外网防火墙双机热备组网分析

《外网防火墙双机热备组网分析》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、目录拓扑结构分析1不建议的组网方式2拓扑结构分析在这样的组网结构中，内部要访问互联网，对于ISP的选择是如何实现的呢？比如说内部员工A需要访问放在联通机房的WEB服务器，这时候只能靠防火墙上的路由来进行选路了，路由的选路又有两种方式，一种是基于源地址来分流，另一种是基于目标地址来分流，所谓基于源地址，假如员工A的子网为192.168.1.0，而路由策略为192.168.1.0源地址下一跳是联通的网关，那么员工A的的数据流是通过接联通网络的防火墙，你可能会说，这不是正好吗？但假如员工B也是在这个子网内，而他要访问的是电信的服务器，很明显，按这样的路由策略来执行的是不合理的。最合理

2、的做法是基于目标地址的路由，通过路由策略让避免访问者跨运营商访问的难题，虽然说联通与电信分配使用的IP地址都是不一样的，但是其路由条目之庞大是超乎我们想像的，所以要基于目标地址的路由，工作量非常大，而且还要做后续的路由更新才能保证正确率，因此有了负载均衡设备。前面说的是内部到外部的选路，再说说从外面访问内部服务器是如何选路的。外内服务器一般放在DMZ区域，通过地址映射把服务器发布出去，在这样的组网方式中，映射的地址是接口的物理地址，可以是联通的IP，也可以是电信的IP，如果有做服务器集群的话，那这样是可以实现ISP链路的负载均衡的。不建议的组网方式请千万别像下面这样去组网。如上

3、图所示，每一台防火墙单独承担一个ISP出口的流量，数据的分流通过路由策略来选路。假如两台防火墙也做了集群或VRRP配置，它们可以运行在主/备,或主/主方式，在这种状态下的防火墙，靠存活机制来相互监控，这时防火墙设备需要维护每条会话的状态等相关信息，当主设备故障、流量切换到备份设备时，要求备份设备上有正确的会话信息才能继续处理会话报文，否则会话报文会被丢弃从而导致会话中断，我们上图的结构因为做了同步机制不会造成会话中断。没错，听起来好像很好，但上面的架构能实现这样的效果吗？不能。假设防火墙A故障了，那么当前A的会话是不能实时迁移到B防火墙的，原因是B防火墙没有该ISP可达的物理链

4、路。这时候，内部员工的访问，虽然内部网关冗余使其感觉不到网络有的变化，但实际上的会话已经中断了，只有通过刷新，重新建立话，才能保持原来的业务正常。