深析高可用性防火墙的几个联网技术.pdf

意在中间层 —— 深析高可用性防火墙的几个联网技术 对于中大型企业，如果运营的业务包括账务处理、障碍排除、客户服务、决策支持，

甚至像电信运营商一样具有计费及电脑号簿等业务，就需要构建一个基于网络的运营支撑系统，

以保障各种业务的正常运营。 通常，这种网络采用典型的三层结构模型：接入层实现外部网络的接入，主要由具有

多种接口的高端路由器来实现；核心层实现内部网络的数据交换，主要由高端三层交换机来实

现; 防火墙层介于接入层和核心层之间，实现对内部网络的安全保护，主要由防火墙来实

现。作为开展业务的基础安全建设，防火墙在其中起着举足轻重的作用。 为了充分发挥防火墙的

性能，本文从分析防火墙在三层结构中的多种联网方式入手， 阐述如何在各种联网方案中实现防

火墙的高可用性，并针对不同的系统需求提出相应的解决方案。 一、对比 4 类高可用技术 要实现网络的高可用性，首先要排除网络中的单点故障点，使网络在任何一台网络设

备失效时仍能提供网络服务。 这种方案通常要在接入层配置最少两台的路由器， 在核心层配置最

少两台的交换机，同样在防火墙层配置最少两台的防火墙。 为了实现以上功能， 防火墙必须应用专门的双机容错技术。 一般防火墙都具有该功能，

被称为 Failover 或者 “HA”。这种功能要求防火墙的两端设备必须具有交换功能， 因为对于两个

互相做 Failover 的设备，互为备份的链路需要有相同的配置。例如要求有相同的外部接口网关

地址（或者到外部网络的静态路由的下一跳地址）。如果对端只是一个三层设备（如路由器），

则无法在两个接口处配置同样的地址， 需要一个二层设备汇接两个防火墙的链路， 而这个二层设

备的默认网关就是防火墙需要的网关地址。 其实，还有一种非常规的做法：把路由器的接口通过 IRB 配置成桥接接口，并在一台