10 防火墙基础.pptVIP

防火墙基本概念——双机热备（HRP） 双机热备是防火墙提供网络层可靠性时所必须具备的特性，为了解决单台防火墙潜在的单点故障风险，在高可靠性网络中都要求两台防火墙提供双机热备功能，其特征是要求网络中不存在任何单点和单链路故障，一般要求具备以下特性： 需要支持真正的状态热备技术，保证防火墙主备切换业务不中断； 需要支持的组网方式灵活多变，并能支持多个安全域之间的热备； 需要保证切换时延尽量短，一般要求在1.5秒以内； 需要保证整个网络中不存在单点故障，任何设备、链路出现故障都能保护； 双机热备功能本身不能影响系统性能； 支持状态触发切换，以及防火墙主动抢占功能 防火墙基本概念——双机热备（HRP）续 由于目前流行的防火墙都是状态防火墙，状态防火墙有别于一般数通设备的地方就是需要有动态创建的状态表，而这通常要求对于特点的会话而言其上下行报文必须通过同一台防火墙，因此需要双机热备还支持以下特性： 解决报文来回路径一致问题（所谓来回路径一致指同一个会话上下行的报文需要经过同一台防火墙）； 需要支持网关透明切换问题，该过程对用户透明，因为大部分防火墙都部署在局域网， 而局域网上大部分设备不支持动态路由协议； 防火墙基本概念——虚拟专用网络（VPN） 虚拟私有网（Virtual Private Network）简称VPN，是近年来随着Internet的广泛应用而迅速发展起来的一种新