防火墙双机热备设计与应用

孙中诺

摘 要 防火墙内外网通信，可通过防火墙信任区域与非信任区域，采用防火墙安全策略，实现内外网络通信。使用单台防火墙可实现数据正常转发，但单台设备容易造成网络不可靠。一旦直连链路或设备故障将会造成网络中断，内外网无法正常通信。为了解决单点故障，采用防火墙双机热备组网方式，基于虚拟组管理协议，其中一台为主防火墙，另一台为备用防火墙，正常情况下主防火墙负责数据正常转发，当主防火墙或直连链路故障，备用防火墙担任主防火墙角色，实现链路数据正常转发，确保网络稳定性和可靠性。

【关键词】安全区域 虚拟组管理协议 心跳线

1 防火墙双机热备拓扑结构与需求

需求（如图1）：

（1）按照网络拓扑结构，给出相应设备IP地址信息，华为防火墙USG5500FW1与USG5500FW2 g0/0/1端口属于trust区域，g0/0/2端口属于untrust区域，g0/0/3端口属于dmz区域，全网采用OSPF路由协议，实现AR1能够与AR2正常通信。

（2）FW1为主防火墙，FW2为备用防火墙，通过心跳线，将防火墙配置信息和工作状态传递给备用防火墙。当FW1防火墙出现故障或直连链路出现故障，主防火墙FW1失效，FW2备用防火墙担任主防火墙角色，实现链路数据正常转发。

（3）当主防火墙FW1恢复正常，备用防火墙FW2交还防火墙Master角色，继续作为Backup角色。

2 安全区域

安全区域是一个或者多个接口所连接的网络。防火墙提供缺省安全区域，本地区域（Local）、信任区域（Trust）、非军事化区域（Dmz）、非信任区域（Untrust）， 本地区域优先级为100，信任区域优先级为85、非军事化区域优先级为50、非信任区域优先级为5。优先级的值越大，安全级别越高。同一安全区域发送数据，不存在安全风险，不同区域之间发送数据会执行区域安全策略。

FW1防火墙配置：

[FW1]firewall zone trust 进入防火墙trust区域[FW1-zone-trust]add interface g0/0/1 将g0/0/1端口加入到trust区域

[FW1]firewall zone untrust进入防火墙untrust区域

[FW1-zone-untrust]add interface g0/0/2将g0/0/2端口加入到untrust区域

[FW1]firewall zone dmz 进入防火墙dmz区域

[FW1-zone-untrust]add interface g0/0/3将g0/0/3端口加入到dmz区域

同理防火墙FW2做相应的配置。

3 虚拟组管理协议（VGMP）

内外网正常通信，可利用单台防火墙多个区域进行数据转发，但单台设备出现故障会造成网络中断，容易形成单点故障，网络的可靠性也比较差。采用两台防火墙，增强网络的可靠性，基于虚拟路由冗余协议VRRP，采用备份组方式，一台为主设备、另一台为备用设备，起到冗余的效果，增强网络的可靠性。但防火墙的数据转发，仅仅利用VRRP是无法正常进行数据转发，每个报文在匹配路由的同时，还要进行状态的匹配，因此VRRP无法满足防火墙的双机热备，必須利用到虚拟组管理协议（VGMP）。

虚拟组管理协议基于虚拟路由冗余协议，将同一台防火墙上的多个VRRP组都加入到一个VRRP管理组，由管理组统一管理所有VRRP组。通过统一控制各VRRP组状态统一切换，来保证管理组内的所有VRRP组状态都是一致的。

4 心跳线

在防火墙双机热备组网中，主防火墙或直连链路出现故障，所有流量将切换到备防火墙。USG防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上会话表等连接状态数据，则备防火墙流量将无法通过防火墙，造成现有网络的连接中断。华为冗余协议（HRP）能够通过心跳线将主防火墙关键配置和连接状态传递给备用防火墙，真正实现双机热备。

5 防火墙安全策略

防火墙通过一定的规则设置，来控制数据流转发和数据流安全监测的策略，实现区域之间、区域内部和接口包过滤相关的控制。

HRP_M[FW1]policy interzone trust untrust outbound从信任安全区域到非信任安全区域做策略

HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 1策略名称为1

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.0 0.0.0.255 源IP地址为10.1.1.0网段

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]policy destination any目标地址为任意网络

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]action permit动作为允许访问

FW2为备用防火墙，通过心跳线会同步到FW1的策略。

此时从路由器R1能够ping通路由器R2，主防火墙FW1负责转发，当防火墙FW1或直连链路出现故障，备用防火墙FW2会成为主防火墙，保证链路的正常通信。

6 结语

防火墙双机热备组网技术，有效解决了单台防火墙因设备或直连链路故障，造成内外网络通信中断，网络不可靠等问题。防火墙双机热备技术，保证网络可靠性的同时，能够起到设备和链路冗余目的，数据流量快速切换作用，保证了业务的不间断运行。

参考文献

[1]徐慧洋.华为防火墙技术漫谈[M].人民邮电出版社，2015.

[2]华为技术有限公司.HCNP路由交换实验指南[M].人民邮电出版社，2014.

[3]王达.华为交换机学习指南[M].人民邮电出版社，2014.

作者单位

德州科技职业学院 山东省德州市 251200