Guvenlik duvarlari, agdaki yapisi ve onemi itibariyle kesintisiz calismak zorunda olan cihazlardir. Yuku cok fazla olan ve dolayisiyla tek guvenlik duvarinin yeterli gelemeyecegi yapilarda ise yuk paylasimi da gundeme gelmekte. Tabi her guvenlik cozumunun bu olaya bakisi farkli olabiliyor.

Juniper Netscreen/SSG firewall larda iki cesit cluster secenegi bulunmakta; Active/Passive ve Active/Active .

Active/Passive calisma seviyesinde bir sistem pasif modda bekliyor ve uzerinden aktif olarak hic bir ag trafigi gecmiyor. Master makinede hata olmasi durumunda birincil sistem gorevini uzerine aliyor ve devam ediyor.

Active/Active calismada ise isler A/P deki kadar kolay olmuyor. Netscreen’in tum firewall lardan farkli olan zone, VSYS, VSD Group gibi kavramlari isi karistiriyor. Benim A/A cluster dan ilk anladigim iki sistemin de her ag katmani icin aktif olarak trafigi uzerinden gecirecegi ve ayni zamanda makinelerden birinin devre disi kalmasi durumunda da tum yuku uzerine alacagi olmustu. Ancak durum boyle degil. Mantik cok zekice. Firewall uzerinde tanimladiginiz her interface icin ikiser VSI olusturuyorsunuz ve bunlari da birer VSD’ye bind ediyorsunuz. Olusturdugunuz ikiser VSD’de birer sistem birincil oluyor. Yuku de interface basina dagitmis oluyorsunuz. Sonuc olarak bir ag segmentinde sadece bir makine aktif olarak trafigi geciriyor. Guvenlik duvari tasarimi yaparken de kullanacaginiz ag segmentlerininin yuklerini iyi hesaplayip iki cluster arasinda bunlari dengelemeniz gerekiyor.

Iki calisma modunda da Run Time Objects (RTO) adi verilen bilgiler anlik olarak HA baglantilari ile paylasiliyor. Boylece session table lari paylasildigindan kurulu baglantilarda da hata durumunda bir kopma yasanmiyor.