交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景
如果用户的网络已经构建好,那么防火墙要想部署在用户网络中,如果采用路由模式,那么就要修改用户的网络结构和配置。为了避免对用户的网络结构进行调整,可以使设备工作在透明网桥模式。两台做HA的防火墙的透明部署环境中,NGFW通常位于核心三层交换机与出口路由器之间,此时,核心三层交换机与主、备NGFW设备相连的两个端口(指交换机上的端口)应在一个VLAN之内;主、备NGFW设备与出口路由器之间用一台二层交换机做汇聚。
两台NGFW设备,其中一台为主设备,在该状态下,主NGFW设备响应各类报文请求,并且转发网络流量;另一台为备用设备,备用NGFW设备不响应报文请求,也不转发网络流量。主备NGFW之间通过HA心跳线同步状态信息和配置信息。当主NGFW设备出现故障或主设备的链路中断时,备用NGFW设备成为主设备,接管原主设备的工作。NGFW主备模式支持路由模式和透明模式,并能支持对VPN状态(ipsec)的备份。
备注:在主备工作模式下,NGFW支持抢占模式,可以指定主备设备。当链路正常的情况下,由指定的主备配置决定主备状态。
功能原理
HA是High Availability缩写,即高可用性 ,可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断,保证网络服务的连续性和安全强度。目前,ha功能已经是防火墙内一个重要组成部分。
主备模式(Active-standby):在一个冗余组中,有两台防火墙,一台处于主状态。在这个状态下,防火墙响应ARP请求,并且转发网络流量;另一台处于备份状态,该防火墙不响应ARP请求,也不转发网络流量。主备之间同步状态信息,当主墙down机或网线故障时,进行主备切换。
主主模式(Active-active): 在一个冗余组中,有两台防火墙,两台都处于主状态。两台防火墙都响应ARP请求,并且转发网络流量;主主之间同步状态信息,当一主墙down机或网线故障时,进行切换,由另一主墙转发网络流量。提高了数据包处理的吞吐量,平衡了网络负载,优化了网络性能。
NGFW的HA功能只支持两台设备。在nat/路由模式和桥接模式下支持主主和主备两种工作模式。HA功能要求两台设备的型号相同、组网方式相同、软件版本一致。在以上条件不一致的情况下,HA功能有可能失效。
两台HA设备之间同步信息和通讯信息采用专用的以太网口,称为HA接口。HA接口连接方式为直连。为了维护HA状态的正确性和报文同步,必须妥善维护接口的连接。HA接口的任何中断都可能导致不可预测的后果:比如两台设备可能同时工作状态(处于主备工作状态时),若重新连接之后,两台设备重新开始HA启动过程。