防火墙双机热备

防火墙双机热备

        随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。

         防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,都存在因设备单点故障而导致网络中断的风险。于是,在做网络架构设计时,通常会在网络的关键位置部署两台网络设备,以提升网络的可靠性。

          防火墙是状态检测设备,它会对一条流量的首包进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。

  1. 在网络中部署防火墙双机时面临的问题

如果在网络出口处部署两台独立的防火墙,则两台防火墙独立运行,需分别进行配置维护,如下图所示:

此外,以在防火墙的上行、下行部署VRRP为例,由于这两组VRRP相互独立,因此容易出现主备状态不一致的情况如下图所示:

此时内网访问外网的往返流量路径不一致,当回程流量抵达FW2时,由于FW2没有匹配的会话表项,因此这些流量将被丢弃。

所以当防火墙双机部署时需要考虑两台防火墙之间的会话等状态信息的备份。

 

  1. 防火墙双机热备简介

          双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线)如下图所示,通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。

          当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

部署要求:

  • 目前只支持两台设备进行双机热备。
  • 主备设备的产品型号和版本必须相同。
  • 主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。

 

  1. 防火墙双机热备关键组件
    1. VRRP

VRRP是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,备份路由器能自动代替前者完成报文转发任务,从而保持网络通信的连续性和可靠性。

  1. VGMP

将防火墙上的所有VRRP组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP组状态。如果VGMP组检测到其中一个VRRP组的状态变化,则VGMP组会控制组中的所有VRRP组统一进行状态切换,保证各VRRP备份组状态的一致性。

  • 每台FW上有一个VGMP组。VGMP组有四种状态:
    • Initialize:启用双机热备功能后,VGMP组的短暂初始状态。
    • Load Balance:当防火墙本端的VGMP组与对端的VGMP组优先级相等时,两端的VGMP组都处于Load Balance状态。
    • Active:当本端的VGMP组优先级高于对端时,本端的VGMP组处于Active状态。
    • Standby:当本端的VGMP组优先级低于对端时,本端的VGMP组处于Standby状态。
  • 两台FW组成双机热备组网后,正常情况下,两台FWVGMP组优先级相等,且都处于Load Balance状态。这时两台FW处于负载分担状态。
  • 可以通过VRRP配置和手工指定备设备这两种方式,使两台FW形成主备备份状态。
  • VRRP配置的方式适用于FW连接二层交换机的组网,指定备设备的方式适用于FW其他方式的双机热备组网。
  • FWVGMP优先级有一个初始优先级,当FW的接口或者单板等出现故障时,会在初始优先级基础上减去一定的降低值。

  1. HRP
  • 为了通过防火墙双机之间动态状态数据和关键配置命令的备份,实现主用设备出现故障时备用设备能平滑地接替工作,华为防火墙引入了HRP协议,实现防火墙双机之间动态状态数据和关键配置命令的备份,备份又分为了主备备份组网和负载分担组网。
    • 在主备备份组网下,配置命令和状态信息都由主用设备备份到备用设备。
    • 而在负载分担组网下,两台FW都是主用设备。因此如果允许两台主用设备之间能够相互备份命令,那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台FW配置的统一管理,避免混乱,我们引入配置主和配置从设备的概念。

  • 防火墙能够备份的配置如下:
    • 策略:安全策略、NAT策略(包括NAT地址池)、NAT Server等。
    • 对象:地址、地区、服务、应用、用户等。
    • 网络:安全区域、DNS、IPsec、SSL VPN等。
    • 系统:管理员、虚拟系统、日志配置。
  • 防火墙能够备份的状态信息如下:
    • 会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、在线用户监控表、PKI证书、IPsec备份等。

 

  1. 防火墙双机热备典型组网场景
  1. 双机热备直路部署,连接二层设备

防火墙的业务接口工作在三层,上下行连接交换机,终端可将默认网关设置为VRRP VRID1的虚拟IP地址。SW3/SW4配置回程路由时,可将下一跳设置为VRRP VRID100的虚拟IP地址。

 

  1. 双机热备直路部署,连接三层设备

防火墙的业务接口工作在三层,上下行连接路由器,防火墙与路由器之间运行OSPF。当FW1的业务接口故障时,其切换成备用设备,FW2成为主用设备。FW1发布的路由Cost值自动修改为65500。路由重新收敛后,流量通过FW2转发。

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/35849.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Orangepi Zero2使用外设驱动库wiringOP配合时间函数驱动HC-SR04超声波测距模块

Orangepi Zero2使用外设驱动库wiringOP配合时间函数驱动HC-SR04超声波测距模块

目录 一、HC-SR04超声波模块原理和硬件接线 1.1 超声波测距原理: 1.2 超声波时序图: 1.3 HC-SR04超声波模块硬件接线: 二、时间函数 2.1 时间函数gettimeofday()原型和头文件: 2.2 使用gettimeofday()函数获取当前时间的秒数…
阅读更多...
【osgEarth】Ubuntu 22.04 源码编译osgEarth 3.5

【osgEarth】Ubuntu 22.04 源码编译osgEarth 3.5

下载源代码 git clone --depth1 https://dgithub.xyz/gwaldron/osgearth -b osgearth-3.5 下载子模块 git submodule update --init 如果下载不过来,就手动修改下.git/config文件,将子模块的地址替换成加速地址 (base) yeqiangyeqiang-Default-string…
阅读更多...
打印一张A4纸多少钱?打印a4多少钱一张

打印一张A4纸多少钱?打印a4多少钱一张

在数字化日益发展的今天,打印服务依然是办公、学习和生活中不可或缺的一部分。对于广大用户来说,了解A4纸打印的价格成为选择打印服务的重要参考因素。那么,A4纸打印到底多少钱一张呢? 在琢贝云打印平台,打印价格非常实…
阅读更多...
Arcengine 添加字段时,显示General function failuer

Arcengine 添加字段时,显示General function failuer

一、现象 Arcengine开发的时候,在addfield(添加字段)操作时,显示General function failuer。如下图所示: 二、问题原因 General function failuer是常规故障,问题原因是文件占用,只要把文件在…
阅读更多...
文华wh6均线交易策略多空波段止盈止损提示主图指标公式源码

文华wh6均线交易策略多空波段止盈止损提示主图指标公式源码

文华wh6均线交易策略多空波段止盈止损提示主图指标公式源码&#xff1a; EMA120:EMA(C,120); RSV:(CLOSE-LLV(LOW,9))/(HHV(HIGH,9)-LLV(LOW,9))*100; K:SMA(RSV,3,1); D:SMA(K,3,1); J:3*K-2*D; DRAWTEXT(C>EMA120&&J<0,L,多),VALIGN0; DRAWTEXT(C<EMA…
阅读更多...
AcWing算法基础课笔记——求组合数3

AcWing算法基础课笔记——求组合数3

求组合数Ⅲ 20万组数据&#xff0c; 1 ≤ b ≤ a ≤ 1 0 18 , 1 ≤ p ≤ 1 0 5 1 \le b \le a \le 10^{18}, 1\le p \le 10 ^5 1≤b≤a≤1018,1≤p≤105&#xff0c;使用卢卡斯定理。 卢卡斯定理&#xff1a; C a b ≡ C a m o d p b m o d p C a / p b / p ( m o d p ) C_a…
阅读更多...
SSI 注入漏洞

SSI 注入漏洞

0x00漏洞描述 SSI 英文是 Server Side Includes 的缩写&#xff0c;翻译成中文就是服务器端包含的意思。从技术角度上说&#xff0c;SSI 就是在 HTML 文件中&#xff0c;可以通过注入注释调用的命令或指针。SSI 具有强大的功能&#xff0c;只要使用一条简单的 SSI 命令就可以实…
阅读更多...
day2-web安全漏洞攻防-基础-弱口令、HTML注入(米斯特web渗透测试)

day2-web安全漏洞攻防-基础-弱口令、HTML注入(米斯特web渗透测试)

day2-web安全漏洞攻防-基础-弱口令、HTML注入&#xff08;米斯特web渗透测试&#xff09; 1&#xff0c;漏洞2&#xff0c;弱口令3&#xff0c;爆破&#xff08;1&#xff09;Burpsuite&#xff08;2&#xff09;攻击类型 4&#xff0c;HTML针剂注入 1&#xff0c;漏洞 挖掘和利…
阅读更多...
批量打造怀旧风情:视频批量剪辑将现代视频打造成怀旧经典老视频效果

批量打造怀旧风情:视频批量剪辑将现代视频打造成怀旧经典老视频效果

在繁忙的现代生活中&#xff0c;我们时常怀念那些旧时光&#xff0c;那些充满岁月痕迹的老电影片段。它们不仅记录了一个时代的风貌&#xff0c;更承载了无数人的情感与记忆。你是否想过&#xff0c;将现代的视频素材打造成这种怀旧经典的老视频效果&#xff0c;让每一帧都充满…
阅读更多...
【手眼标定】使用kalibr对imu和双目摄像头进行联合标定

【手眼标定】使用kalibr对imu和双目摄像头进行联合标定

使用kalibr对imu和双目摄像头进行联合标定 前言一、IMU标定二、双目摄像头标定三、手眼标定&#xff08;imu和双目摄像头的联合标定&#xff09; 前言 由于本文的imu、双目摄像头都是在ros2环境下开发&#xff0c;数据传输自然也是在ros2中。 但想要使用kalibr进行标定&#x…
阅读更多...
骑马与砍杀战团mod制作-基础-军队笔记(一)

骑马与砍杀战团mod制作-基础-军队笔记(一)

骑马与砍杀战团mod制作-基础-军队装备笔记&#xff08;一&#xff09; 资料来源 学习的资料来源&#xff1a; b站【三啸解说】手把手教你做【骑砍】MOD&#xff0c;基础篇&#xff0c;链接为&#xff1a; https://www.bilibili.com/video/BV19x411Q7No?p4&vd_sourcea507…
阅读更多...
VOC格式转YOLO格式,xml文件转txt文件简单通用代码

VOC格式转YOLO格式,xml文件转txt文件简单通用代码

目录 前言 思路介绍 代码 完整代码 拓展代码 前言 很多人在进行目标检测训练时习惯将得到的数据标注为XML文件的VOC格式&#xff0c;或者在网上获取的数据集被标注为XML文件&#xff0c;但是不同的标注工具进行的标注会产生不同的标注xml文件&#xff0c;这里我写了一种通用…
阅读更多...
边缘混合计算智慧矿山视频智能综合管理方案:矿山安全生产智能转型升级之路

边缘混合计算智慧矿山视频智能综合管理方案:矿山安全生产智能转型升级之路

一、智慧矿山方案介绍 智慧矿山是以矿山数字化、信息化为前提和基础&#xff0c;通过物联网、人工智能等技术进行主动感知、自动分析、快速处理&#xff0c;实现安全矿山、高效矿山的矿山智能化建设。旭帆科技TSINGSEE青犀基于图像的前端计算、边缘计算技术&#xff0c;结合煤…
阅读更多...
Java预约家政5.0服务本地服务源码(APP+小程序+公众号+H5)

Java预约家政5.0服务本地服务源码(APP+小程序+公众号+H5)

预约家政本地服务平台系统&#xff1a;一站式解决家居需求&#x1f3e0;&#x1f4bc; 一、引言&#xff1a;开启便捷家居新时代 在快节奏的现代生活中&#xff0c;我们渴望拥有更多的时间和精力去享受生活&#xff0c;而不是被繁琐的家务所困扰。预约家政本地服务平台系统应…
阅读更多...
创意设计师,如何在AIGC时代寻找价值?

创意设计师,如何在AIGC时代寻找价值?

在当今AIGC&#xff08;人工智能生成内容&#xff09;时代&#xff0c;技术的浪潮席卷了各个行业&#xff0c;创意设计领域也不例外。对于创意设计师来说&#xff0c;这既是一个充满挑战的时代&#xff0c;也是一个蕴藏无限机遇的时代。在这个时代背景下&#xff0c;如何寻找并…
阅读更多...
MindSpore中NumPy变量转换为Tensor张量使用的Tensor.from_numpy()函数到底是深拷贝还是浅拷贝

MindSpore中NumPy变量转换为Tensor张量使用的Tensor.from_numpy()函数到底是深拷贝还是浅拷贝

在NumPy转换为Tensor使用的Tensor.from_numpy()函数到底是深拷贝还是浅拷贝 使用Tensor()将NumPy变量转换为Tensor变量。 类似数组转换张量的方法 n np.ones(5) t Tensor.from_numpy(n) print(f"t: {t}", type(t)) np.add(n, 1, outn) print(f"n: {n}"…
阅读更多...
PHP 界的扛把子 Swoole 异步通信利器

PHP 界的扛把子 Swoole 异步通信利器

大家好&#xff0c;我是码农先森。 引言 我今天主要介绍的内容是包括但不仅限于 Swoole &#xff0c;也有一部分 Go 语言的内容。 为什么要介绍 Swoole ? 先说一说背景吧&#xff0c;我们项目组之前要为《香港 01》开发一个积分系统的项目&#xff0c;这个系统的主要功能包…
阅读更多...
做PPT时素材图片不清晰怎么办?

做PPT时素材图片不清晰怎么办?

做 PPT 时&#xff0c;总会遇到很多尴尬事&#xff0c;比方说需要一张素材图&#xff0c;却怎么也下载不到高清的&#xff0c;这在现实生活中是经常会遇到的。那么遇到这种情况我们到底该如何处理&#xff1f;今天就教给大家几个方法&#xff0c;轻松应对素材图不清晰这个难题&…
阅读更多...
内网一键部署k8s-kubeshpere,1.22.12版本

内网一键部署k8s-kubeshpere,1.22.12版本

1.引言 本文档旨在指导读者在内网环境中部署 Kubernetes 集群。Kubernetes 是一种用于自动化容器化应用程序部署、扩展和管理的开源平台&#xff0c;其在云原生应用开发和部署中具有广泛的应用。然而&#xff0c;由于一些安全或网络限制&#xff0c;一些组织可能选择在内部网络…
阅读更多...
python f.write中文乱码怎么解决

python f.write中文乱码怎么解决

举个例子&#xff1a; #coding:utf-8 s u中文 f open("test.txt","w") f.write(s) f.close() 原因是编码方式错误&#xff0c;应该改为utf-8编码。 解决方案一&#xff1a; #coding:utf-8 s u中文 f open("test.txt","w") f.writ…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023