Esta postagem demonstra a instalação, utilizando máquinas virtuais, e configurações básicas de um cluster de alta disponibilidade utilizando o Mcafee Firewall Enterprise versão 8.2.
O MFE tem como base o mesmo sistema operacional do PFsense (FreeBSD) com customizações que leva o nome de SecureOS.
Este Firewall conta com todas as capacidades de um FreeBSD adicionando algumas funcionalidades interessantes como
GTI ,
GeoIP,
Smart Filter, conceito de zonas, interface gráfica e muito, muito mais (como fala a gravação do suporte Platinum da Mcafee kkk). Para quem estiver procurando um
firewall, vale a pena
conhecê-lo.
A maior parte da administração rotineira é feita via Interface Gráfica (o software cliente admin console,
for windows), embora também esteja disponível acesso SSH (com comandos dos "BSD likes" mais comandos específicos do SecureOS, existe um
manual que discorre sobre eles).
Tendo em mãos a ISO do firewall, pacote de instalação do Admin Console, Vmware Workstation e uma máquina que suporte a execução destes componentes, podemos começar a instalação.
- obs¹: O MFE requer uma licença, caso não seja inserida uma licença válida ele funciona por 30 dias, o que para fins de POC ou LAB é suficiente.
- obs²: Eu tenho acesso a estes softwares por trabalhar em um local que tem licenças MFE e acesso para download no site da Mcafee, caso não seja seu caso, entre em contato com um revendedor/parceiro Mcafee.
- obs³: O MFE tem um manual bem abrangente e a Mcafee tem uma base de conhecimento bacana.
A estrutura que será configurada:
 |
| Topologia e endereçamento dos membros e do cluster |
As configurações de hardware mínimas das VMs para esta configuração de cluster. Lembrando que são necessárias duas máquinas:
Realize o boot com a .iso , caso seja uma máquina "limpa" ele realiza um "auto-instalador" e reinicia a máquina. O processo de instalação básica deve ser realizado nas duas máquinas.
 |
| Início |
 |
| Auto Install |
 |
| Instalação |
 |
| Término da auto-instalação |
Após esta instalação preliminar ele reiniciará a máquina e pedirá as configurações. Existe uma forma de fornecer as configurações e licenças por meio de um pendrive, utilizando o software "quick start" que é instalado junto com o "admin console". Aqui será configurado manualmente:
 |
Tela após a instalação preliminar
|
 |
| EULA |
 |
| Aceitando EULA |
 |
| Identificação para o licenciamento |
Após estas etapas, começa a configuração. Não iremos configurar o firewall para ser gerenciado por um Control Center (Outro produto para centralizar a gerência de um parque de MFEs), não iremos utilizar o modo bridge e, inicialmente, só terá regras que permitem a administração do firewall. Na configuração é requisitado o endereçamento da interface interna e externa, usuário, senha, dns, default gateway e servidor de e-mail. A última pergunta é sobre se a administração será realizada somente pela zona Interna.
O conceito de Zonas é interessante: várias interfaces de rede podem participar de uma mesma zona e regras podem ser atribuídas por zonas. É um artifício para regras (ou ACLs) ou configurações que podem ser aplicadas para várias redes, evitando redundância.
 |
| Configurações |
 |
| Configurações |
 |
| Configurações |
 |
| Revisão das configurações |
 |
| Software instalado |
Com o software instalado, toda a configuração pode ser realizada via Admin Console. O procedimento é muito simples, basta adicionar um firewall (sua máquina deve estar na mesma rede da interface interna) e o IP. Será pedido o usuário e senha:
 |
| Primeiro acesso via Admin Console |
 |
| Acesso via Admin Console |
 |
| Janela da aceitação do certificado. |
 |
| Acesso via Admin Console
|
 |
| Acesso via Admin Console
|
 |
| Dashboard |
 |
| Configurações das interfaces de rede |
 |
| IMPORTANTE - Liberando o ICMP echo na zona, se desejado |
 |
| Configuração de interface de rede |
 |
| Interfaces de rede |
A configuração das interfaces de rede é muito simples. É importante manter a consistência nos nomes das zonas, das interfaces de rede e do endereçamento nos firewalls que farão parte do cluster. Reserve uma interface de rede, zona e endereçamento para o heartbeat. Uma vez tudo pronto, é hora de partir para o wizard do cluster em uma das máquinas:
 |
| Configuração de cluster |
 |
| Criação do Cluster |
 |
| Tipos de cluster |
Os modos de funcionamento do cluster no MFE são divididos em duas famílias : Load-Sharing HA (que é a opção homônima) e Failover HA (Peer-to-peer HA ou Primary/Standby HA). O modo Load-Sharing distribue a carga entre os membros, logo os dois membros estarão trabalhando em conjunto, no modo Failover um trabalha e o outro fica em standby. A diferença do Peer-To-Peer para o Primary/Standby é que no segundo você define quem será o principal e ele sempre assumirá a carga caso esteja funcional, no primeiro irá depender do tempo de takeover para saber quem será o principal em um momento de falha. Será utilizada o modo Failover HA - Primary/Standby HA.
Uma observação importantíssima: O modo Load-Sharing HA é extremamente dependente da solução de camada dois de rede (switching) e exige um cuidado e trabalho bem maior na implantação, por experiência própria tenha cuidado (seja com este produto ou com qualquer outro) quando a solução promover este tipo de funcionalidade (Não é todo switch que possibilita a configuração de Unicast-mirrored ou MAC Multicast e eu acho "feia e ignorante" a solução de Unicast-flooded).
Após selecionado o modo do Cluster, aparecerá a tela de configuração dos IPs do Cluster, bem como a necessidade de ser configurada a zona de heartbeat (onde é realizado os testes de disponibilidade entre os membros):
 |
| Endereços compartilhados do cluster |
 |
| Zona para o heartbeat |
 |
| Revisão da configuração do cluster |
Depois da criação do
cluster no primeiro membro
, é preparada a configuração dos membros adicionais na seção "Pair Members". É indicado o nome, endereço, o tempo de takeover e uma chave de registro. Após isto, é necessário iniciar o wizard do cluster no segundo membro e escolher a opção "join existing cluster" e utilizar as informações previamente configuradas no primeiro membro :
 |
| Tela da configuração do cluster |
 |
| Adicionando um membro do cluster |
 |
| Término da preparação para o segundo membro |
 |
| Adicionando um membro no cluster |
 |
| Parâmetros previamente configurados no primeiro membro do cluster |
Depois destas etapas é só conectar no endereço internal do
cluster para a administração. Eis um cluster de Mcafee Enterprise Firewall com dois membros no modo failover HA Primary/Standby
pronto pra guerra.
 |
| Conectando no cluster |
 |
| Dashboard do cluster |
Um comentário:
Muito bom!
Especialista em Comunicacao Visual, Sao Paulo - SP
Postar um comentário