabezpieczania są aktywne, czy procesy realizujące usługi bezpieczeństwa nie uległy zablokowaniu itp.

Niestety, w rzeczywistych warunkach zakłócenia i awarie w pracy oprogramowania firewall zdarzają się znacznie częściej niż awarie sprzętu. Według analizy wykonanej przez Gartner Group awarie sprzętowe to mniej niż 20% wszystkich przyczyn nie planowanego braku dostępności (rys. 4). Zewnętrzne urządzenia rozdzielające obciążenie zazwyczaj nie mogą wykryć zakłóceń czy nawet awarii procesów zabezpieczeń. Także mechanizmy HA w postaci protokołów routingu oraz mechanizmów klastrowych w systemach operacyjnych funkcjonują na poziomie warstwy sieciowej i transportowej (IP, TCP/UDP) i praktycznie potrafią wykrywać tylko usterki sprzętowe. Dedykowane rozwiązania wysokiej dostępności, na które składa się zazwyczaj dwa lub więcej urządzeń fizycznych, i osadzone na nich oprogramowanie HA mogą badać stan zabezpieczeń firewall. Jednak i one nie dają całkowitej gwarancji, że praca użytkowników nie zostanie zakłócona w czasie awarii.