Primeiramente, para obter HA entre o cluster de firewall, existem duas maneiras: primeiro, usar um Monitor externo que continuará monitorando a integridade de todos os servidores e Firewalls por meio de pulsação. Em caso de failover, o outro firewall do cluster terá a responsabilidade de rotear e gerenciar conexões. A outra maneira é permitir que o cluster identifique o failover e, em seguida, um dos firewalls do cluster se torne master. Todos os estados de conexões serão cuidadosamente atendidos pelo novo mestre.
A segunda coisa que você deve decidir se deseja configuração de backup ativo ou ativo-ativo para seus clusters, a complexidade será diferente. No backup ativo, apenas um de seu firewall estará ativo (mestre) e outros serão sombreados (escravo). Considerando que no caso do mestre ativo-ativo, assim como os escravos estarão em modo de trabalho.
Agora, quando você decidir como deseja obter HA para seu cluster de firewall, será necessário Heartbeat ou Keepalived para manter o cluster de HA, ele continuará monitorando os firewalls em busca de failover e controlando o mestre e nós escravos, sempre que ocorrer failover no nó mestre, um novo mestre é escolhido pela comunicação dentro do cluster. Para replicar o firewall ou sincronizar estados de conexão entre o cluster Conntrackd pode ser usado. Ele sempre manterá os nós do cluster prontos para assumir a responsabilidade do mestre normalmente sem ser notado pela rede.
O conceito de IPs virtuais é usado para alternar para um dos nós escravos em cenários de failover.
Portanto, suponho que seu design atual funcione bem sem cluster de alta disponibilidade, portanto, você pode continuar com sua arquitetura atual e incorporar HA usando esses softwares em seu cluster.
O importante é que você tenha clareza sobre o que você quer alcançar com seu cluster de alta disponibilidade e, portanto, siga em frente com a implementação. Espero que isso ajude.