在一個部署了防火墻產品的重要網(wǎng)絡中,防火墻設備一旦出現(xiàn)故障,必然會影響網(wǎng)絡的安全運營,所以很多用戶在購買防火墻的時候,都會根據(jù)自己網(wǎng)絡情況認真考慮是采用單臺設備組網(wǎng),還是采用冗余備份的方式。但是,這真的可靠嗎?
單雙機部署均存在難以破解的故障
網(wǎng)絡中部署單臺防火墻設備時,無論其可靠性多高,系統(tǒng)都必然要承受因單點故障而導致網(wǎng)絡業(yè)務中斷的風險,而且部署在互聯(lián)網(wǎng)出口的防火墻一般要使用網(wǎng)絡地址轉換(NAT)功能,因此無法使用Bypass來解決單點故障。
當雙機部署時,單點故障問題可通過雙活架構組網(wǎng)來規(guī)避,但防火墻是狀態(tài)檢測設備,如果仍是單機模式,會出現(xiàn)單臺設備故障時,靠路由冗余切換過來的TCP流無法通過狀態(tài)檢測而中斷。即使防火墻關閉狀態(tài)檢測,對于需要網(wǎng)絡地址轉換的流,由于沒有NAT會話同步,也會導致中斷,而且流的后續(xù)報文可能缺少應用特征關鍵字,導致流量應用類型識別不準,所以這些是網(wǎng)絡管理員需要直接面對的難題。
怎樣組建高度可靠的安全網(wǎng)絡
山石網(wǎng)科防火墻提供了三種高可靠組網(wǎng)工作模式:AP模式、AA模式、對等模式。AP和AA模式都是兩臺防火墻通過山石網(wǎng)科集群管理協(xié)議建立互相備份關系(山石網(wǎng)科集群管理協(xié)議的基本原理請參考官網(wǎng)),而對等模式則是兩臺防火墻依賴組網(wǎng)中的路由冗余建立互相備份關系。
AP模式
兩臺設備(工作在透明模式或者路由模式)配置成一個“HA組”,一臺作為主設備,另一臺作為備份設備。主設備處于活動狀態(tài),轉發(fā)報文,同時將其所有網(wǎng)絡和配置信息以及當前會話信息傳遞給備份設備。當主設備出現(xiàn)設備或鏈路故障時,備份設備接替主設備工作,轉發(fā)報文。這種主備模式具有較強冗余性,而且其網(wǎng)絡結構簡單,便于維護管理。