清网防火墙的高可靠性——HA机制

随着网络技术和信息化建设的发展，人们将越来许多的关键业务主机和数据放到了信息网络中，借以提高业务效率，实现自动化的管理。同时，防火墙技术和产品也被人们广为接受，作为保护内部资源网络不受外部非法侵扰和破坏的屏障。 防火墙的性能、功能、安全性等得到人们的普遍认同。但防火墙一般安装在内部网络和不可信任网络的临界点，是内外网络所有往来流量集中地，所有的对外应用和服务都要经过防火墙，一旦临界点发生硬件和线路故障，将使内外网络的链接中断，对外的关键业务将无法进行，甚至影响整个企业的运作。
　　为了保障网络365 x 24 x 7 的运转，关键业务的连续服务，除考虑高可用性的关键业务主机、冗余及备份的网络设备和线路外，作为信息流量集中地的防火墙也应采用高可用性。

　　清网防火墙设备具备完整的高可用性（HA），其包含以下功能：主备切换、负载均衡、链路冗余、会话同步与集群。

• 主备切换：当存在两个或多个防火墙，其中一台为主防火墙，其他的为备用防火墙，当主防火墙出现故障，备用防火墙之间将协商产生主防火墙并接管主防火墙的工作。
• 负载均衡：指存在两个或多个防火墙，每个防火墙同时工作并互为备份，当其中一台防火墙出现故障时，其他防火墙之间将协商接管故障防火墙的工作。
• 链路冗余：指在同一防火墙上存在两条链路，一条为主链路，另一条为备用链路，当主链路出现故障时自动切换到备用链路上。
• 会话同步：指在实现主备切换或负载均衡的防火墙之间同步更新会话信息（状态表、二层表），实现无缝切换。
• 集群：由一组实施相同的整体安全策略并且共享相同的配置设置的防火墙组成，防火墙组内部实现会话同步、主备切换或负载均衡。

　　防火墙一般安装在网络的网关位置，网关集中了所有互联网流量，因此对安装在边界的网络设备要求极高稳定性和可用性。 为了实现网络的高可用性，清网防火墙提供多机热备份功能和负载均衡功能。

　　清网防火墙可以在多种模式下实现HA。支持路由模式和网桥模式的网络结构，两台（或多台）防火墙可同时实现防火的功能，提高了数据包处理的效率与吞吐量，也平衡了网络负载，优化了网络性能。
常见的网络拓扑如下：



在上图的《图三》中，无论是透明模式还是路由模式，［2，8］，［3，9］，［4，10］，［5，11］均采用链路备份，两个交换机与两个路由器均采用HSRP或VRRP虚拟出单个IP，其内部之间也是热备，对防火墙而言可以把它当作一台设备，所以图二与图一在处理流程上也相同。