ロードバランサを使ってファイアウォールの負荷の分散とアクセス速度の高速化をしようと思っているのですがわからないことがあります。
1.実際にファイアウォールにはどのような負荷がかかるのか。
2.ファイアウォールによりアクセス速度は落ちるのか。
3.ファイアウォールの方がロードバランサよりも負荷が大きいので使う意味(どういった利点)があるのか。
4.ファイアウォールを2~3台使用して負荷を分散させた方が効果があるのか。
長くなりましたが、1つの問いに関しての回答でもかまいません。もしくは情報があるサイトを教えてください。お願いします。
A 回答 (2件)
- 最新から表示
- 回答順に表示
No.2
- 回答日時:
こんにちは
>1
Firewall では、以下のような機能を有しています。
・攻撃と正常な通信の判断
・正常な通信の場合、ポリシールールでの通信許可か拒否の判断
・NAT、ルーティング、シェーピング、VPN などのその他付加機能
このような処理をパケット単位で行っているため、
通信の状況に応じてそれなりの負荷がかかります。
なお、Firewall で行われる処理は、一例としては以下の通りです。
1)インターフェースでパケットを受信
2)セッション情報の確認
セッションテーブルを確認し、新規通信か否かの判断
3)ルーティングテーブルの確認
ルート情報が正しいか否かの判断
4)ポリシーテーブルの確認
ポリシールールを確認し、許可された通信か否かの判断
5)新規通信の場合はセッションテーブルを作成
6)転送先インターフェースからパケットを転送
>2
Firewall にも多くの機種(グレード)があるのは、
それ相応の対応能力が決まっているためです。
対応しているI/F の種類やバックプレーンの転送容量、
ASIC やCPU での処理能力などが機種によって異なり、
必要スペックを満たしていない場合、Firewall でボトルネックが発生します。
将来性と安定性を考えて、カタログスペックよりも20%以下の状況で利用を個人的には推奨します。
>3
SLB では、パケットを転送する判断材料が限られています。
基本的には通信は【すべて転送】を目的としており、
ルールの中で、送信元/転送先アドレス・ポート、NAT の有無を指定します。
一方Firewall では、通信の許可・拒否を判断し、
通信パケットのTCP/IP ヘッダを解析し転送・遮断を処理しています。
このため、Firewall はSLB よりも負荷が高くなりやすいですが、
Internet やグレーゾーンなどから、特定のネットワークへ通信を取捨選択し転送する上で、
Firewall が必要となります。
Firewall が無い状況では、必要の無い通信までもネットワークに流入を許可してしまい、
通信負荷が増大し必要以上の設備が必要となったり、通信障害を招く危険性があります。
>4
理想を言えば、Firewall を複数設置し、上下をSLB でFirewall ロードバランスすることで、
Firewall の負荷を下げ、通信の安定化を図る事が可能となります。
しかし、#1 の方が指摘されている通り、Firewall の台数を増やせば、
ルール管理の煩雑化や、システムの故障率の上昇を招き、
何より導入コストや運用コストの上昇にも繋がります。
このため、冗長化するのであればHA 機能が働く2台を主とし、
2台以上でもHA 構成を取れるクラスター機能を有している場合は、
通信の重要性にあわせ、選択することが望ましいと言えます。
また、SLB のFirewall LB を使えば、HA 機能を有していないFirewall でも、
Firewall 冗長を図ることが可能ですが、
セッション情報が引き継がれないため、通信の再送処理が必要となります。
No.1
- 回答日時:
>1.実際にファイアウォールにはどのような負荷がかかるのか。
簡単に言えばパケットをひとつずつ解析してポリシーに照らし合わせて判断しているわけです。ポリシーの作り方が悪かったりするとさらに負荷が増えたりします。
またNATやVPN、プロキシといった機能を使っていると、さらに複雑な動作を要求されるわけですから当然負荷も増えます。
>2.ファイアウォールによりアクセス速度は落ちるのか。
機器の性能にスループットとか同時セッション数などという数値があると思いますが、それの範囲内であれば体感できる速度低下は無いと考えられます。実際にはスペックの数値以前に頭打ちになることはよくあります。
>4.ファイアウォールを2~3台使用して負荷を分散させた方が効果があるのか。
性能の低いものを多数おくより、性能の高いものを2台置くほうがよいと思います。
数が多いほうが耐障害性はよくなりますが、障害発生率も増えますしポリシーなどの管理も煩雑になる可能性があります。
基本的にはファイヤーウォールを複数置く時は負荷分散よりも耐障害性向上を目的とする場合が多いと思います。
文面だけからは判断できませんが、単純に処理が追いつかないのを解決するのが目的でしたら、より処理能力の高い機器に変更されることをお勧めします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(ブラウザ) Win11でブラウザでのネットブラウズができなくなった 4 2022/12/05 18:03
- その他(暮らし・生活・行事) 電動草刈機 稼働時間について 5 2023/08/26 18:30
- マルウェア・コンピュータウイルス フリーソフトでウイルス対策 2 2023/05/23 11:58
- 物理学 ACモーターは、無負荷時より、負荷時のほうが、電流値は上がるのでしょうか? 3 2022/11/30 17:15
- 物理学 すいません。教えてください。 問題概要はわかりますが、同期速度の求め方がわかりません。極数があたえら 2 2022/03/29 12:29
- MySQL データベースの検索で、この場合、どの程度負荷になりますか? 3 2022/04/11 04:45
- ネットワーク ネットワーク構成図のアイコン素材のダウロードサイトでおすすめ教えてください 1 2022/06/03 05:09
- ファイアウォール Windows11 のファイヤーウォールが有効にならなくなってしまいました 1 2022/11/30 22:54
- 電気・ガス・水道業 一定速コンプレッサーの電圧降下について 社内で使用しているコンプレッサーの故障が多く、修理業者から電 2 2023/02/05 12:24
- 物理学 荷電粒子の運動の様子と力のつりあいの式です。qの正負によって、粒子の速度Vがy軸対象に変化しますが、 1 2022/04/17 22:23
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
CPUに一瞬ですが100%の...
-
CPUへの負荷と寿命の関係について
-
位置ループゲイン、速度ループ...
-
西野流呼吸法は痩せないて本当...
-
ダウントランスの選定とブレー...
-
エンジンの全負荷とは
-
DVDコピーのし過ぎによる故障
-
Excelで業務振り分け表を作成し...
-
体重100キロの人がジャンプ...
-
すべりと力率の関係
-
cpuの使用率と、負荷率の違い
-
なぜ、発電機は極数や回転速度...
-
AC100Vの「AC」とは何ですか?
-
過電流継電器(OCR)のタッ...
-
過電流継電器(OCR)のレバ...
-
3相200Vの1.5kwのモーターは何...
-
パソコンに絶縁抵抗計の500Vの...
-
電力の求め方 単相3線(105V/21...
-
交流には3相がよく用いられます...
-
USBハブにUSBハブをつけて使う...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
CPUに一瞬ですが100%の...
-
冷凍機の低圧カット
-
高圧モータ 起動停止頻度について
-
西野流呼吸法は痩せないて本当...
-
SDカードに曲を入れて、カーオ...
-
スコットトランスの構成につい...
-
マルチコアCPUの負荷偏り
-
体重100キロの人がジャンプ...
-
モータ
-
同じ重量だが長さが違う場合の...
-
エンジンの全負荷とは
-
位置ループゲイン、速度ループ...
-
単相200V 3000Wの負荷装置を使...
-
変圧比の裕度について
-
CPUへの負荷と寿命の関係について
-
モータの駆動トルクと負荷トルク
-
なぜ、発電機は極数や回転速度...
-
xiomi pad6のゲーム性能について
-
レンチについてモーターとモン...
-
デューティ・サイクルについて
おすすめ情報