2 endereços públicos diferentes para alta disponibilidade

Sim, mas a forma como você implementa isso afetará a experiência do usuário quando um dos sistemas falhar.

Da forma mais simples, você pode inserir 2 registros de endereço A em seu DNS externo e os usuários serão enviados para ambos os endereços (conhecido como balanceamento de carga DNS round-robin). Isto não é particularmente bom, pois significa que quando um dos endereços estiver indisponível, aproximadamente metade das conexões do usuário falhará. Também é ineficiente porque os clientes de um ISP podem ser enviados através do outro ISP, ou através do ISP com a rota menos desejável. O aplicativo cliente e o cache DNS podem atrasar a obtenção do endereço para o sistema em funcionamento, portanto, os clientes com falha tendem a falhar por períodos bastante longos sem intervenção para reiniciar aplicativos e liberar caches DNS. Se você mantiver o DNS TTL curto e não se importar com breves interrupções, poderá desabilitar manualmente um endereço quando o serviço não estiver disponível naquele endereço, no entanto, a experiência do usuário ainda será uma breve falha.

Para tornar isso mais inteligente, você precisa que um sistema externo verifique se seu serviço está disponível e atualize automaticamente os registros DNS para apontar os usuários para o(s) sistema(s) em funcionamento. Outras melhorias conectaram o sistema DNS diretamente ao monitoramento de back-end para direcionar os usuários para o sistema menos carregado. Embora automatizado, ainda existe uma experiência de usuário em que alguns usuários ainda verão uma falha.

Nada disso é específico do seu firewall, que simplesmente apresenta duas interfaces externas para os dois ISPs. Observe que não é possível rotear o tráfego do ISP1 através do ISP2 ou vice-versa, pois o roteamento da Internet simplesmente eliminará esse tráfego. Você não pode "conectar" dois ISPs e esperar que tudo funcione.

As grandes empresas geralmente não dependerão apenas do round-robin do DNS. Em vez disso, eles passarão para a sua própria rede (ou redes de parceiros) e farão com que os ISPs encaminhem para a sua rede num sistema conhecido como peering. A rede corporativa pode ter muitos pares que consistem em vários ISPs distribuídos em escala regional ou global. Ao trocar informações de roteamento, os clientes são roteados de seu ISP através do(s) ISP(s) que estão atualmente funcionando e para a rede corporativa. Isso ainda pode resultar em interrupções breves enquanto as redes estão inacessíveis; no entanto, esses sistemas fornecem excelente redundância para que a rede corporativa seja acessível mesmo durante interrupções de link.

Outras soluções sofisticadas mais complexas são possíveis, mas fora do escopo de uma resposta do StackExchange. Como exemplos:

• Coloque um balanceador de carga em um sistema altamente confiável (Azure, AWS, etc.) e faça com que ele encaminhe o tráfego para o endereço monitorado que está "ativo".
• Use um peer baseado em VPN (às vezes chamado de corretor de túnel) para obter um IP externo independente de seus ISPs e permitir que o túnel VPN passe por ambos os ISPs
• mova todo o sistema para um local de alta disponibilidade

Compre uma máquina virtual de um provedor que atenda às suas necessidades (talvez nível cloudflare?), defina um firewall virtual lá e estabeleça vários VPN a partir do site/sites locais para serem vinculados e usados ​​para roteamento virtual (pensando em MPTCP ou similar) .

A conexão de internet do sistema on-premise será redundante, com quantos links você quiser (diferentes provedores, múltiplas tecnologias) e uma VPN para o firewall virtual para cada um desses links.

Você publicará o serviço desejado do sistema local por meio do firewall virtual hospedado.

Dependendo dos requisitos de disponibilidade, você pode adicionar um link wan local, largura de banda ao firewall virtual ou escolher um provedor mais confiável para a hospedagem da VM.