Load Balance กับ Firewall

Load Balance เป็น Feature อีกหนึ่งอย่างที่อาจจะถือได้ว่าเป็น Option เสริมที่ช่วยให้องค์กรหลายๆแห่งตัดสินใจเลือกซื้ออุปกรณ์ Firewall ได้ง่ายยิ่งขึ้น

ปัจจุบัน เท่าที่ผมเองได้มีโอกาส Implement ระบบ Firewall ภายในองค์กร พบว่า Firewall โดยมากแล้วจะไม่มี Feature นี้ นั่นเพราะ Firewall ที่ทำมาส่วนใหญ่ผู้ผลิตจะเน้นไปในด้านของ Security มากกว่า และใน Firewall รุ่นใหญ่ๆก็นิยมทำเป็น Firewall ที่เป็น Firewall อย่างเดียวเท่านั้น เพราะหากรันทุก Feature สิ่งที่ตามมาคือ Appliance ช้า หรืออาจจะ Hang ไปเลยก็ได้ เดือดร้อนผู้ดูแลต้องมารีเซตให้ใหม่ หรือบางยี่ห้อฉลาดหน่อยก็อาจจะ Restart Service ได้เองเมื่อเอ๋อไประยะหนึ่ง

แต่ในองค์กรแบบ SME หรือมีต้นทุนจำกัด การใช้ Appliance ที่มีครบทุกอย่างหรือที่เรียกว่า UTM (Unified Threat Management) คือ Antivirus, Antispam, Antispyware และ Firewall ก็ดูจะเป็นทางเลือกที่ไม่เลวนัก ยิ่งมี Load Balance เข้ามาให้ใช้อีกก็ยิ่งป็นทางเลือกที่ดีสำหรับองค์กรที่มี 2 WAN

ปกติแล้วการทำ Load Balance บน Firewall ทั่วไป เราอาจจะแบ่ง Client เป็นกลุ่ม แล้วใช้ SBR หรือ PBR ในการกระจาย Traffic ไปยัง WAN Link ทั้งหมด

แต่ Firewall บางยี่ห้อ อย่างเช่น Stonegate หรือ Fortigate (บางรุ่น) นั้นอาจจะพิเศษนิดหน่อยตรงที่มี Load Balance แถมมาให้ด้วย เท่าที่ได้ลองมาก็พอไปวัดไปวาได้เหมือนกัน โดยเลือกได้ว่าจะกระจาย Traffic ในลักษณะของ Round Robin หรือ Weight ก็ได้ นับว่าคุ้มค่าทีเดียวสำหรับองค์กรที่สนใจ

ในกรณีที่มีงบประมาณมากเพียงพอ ผมแนะนำให้ใช้ Appliance ที่ทำหน้าที่อย่างใดอย่างหนึ่งไปเลยจะดีกว่า เพราะหากเปิด Feature หลายๆอย่างอาจจะทำให้ Appliance มีโอกาส Hang ไปได้เหมือนกัน

  • By sasi, March 11, 2010 @ 2:30 pm

    i need to know about F5 and radware. i very confuse in that. so please compare about that devices in technical detail

  • By Nito Niwatori, March 28, 2010 @ 3:33 am

    กร๊าก Ms.Sasi มาโหด จัง

    F5 มี iRules สามารถเขียนโค้ด แก้ไขดัดแปลง Packets ได้
    Radware นี่คงหมายถึง LinkProof ทำงานง่ายกว่า F5 แต่ Bug เพียบกว่า… แต่ถ้านิ่งแล้วก็คือนิ่ง

    F5 มี มันไม่ยอมให้ Route ต้องจับ ทำ VIP ถึงยอม โดยปกติ LinkProof ยอมให้ Route ข้าม แต่ไม่ Nat ให้ ถ้า Destination ไม่ไปไกลเกิน NHR

    F5 แพง LinkProof ถูกกว่า !!
    F5 GUI ไม่ง้องแง๊ง Radware APSolute Insite ค่อนข้างกาก บั๊กกระจาย เวลาทำ Cluster/VRRP ไม่รู้แก้ยัง แถมตัว Box เปิด SNMP แล้วเจอยิงร่วงกลางอากาศ ล่วงที ขาเขือ รวนหมด ขาหาย Arp ไม่ออก โอ่ย หน้ามืดนึกย้อนไปไม่รู้รอดได้ไง

  • By Nito Niwatori, March 28, 2010 @ 3:36 am

    StoneGate ยังไงก็ดีกว่า FortiGate กรณี ทำ Load Balance เพราะ BOX มันไม่งงตัวเองกับ VPN … ถ้าเป็น FortiGate + Load Sharing + Policy Route + VPN
    = Death

    อย่างเดียวที่ทำให้คนทำ StoneGate ลำบากใจ เพราะมันไม่มี GUI ในตัว ต้องมา Sync กับ ตัว Software มัน… เศร้าพอๆ กับ Software APSolute Insite ของ Radware …

  • By izitcer, March 29, 2010 @ 2:25 am

    อีกอย่างที่ทำให้ลำบากใจคือ License นะครับ อะคิๆ ลืมทีหูชาเลยนา

Other Links to this Post

WordPress Themes