MPSecMSG4000安全网关高可靠组网技术白皮书（V10）-迈普.PDF

MPSec MSG4000多业务安全网关 高可靠组网技术白皮书 迈普通信技术股份股份有限公司 2012年8月 1 防火墙高可靠组网需求背景 1.1 单机部署存在单点故障风险 单台设备部署时，无论其可靠性多高，系统都必然要承受因单点故障而导致网络业 务中断的风险。而且防火墙部署在互联网出口一般主要使用网络地址转换（NAT）功能， 因此无法使用Bypass来解决单点故障问题。 1 单机部署存在单点故障风险 1.2 双活单机部署依然存在问题 单点故障问题可通过双活架构组网来规避，但防火墙（不同于路由器）是状态检测 设备，如果仍是单机模 ，会出现单台设备故障时，靠路由冗余切换过来的TCP流无法通 过状态检测而中断。即使防火墙关闭状态检测，对于需要网络地址转换的流，由于没有 NAT会话同步，也会导致中断。而且流的后续报文可能缺少应用特征关键字，导致流量应 用类型识别不准。 2 双活单机部署依然存在问题 2 防火墙高可靠组网工作模式 MPSec MSG4000防火墙高可靠组网工作模式目前有三种：AP模式、AA模 、对等模 。 AP和AA模 都是两台防火墙通过MPSec MSG4000高可靠组网协议建立互相备份关系，而对 等模式则是两台防火墙依赖组网中的路由冗余建立互相备份关系。MPSec MSG4000支持虚 拟防火墙的设备能够在虚拟防火墙模式支持AP模 高可靠性组网。 2.1 AP 模式 两台设备（工作在透明模式或者路由模 ）配置成一个“HA组”，一台作为主设备， 另一台作为备份设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息 以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时，备份设备接替主 设备工作，转发报文。这种主备模式具有较强冗余性，而且其网络结构简单，便于维护 管理。 3 MPSec MSG4000 防火墙AP 模式部署 2.2 AA 模式 两台设备（工作在透明模式或者路由模 ）配置成两个“HA组”，一台在HA组0中作 为主设备，在HA组1中作为备份设备；另一台在HA组0中作为备份设备，在HA组1中作为主 设备。两台设备同时运行各自的工作，且相互监测对方的情况。当其中一台设备发生设 备或链路故障时，另外一台设备运行其自身的工作并且接 故障设备的工作，以保证工 作不间断。这种双主模式具有高性能以及负载均衡的优点。 4 MPSec MSG4000 防火墙AA 模式部署 2.3 对等模式 对等模 是为如下特殊组网场景考虑的解决方案。要求两台防火墙（工作在透明模 式或者路由模 ）部署在双活并且起了动态路由协议 （如OSPF）的CE与PE之间，不做网 络地址转换，主要做访问控制和攻击防护。由于路由的冗余，会有非对称路由的问题出 现：如图5所示，用户侧访问网络侧的流量走一台防火墙，而网络侧回用户侧的流量走了 另一台防火墙。防火墙作为状态检测设备，无论是采用单机还是AP/AA模 部署，都会出 现由于匹配不到会话，非对称流量无法通过状态检测而中断的问题，同时影响应用流量 管理、入侵防御等多个功能。 5 非对称流量组网场景 为此给出如下解决方案。两台防火墙单机部署，增加互相会话备份和流量转发通道。 一台设备先收到一条流的报文，则建立主会话，同时向另一台防火墙同步备份会话，当 另一台防火墙收到这条流的后续报文时，匹配到备份会话，则将流量转发到建有主会话 的防火墙上处理。这样能够保证同一条流的所有流量都由同一台防火墙来处理，延续会 话的一致性，同时使得应用流量管理、入侵防御等功能能够正常使用。 6 MPSec MSG4000 防火墙对等模式部署 3 防火墙高可靠组网典型应用场景 3.1 企业互联网出口 防火墙通常作为网关部署在企业的互联网出口，网络地址转换（NAT）是必须的功能。 一般来说企业网络内网用户和服务数量不多，为便于维护，内网用户和服务都希望配置 相同的网关地址，因此建议选择两台防火墙AP模 部署。