防火墙负载均衡原理by dw

1、防火墙负载均衡原理F5 Bigip应用交换机实现防火墙负载均衡标准结构及阐述Prepared By F5 Networks Inc,David Wang2004-11-30第一篇、 防火墙负载均衡原理2第二篇、F5 Bigip应用交换机实现防火墙负载均衡标准结构及阐述10第一篇、 防火墙负载均衡原理一、为什么需要对防火墙进行负载均衡？1、 消除性能瓶井：单台防火墙性能不够；随着网络流量的增加，单台防火墙可能成为网络的瓶井。通过实现防火墙的负载均衡，横加增加防火墙的数量，又保护了原有投资。2、 提高设备利用率：处于Active/Standy双机模式的防火墙可以转换成Active/Active方式

2、。3、 提高系统的扩展性：采用负载均衡器对防火墙进行负载均衡，系统的扩展性大大增加，可以随着网络流量的增加，横加增加防火墙的数量，而且新增加的防火墙并不局限在同一型号。二、防火墙负载均衡的典型网络架构：对一进一出的二路防火墙，一般采用如下图的防火墙三明治结构（在实际应用环境中，为了防止网络中出现单点故障，负载均衡器往往会采用双机结构，具体的网络拓扑结构设计请参考F5 Bigip应用交换机实现防火墙负载均衡标准结构及阐述)：如果是采用Untrust, Trust, DMZ的三路防火墙，则防火墙负载均衡的典型拓扑结构如下：Router AInternetRouter BDMZ对于三路防火墙的负载均

3、衡，在一个无单点故障的网络设计中要采用六台负载均衡器。另外在三路防火墙负载均衡的设计中，针对防火墙的健康检查要特别当心、精心设计。三、为什么需要防火墙负载均衡需要采用三明治的结构？目前的绝大多数防火墙都是基于连接状态检测的防火墙，也即是说对于构成完整用户会话的双向数据流进行监控，以确定数据流的合法性。当采用多台防火墙对网络流量进行负载均衡时，如果数据流处理不当，可能出现的情况是对构成同一个用户会话的双向数据包，在多台防火墙上进行处理，而每一个防火墙上都看到到完整的用户会话信息。而防火墙如果看不到完整的用户会话信息，就会将该数据包当作非法访问而抛弃掉。只有采用三明治结构，通过在防火墙的两端都设置

4、四层交换机，四层交换机可以在作流量分发的同时，维持用户会话的完整性，使对某一用户的同一会话产生的双向数据包始终都由同一台防火墙来处理，而使防火墙得于在负载均衡环境下还可以正常工作。四、F5Bigip应用交换机对防火墙作负载均衡时所用到的主要功能：利用F5Bigip应用交换机对防火墙作负载均衡时，与用F5Bigip应用交换机对服务器作负载均衡时类似，都是需要将防火墙放在一个Pool里面，然后根据Pool的负载均衡算法在防火墙之间进行流量分发。但为了支持防火墙负载均衡器上，F5Bigip应用交换机有以下几个功能是区别于服务器负载均衡的：u Last Hop功能Bigip上的Last Hop功能，又

5、叫基于连接的路由(Per Conneciton Routing)，是用于当回应的路据包需要经由相邻的传输最初发起访问数据包的网络设备时。如下图：/24/24/24InternetBIG-IPRouterFW #2当一个客户发起到内网服务器访问，假设他是经由防火墙1进来（如褐色线条所示），当服务器接受到这次访问而产生回应时，回应的数据包首先到达内网的负载均衡器，这时负载均衡器即可以将加应的数据包经回防火墙1发出去，也可以经由防火墙2发出去。根据基于状态防火墙的工作特点，对于同一连接的双向数据须经由同一防火墙处理。而Bigig的Last Hop

6、功能是可以实现这一点，当内网的负载均衡器首次接收到用户的访问请求时，它就会在它的连接表中创建一条Last Hop记录，记录本次连接发起请求是由哪个设备传送过来的(俗称最后一跳记录，实际上就是该设备的MAC地址，本例中就是防火墙1内网卡的MAC地址)。当它收到服务器回应的数据包时，它可以识别出这个回应数据包所属的连接，并查找出这一连接所对应的Last Hop记录，并将服务器回应包发给那台设备防火墙1。如果用户再次发起一个新的连接，假设这一次，外网的负载均衡器将它负载均衡到了防火墙2上（如蓝色线条所示），这时能过内网的负载均衡器的Last Hop功能，由服务器对本次连接请求所回应的数据包将都由防火

7、墙2出去。注：如果对负载均衡器的四层连接表有疑问，请对考服务器负载均衡工作原理。u Transparent健康检查功能Bigip Transparent健康检查功能是指Bigip对某一非相邻节点(非相邻节点是指与Bgip的SelfIP不在同一网段的某一节点)进行健康检查的数据包，需要经由某一指定相邻节点进行发送。Transparent健康检查方法可以实现对某一网络通路或路径(Path)的连通性检查。在对防火墙负载均衡时，负载均衡需要不断地检查防火墙的健康，当某一防火墙发生故障时， 负载均衡器不应该再将网络流量分发到已故障的防火墙。而这里所指的防火墙的健康状态，不仅仅是指与防火墙与负载均衡相邻的

8、链路故障，而是指内外网负载均衡器之间某一防火墙所使用的完整网络通路的健康状态。例如通过Transparent健康检查功能，在外网负载均衡器上可以设定，需要经由防火墙1来检查内网负载均衡器上的某一VIP，如果Transparent健康检查的结果是这一个VIP是可以经由防火墙1访问到，则证明防火墙1所使用的的内外网负载均衡器之间的通路是可用的，外网负载均衡器可以将网络流量分发给防火墙1。u Transparent Virtual ServersTransparent Virtual Server是指不对目的地址作地址转换的虚拟服务器VIP。注：如果对Bigip的虚拟服务器（VIP）地址转换工作原理

9、有疑问，请参考服务器负载均衡工作原理或Bigip用户手册。u Network Virtual ServerNetwork Virtual Server是相对于Server Virtual Server而言，Network Virtual Server可以对一组IP地址起到VIP的作用。例如Network Virtual Server :*（假设子网掩码为）, 可以对从到54的所有IP地址起作用。与Server Virtual Server一样，Network Virtual Server所对应的资

10、源可以是Server Pool、Forwarding或Rules。 u WildCast Virtual ServerWildCast Virtual Server是指:0这个对所有地址都有效的虚拟服务器。在F5的Bigip实现的防火墙负载均衡中，在Bigip配置Network Virtual Server（一般Network Virtual Server都是Transparent Virtual Server），起到了路由器上的静态路由功能。而区别于普通的静态路由的是，Bigip上的Network Virtual Server所对应的Server Pool使用静态路由的下一跳（

11、Next Hop）可以是多个，而不是只能有一个。而且Bigip上的EAV健康检查可以保证只有正常的下一跳才会被选中来传输数据。注：如果对Bigip的Network Virutal Server、WildCast Virtual Server有疑问请查阅Bigip用户用册。五、F5Bigip应用交换机对防火墙作负载均衡时的配置过程以下图为例，来说明用F5Bigip应用交换机对防火墙作负载均衡时的配置过程。BIG-IP #1BIG-IP #/16/24/16/

12、245454 VIP 005454u 外网负载均衡器的设置：Network Virtual Server:/24:0 fw_ext_pool Disable IP Address Translation/16:0 fw_ext_pool Disable IP Addre

13、ss Translation/0:internal vlan/0 Default_GW_pool 54Monitor:Node TCP Transparent Destination IP/Port: 00:80Node TCP Transparent Destination IP/Port: 00:80SelfIP Automap enableSNAT internal Vlan Automapu 内网负载均衡的设置/0:internal vl

14、an/0 FW_int_pool Disable IP Address TranslationVIP: 00:80 server_pool :80 :80Monitor:Node ICMP Transparent 54Node ICMP Transparent 54注：以上配置对Monitor的设置需要通过试验进一步确认。六、防火墙作负载均衡是，防火墙之间是否需要启用会话状态同步机制？在防火墙负载均衡来说

15、，防火墙之间是否需要启用会话状态同步机制需要视网络上所支持的应用类型及对应用可靠性而定。对长连接的应用(一般是指在连接中断后不会迅速自动重建连接的那种)，如果对应用的可靠性要求特别高，要求某一防火墙突然发生故障时已建连接不能有任何中断，这种情况就需要在作负载均衡的防火墙之间启用会话状态同步机制。如果要在防火墙启用状态同步机制，一般要求作负载均衡的防火墙是同一型号的负载均衡器。注：对上述应用，如果要求负载均衡发生切换时，也不能出现连接中断，还需要在双机HA模式的负载均衡器之间启用Connection Mirroring功能。如果对Bigip Connection Mirroring功能有疑问，请

16、参考Bigip用户手册。而对于短连接的应用，如常见的http运行，由于短连接应用一般都支持重建连接，就不一定需要在防火墙上启用会话状态同步机制。因为在防火墙上启用会话状态同步机制，会对防火墙的性能带来比较大的影响。而且如果防火墙的数量多于两台以后，多台防火墙之间的会话同步会带来更多的问题，同时对系统的扩展性也会带来影响。七、当第一层的负载均衡器即作链路负载均衡又作防火墙负载均衡时，有防火墙有什么特殊设置要求？当第一层的负载均衡器即作链路负载均衡又作防火墙负载均衡时，防火墙需要对内网的服务器启用网络地址转换（NAT）。对于第一层即作链路负载均衡又作防火墙负载均衡的负载均衡器，其上的VIP所对应的

17、Server Pool成员必须采用防火墙上的NAT地址，而不能直接采用第二层负载均衡上的VIP地址或内网服务器的真实地址。注：对于F5Link Controller实现链路负载均衡，如有疑问，请查阅F5Link Controller链路控制器用户手册。八、通过负载均衡器对防火墙作负载均衡与防火墙集群（Cluster）方式的由防火墙自己作负载均衡有什么区别？目前有一些防火墙也开始支持防火墙之间的负载均衡功能。防火墙自己作负载均衡时，常用的方法有：u 基于IPMulticast方式：这种方式下，构成集群的所有防火墙都会接受到全部的网络数据，防火墙之间通过协商各自对一部份网络流理进行处理。u 基于主

18、从的方法：在集群中有一台防火墙负责起主导，起到负载均衡器的作用，由它先接受所有的网络流量，然后在其它从的防火墙之间分发。在实际环境中，考虑部署防火墙负载均衡主要就是解决单台防火墙处理能力不够的问题。上述两种方法，都没有真正提升防火墙群集的处理能力，因为总是有一台防火墙要承受全部的网络流量，也即是说防火墙群集的处理能力还是受限于单台防火墙的处理能力。这也是为什么很少在实际环境中见到防火墙自己作负载均衡运行方式的原因，绝大多数的防火墙集群还是运行于主备方式。而通过独立的负载均衡器对防火墙作负载均衡，是真正提高了防火墙群集的处理能力。九、F5产品实现防火墙负载均衡的成功案例北京国税、北京地税、河南地

19、税、江苏地税、CNNIC。第二篇、 F5 Bigip应用交换机实现防火墙负载均衡标准结构及阐述注：在以下的防火墙负载均衡网络拓扑结构设计中，负载均衡器都是采用双机HA配置，以减少单点故障。如果对F5Bigip的双机HA配置有疑问，请先查阅F5Bigip用户手册。 当采用F5 Bigip应用交换机实现防火墙负载均衡时，网络拓扑结构的设计受防火墙特点的限制可以作出不同的选择：一、当防火墙支持多个网络接口放在一起设置同一个IP地址时（例如Netscreen防火墙，可以将两个网络接口设置成主从接口，共用一个IP地址。当主接口故障时，从接口可以接管主接口的工作），可以采用如下的网络拓扑结构：防火墙防火墙核心交换机核心交换机上述拓扑结构的特点是负载均衡器与防火墙之间采用了冗余链接，当通路中只有一条链路故障时，通过链路切换即可恢复系统的运行，而不会引起负载均衡器或防火墙的切换。采用上述拓扑结构时，要注意的一点是如果防火墙是采用Netscreen那种主从接口的方式时，处于双机的负载均衡器之间必须在防火墙一则的Vlan之间有一根线相连，以保证防火防的主从接口发成切换时，防火墙与Active负载均衡器之间的链路通路。如果防火墙不是采用Net