【WALL1600下一代防火墙】HA主备透明模式的原理是什么？

发布时间：2013-11-15

点击量：2691

HA是High Availability缩写，即高可用性，可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断，保证网络服务的连续性和安全强度。目前，ha功能已经是防火墙内一个重要组成部分。
主备模式（Active-standby）：在一个冗余组中，有两台防火墙，一台处于主状态。在这个状态下，防火墙响应ARP请求，并且转发网络流量；另一台处于备份状态，该防火墙不响应ARP请求，也不转发网络流量。主备之间同步状态信息，当主墙down机或网线故障时，进行主备切换。
主主模式（Active-active）：在一个冗余组中，有两台防火墙，两台都处于主状态。两台防火墙都响应ARP请求，并且转发网络流量；主主之间同步状态信息，当一主墙down机或网线故障时，进行切换，由另一主墙转发网络流量。提高了数据包处理的吞吐量，平衡了网络负载，优化了网络性能。
NGFW的HA功能只支持两台设备。在nat/路由模式和桥接模式下支持主主和主备两种工作模式。HA功能要求两台设备的型号相同、组网方式相同、软件版本一致。在以上条件不一致的情况下，HA功能有可能失效。
两台HA设备之间同步信息和通讯信息采用专用的以太网口，称为HA接口。HA接口连接方式为直连。为了维护HA状态的正确性和报文同步，必须妥善维护接口的连接。HA接口的任何中断都可能导致不可预测的后果：比如两台设备可能同时工作状态（处于主备工作状态时），若重新连接之后，两台设备重新开始HA启动过程。