*角色選擇：	學生教師

當前位置：首頁 > 文章資訊 > 信息技術 > 網(wǎng)絡安全培訓：防火墻雙機熱備篇

網(wǎng)絡安全培訓：防火墻雙機熱備篇

發(fā)表于：2020-11-24

閱讀：254

評論：0

防火墻一大特色功能----雙機熱備。雙機熱備技術產(chǎn)生的原因：傳統(tǒng)組網(wǎng)中，只有一臺防火墻部署在出口，當防火墻出現(xiàn)故障后，內部網(wǎng)絡中所有以防火墻作為默認網(wǎng)關的主機與外部網(wǎng)絡之間的通訊中斷，通訊可靠性無法保證。雙機熱備份技術的出現(xiàn)改變了可靠性難以保證的尷尬狀態(tài)，通過在網(wǎng)絡出口位置部署兩臺或多臺網(wǎng)關設備，保證了內部網(wǎng)絡于外部網(wǎng)絡之間的通訊暢通。 USG防火墻作為安全設備，一般會部署在需要保護的網(wǎng)絡和不受保護的網(wǎng)絡之間，即位于業(yè)務接口點上。在這種業(yè)務點上，如果僅僅使用一臺USG防火墻設備，無論其可靠性多高，系統(tǒng)都可能會承受因為單點故障而導致網(wǎng)絡中斷的風險。為了防止一臺設備出現(xiàn)意外故障而導致網(wǎng)絡業(yè)務中斷，可以采用兩臺防火墻形成雙機備份。

1.雙機部署提升網(wǎng)絡可靠性

隨著移動辦公、網(wǎng)上購物、即時通訊、互聯(lián)網(wǎng)金融、互聯(lián)網(wǎng)教育等業(yè)務蓬勃發(fā)展，網(wǎng)絡承載的業(yè)務越來越多，越來越重要。所以如何保證網(wǎng)絡的不間斷傳輸成為網(wǎng)絡發(fā)展過程中急需解決的一個問題。

如左下圖所示，防火墻部署在企業(yè)網(wǎng)絡出口處，內外網(wǎng)之間的業(yè)務都會通過防火墻轉發(fā)。如果防火墻出現(xiàn)故障，便會導致內外網(wǎng)之間的業(yè)務全部中斷。由此可見，在這種網(wǎng)絡關鍵位置上如果只使用一臺設備的話，無論其可靠性多高，我們都必然要承受因設備單點故障而導致網(wǎng)絡中斷的風險。于是，我們在網(wǎng)絡架構設計時，通常會在網(wǎng)絡的關鍵位置部署兩臺(雙機)或多臺設備，以提升網(wǎng)絡的可靠性。如右下圖所示，當一臺防火墻出現(xiàn)故障時，流量會通過另外一臺防火墻所在的鏈路轉發(fā)，保證內外網(wǎng)之間業(yè)務正常運行。

2.雙機部署只需考慮路由備份

如果是傳統(tǒng)的網(wǎng)絡轉發(fā)設備(如路由器、三層交換機)，只需要在兩臺設備上做好路由的備份就可以保證業(yè)務的可靠性。因為普通的路由器、交換機不會記錄報文的交互狀態(tài)和應用層信息，只是根據(jù)路由表進行報文轉發(fā)，下面舉個例子來說明。

如下圖所示，兩臺路由器R1和R2與上下行設備R3和R4之間運行OSPF協(xié)議。正常情況下，由于以太網(wǎng)接口的缺省OSPF Cost值為1，所以在R3上看R1所在鏈路(R3―>R1―>R4―>FTP服務器)的Cost值為3。而由于我們在R2鏈路(R3―>R2―>R4―>FTP服務器)的各接口上將OSPF Cost值設置為10，所以在R3上看R2所在鏈路的Cost值為21。由于流量只會通過Cost值小的鏈路轉發(fā)，所以FTP客戶端與服務器間的業(yè)務就都只會通過R1轉發(fā)。

如下圖所示，當R1出現(xiàn)故障時，R1所在鏈路Cost值變成無窮大，而在R3上看R2所在鏈路Cost值仍為21。這時網(wǎng)絡的路由會重新收斂，流量會根據(jù)新的路由被轉發(fā)到R2，所以R2會接替R1處理業(yè)務。業(yè)務從R1切換到R2的時間就是網(wǎng)絡的路由收斂時間。如果路由收斂時間較短，則正在傳輸?shù)臉I(yè)務不會中斷。

3.雙機部署還需考慮會話備份

如果將傳統(tǒng)網(wǎng)絡轉發(fā)設備換成狀態(tài)檢測防火墻，情況就大不一樣了?；貞浺幌聫娛逶?/span>“狀態(tài)檢測和會話機制”中講到的內容：狀態(tài)檢測防火墻是基于連接狀態(tài)的，他會對一條流量的首包(第一個報文)進行完整的檢測，并建立會話來記錄報文的狀態(tài)信息(包括報文的源IP、源端口、目的IP、目的端口、協(xié)議等)。而這條流量的后續(xù)報文只有匹配會話才能夠通過防火墻并且完成報文轉發(fā)，如果后續(xù)報文不能匹配會話則會被防火墻丟棄。

下面舉個例子來說明，兩臺防火墻FW1和FW2部署在網(wǎng)絡中，與上下行設備R1和R2之間運行OSPF協(xié)議。如左下圖所示，正常情況下，由于FW1所在鏈路的OSPF Cost值較小，所以業(yè)務報文都會根據(jù)路由通過FW1轉發(fā)(原理同前面的路由器的例子)。這時FW1上會建立會話，業(yè)務的后續(xù)報文都能夠匹配會話并轉發(fā)。

如右下圖所示，當FW1出現(xiàn)故障時，業(yè)務會被上下行設備上的路由信息引導到FW2上(原理同前面的路由器的例子)。但由于FW2上沒有會話，業(yè)務報文因為找不到會話而被FW2丟棄，從而導致業(yè)務中斷。這時用戶需要重新發(fā)起訪問請求(例如重新進行FTP下載)，觸發(fā)FW2重新建立會話，這樣用戶的業(yè)務才能繼續(xù)進行。

4.雙機熱備出手不凡，解決防火墻會話備份問題

那么如何解決兩臺防火墻會話備份的問題，使兩臺防火墻主備狀態(tài)切換時，保證已經(jīng)建立的業(yè)務不中斷呢?這時防火墻雙機熱備功能就該出手相助了!

如左下圖所示，防火墻雙機熱備功能最大的特點在于提供一條專門的備份通道(也稱為心跳線)，用于兩臺防火墻之間協(xié)商主備狀態(tài)，以及備份會話、Server-map表等重要的狀態(tài)信息和配置信息。雙機熱備功能啟動后，正常情況下，兩臺防火墻會根據(jù)管理員的配置分別成為主用設備和備用設備。成為主用設備的防火墻FW1會處理業(yè)務，并將設備上的會話、Server-map表等重要狀態(tài)信息以及配置信息通過備份通道實時同步給備用設備FW2。成為備用設備的防火墻FW2不會處理業(yè)務，只是通過備份通道接收來自主用設備FW1的狀態(tài)信息以及配置信息。

如右下圖所示，當主用設備FW1發(fā)生故障時，兩臺防火墻會利用備份通道交互報文，重新協(xié)商主備狀態(tài)。這時FW2會協(xié)商成為新的主用設備，處理業(yè)務;而FW1會協(xié)商成為備用設備，不處理業(yè)務。與此同時，業(yè)務流量也會被上下行設備的路由信息引導到新的主用設備FW2上。由于FW2在作為備用設備時已經(jīng)備份了主用設備上的會話和配置等信息，因此業(yè)務報文就能夠順利的匹配到會話從而被正常轉發(fā)。

以上兩點就保證了備用設備FW2能夠成功接替原主用設備FW1處理業(yè)務流量，成為新的主用設備，避免了網(wǎng)絡業(yè)務中斷。

上面介紹的是主備備份方式的雙機熱備。在主備備份場景中，正常情況下備用設備不處理業(yè)務流量，處于閑置狀態(tài)。如果小伙伴們不希望買來的設備閑置，或者只一臺設備處理流量時壓力較大，可以選擇負載分擔方式的雙機熱備。

如左下圖所示，在負載分擔場景下，兩臺防火墻均為主用設備，都建立會話，都處理業(yè)務流量。同時兩臺防火墻又都相互作為對方的備用設備，接受對方備份的會話和配置信息。如右下圖所示，當其中一臺防火墻故障后，另一臺防火墻會負責處理全部業(yè)務流量。由于這兩臺防火墻的會話信息是相互備份的，因此全部業(yè)務流量的后續(xù)報文都能夠在其中一臺防火墻上匹配到會話從而正常轉發(fā)，這就避免了網(wǎng)絡業(yè)務的中斷。

5.總結

簡單總結下本回所講的內容。

為了提升網(wǎng)絡可靠性，避免單點故障的風險，我們需要在網(wǎng)絡關鍵節(jié)點處部署兩臺網(wǎng)絡設備。如果是路由器和交換機，我們只需要做好路由的備份即可。如果是防火墻，我們還必須在兩臺防火墻之間備份會話表等狀態(tài)信息。

防火墻的雙機熱備功能提供一條專門的備份通道，用于兩臺防火墻之間協(xié)商主備狀態(tài)，以及會話等狀態(tài)信息的備份。雙機熱備主要包括主備備份和負載分擔場景。主備備份是指正常情況下僅由主用設備處理業(yè)務，備用設備空閑;當主用設備接口、鏈路或整機故障時，備用設備切換為主用設備，接替主用設備處理業(yè)務。負載分擔也可以稱為“互為主備”，即兩臺設備同時處理業(yè)務。當其中一臺設備發(fā)生故障時，另外一臺設備會立即承擔其業(yè)務，保證原來需要通過這臺設備轉發(fā)的業(yè)務不中斷。

以上就是100唯爾(100vr.com)小編為您介紹的關于防火墻的知識技巧了，學習以上的網(wǎng)絡安全培訓：防火墻雙機熱備篇知識，對于防火墻的幫助都是非常大的，這也是新手學習信息技術所需要注意的地方。如果使用100唯爾還有什么問題可以點擊右側人工服務，我們會有專業(yè)的人士來為您解答。

本站在轉載文章時均注明來源出處，轉載目的在于傳遞更多信息，未用于商業(yè)用途。如因本站的文章、圖片等在內容、版權或其它方面存在問題或異議，請與本站聯(lián)系(電話：0592-5551325，郵箱：help@onesoft.com.cn)，本站將作妥善處理。

向客服提問

文章標簽：防火墻如何配置雙機熱備雙擊部署路由備份

上一篇：網(wǎng)絡安全培訓：防火墻三種上網(wǎng)方式配置教學視頻（小型辦公網(wǎng)就這么配置的）

下一篇：計算機二級面臨改革？

贊一個

踩一下

換一批

防火墻課程推薦

網(wǎng)絡安全技術

計算機網(wǎng)絡技術

150131人學過

￥500/月

數(shù)據(jù)庫基礎

軟件與信息服務

95386人學過

￥500/月

綜合布線技術

計算機網(wǎng)絡技術

152510人學過

￥500/月

計算機組裝與維修

計算機與數(shù)碼產(chǎn)品維修

96053人學過

￥500/月

計算機網(wǎng)絡基礎

計算機網(wǎng)絡技術

146111人學過

￥500/月

PLC

數(shù)控

發(fā)動機

焊接

電梯

信息技術

模具專業(yè)

汽修專業(yè)

交通土建

數(shù)控專業(yè)

機械制造

公共事業(yè)

市場營銷

信息技術技術文檔

信息技術客服中心

王老師

立即交談

林老師

立即交談

更多>>

100VR精品課程推薦

評價

共0條

發(fā)表評論

0/500字

*發(fā)票類型：	全電普票全電專票
*類別：	個人單位
*個人姓名：
*納稅人識別號：
*單位地址：
*電話：
*開戶銀行：
*銀行賬號：

官方客服

網(wǎng)絡安全培訓：防火墻雙機熱備篇

1.雙機部署提升網(wǎng)絡可靠性

2.雙機部署只需考慮路由備份

3.雙機部署還需考慮會話備份

4.雙機熱備出手不凡，解決防火墻會話備份問題