深析高可用性防火墙的几个联网技术

1、意在中间层深析高可用性防火墙的几个联网技术 对于中大型企业，如果运营的业务包括账务处理、障碍排除、客户服务、决策支持，甚至像电信运营商一样具有计费及电脑号簿等业务，就需要构建一个基于网络的运营支撑系统，以保障各种业务的正常运营。 通常，这种网络采用典型的三层结构模型：接入层实现外部网络的接入，主要由具有多种接口的高端路由器来实现；核心层实现内部网络的数据交换，主要由高端三层交换机来实现; 防火墙层介于接入层和核心层之间，实现对内部网络的安全保护，主要由防火墙来实现。作为开展业务的基础安全建设，防火墙在其中起着举足轻重的作用。为了充分发挥防火墙的性能，本文从分析防火墙在三层结构中的多种联网方式入

2、手，阐述如何在各种联网方案中实现防火墙的高可用性，并针对不同的系统需求提出相应的解决方案。 一、对比4类高可用技术 要实现网络的高可用性，首先要排除网络中的单点故障点，使网络在任何一台网络设备失效时仍能提供网络服务。这种方案通常要在接入层配置最少两台的路由器，在核心层配置最少两台的交换机，同样在防火墙层配置最少两台的防火墙。 为了实现以上功能，防火墙必须应用专门的双机容错技术。一般防火墙都具有该功能，被称为Failover或者“HA”。这种功能要求防火墙的两端设备必须具有交换功能，因为对于两个互相做Failover的设备，互为备份的链路需要有相同的配置。例如要求有相同的外部接口网关地址（或者到

3、外部网络的静态路由的下一跳地址）。如果对端只是一个三层设备（如路由器），则无法在两个接口处配置同样的地址，需要一个二层设备汇接两个防火墙的链路，而这个二层设备的默认网关就是防火墙需要的网关地址。 其实，还有一种非常规的做法：把路由器的接口通过IRB配置成桥接接口，并在一台路由器上实现交换机接口的部分功能。需要指出的是，这种做法降低了路由器的效率，而且如果接入层是两台路由器，还需要更为复杂的配置。况且，这只是一种理论上可行的方式，在现实工程中极少采用。 另外，为了实现高可用性，排除网络中的单点故障，还有一种采用两台二层交换机的做法，通过在路由器上启用HSRP，实现虚拟路由器的功能。这样，即使一台

4、路由器失效，仍能保持接入层的功能，以实现与防火墙的通信。 常用的联网方案根据两台防火墙的工作状态可以分为Active-Standby和ActiveActive方案; 按照链路数量可以分为单链路和双链路方案; 根据与两层网络间的连接方式可以分为跨接和旁路方案。这3种分类可以相互组合形成防火墙的联网方案。下面将对这些方案进行分析。 方案一：ActiveActive单链路跨接方案 ActiveActive单链路跨接方案采用防火墙跨接在路由器和交换机之间的联网方式(如图1所示。无论何时，都会有两台防火墙同时工作，互为备用防火墙。 图1 Active-Active单链路高可用技术 从工作原理上看，两台防

5、火墙通过一条心跳线连接实现状态的同步，主用链路和备用链路的要求配置完全一致，互相进行链路备份，一旦出现主用防火墙链路失效或者防火墙本身失效，立即切换到另一台防火墙上。此时链路带宽下降为原有的50，从而实现在一条链路上完成两条链路的工作。 优点： 1两台防火墙的性能同时得到发挥，系统集成较简单，防火墙可以工作在透明模式下。 2在三层网络中，出现单台失效时网络仍然可以工作。 3接入层与核心层之间的通信必须经过防火墙，没有直接的链路，保证网络的高安全性。 4节省网络设备GE端口数量，比交叉连接方案节省8个GE接口，减少工程实施工作量。 缺点： 1当一台防火墙的链路失效时整体性能下降50，需要对内部服

6、务器静态分组，以保证TCP持续性。 2需要在三层交换机上启用路由策略，增加系统集成的难度。 3接入层或者核心层设备失效或者链路失效，都会引起防火墙的切换动作，导致性能下降50。 方案二：ActiveStandby单链路跨接方案 本方案与方案一基本相同，只是采取单链路联网方式。在任何时候，只有一台防火墙在工作，所以防火墙的性能和带宽只有方案一的50。如果主用防火墙的链路失效或者防火墙失效，都会切换到备用防火墙上。 优点： 1具有方案一的所有优点(除了双链路以外，而网络逻辑结构更加简化，系统集成难度最小，网络设备配置简单，不必在交换机上使用策略路由，减少工程实施工作量。 2不必对服务器进行静态分组

7、，所有流量只会经过同一台防火墙。 缺点： 1只使用到一台防火墙的性能，对于接入层路由器、核心层交换机也是只有一台设备来承担三层网络间的数据传送，造成同层网络的设备负载不均衡。 2接入层或者核心层设备失效或者链路失效，都会引起防火墙的切换动作。 方案三：ActiveActive双链路旁路方案 本方案是在大型数据中心经常应用的解决方案(如图2所示。利用交换机划分VLAN的功能，相当于将交换模块根据不同的VLAN分成两个交换模块使用，一个VLAN连接防火墙的外部接口和上联路由器的接口，另一个VLAN连接防火墙内部接口。所有外部流量从路由器接口进入交换机，然后通过二层交换直接进入防火墙外部接口，再经过

8、防火墙从内部接口进入交换机，最后进入核心网络。 图2 Active - active 双链路旁路高可用技术 图2中的两台防火墙分别有两条链路，一条主用，一条备用。当主用电路失效时，备用电路启用接管流量；当整台防火墙失效时，通过Failover功能切换到另一台防火墙，由正常工作的防火墙在一条链路上实现两条链路的流量。 旁路方案还有ActiveStandby和ActiveActive方式。ActiveStandby方式类似方案一，ActiveActive方式类似方案二，区别只在于不必另外配置交换机。 优点： 1具有双链路，两台防火墙能够同时工作，可最大限度地发挥两台防火墙的性能，总体吞吐量是两台防

9、火墙吞吐量之和。 2具有高可用性，能够静态的均衡两台防火墙的负载，同时实现接入层、核心层的负载均衡双机容错。 3省去了防火墙与接入层路由器之间的交换机。 缺点： 1占用设备接口数量多，比方案一多占用核心交换机的8个GE接口，核心层端口主要应该用于内部服务器的接入，拓扑结构比较复杂，增加了网络的复杂性。 2系统集成难度大，必须在路由交换机上启用策略路由，增加交换机的负载。由于防火墙不能做到动态负载均衡，为了保持TCP连接的持续性，必须保证每条数据流的进出经过同一防火墙，在网络部署时会增加一定的工作量，而且静态均衡不能准确分担网络的负载，在系统升级扩容或者增加服务类型、访问策略时也要增加更多的工作

10、量。 3接入层和核心层之间有直接链路，存在不经过防火墙直接通信的可能，对于这种不经过防火墙的流量防火墙无法提供安全保障。 方案四：ActiveActive双链路方案 这种方案是防火墙高可用性联网的典型解决方案(如图3所示。两台防火墙同时工作，每台防火墙只有一条链路在工作，同一台防火墙的两条链路互为备份链路。如果主用链路失效，备用链路就会启用，接管所有流量。当一台防火墙失效时，另一台防火墙通过Failover功能接管失效防火墙的流量，在一条主用链路上运行两条链路的功能。当只剩一台防火墙工作时，如果其主用链路失效，备用链路也会接管两条链路的流量。整个方案提供了极高的可用性。另外一个特点是，两条心跳

11、线相互连接，一条传送状态信号和控制信号，另一条可以作为数据链路使用，当其中一台防火墙的上行或下行链路同时失效而另一台防火墙仍具有上下行链路时，可以通过数据心跳线使出现失效链路的防火墙仍能继续工作。 图3 Active - active 双链路高可用技术 优点： 1具有最高级别的可用性和可靠性，同时发挥了两台防火墙的性能，上下行设备有一台失效的情况下仍然可以保持两台防火墙双链路同时工作。在三层网络中非防火墙设备只要仍有一台在正常工作，防火墙层仍然可以保持发挥两台防火墙的性能，只有当一台防火墙失效时，性能才会下降50。 2接入层与核心层之间的通信必须经过防火墙，没有直接的链路，保证网络的高安全性。

12、 缺点： 1核心层服务需要根据两条链路进行静态分组，以保持TCP持续性。 2系统集成具有一定的难度，必须在路由交换机上启用策略路由，增加交换机的负载。 二、选型推荐 对于方案的选择，必须根据实际情况来决定。作为用户，应该以系统需求为实现目标，综合考虑不同的方案对于本系统的优势和缺陷。 如果系统的外部流量有限，以现有千兆防火墙的性能指标来看，即使发生防火墙失效故障，一台防火墙也足以满足系统应用需求。考虑到降低工程实施和系统集成的难度，减少维护扩容时的工作量，减少所需的GE接口数，同时也保持接入层、核心层负载均衡双机容错的设计思想，采用方案一是最为合适的方案。这也是一般系统适用的方案。 如果外部流

13、量不高，内部服务器与外部网络通信的服务器数量较多(例如提供网站服务的应用，而且系统需要灵活的扩展，那么最适合使用方案二。因为方案二最大的好处在于不需要启用路由策略，不需要对与外部通信的服务器进行静态的分组，所以系统集成最为简单，在系统发生改变时不必做太多的网络配置修改。 方案三之所以广泛应用于大型数据中心，是因为这些大型数据中心没有提供防火墙的服务。一般防火墙是租用主机的用户自己购买和维护的设备，但随着业务需求的变化，许多用户需要增设防火墙，旁路的方案可以在线实施，不会对服务产生很大的影响。对于新建系统，我们不建议使用这种方案，尽管它能节省防火墙与接入层之间的二层交换机，但其网络结构比较复杂，

14、而且占用核心层的端口资源，层次结构不够清晰，而且具有不经过防火墙就直接与外部网络通信的链路，不符合运营支撑系统的高安全性要求。 如果外部流量较多，同时考虑到设备的利用率和系统对网络高可用性的要求，也保持接入层、核心层负载均衡双机容错的设计思想，方案四是大型网络（比如运营支撑系统）最为合适的方案。对于新建系统，该方案同时具有很强的灵活性，可以比较容易的实现向方案一、方案二、方案三的转换。在系统集成阶段，仍可以针对更为清晰的系统需求作方案修改，甚至可以在系统上线后根据实际情况作调整。 三、新应用新进展 除了前面我们提到的几种方案之外，随着应用的进步，技术的发展，防火墙联网方案也在不断创新与变革。目前，新推出一种可以真正做到对防火墙的动态负载均衡和高可用性的双机容错的方案，它通过在接入层和核心层同时增加负载均衡器来实现。 这种联网方式称为“三明治”结构，可以最大限度扩展防火墙的性能，为内部用户和外部用户提供高可用性，负载均衡器可以智能地负载平衡输入和输出流量，