• 締切済み

ロードバランサとファイアウォール

ロードバランサを使ってファイアウォールの負荷の分散とアクセス速度の高速化をしようと思っているのですがわからないことがあります。 1.実際にファイアウォールにはどのような負荷がかかるのか。 2.ファイアウォールによりアクセス速度は落ちるのか。 3.ファイアウォールの方がロードバランサよりも負荷が大きいので使う意味(どういった利点)があるのか。 4.ファイアウォールを2~3台使用して負荷を分散させた方が効果があるのか。 長くなりましたが、1つの問いに関しての回答でもかまいません。もしくは情報があるサイトを教えてください。お願いします。

みんなの回答

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.2

こんにちは >1 Firewall では、以下のような機能を有しています。 ・攻撃と正常な通信の判断 ・正常な通信の場合、ポリシールールでの通信許可か拒否の判断 ・NAT、ルーティング、シェーピング、VPN などのその他付加機能 このような処理をパケット単位で行っているため、 通信の状況に応じてそれなりの負荷がかかります。 なお、Firewall で行われる処理は、一例としては以下の通りです。 1)インターフェースでパケットを受信 2)セッション情報の確認   セッションテーブルを確認し、新規通信か否かの判断 3)ルーティングテーブルの確認   ルート情報が正しいか否かの判断 4)ポリシーテーブルの確認   ポリシールールを確認し、許可された通信か否かの判断 5)新規通信の場合はセッションテーブルを作成 6)転送先インターフェースからパケットを転送 >2 Firewall にも多くの機種(グレード)があるのは、 それ相応の対応能力が決まっているためです。 対応しているI/F の種類やバックプレーンの転送容量、 ASIC やCPU での処理能力などが機種によって異なり、 必要スペックを満たしていない場合、Firewall でボトルネックが発生します。 将来性と安定性を考えて、カタログスペックよりも20%以下の状況で利用を個人的には推奨します。 >3 SLB では、パケットを転送する判断材料が限られています。 基本的には通信は【すべて転送】を目的としており、 ルールの中で、送信元/転送先アドレス・ポート、NAT の有無を指定します。 一方Firewall では、通信の許可・拒否を判断し、 通信パケットのTCP/IP ヘッダを解析し転送・遮断を処理しています。 このため、Firewall はSLB よりも負荷が高くなりやすいですが、 Internet やグレーゾーンなどから、特定のネットワークへ通信を取捨選択し転送する上で、 Firewall が必要となります。 Firewall が無い状況では、必要の無い通信までもネットワークに流入を許可してしまい、 通信負荷が増大し必要以上の設備が必要となったり、通信障害を招く危険性があります。 >4 理想を言えば、Firewall を複数設置し、上下をSLB でFirewall ロードバランスすることで、 Firewall の負荷を下げ、通信の安定化を図る事が可能となります。 しかし、#1 の方が指摘されている通り、Firewall の台数を増やせば、 ルール管理の煩雑化や、システムの故障率の上昇を招き、 何より導入コストや運用コストの上昇にも繋がります。 このため、冗長化するのであればHA 機能が働く2台を主とし、 2台以上でもHA 構成を取れるクラスター機能を有している場合は、 通信の重要性にあわせ、選択することが望ましいと言えます。 また、SLB のFirewall LB を使えば、HA 機能を有していないFirewall でも、 Firewall 冗長を図ることが可能ですが、 セッション情報が引き継がれないため、通信の再送処理が必要となります。

回答No.1

>1.実際にファイアウォールにはどのような負荷がかかるのか。 簡単に言えばパケットをひとつずつ解析してポリシーに照らし合わせて判断しているわけです。ポリシーの作り方が悪かったりするとさらに負荷が増えたりします。 またNATやVPN、プロキシといった機能を使っていると、さらに複雑な動作を要求されるわけですから当然負荷も増えます。 >2.ファイアウォールによりアクセス速度は落ちるのか。 機器の性能にスループットとか同時セッション数などという数値があると思いますが、それの範囲内であれば体感できる速度低下は無いと考えられます。実際にはスペックの数値以前に頭打ちになることはよくあります。 >4.ファイアウォールを2~3台使用して負荷を分散させた方が効果があるのか。 性能の低いものを多数おくより、性能の高いものを2台置くほうがよいと思います。 数が多いほうが耐障害性はよくなりますが、障害発生率も増えますしポリシーなどの管理も煩雑になる可能性があります。 基本的にはファイヤーウォールを複数置く時は負荷分散よりも耐障害性向上を目的とする場合が多いと思います。 文面だけからは判断できませんが、単純に処理が追いつかないのを解決するのが目的でしたら、より処理能力の高い機器に変更されることをお勧めします。