双防火墙的 网络拓扑

双防火墙的网络拓扑

高可用性防火墙组网方案比较

要实现网络的高可用性，首先就要排除网络中的单点故障点，使网络在任何一台网络设备失效时仍能提供网络服务。因此这种方案通常要在接入层配置最少两台的路由器，在核心层配置最少两台的交换机，同样在防火墙层配置最少两台的防火墙。

为了实现以上的功能要求，防火墙必须应用到专门的双机容错技术，一般防火墙都有该功能，被称为Failover或者“HA”。这种功能要求防火墙的两端设备必须具有交换功能，因为对于两个互相做Failover的设备，互为备份的链路需要有相同的配置。例如要求有相同的外部接口网关地址（或者到外部网络的静态路由的下一跳地址），如果对端只是一个三层设备（如路由器），是无法在两个接口配置同样的地址，需要一个二层设备汇接两个防火墙的链路，而这个二层设备的默认网关就是防火墙需要的网关地址。虽然也有一种非常规的做法，可以把路由器的接口通过IRB配置成桥接接口，可以在一台路由器上实现交换机接口的部分功能，不过这种做法降低了路由器的效率，而且如果接入层是两台路由器就需要更为复杂的配置，况且这只是一种理论上可行的方式在现实工程中极少采用。另外，为了实现高可用性，排除网络中的单点故障，所以一般采用两台二层交换机，同时通过在路由器上启用，实现虚拟路由器的功能，即使一台路由器失效仍能保持接入层的功能实现与防火墙的通信。

常用的组网方案根据两台防火墙的工作状态可以分为Active-standby、Active－Active方案；按照链路数量可以分为单链路、双链路方案；根据与两层网络间的连接方式可以分为跨接、旁路方案；。这三种分类可以相互组合形成防火墙的组网方案。下面将对这些方案进行分析。

2.1 方案一：Active－Active单链路跨接方案

本方案采用防火墙跨接在路由器和交换机之间的组网方式，任何时候有两台防火墙在工作，两台防火墙互为备用防火墙。两台防火墙通过一条心跳线连接实现状态的同步，主用链路和备用链路的要求配置完全一致，互相进行链路备份，一旦出现主用防火墙链路失效或者防火墙本身失效，立即切换到另一台防火墙，此时链路带宽下降为原有的50％，一条链路上完成两条链路的工作。

优点：两台防火墙的性能同时得到发挥，系统集成较简单，防火墙可以工作在透明模式。在三层网络中，出现单台失效时网络仍然可以工作。接入层与核心层之间的通信必须经过防火墙，没有直接的链路，保证网络的高安全性。节省网络设备GE端口数量，比交叉连接方案节省8个GE接口，减少工程实施工作量。

缺点：当一台防火墙的链路失效时整体性能下降50％，需求静态对内部服务器分组，以保证TCP持续性。需要在三层交换机上启用路由策略，增加系统集成的难度。接入层或者核心层设备失效或者链路失效，都会导致防火墙的切换，导致性能下降50％。

2.2、方案二：Active－Standby单链路跨接方案

本方案与方案一基本相同只是采取单链路组网，任何时候只有一台防火墙在工作，所以由防火墙的性能和带宽只有方案一的50％。如果主用防火墙的链路失效或者防火墙失效，都会切换到备用防火墙。

优点：具有方案一除了双链路以外的所有优点，而网络逻辑结构更加简化，系统集成难度最小，网络设备配置简单不必在交换机上使用策略路由，减少工程实施工作量。不必对服务器进行静态分组，所有流量只会经过同一台防火墙。

缺点：只使用到一台防火墙的性能，对于接入层路由器、核心层交换机也是只有一台设备来承担三层网络间的数据传送，造成同层网络的设备负载不均衡。接入层或者核心层设备失效或者链路失效，都会导致防火墙的切换。

2.3 方案三：Active－Active双链路旁路方案

本方案是在大型数据中心经常使用的案例，利用交换机划分Vlan的功能，相当于将交换模块根据不同的Vlan分成两个交换模块使用，一个Vlan连接防火墙的外部接口和上联路由器的接口，另一个Vlan连接防火墙内部接口。所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙外部接口，经过防火墙后从内部接口进入交换机，最后进入核心网络。两台防火墙分别有两条链路，一条主用一条备用，当主用电路失效时备用电路启用接管流量，当整台防火墙失效的时候通过Failover功能切换到另一台防火墙，由正常工作的防火墙在一条链路上实现两条链路的流量。旁路方案还有Active－Standby方式，类似方案一，Active－Active类似方案二，区别只在于不必另外配置交换机。

优点：具有双链路，两台防火墙同时工作，最大限度的发挥两台防火墙的性能，总体吞吐量是两台防火墙吞吐量之和。具有高可用性，能够静态的均衡两台防火墙的负载，同时实现接入层、核心层的负载均衡双机容错。省去了防火墙与接入层路由器之间的交换机。

缺点：占用设备接口数量多，比方案一多占用核心交换机的8个GE接口，核心层端口主要应该用于内部服务器的接入，拓扑比较复杂增加了网络的负杂性。系统集成难度大，必须在路由交换机上启用策略路由，增加交换机的负载。由于防火墙不能做到动态负载均衡，为了保持TCP连接的持续性必须保证每条数据流的进出经过同一防火墙，在网络部署时会增加一定的工作量，而且静态均衡不能准确分担网络的负载，在系统升级扩容或者增加服务类型、访问策略时也需要更多的工作。接入层和核心层之间有直接链路，存在不经过防火墙直接通信的可能，对于这种不经过防火墙的流量防火墙无法提供安全保障。

2.4、方案四：Active－Active双链路方案

这种方案是防火墙高可用性组网的典型案例，两台防火墙同时工作，每台防火墙只有一条链路在工作，同一台防火墙的两条互为备份链路，如果主用链路失效备用链路就会启用接管所有流量；当一台防火墙失效时，另一台防火墙通过Failover功能接管失效防火墙的流量，在一条主用链路上运行两条链路的功能；当只剩一台防火墙工作时，如果其主用链路失效备

用链路也会接管两条链路的流量。整个方案提供了极高的可用性。另外一个特点是，具有两条心跳线连接，一条传送状态信号控制信号，另一条可以作为数据链路使用，当其中一台防火墙的上行或下行链路同时失效而另一台防火墙仍具有上下行链路时，可以通过数据心跳线使出现失效链路的防火墙仍能继续工作。

优点：具有最高级别的可用性和可靠性，同时发挥了两台防火墙的性能，上下行设备有一台失效的情况下仍然可以保持两台防火墙双链路同时工作。在三层网络中非防火墙设备只要仍有一台在正常工作，防火墙层仍然可以保持发挥两台防火墙的性能，只有到一台防火墙失效时，性能才会下降50％。接入层与核心层之间的通信必须经过防火墙，没有直接的链路，保证网络的高安全性。

缺点：核心层服务需要根据两条链路进行静态分组，以保持TCP持续性。系统集具有一定的难度，必须在路由交换机上启用策略路由，增加交换机的负载。

3方案选择

对于方案的选择，必须根据实际情况来决定，以系统需求为实现目标综合考虑不同的方案对于本系统的优势和缺陷。

如果系统的外部流量有限，以现有千兆防火墙的性能指标来看，即使发生防火墙失效一台防火墙就足以满足系统的需求，考虑到减低工程实施和系统集成的难度，减少维护扩容时的工作量，减少所需的GE接口数，同时也保持接入层、核心层负载均衡双机容错的设计思想，采用方案一是最为合适的方案。这也是一般系统适用的方案。

如果外部流量不高，内部服务器中与外部网络通信的服务器数量较多，例如提供网站服务，而且系统需要灵活的扩展，那么最适合使用方案二。因为方案二最大的好处在于不需要启用路由策略，不需要对与外部通信的服务器进行静态的分组，所以系统集成最为简单，在系统发生改变时不必做太多的网络配置修改。

方案三之所以使用很多的IDC是因为原来这些IDC可能没有提供防火墙的服务，一般防火墙是租用主机的用户自己购买和维护的设备，但随着业务需求的变化需要增加防火墙，旁路的方案可以在线实施不会对服务产生很大的影响。对于新建系统不建议使用该方案，尽管它能节省防火墙与接入层之间的二层交换机，但是其网络结构比较复杂，而且占用的核心层的端口资源，层次结构不够清晰，而且具有不经过防火墙就直接与外部网络通信的链路，不符合运营支撑系统的高安全性要求。

如果外部流量较多，同时考虑到设备的利用率和系统对网络高可用性的要求，也保持接入层、核心层负载均衡双机容错的设计思想，方案四是大型运营支撑系统最为合适的方案。对于新建系统，该方案同时具有很强的灵活性，可以比较容易的实现向方案一、方案二、方案三的转换，在系统集成阶段仍可以针对更为清晰的系统需求作方案修改，甚至可以在系统上线后根据实际情况作调整。

4组网方案的新发展