VRRPがあるのに何故、同一機種のUTMやFWで冗長を組んでいるのでしょうか?
別メーカの機種で組みましょうよ。
Master機に脆弱性が発見され次第、コマンド一発でBackUp機に切り替えれば1ミリ秒も断なくワークアラウンドはOKです。確かにTCPやNATのセッションは途切れます。しかしHTTPSで代理証明書を使用している場合、証明書はBackUp機に引き継がれないので、そもそもCtrl+F5を押さなければセッションは復活しないのです。(メーカの違う機種間でのTCPセッション引継ぎ方法についてはアイデアがあるので近日中に検証する予定です)
事務手続きフローのルーティン化のため、毎日訓練しても良い位です。有事の際は「繰り返す、本日は訓練では無い」って台詞が加わるだけです。

正副を別機で組む場合、日常メンテでポリシー追加する際の手間、場合によっては増えません。
回線をFWで直接終端している場合、コンフィグ同期はかけられませんから、手間は一緒です。
「回線をFWで直接終端出来る=ルータを別途用意する必要が無い=投資効率が上がる=直列に機械が並ぶ箇所が減る=故障率が下がる」事自体をご存じないお客様が多い事も現実ですが。

関連投稿:

  1. 練習:WordPressのアコーディオン機能
  2. ソフホーズとコルホーズ
  3. Wi-FiとWi-Fi以外の電波について
  4. 生産設備を自己所有する事と頭脳労働