hth华体会体育全站app:关于防火墙的双机热备介绍

发布日期:2022-08-21 | 来源:华体会登陆入口 作者:华体会官方登录

  随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。

  如图1中的左图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,都存在因设备单点故障而导致网络中断的风险。

  于是,在做网络架构设计时,通常会在网络的关键位置部署两台网络设备,以提升网络的可靠性。如图1中的右图所示,当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。

  如果是传统的网络设备(如路由器、三层交换机),只需要在两台设备上做好路由的备份就可以保证业务的可靠性,即当一台设备出现故障时,另一台设备能够接替故障设备处理业务,保证业务不中断。

  而防火墙是状态检测设备,他会对一条流量的首包(第一个报文)进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。所以当防火墙双机部署时还需要考虑两台防火墙之间的会话等状态信息的备份。

  如图2所示,FW的双机热备功能会提供一条专门的备份通道,用于两台FW之间协商主备状态,以及会话等状态信息和配置命令的备份。

  如图2所示,主备备份是指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。

  如图3所示,负载分担也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断。