深析高可用性防火墙的几个联网技术
简述防火墙的主要技术
简述防火墙的主要技术防火墙是一种网络安全设备,用于保护计算机网络免受恶意攻击和未经授权的访问。
它利用一系列技术来检测和阻止不安全的网络流量,以确保网络的安全性和可靠性。
以下将对防火墙的主要技术进行简述。
1. 包过滤技术(Packet Filtering):包过滤是防火墙最基本也是最常用的技术之一。
它通过检查数据包的源地址、目标地址、端口号、协议类型等信息来决定是否允许通过。
包过滤可以根据预先设定的规则来过滤流量,例如,只允许特定IP地址的数据包通过或者禁止特定端口的访问。
2. 状态检测技术(Stateful Inspection):状态检测是包过滤技术的进一步发展。
它不仅仅根据单个数据包的信息来决定是否允许通过,还会维护一个连接的状态表来判断是否是合法的流量。
状态检测可以更好地处理复杂的网络连接,如TCP连接的建立、终止和数据传输过程。
3. 应用层网关(Application Gateway):应用层网关是防火墙的一种高级形式,它能够深入应用层协议进行检查和过滤。
应用层网关可以分析和过滤应用层协议的数据,如HTTP、FTP、SMTP等,并根据预先定义的策略来控制应用层流量。
这种技术可以对特定应用程序进行细粒度的访问控制,提高安全性和灵活性。
4. VPN隧道技术(VPN Tunneling):VPN隧道技术通过在公共网络上建立安全的隧道,将数据进行加密和封装,从而实现远程访问和分支机构之间的安全通信。
防火墙可以支持VPN隧道技术,允许受信任的用户通过加密通道访问内部网络资源,同时保护数据的机密性和完整性。
5. 网络地址转换(Network Address Translation,NAT):NAT技术允许将内部网络的私有IP地址转换为公共IP地址,以实现内部网络与外部网络的通信。
防火墙可以通过NAT技术来隐藏内部网络的真实IP地址,增加网络的安全性。
此外,NAT还可以实现端口映射,将外部请求转发到内部服务器,提供互联网服务。
网络安全中的防火墙技术
网络安全中的防火墙技术随着互联网的快速发展,网络安全问题日益严峻。
为了保护网络系统免受外界的恶意攻击和非法入侵,防火墙技术应运而生。
本文将介绍网络安全中的防火墙技术,包括其基本原理、工作方式和应用场景等方面。
一、防火墙的基本原理防火墙是在网络和外界之间建立一道屏障,通过检测网络流量、过滤数据包来保护网络系统的安全。
防火墙采用了多种技术手段,如包过滤、网络地址转换(NAT)、代理服务等,来实现对网络访问的控制和管理。
1.1 包过滤技术包过滤技术是防火墙的核心技术之一。
它通过检查网络数据包的源地址、目的地址、端口号等信息,基于事先设定的规则对数据包进行过滤和处理。
其中,源地址和目的地址用于规定通信的源和目的地,端口号则用于标识传输层中的不同服务或协议。
1.2 网络地址转换(NAT)网络地址转换技术是防火墙常用的一种技术手段。
它通过将私有网络内主机的私有IP地址转换为公有IP地址,使得外界无法直接访问内部网络,从而增强了网络的安全性。
同时,NAT技术还可以实现多个内部主机共享一个公有IP地址的功能,有效节约了公网IP资源。
1.3 代理服务技术代理服务技术是防火墙中另一种常见的技术手段。
它通过代理服务器与外界进行通信,将内部主机的请求进行转发和代理,从而隐藏了内部网络的真实IP地址和身份信息。
代理服务技术不仅可以有效保护内部网络的安全,还可以过滤和控制网络流量,提高网络的性能和效率。
二、防火墙的工作方式防火墙可以部署在网络的不同位置,根据其工作位置和工作方式的不同,可以分为网络层防火墙、主机层防火墙和应用层防火墙等。
2.1 网络层防火墙网络层防火墙通常部署在网络的边界处,作为网络与外界的连接点。
它通过监控和过滤网络流量,防止外界的恶意攻击和非法入侵。
常见的网络层防火墙有路由器级防火墙和状态检测防火墙等。
2.2 主机层防火墙主机层防火墙是部署在主机上的软件防火墙,用于保护主机系统的安全。
主机层防火墙可以对主机上的进出流量进行过滤和管理,阻止恶意程序和非法访问。
防火墙需求分析
防火墙需求分析随着互联网的快速发展,网络安全问题日益凸显。
为了保护计算机系统和网络资源的安全性,防火墙技术成为了不可或缺的重要环节。
本文将对防火墙的需求进行分析,以期更好地理解防火墙在网络安全中的作用和功能。
1. 引言防火墙作为网络安全的基础设施之一,其作用是在不同安全域之间建立安全的网络边界,限制和过滤进出网络的数据流量,防御可能的网络攻击和威胁。
防火墙需求的分析旨在确定对特定环境和应用程序的防护需求,并根据这些需求来选择和配置适合的防火墙解决方案。
2. 防火墙的基本功能防火墙的基本功能包括数据包过滤、访问控制和网络地址转换等。
数据包过滤是指通过检查数据包的源地址、目标地址、端口号等信息,来决定是否允许流量通过。
访问控制用于限制不同用户或系统的访问权限。
网络地址转换(NAT)则允许将私有网络内部的IP地址转换为公共IP地址以与外部网络通信。
3. 防火墙的需求分析在进行防火墙需求分析时,首先需要考虑的是网络的安全目标和保护对象。
不同系统和应用程序可能有不同的安全需求,因此需要根据实际情况进行定制化配置。
以下是防火墙需求分析中需要考虑的几个关键因素:3.1 网络拓扑:需要了解网络的结构和拓扑,包括内部网络和外部网络的划分、网络设备的布局等。
根据网络拓扑来确定防火墙的部署位置和策略。
3.2 通信策略:需要明确允许和禁止的网络通信流量,如指定允许的协议、端口、IP地址范围等。
这样可以有效过滤和阻止未授权的数据流。
3.3 安全策略:需要制定合适的安全策略,包括对入侵检测、异常行为监测、恶意软件防护等的支持和配置。
根据用户需求,可以选择性地开启或关闭相应的安全功能。
3.4 流量监控和日志记录:防火墙需要能够对通过的网络流量进行实时监控和记录。
可以记录源IP地址、目标IP地址、端口号、协议等信息,用于后续的安全审计和故障排查。
3.5 高可用性和负载均衡:对于高可用性和高负载的网络环境,防火墙需要具备负载均衡和故障转移的能力,以确保网络的连续性和可用性。
网络防火墙技术解析
网络防火墙技术解析在当今信息时代,网络安全问题日益突出,网络防火墙技术成为保护企业和个人网络安全的重要手段之一。
本文将对网络防火墙技术进行解析,从工作原理、分类、应用场景等方面深入探讨。
一、工作原理网络防火墙是一种位于网络边界的安全设备,通过监控和控制数据流量,识别并阻止恶意流量的传输。
其工作原理主要包括以下几个方面:1.数据包过滤:防火墙通过检查数据包头部信息,根据预设的安全策略对数据包进行过滤和判断。
根据规则设定,防火墙可以允许或拒绝特定IP地址、端口或协议的数据包传输。
2.端口过滤:防火墙可以根据网络服务的端口号进行过滤,禁止某些端口的数据包传输,从而有效控制网络入侵。
3.状态检测:防火墙可以根据数据包的状态信息进行检测,例如确认数据包是否是请求或响应,以此对数据流进行管理和控制。
二、分类根据不同的工作方式和应用场景,网络防火墙可以分为以下几类:1.包过滤式防火墙:该类型防火墙基于数据包过滤的原理进行工作,主要通过检查网络数据包的数据头来判断是否允许通过。
根据源IP地址、目的IP地址、端口号等信息进行数据包过滤。
2.状态检测式防火墙:该类型防火墙结合了包过滤和状态检测技术,可以对网络连接的状态进行检测和管理。
在数据传输过程中,防火墙会对数据包进行跟踪,并对特定的数据流状态进行管理和控制。
3.应用层网关(Proxy)防火墙:该类型防火墙不直接路由数据包,而是将客户端的请求拦截下来并代理请求,然后将响应返回给客户端。
它可以检查和过滤应用层协议的数据,提供更高级别的安全保护。
三、应用场景网络防火墙技术在各种网络环境中都有广泛的应用。
下面列举了几个常见的应用场景:1.企业内部网络保护:企业维护一个内部网络用于员工工作,而防火墙可帮助企业保护其内部网络免受来自外部网络的攻击。
通过设置安全策略,防火墙只允许授权的流量通过,从而有效保护企业内部网络的安全。
2.公共Wi-Fi安全:公共Wi-Fi网络普遍存在安全隐患,黑客可以通过篡改数据包、监听敏感信息等方式进行攻击。
服务器高可用性方案解析
服务器高可用性方案解析在现代社会中,计算机服务器已成为各行各业不可或缺的重要组成部分。
然而,由于服务器故障、网络中断或其他因素可能导致的服务中断,会给企业和用户带来严重的损失。
因此,实现服务器的高可用性已成为一项重要任务。
本文将从硬件、软件和网络等多个方面来探讨服务器高可用性方案。
一、硬件层面的高可用性方案服务器硬件是保证系统稳定运行和高可用性的基础。
在硬件层面,可以采取以下方案来提高服务器的可用性。
1. 硬件冗余:通过使用冗余设备来避免单点故障。
例如,在服务器中使用热备份电源、多个磁盘阵列或冗余风扇,当一个设备故障时,备份设备能够立即接管工作,确保服务器的正常运行。
2. 双机热备:将两台服务器部署在同一网络环境中,通过心跳检测机制来确保主备服务器之间的可靠通信。
当主服务器出现故障时,备份服务器能够快速接管主服务器的工作,实现高可用性。
二、软件层面的高可用性方案除了硬件的保障,软件也起着至关重要的作用。
在软件层面,有以下几种常见的高可用性方案。
1. 负载均衡:通过将请求分发到多个服务器上,均衡服务器的负载,避免某个服务器因负载过重而导致的服务中断。
常见的负载均衡技术有DNS负载均衡和反向代理负载均衡。
2. 故障转移:通过实时监测服务器的状态,一旦发现服务器出现故障,即将请求转移到备份服务器上,保证服务的连续性。
常见的故障转移方案有双机热备、心跳检测和Failover技术等。
3. 容灾备份:将服务器和数据分布在不同的地理位置上进行备份,以应对地震、火灾等灾难事件。
当主服务器无法正常工作时,备份服务器能够及时接管,并恢复数据交互,确保业务的连续性。
三、网络层面的高可用性方案在网络层面,网络的可靠性对服务器的高可用性有着重要影响。
以下是几种常见的网络层面高可用性方案。
1. 冗余网络设备:通过使用冗余交换机、路由器和防火墙等设备,当一个设备故障时,备用设备能够自动接管工作,避免网络中断。
2. 多路径传输:通过配置多个网络连接路径,避免单个网络链路故障导致的服务中断。
网络安全 防火墙技术
网络安全防火墙技术
网络安全防火墙技术是一种技术手段,用于保护计算机网络
免受恶意攻击。
它可以监控网络流量,根据预设的安全策略来允许或拒绝流量的传输。
防火墙技术有多种形式,包括软件防火墙和硬件防火墙。
软件防火墙是一种在计算机内部运行的程序,通过检测和过滤网络流量来保护计算机。
它可以根据指定的规则,阻止来自特定
IP地址或端口的流量进入或离开计算机。
硬件防火墙是一种
独立设备,作为网络的第一道防线,用于过滤网络流量。
防火墙技术可以根据不同的层次进行过滤,包括网络层、传输层和应用层。
在网络层,防火墙可以根据IP地址进行过滤,
从而控制特定主机的访问。
在传输层,防火墙可以根据TCP
或UDP端口进行过滤,从而控制特定应用程序的访问。
在应
用层,防火墙可以通过深度包检测来识别不安全的网络活动,从而保护计算机免受恶意软件攻击。
此外,防火墙技术还可以提供其他安全功能,如虚拟专用网络(VPN)和入侵检测系统(IDS)。
VPN可以加密网络连接,
确保数据在传输过程中的安全。
IDS可以监测网络流量,识别
并报告潜在的入侵行为。
总之,防火墙技术是网络安全的基础,它能够提供强大的保护措施,防止未经授权的访问和攻击。
随着网络威胁的不断增加,防火墙技术也在不断演进,以应对新的安全挑战。
防火墙技术核心技术介绍
问题:存在什么缺陷?
30
防火墙体系构造(4)
➢ 筛选路由器 ➢ 双/多宿主主机 ➢ 屏蔽主机 ➢ 屏蔽子网
31
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 屏蔽路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
这种措施是在内部网络和外
部网络之间建立一种被隔离旳子 网,用两台防火墙将这一子网分 别与内部网络和外部网络分开。 在诸多实现中,两个防火墙放在 子网旳两端,在子网内构成一种 “非军事区”DMZ。
27
防火墙体系构造(1)
➢ 筛选路由器 ➢ 双/多宿主机 ➢ 被屏蔽主机 ➢ 被屏蔽子网
28
防火墙体系构造(2)
➢ 筛选路由器 ➢ 双/多宿主机 ➢ 被屏蔽主机 ➢ 被屏蔽子网
29
防火墙体系构造(3)
➢ 筛选路由器 ➢ 双/多宿主主机 ➢ 屏蔽主机 ➢ 屏蔽子网
进行规则配置,只允许外 部主机与堡垒主机通信
不允许外部主机直接访问 除堡垒主机之外旳其他主机
25
防火墙术语(5)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 屏蔽路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
当一种堡垒主机安装在内部
网络上,一般在防火墙上设置过 滤规则,并使这个堡垒主机成为 从外部网络唯一可直接到达旳主 机,即屏蔽主机。这确保了内部 网络不受未被授权旳外部顾客旳 攻击。
26
防火墙术语(6)
24
防火墙术语(4)
➢ 堡垒主机 ➢ 双宿主机 ➢ 数据包过滤 ➢ 筛选路由器 ➢ 屏蔽主机 ➢ 屏蔽子网
筛选路由器是防火墙最基本 旳构件。它作为内外连接旳唯一 通道,要求全部旳报文都必须在 此经过检验。
路由器上能够装基于IP层旳 报文过滤软件,实现报文过滤功 能。许多路由器本身带有报文过 滤配置选项,但一般比较简朴。
防火墙基本技术和原理
防火墙基本技术和原理防火墙是网络安全体系中常见的一种安全设备,用于保护企业和个人网络免受来自互联网的攻击。
它可以监控、过滤和控制通过网络边界的流量,根据预先设定的规则或策略来决定是否允许或拒绝流量通过。
防火墙的基本原理是通过设置访问控制列表(ACL)来控制网络流量的进出。
防火墙通过检查数据包的源、目的地址、端口号和协议来决定是否允许通过。
如果数据包符合规则,那么它将被放行并传递到目标设备,否则它将被丢弃或阻塞。
1.包过滤技术:这是一种最基本的防火墙技术,它根据预设的规则集过滤网络数据包。
规则集可以基于源、目标IP地址、端口和协议来限制流量。
防火墙将检查每个数据包并根据规则集来决定是否允许或拒绝。
2.状态检测技术:该技术基于网络连接的状态来进行过滤。
防火墙将监视网络连接的建立、完成和终止状态,并仅允许与已建立的连接相关的流量通过。
这种方法可以提高网络的安全性,因为它可以阻止外部主机对内部网络的不明连接。
3.应用代理技术:该技术基于应用层对流量进行检测和控制。
防火墙作为一个中间代理,模拟和验证网络连接,确保只有经过验证的流量可以通过。
这种技术可以防止一些特定的攻击,如应用层攻击和协议漏洞。
防火墙还可以通过使用网络地址转换(NAT)来隐藏内部网络的真实IP地址。
NAT将内部网络的私有IP地址转换成公共IP地址,在内部网络和外部网络之间建立了一个隔离层。
防火墙还可以实现更高级的功能,如虚拟专用网络(VPN)和入侵检测系统(IDS)的集成。
VPN可以通过加密和认证技术在公共网络上创建一个安全的隧道,使用户可以安全地访问内部资源。
IDS可以监视网络流量并检测潜在的入侵行为。
总之,防火墙是保护网络安全的重要措施之一、它通过限制、检测和控制网络流量来阻止恶意活动和攻击者的入侵。
防火墙的基本原理是根据预设的规则集来过滤流量,并通过不同的技术和功能来提高网络的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
意在中间层——深析高可用性防火墙的几个联网技术对于中大型企业,如果运营的业务包括账务处理、障碍排除、客户服务、决策支持,甚至像电信运营商一样具有计费及电脑号簿等业务,就需要构建一个基于网络的运营支撑系统,以保障各种业务的正常运营。
通常,这种网络采用典型的三层结构模型:接入层实现外部网络的接入,主要由具有多种接口的高端路由器来实现;核心层实现内部网络的数据交换,主要由高端三层交换机来实现;防火墙层介于接入层和核心层之间,实现对内部网络的安全保护,主要由防火墙来实现。
作为开展业务的基础安全建设,防火墙在其中起着举足轻重的作用。
为了充分发挥防火墙的性能,本文从分析防火墙在三层结构中的多种联网方式入手,阐述如何在各种联网方案中实现防火墙的高可用性,并针对不同的系统需求提出相应的解决方案。
一、对比4类高可用技术要实现网络的高可用性,首先要排除网络中的单点故障点,使网络在任何一台网络设备失效时仍能提供网络服务。
这种方案通常要在接入层配置最少两台的路由器,在核心层配置最少两台的交换机,同样在防火墙层配置最少两台的防火墙。
为了实现以上功能,防火墙必须应用专门的双机容错技术。
一般防火墙都具有该功能,被称为Failover或者“HA”。
这种功能要求防火墙的两端设备必须具有交换功能,因为对于两个互相做Failover的设备,互为备份的链路需要有相同的配置。
例如要求有相同的外部接口网关地址(或者到外部网络的静态路由的下一跳地址)。
如果对端只是一个三层设备(如路由器),则无法在两个接口处配置同样的地址,需要一个二层设备汇接两个防火墙的链路,而这个二层设备的默认网关就是防火墙需要的网关地址。
其实,还有一种非常规的做法:把路由器的接口通过IRB配置成桥接接口,并在一台路由器上实现交换机接口的部分功能。
需要指出的是,这种做法降低了路由器的效率,而且如果接入层是两台路由器,还需要更为复杂的配置。
况且,这只是一种理论上可行的方式,在现实工程中极少采用。
另外,为了实现高可用性,排除网络中的单点故障,还有一种采用两台二层交换机的做法,通过在路由器上启用HSRP,实现虚拟路由器的功能。
这样,即使一台路由器失效,仍能保持接入层的功能,以实现与防火墙的通信。
常用的联网方案根据两台防火墙的工作状态可以分为Active-Standby和Active-Active方案;按照链路数量可以分为单链路和双链路方案;根据与两层网络间的连接方式可以分为跨接和旁路方案。
这3种分类可以相互组合形成防火墙的联网方案。
下面将对这些方案进行分析。
方案一:Active-Active单链路跨接方案Active-Active单链路跨接方案采用防火墙跨接在路由器和交换机之间的联网方式(如图1所示)。
无论何时,都会有两台防火墙同时工作,互为备用防火墙。
图1 Active-Active单链路高可用技术从工作原理上看,两台防火墙通过一条心跳线连接实现状态的同步,主用链路和备用链路的要求配置完全一致,互相进行链路备份,一旦出现主用防火墙链路失效或者防火墙本身失效,立即切换到另一台防火墙上。
此时链路带宽下降为原有的50%,从而实现在一条链路上完成两条链路的工作。
优点:1.两台防火墙的性能同时得到发挥,系统集成较简单,防火墙可以工作在透明模式下。
2.在三层网络中,出现单台失效时网络仍然可以工作。
3.接入层与核心层之间的通信必须经过防火墙,没有直接的链路,保证网络的高安全性。
4.节省网络设备GE端口数量,比交叉连接方案节省8个GE接口,减少工程实施工作量。
缺点:1.当一台防火墙的链路失效时整体性能下降50%,需要对内部服务器静态分组,以保证TCP持续性。
2.需要在三层交换机上启用路由策略,增加系统集成的难度。
3.接入层或者核心层设备失效或者链路失效,都会引起防火墙的切换动作,导致性能下降50%。
方案二:Active-Standby单链路跨接方案本方案与方案一基本相同,只是采取单链路联网方式。
在任何时候,只有一台防火墙在工作,所以防火墙的性能和带宽只有方案一的50%。
如果主用防火墙的链路失效或者防火墙失效,都会切换到备用防火墙上。
优点:1.具有方案一的所有优点(除了双链路以外),而网络逻辑结构更加简化,系统集成难度最小,网络设备配置简单,不必在交换机上使用策略路由,减少工程实施工作量。
2.不必对服务器进行静态分组,所有流量只会经过同一台防火墙。
缺点:1.只使用到一台防火墙的性能,对于接入层路由器、核心层交换机也是只有一台设备来承担三层网络间的数据传送,造成同层网络的设备负载不均衡。
2.接入层或者核心层设备失效或者链路失效,都会引起防火墙的切换动作。
方案三:Active-Active双链路旁路方案本方案是在大型数据中心经常应用的解决方案(如图2所示)。
利用交换机划分VLAN 的功能,相当于将交换模块根据不同的VLAN分成两个交换模块使用,一个VLAN连接防火墙的外部接口和上联路由器的接口,另一个VLAN连接防火墙内部接口。
所有外部流量从路由器接口进入交换机,然后通过二层交换直接进入防火墙外部接口,再经过防火墙从内部接口进入交换机,最后进入核心网络。
图2 Active - active 双链路旁路高可用技术图2中的两台防火墙分别有两条链路,一条主用,一条备用。
当主用电路失效时,备用电路启用接管流量;当整台防火墙失效时,通过Failover功能切换到另一台防火墙,由正常工作的防火墙在一条链路上实现两条链路的流量。
旁路方案还有Active-Standby和Active-Active方式。
Active-Standby方式类似方案一,Active-Active方式类似方案二,区别只在于不必另外配置交换机。
优点:1.具有双链路,两台防火墙能够同时工作,可最大限度地发挥两台防火墙的性能,总体吞吐量是两台防火墙吞吐量之和。
2.具有高可用性,能够静态的均衡两台防火墙的负载,同时实现接入层、核心层的负载均衡双机容错。
3.省去了防火墙与接入层路由器之间的交换机。
缺点:1.占用设备接口数量多,比方案一多占用核心交换机的8个GE接口,核心层端口主要应该用于内部服务器的接入,拓扑结构比较复杂,增加了网络的复杂性。
2.系统集成难度大,必须在路由交换机上启用策略路由,增加交换机的负载。
由于防火墙不能做到动态负载均衡,为了保持TCP连接的持续性,必须保证每条数据流的进出经过同一防火墙,在网络部署时会增加一定的工作量,而且静态均衡不能准确分担网络的负载,在系统升级扩容或者增加服务类型、访问策略时也要增加更多的工作量。
3.接入层和核心层之间有直接链路,存在不经过防火墙直接通信的可能,对于这种不经过防火墙的流量防火墙无法提供安全保障。
方案四:Active-Active双链路方案这种方案是防火墙高可用性联网的典型解决方案(如图3所示)。
两台防火墙同时工作,每台防火墙只有一条链路在工作,同一台防火墙的两条链路互为备份链路。
如果主用链路失效,备用链路就会启用,接管所有流量。
当一台防火墙失效时,另一台防火墙通过Failover功能接管失效防火墙的流量,在一条主用链路上运行两条链路的功能。
当只剩一台防火墙工作时,如果其主用链路失效,备用链路也会接管两条链路的流量。
整个方案提供了极高的可用性。
另外一个特点是,两条心跳线相互连接,一条传送状态信号和控制信号,另一条可以作为数据链路使用,当其中一台防火墙的上行或下行链路同时失效而另一台防火墙仍具有上下行链路时,可以通过数据心跳线使出现失效链路的防火墙仍能继续工作。
图3 Active - active 双链路高可用技术优点:1.具有最高级别的可用性和可靠性,同时发挥了两台防火墙的性能,上下行设备有一台失效的情况下仍然可以保持两台防火墙双链路同时工作。
在三层网络中非防火墙设备只要仍有一台在正常工作,防火墙层仍然可以保持发挥两台防火墙的性能,只有当一台防火墙失效时,性能才会下降50%。
2.接入层与核心层之间的通信必须经过防火墙,没有直接的链路,保证网络的高安全性。
缺点:1.核心层服务需要根据两条链路进行静态分组,以保持TCP持续性。
2.系统集成具有一定的难度,必须在路由交换机上启用策略路由,增加交换机的负载。
二、选型推荐对于方案的选择,必须根据实际情况来决定。
作为用户,应该以系统需求为实现目标,综合考虑不同的方案对于本系统的优势和缺陷。
如果系统的外部流量有限,以现有千兆防火墙的性能指标来看,即使发生防火墙失效故障,一台防火墙也足以满足系统应用需求。
考虑到降低工程实施和系统集成的难度,减少维护扩容时的工作量,减少所需的GE接口数,同时也保持接入层、核心层负载均衡双机容错的设计思想,采用方案一是最为合适的方案。
这也是一般系统适用的方案。
如果外部流量不高,内部服务器与外部网络通信的服务器数量较多(例如提供网站服务的应用,而且系统需要灵活的扩展,那么最适合使用方案二。
因为方案二最大的好处在于不需要启用路由策略,不需要对与外部通信的服务器进行静态的分组,所以系统集成最为简单,在系统发生改变时不必做太多的网络配置修改。
方案三之所以广泛应用于大型数据中心,是因为这些大型数据中心没有提供防火墙的服务。
一般防火墙是租用主机的用户自己购买和维护的设备,但随着业务需求的变化,许多用户需要增设防火墙,旁路的方案可以在线实施,不会对服务产生很大的影响。
对于新建系统,我们不建议使用这种方案,尽管它能节省防火墙与接入层之间的二层交换机,但其网络结构比较复杂,而且占用核心层的端口资源,层次结构不够清晰,而且具有不经过防火墙就直接与外部网络通信的链路,不符合运营支撑系统的高安全性要求。
如果外部流量较多,同时考虑到设备的利用率和系统对网络高可用性的要求,也保持接入层、核心层负载均衡双机容错的设计思想,方案四是大型网络(比如运营支撑系统)最为合适的方案。
对于新建系统,该方案同时具有很强的灵活性,可以比较容易的实现向方案一、方案二、方案三的转换。
在系统集成阶段,仍可以针对更为清晰的系统需求作方案修改,甚至可以在系统上线后根据实际情况作调整。
三、新应用新进展除了前面我们提到的几种方案之外,随着应用的进步,技术的发展,防火墙联网方案也在不断创新与变革。
目前,新推出一种可以真正做到对防火墙的动态负载均衡和高可用性的双机容错的方案,它通过在接入层和核心层同时增加负载均衡器来实现。
这种联网方式称为“三明治”结构,可以最大限度扩展防火墙的性能,为内部用户和外部用户提供高可用性,负载均衡器可以智能地负载平衡输入和输出流量,然后根据防火墙以最高效方式传输通信的能力来测试其可用性,从而确保网络服务随时可用的情况下提高系统的安全性。
同时不必依靠防火墙本身实现双机容错,防火墙的扩容或者是配置调整也可以在线实施,不会中断服务,具有极强的可扩展性和灵活性。