在談及負(fù)載均衡應(yīng)用的時(shí)候，說的最多的就是流量控制，網(wǎng)站負(fù)載，以及服務(wù)器負(fù)載等等。那么現(xiàn)在要給大家介紹的是防火墻負(fù)載均衡的應(yīng)用。還是讓我們從基礎(chǔ)了解，防火墻大家都知道，它是安全上網(wǎng)的一道屏障，有了它在很多不安因子都被擋在門外。那么，我們現(xiàn)在來看看如何進(jìn)行防火墻的負(fù)載均衡。

防火墻負(fù)載均衡技術(shù)

概述

網(wǎng)絡(luò)安全性是許多ICP和ISP長期擔(dān)心的問題,網(wǎng)絡(luò)安全已經(jīng)成為了人們關(guān)注的焦點(diǎn)?網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對(duì)網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問的常用方法?

盡管目前防火墻產(chǎn)品可以有效地防止網(wǎng)絡(luò)入侵，但是它本身也給ICP和ISP網(wǎng)絡(luò)帶來了問題。尤其是目前防火墻技術(shù)限制了網(wǎng)絡(luò)的性能和可伸縮性，并且由于防火墻經(jīng)常成為單故障點(diǎn)，因而它降低了整體網(wǎng)絡(luò)的可用性。

由于防火墻處于數(shù)據(jù)路徑上，因此它們可能會(huì)限制網(wǎng)絡(luò)的性能和可伸縮性。在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)流量都必須經(jīng)過防火墻，可惜的是最適于防火墻的處理結(jié)構(gòu)不適于檢查高容量的數(shù)據(jù)包，由于防火墻必須處理每一個(gè)數(shù)據(jù)包，因而造成了通信速度的下降，擴(kuò)展防火墻的性能十分困難，因?yàn)樗话阋苯由?jí)到功能更強(qiáng)大的硬件平臺(tái)。

也是由于防火墻安放在數(shù)據(jù)路徑上，因此它們形成了降低網(wǎng)絡(luò)資源可用性的單故障點(diǎn)。盡管多數(shù)防火墻可以使用市面上已有的高可用性軟件以熱備份的配置部署，但是迄今為止，沒有一種解決方案可以安全、可靠、高效支持多臺(tái)防火墻同時(shí)工作。

新型Web交換機(jī)的防火墻負(fù)載均衡技術(shù)解決了上述問題，先進(jìn)的Web交換機(jī)允許防火墻并行運(yùn)行，使用戶無需將防火墻升級(jí)就可以最大限度地發(fā)揮防火墻的工作效力，擴(kuò)展防火的性能，同時(shí)使防火墻不再成為一種單故障點(diǎn)。

實(shí)現(xiàn)原理

與傳統(tǒng)包交換機(jī)不同，Web交換機(jī)支持第四層以上的交換功能并具有維護(hù)不同TCP會(huì)話狀態(tài)的能力，這類設(shè)備為實(shí)現(xiàn)防火墻的負(fù)載均衡提供了完美的平臺(tái)。在實(shí)施防火墻負(fù)載均衡技術(shù)時(shí)，至少需要兩臺(tái)Web交換機(jī)：一臺(tái)安裝在防火墻的外部，另一臺(tái)安裝在內(nèi)部。

改變所有輸入數(shù)據(jù)流流向的過濾器被配置在連接外部網(wǎng)和內(nèi)部網(wǎng)的Web交換機(jī)端口上。

為保持高可用性，Web交換機(jī)對(duì)防火墻的健康進(jìn)行監(jiān)控，只將數(shù)據(jù)包發(fā)向健康的防火墻。Web交換機(jī)通過正常地向每個(gè)防火墻另一端對(duì)應(yīng)的交換機(jī)發(fā)送ping數(shù)據(jù)包來監(jiān)控防火墻的健康情況。如果某個(gè)Web交換機(jī)接口不能回應(yīng)ping命令，累計(jì)達(dá)到用戶定義的次數(shù)，這個(gè)Web交換機(jī)端口（以及暗指的相關(guān)防火墻）就被置成“服務(wù)器故障”狀態(tài)。同時(shí)，對(duì)應(yīng)Web交換機(jī)停止向這個(gè)接口發(fā)送數(shù)據(jù)流，而將數(shù)據(jù)流分配到其余的健康的Web交換機(jī)接口和防火墻上。

當(dāng)一個(gè)Web交換機(jī)接口處于“服務(wù)器故障”狀態(tài)時(shí)，其對(duì)應(yīng)的Web交換機(jī)繼續(xù)以用戶配置的速率向它發(fā)送ping命令，在發(fā)回第一個(gè)成功的ping回應(yīng)后，該接口（以及防火墻）恢復(fù)到服務(wù)狀態(tài)。

前幾節(jié)描述的防火墻健康監(jiān)控技術(shù)是Web交換機(jī)保證應(yīng)用程序高可用性的一種方式。在采用防火墻負(fù)載均衡技術(shù)的同時(shí)使用熱備份Web交換機(jī)，可以使應(yīng)用獲得更高水平的可用性。在使用防火墻負(fù)載均衡技術(shù)的情況下,可以采用Web交換機(jī)對(duì)（一臺(tái)處于工作狀態(tài)，另一臺(tái)處于熱備份狀態(tài)。）來構(gòu)造整個(gè)系統(tǒng)無單故障點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，這意味著Web交換機(jī)不是單故障點(diǎn)，使用它不會(huì)造成網(wǎng)絡(luò)另一些點(diǎn)上的單故障點(diǎn)。

防火墻負(fù)載均衡功能實(shí)現(xiàn)

在案例中，使用了四臺(tái)交換機(jī)，兩臺(tái)位于防火墻的外部，兩臺(tái)位于防火墻的內(nèi)部。

在實(shí)施熱備份配置時(shí)，每對(duì)Web交換機(jī)中的一臺(tái)被指定為激活交換機(jī)，另一臺(tái)被指定為備份交換機(jī)。在激活Web交換機(jī)與備份Web交換機(jī)之間配置一條直通鏈路，即所謂的故障轉(zhuǎn)移鏈路。通常故障轉(zhuǎn)移鏈路在激活的和備份Web交換機(jī)之間只傳遞Web交換機(jī)狀態(tài)信息，數(shù)據(jù)流只有在激活Web交換機(jī)端口現(xiàn)出故障的情況下才經(jīng)過故障轉(zhuǎn)移鏈路傳輸。如果激活Web交換機(jī)檢測到鏈路故障的話，它就將此信息通過故障轉(zhuǎn)移鏈路通知備份Web交換機(jī)。如果備份Web交換機(jī)上的相應(yīng)端口是健康的話，該端口就被激活。