在一個部署了防火墻產(chǎn)品的重要網(wǎng)絡(luò)中，防火墻設(shè)備一旦出現(xiàn)故障，必然會影響網(wǎng)絡(luò)的安全運營，所以很多用戶在購買防火墻的時候，都會根據(jù)自己網(wǎng)絡(luò)情況認真考慮是采用單臺設(shè)備組網(wǎng)，還是采用冗余備份的方式。但是，這真的可靠嗎?

單雙機部署均存在難以破解的故障

網(wǎng)絡(luò)中部署單臺防火墻設(shè)備時，無論其可靠性多高，系統(tǒng)都必然要承受因單點故障而導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷的風(fēng)險，而且部署在互聯(lián)網(wǎng)出口的防火墻一般要使用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能，因此無法使用Bypass來解決單點故障。

當(dāng)雙機部署時，單點故障問題可通過雙活架構(gòu)組網(wǎng)來規(guī)避，但防火墻是狀態(tài)檢測設(shè)備，如果仍是單機模式，會出現(xiàn)單臺設(shè)備故障時，靠路由冗余切換過來的TCP流無法通過狀態(tài)檢測而中斷。即使防火墻關(guān)閉狀態(tài)檢測，對于需要網(wǎng)絡(luò)地址轉(zhuǎn)換的流，由于沒有NAT會話同步，也會導(dǎo)致中斷，而且流的后續(xù)報文可能缺少應(yīng)用特征關(guān)鍵字，導(dǎo)致流量應(yīng)用類型識別不準，所以這些是網(wǎng)絡(luò)管理員需要直接面對的難題。

怎樣組建高度可靠的安全網(wǎng)絡(luò)

山石網(wǎng)科防火墻提供了三種高可靠組網(wǎng)工作模式：AP模式、AA模式、對等模式。AP和AA模式都是兩臺防火墻通過山石網(wǎng)科集群管理協(xié)議建立互相備份關(guān)系(山石網(wǎng)科集群管理協(xié)議的基本原理請參考官網(wǎng))，而對等模式則是兩臺防火墻依賴組網(wǎng)中的路由冗余建立互相備份關(guān)系。

AP模式

兩臺設(shè)備(工作在透明模式或者路由模式)配置成一個“HA組”，一臺作為主設(shè)備，另一臺作為備份設(shè)備。主設(shè)備處于活動狀態(tài)，轉(zhuǎn)發(fā)報文，同時將其所有網(wǎng)絡(luò)和配置信息以及當(dāng)前會話信息傳遞給備份設(shè)備。當(dāng)主設(shè)備出現(xiàn)設(shè)備或鏈路故障時，備份設(shè)備接替主設(shè)備工作，轉(zhuǎn)發(fā)報文。這種主備模式具有較強冗余性，而且其網(wǎng)絡(luò)結(jié)構(gòu)簡單，便于維護管理。

AA模式

兩臺設(shè)備(工作在透明模式或者路由模式)配置成兩個“HA組”，一臺在HA組1中作為主設(shè)備，在HA組0中作為備份設(shè)備;另一臺在HA組1中作為備份設(shè)備，在HA組0中作為主設(shè)備。兩臺設(shè)備同時運行各自的工作，且相互監(jiān)測對方的情況。當(dāng)其中一臺設(shè)備發(fā)生設(shè)備或鏈路故障時，另外一臺設(shè)備運行其自身的工作并且接管故障設(shè)備的工作，以保證工作不間斷。這種雙主模式具有高性能以及負載均衡的優(yōu)點。

山石網(wǎng)科防火墻AA模式部署

對等模式

對等模式是山石網(wǎng)科為特殊組網(wǎng)場景考慮的解決方案。要求兩臺防火墻(工作在透明模式或者路由模式)部署在雙活并且起了動態(tài)路由協(xié)議(如OSPF、BGP)的CE與PE之間，主要做訪問控制和攻擊防護，路由模式部署時一般還需要做網(wǎng)絡(luò)地址轉(zhuǎn)換。為了防止由于路由的冗余，會有非對稱路由的問題出現(xiàn)：如下圖所示，用戶側(cè)訪問網(wǎng)絡(luò)側(cè)的流量走一臺防火墻，而網(wǎng)絡(luò)側(cè)回用戶側(cè)的流量走了另一臺防火墻。防火墻作為狀態(tài)檢測設(shè)備，無論是采用單機還是AP/AA模式部署，都會出現(xiàn)由于匹配不到會話，非對稱流量無法通過狀態(tài)檢測而中斷的問題，同時影響應(yīng)用流量管理、入侵防御等多個功能。

非對稱流量組網(wǎng)場景

為此山石網(wǎng)科給出如下解決方案：兩臺防火墻單機部署，不使用山石網(wǎng)科集群管理協(xié)議，但增加互相會話備份和流量轉(zhuǎn)發(fā)通道。一臺設(shè)備先收到一條流的報文，則建立本地會話，同時向另一臺防火墻同步對端會話，當(dāng)另一臺防火墻收到這條流的后續(xù)報文時，匹配到對端會話，則將流量轉(zhuǎn)發(fā)到建有本地會話的防火墻上處理。這樣能夠保證同一條流的所有流量都由同一臺防火墻來處理，延續(xù)會話的一致性，同時使得應(yīng)用流量管理、入侵防御等功能能夠正常使用。

山石網(wǎng)科防火墻對等模式部署

建議使用的應(yīng)用場景

企業(yè)互聯(lián)網(wǎng)出口，防火墻通常作為網(wǎng)關(guān)部署在企業(yè)的互聯(lián)網(wǎng)出口，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是必須的功能。一般來說企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)用戶和服務(wù)數(shù)量不多，為便于維護，內(nèi)網(wǎng)用戶和服務(wù)都希望配置相同的網(wǎng)關(guān)地址，因此建議選擇兩臺防火墻AP模式部署。

數(shù)據(jù)中心網(wǎng)絡(luò)出口，防火墻通常不作為網(wǎng)關(guān)部署在企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)出口，但網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是必須的功能。由于企業(yè)數(shù)據(jù)中心具有業(yè)務(wù)多、數(shù)據(jù)流量大的特點，一般網(wǎng)關(guān)交換機都選擇VRRP負載分擔(dān)模式，此時需要防火墻的高可靠部署方案具有處理非對稱流量的能力，因此需要選擇兩臺防火墻對等模式部署。

運營商網(wǎng)絡(luò)出口，防火墻通常不作為網(wǎng)關(guān)部署在運營商的網(wǎng)絡(luò)出口，但網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)同樣是必須的功能。由于運營商的運營網(wǎng)絡(luò)出口具有數(shù)據(jù)流量大、可靠性要求高的特點，也需要選擇兩臺防火墻AP模式部署。