網(wǎng)絡(luò)彈性(cyber resilience)也稱為運(yùn)維彈性(operational resilience)是指網(wǎng)絡(luò)在遇到災(zāi)難事件時(shí)快速恢復(fù)和繼續(xù)運(yùn)行的能力。災(zāi)難事件的范疇很廣泛，比如長時(shí)間停電、網(wǎng)絡(luò)設(shè)備故障、惡意入侵和技術(shù)新人不小心在服務(wù)器上灑了咖啡等等。當(dāng)我們?cè)谔幚硪恍┛赡軐?dǎo)致系統(tǒng)和公司業(yè)務(wù)崩潰且完全未知的運(yùn)營變數(shù)時(shí)，網(wǎng)絡(luò)彈性可以保持網(wǎng)絡(luò)的正常運(yùn)行。

網(wǎng)絡(luò)防火墻是一個(gè)實(shí)現(xiàn)網(wǎng)絡(luò)彈性的重要區(qū)域。下面5個(gè)策略可以幫助我們挺過那些可能導(dǎo)致整體運(yùn)營崩潰的重大危機(jī)。

1、雙活集群

保證總部站點(diǎn)和VPN連接持續(xù)可用是保證業(yè)務(wù)持續(xù)性的重要條件，而這個(gè)高可用策略包含了雙活集群的概念。雙活集群是指所有節(jié)點(diǎn)都是激活的，因此它們能夠在其他節(jié)點(diǎn)出現(xiàn)故障時(shí)快速接管它的負(fù)載。使用雙活集群可以保證靈活生站點(diǎn)保護(hù)，其效果相當(dāng)于在每一個(gè)集群中使用多個(gè)活躍節(jié)點(diǎn)。而且，它可以讓我們?cè)诓粩嚅_連接的前提下隨時(shí)升級(jí)和降級(jí)代碼及更新軟件。這種運(yùn)維模式可以優(yōu)化防火墻的總吞吐量，從而使我們只需要使用一個(gè)防火墻就可以應(yīng)付嚴(yán)重的故障事件。

2、有狀態(tài)故障轉(zhuǎn)移

當(dāng)系統(tǒng)出現(xiàn)流量中斷或任意干擾時(shí)，客戶的不滿和問題擴(kuò)大可能性也會(huì)隨之出現(xiàn)。有狀態(tài)故障轉(zhuǎn)移可以避免這兩種情況。這個(gè)策略會(huì)在一個(gè)備份設(shè)備上記錄主設(shè)備的會(huì)話，然后備份設(shè)備會(huì)在主設(shè)備宕機(jī)時(shí)馬上切入。會(huì)話完全不會(huì)中斷，客戶不會(huì)感覺到影響，也不知道有連接丟失和問題得到了控制。有狀態(tài)故障轉(zhuǎn)移是實(shí)現(xiàn)節(jié)點(diǎn)或鏈路故障轉(zhuǎn)移的必要條件，也能夠在時(shí)間要求極其苛刻的軟件升級(jí)過程中發(fā)揮重要作用。

3、多條互聯(lián)鏈路

如果只有一條互聯(lián)網(wǎng)連接鏈路，那么這個(gè)鏈接中斷會(huì)產(chǎn)生一個(gè)單點(diǎn)故障源。在防火墻中接入多條互聯(lián)網(wǎng)鏈路的代價(jià)小于租用專線或多協(xié)議標(biāo)簽交換(MPLS)，而且可以在一條或多個(gè)網(wǎng)絡(luò)連接中斷時(shí)仍能保證互聯(lián)網(wǎng)的高可用性。多條鏈路應(yīng)該跨越多個(gè)ISP或位置，要在鏈路之間應(yīng)用負(fù)載遠(yuǎn)程，同時(shí)要支持混合連接方法，其中包括非對(duì)稱數(shù)字訂閱線路、移動(dòng)、MPLS和IP等。

4、管理系統(tǒng)的高可用性

網(wǎng)絡(luò)彈性策略需要保護(hù)管理能力，而這可以通過管理系統(tǒng)的高可用性實(shí)現(xiàn)。保證管理系統(tǒng)的防火墻可以讓管理員保持對(duì)配置視圖和配置變化的恒定無延遲網(wǎng)絡(luò)控制，以及更好地監(jiān)控狀態(tài)和更靈活地響應(yīng)事件。網(wǎng)絡(luò)安全元素仍然保持可訪問和可管理，因此即使管理服務(wù)器宕機(jī)，我們也不會(huì)丟失任何配置數(shù)據(jù)。另一個(gè)好處是它不僅能夠保護(hù)管理服務(wù)器和保證它的安全訪問，也能夠保護(hù)日志服務(wù)器，保證網(wǎng)絡(luò)時(shí)間協(xié)議同步在事件調(diào)查過程中保持一致。

5、服務(wù)器負(fù)載均衡

讓服務(wù)器均衡負(fù)載，意味著業(yè)務(wù)不會(huì)由于Web服務(wù)器因負(fù)荷過大無法處理到達(dá)請(qǐng)求而發(fā)生中斷——包括機(jī)器或程序發(fā)出的請(qǐng)求。通過部署一個(gè)內(nèi)置了負(fù)載均衡的防火墻，我們就可以讓負(fù)載自動(dòng)分散到兩個(gè)或多個(gè)服務(wù)器上。這樣就可以讓關(guān)鍵業(yè)務(wù)服務(wù)一直保持可用，同時(shí)運(yùn)維成本又保持在較低水平，從而不需要單獨(dú)購買第三方服務(wù)器負(fù)載均衡解決方案。