L’ISP redundancy di Checkpoint permette la connesione a Internet attraverso links ISP

multipli , monitorizza tali links e instrada le connesioni a seconda della modalità

operativa.

Per gestire il doppio link internet su gateway Checkpoint singolo o in cluster esistono
due modalità:

• Primary/Backup
• Load Sharing (il doppio link è supportato da versione NG R55 su SecurePlatform,
RedHat 7.2 o superiore e IPSO).

Nella modalità Primary/Backup le connessioni vengono instradate di default sul link

configurato come primario e vengono spostate sul secondario nel caso il link primario
avesse un malfunzionamento. Quando il link primario viene ripristinato le nuove
connessioni vengono assegnate a questo link mentre quelle esistenti sono mantenute
su quello di backup fino a quando non vengono chiuse.

Nella modalità Load Sharingle connessioni in uscita vengono instradate su entrambi i

links in modalità randomica, nel caso ci fosse un malfunzionamento su un link le nuove
connessioni verrebbero indirizzate tutte sul link rimasto attivo.

Per le connessioni in entrata verso i server e servizi pubblici, i pacchetti vengono

trattati in modo che ritornino sul link da cui la connessione è stata iniziata. Nel caso
particolare della modalità Load Sharing le connessioni entranti possono raggiungere i
server interni da entrambi gli ISP se si utilizza la funzione di DNS presente a bordo
Checkpoint, soluzione che permette di monitorare il link e rispondere alla query DNS
del server pubblico con l’ip address prima appartenentea un link e poi all’altro in
maniera alternata.

Per monitorare i links e determinare il loro stato l’ISP Redundancy Monitorverifica se

l’interfaccia relativa a ogni link è funzionante e col cavo inserito e controlla la
raggiungibilità del next hop router. Opzionalmente è possibile indicare una lista di
host da monitorare tramite ping, nel caso uno solo di questi host non sia raggiungibile
tramite tale interfaccia il link viene considerato inattivo.

Per la default route sui gateway è necessario impostarne solo una e non impostare
una metrica. Lavorando in modalità Primary/Backup bisogna impostare come default il
router del link primario, per la modalità Load Sharing il router del primo ISP indicato
nell’interfaccia ISP Redundancy. In caso di malfunzionamento di un link sarà lo script
interno dell’ISP Redundancy di Checkpoint che provvederà a cambiare in automatico la
default route e nel caso di ripristino del link sarà sempre lo script a reimpostare la
route corretta.

Lo script in questione è “$FWDIR/bin/cpisp_update”, configurabile anche nel caso si

vogliano utilizzare dei comandi per bloccare alcuni tipi di traffico in caso di switch del
link primario per diminuire il carico sul link di backup.

Per testare o forzare un cambio di link si può usare il comando “fw isp_link” sia
direttamente sui nodi gateway che dalla smartcenter (in caso di installazione
distribuita come nel cluster, ma in questo caso diventa necessario specificare il nodo
target del comando).
In caso di vpn con oggetti Checkpoint se si seleziona nell’interfaccia ISP redundancy
“apply to vpn traffic” le ozpzioni qui impostate andranno a sostituire e disabilitare
quelle relative presenti nell’interfaccia VPN->Topology->ISP redundancy

Per maggiori dettagli consultare la Firewall_SmartDefense_Adminguide di Checkpoint.

Autore: Fabrizio Rosina

Per altra documentazione e articoli: www.gzone.it