【WALL1600下一代防火墙】下一代防火墙HA主备透明模式

发布时间：2013-09-15

点击量：3095

应用场景

如果用户的网络已经构建好，那么防火墙要想部署在用户网络中，如果采用路由模式，那么就要修改用户的网络结构和配置。为了避免对用户的网络结构进行调整，可以使设备工作在透明网桥模式。两台做HA的防火墙的透明部署环境中，NGFW通常位于核心三层交换机与出口路由器之间，此时，核心三层交换机与主、备NGFW设备相连的两个端口（指交换机上的端口）应在一个VLAN之内；主、备NGFW设备与出口路由器之间用一台二层交换机做汇聚。

两台NGFW设备，其中一台为主设备，在该状态下，主NGFW设备响应各类报文请求，并且转发网络流量；另一台为备用设备，备用NGFW设备不响应报文请求，也不转发网络流量。主备NGFW之间通过HA心跳线同步状态信息和配置信息。当主NGFW设备出现故障或主设备的链路中断时，备用NGFW设备成为主设备，接管原主设备的工作。NGFW主备模式支持路由模式和透明模式，并能支持对VPN状态（ipsec）的备份。

备注：在主备工作模式下，NGFW支持抢占模式，可以指定主备设备。当链路正常的情况下，由指定的主备配置决定主备状态。

功能原理

HA是High Availability缩写，即高可用性，可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断，保证网络服务的连续性和安全强度。目前，ha功能已经是防火墙内一个重要组成部分。

主备模式（Active-standby）：在一个冗余组中，有两台防火墙，一台处于主状态。在这个状态下，防火墙响应ARP请求，并且转发网络流量；另一台处于备份状态，该防火墙不响应ARP请求，也不转发网络流量。主备之间同步状态信息，当主墙down机或网线故障时，进行主备切换。

主主模式（Active-active）：在一个冗余组中，有两台防火墙，两台都处于主状态。两台防火墙都响应ARP请求，并且转发网络流量；主主之间同步状态信息，当一主墙down机或网线故障时，进行切换，由另一主墙转发网络流量。提高了数据包处理的吞吐量，平衡了网络负载，优化了网络性能。

NGFW的HA功能只支持两台设备。在nat/路由模式和桥接模式下支持主主和主备两种工作模式。HA功能要求两台设备的型号相同、组网方式相同、软件版本一致。在以上条件不一致的情况下，HA功能有可能失效。

两台HA设备之间同步信息和通讯信息采用专用的以太网口，称为HA接口。HA接口连接方式为直连。为了维护HA状态的正确性和报文同步，必须妥善维护接口的连接。HA接口的任何中断都可能导致不可预测的后果：比如两台设备可能同时工作状态（处于主备工作状态时），若重新连接之后，两台设备重新开始HA启动过程。