双防火墙的网络拓扑

1、双防火墙的网络拓扑高可用性防火墙组网方案比较要实现网络的高可用性，首先就要排除网络中的单点故障点，使网络在任 何一台网络设备失效时仍能提供网络服务。因此这种方案通常要在接入层配置 最少两台的路由器，在核心层配置最少两台的交换机，同样在防火墙层配置最 少两台的防火墙。为了实现以上的功能要求，防火墙必须应用到专门的双机容错技术，一般 防火墙都有该功能，被称为Failover或者“HZ”这种功能要求防火墙的两端设备 必须具有交换功能，因为对于两个互相做Failover的设备，互为备份的链路需要有相同的配置。例如要求有相同的外部接口网关地址（或者到外部网络的静态 路由的下一跳地址），如果对端只是一个三

2、层设备（如路由器），是无法在两 个接口配置同样的地址，需要一个二层设备汇接两个防火墙的链路，而这个二 层设备的默认网关就是防火墙需要的网关地址。虽然也有一种非常规的做法， 可以把路由器的接口通过IRB配置成桥接接口，可以在一台路由器上实现交换 机接口的部分功能，不过这种做法降低了路由器的效率，而且如果接入层是两 台路由器就需要更为复杂的配置，况且这只是一种理论上可行的方式在现实工 程中极少采用。另外，为了实现高可用性，排除网络中的单点故障，所以一般 采用两台二层交换机，同时通过在路由器上启用，实现虚拟路由器的功能，即 使一台路由器失效仍能保持接入层的功能实现与防火墙的通信。常用的组网方案根据两

3、台防火墙的工作状态可以分为Active-standby、Active- Active方案；按照链路数量可以分为单链路、双链路方案；根据与两层 网络间的连接方式可以分为跨接、旁路方案；。这三种分类可以相互组合形成 防火墙的组网方案。下面将对这些方案进行分析。2.1 方案一：Active- Active 单链路跨接方案本方案采用防火墙跨接在路由器和交换机之间的组网方式，任何时候有两 台防火墙在工作，两台防火墙互为备用防火墙。两台防火墙通过一条心跳线连 接实现状态的同步，主用链路和备用链路的要求配置完全一致，互相进行链路备份，一旦出现主用防火墙链路失效或者防火墙本身失效，立即切换到另一台 防火墙，此

4、时链路带宽下降为原有的 50，一条链路上完成两条链路的工作。优点：两台防火墙的性能同时得到发挥，系统集成较简单，防火墙可以工作在透 明模式。在三层网络中，出现单台失效时网络仍然可以工作。接入层与核心层 之间的通信必须经过防火墙，没有直接的链路，保证网络的高安全性。节省网 络设备GE端口数量，比交叉连接方案节省 8个GE接口，减少工程实施工作 量。缺点：当一台防火墙的链路失效时整体性能下降 50，需求静态对内部服务器分 组，以保证TCP寺续性。需要在三层交换机上启用路由策略，增加系统集成的 难度。接入层或者核心层设备失效或者链路失效，都会导致防火墙的切换，导 致性能下降 50。 2.2、方案二：

5、Active Sta ndby单链路跨接方案本方案与方案一基本相同只是采取单链路组网，任何时候只有一台防火墙 在工作，所以由防火墙的性能和带宽只有方案一的50。如果主用防火墙的链路失效或者防火墙失效，都会切换到备用防火墙。优点：具有方案一除了双链路以外的所有优点，而网络逻辑结构更加简化，系统 集成难度最小，网络设备配置简单不必在交换机上使用策略路由，减少工程实 施工作量。不必对服务器进行静态分组，所有流量只会经过同一台防火墙。缺点：只使用到一台防火墙的性能，对于接入层路由器、核心层交换机也是只有 一台设备来承担三层网络间的数据传送，造成同层网络的设备负载不均衡。接 入层或者核心层设备失效或者链

6、路失效，都会导致防火墙的切换。2.3 方案三：Active Active 双链路旁路方案本方案是在大型数据中心经常使用的案例，利用交换机划分 Vlan 的功能， 相当于将交换模块根据不同的 Vlan 分成两个交换模块使用，一个 Vlan 连接防火 墙的外部接口和上联路由器的接口，另一个 Vlan 连接防火墙内部接口。所有外 部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙外部接口， 经过防火墙后从内部接口进入交换机，最后进入核心网络。两台防火墙分别有 两条链路，一条主用一条备用，当主用电路失效时备用电路启用接管流量，当 整台防火墙失效的时候通过 Failover 功能切换到另一台防火

7、墙，由正常工作的防 火墙在一条链路上实现两条链路的流量。旁路方案还有Active Sta ndby方式，类似方案一，Active Active类似方案二，区别只在于不必另外配置交换机。优点：具有双链路，两台防火墙同时工作，最大限度的发挥两台防火墙的性能， 总体吞吐量是两台防火墙吞吐量之和。具有高可用性，能够静态的均衡两台防 火墙的负载，同时实现接入层、核心层的负载均衡双机容错。省去了防火墙与 接入层路由器之间的交换机。缺点：占用设备接口数量多，比方案一多占用核心交换机的8个GE接口，核心层端口主要应该用于内部服务器的接入，拓扑比较复杂增加了网络的负杂性。系 统集成难度大，必须在路由交换机上启用

8、策略路由，增加交换机的负载。由于 防火墙不能做到动态负载均衡，为了保持 TCP连接的持续性必须保证每条数据 流的进出经过同一防火墙，在网络部署时会增加一定的工作量，而且静态均衡 不能准确分担网络的负载，在系统升级扩容或者增加服务类型、访问策略时也 需要更多的工作。接入层和核心层之间有直接链路，存在不经过防火墙直接通 信的可能，对于这种不经过防火墙的流量防火墙无法提供安全保障。2.4、方案四：Active Active 双链路方案这种方案是防火墙高可用性组网的典型案例，两台防火墙同时工作，每台 防火墙只有一条链路在工作，同一台防火墙的两条互为备份链路，如果主用链 路失效备用链路就会启用接管所有流

9、量；当一台防火墙失效时，另一台防火墙 通过 Failover 功能接管失效防火墙的流量，在一条主用链路上运行两条链路的功 能；当只剩一台防火墙工作时，如果其主用链路失效备用链路也会接管两条链 路的流量。整个方案提供了极高的可用性。另外一个特点是，具有两条心跳线 连接，一条传送状态信号控制信号，另一条可以作为数据链路使用，当其中一 台防火墙的上行或下行链路同时失效而另一台防火墙仍具有上下行链路时，可 以通过数据心跳线使出现失效链路的防火墙仍能继续工作。优点：具有最高级别的可用性和可靠性，同时发挥了两台防火墙的性能，上下行 设备有一台失效的情况下仍然可以保持两台防火墙双链路同时工作。在三层网 络中

10、非防火墙设备只要仍有一台在正常工作，防火墙层仍然可以保持发挥两台 防火墙的性能，只有到一台防火墙失效时，性能才会下降 50。接入层与核心 层之间的通信必须经过防火墙，没有直接的链路，保证网络的高安全性。缺点：核心层服务需要根据两条链路进行静态分组，以保持 TCP寺续性。系统集 具有一定的难度，必须在路由交换机上启用策略路由，增加交换机的负载。3 方案选择对于方案的选择，必须根据实际情况来决定，以系统需求为实现目标综合 考虑不同的方案对于本系统的优势和缺陷。如果系统的外部流量有限，以现有千兆防火墙的性能指标来看，即使发生 防火墙失效一台防火墙就足以满足系统的需求，考虑到减低工程实施和系统集 成的

11、难度，减少维护扩容时的工作量，减少所需的 GE接口数，同时也保持接入 层、核心层负载均衡双机容错的设计思想，采用方案一是最为合适的方案。这 也是一般系统适用的方案。方案三之所以使用很多的IDC是因为原来这些IDC可能没有提供防火墙的服 务，一般防火墙是租用主机的用户自己购买和维护的设备，但随着业务需求的 变化需要增加防火墙，旁路的方案可以在线实施不会对服务产生很大的影响。 对于新建系统不建议使用该方案，尽管它能节省防火墙与接入层之间的二层交 换机，但是其网络结构比较复杂，而且占用的核心层的端口资源，层次结构不 够清晰，而且具有不经过防火墙就直接与外部网络通信的链路，不符合运营支 撑系统的高安全

12、性要求。如果外部流量较多，同时考虑到设备的利用率和系统对网络高可用性的要 求，也保持接入层、核心层负载均衡双机容错的设计思想，方案四是大型运营 支撑系统最为合适的方案。对于新建系统，该方案同时具有很强的灵活性，可 以比较容易的实现向方案一、方案二、方案三的转换，在系统集成阶段仍可以 针对更为清晰的系统需求作方案修改，甚至可以在系统上线后根据实际情况作 调整。4 组网方案的新发展除了提到的几种方案之外，防火墙的组网方案也有一些新的发展。这种方 案可以真正做到对防火墙的动态负载均衡和高可用性的双机容错。就是通过在 接入层和核心层同时增加负载均衡器。组网方式如下图：这种组网方式称为 “三明治 ”结构，可以最大限度扩展防火墙的性能，为内 部用户和外部用户提供高可用性，负载均衡器可以智能地负载平衡输入和输出 流量然后根据防火墙以最高效方式传输通信的能力来测试其可用性，从而 确保网络服务随时可