浅谈防火墙热备

练振兴

摘要：该文介绍了防火墙热备（H0t standby）的技术原理。并通过VGMP（VRRP Group Management Protocol）对虚拟路由冗余协议VRRP（Virmal Router Redundancy Protocol）进行统一管理来实现防火墙双机热备的具体实例，探索了防火墙双机热备在生产环境下的应用，提高了企业网络的性能和高可靠性。

关键词：防火墙;VGMP;双机热备;高可靠性

中图分类号：TP399 文献标识码：A

文章编号：1009-3044（2020）01-0017-01

1概述

防火墙热备，是指在真实的企业网络中，通过部署两台或多台防火墙，防火墙之间相互协作工作，互为备份，实现负载均衡，提高企业网络的可靠性。

VRRP可以用于路由器网关冗余，也可以用于防火墙热备。在VRRP模式下，在多台防火墙中选举出主设备Master（一般选优先级最高的设备），其他作为备用设备Backup，正常情况下，由主设备转发数据，当主设备有故障，则从备用设备中选优先级高的设备成为新的主设备，承担转发数据，保证业务的不会因某一台设备有故障而中断。

VRRP有其缺点，如果防火墙两端两个VRRP备份组独立工作，会造成访问外网数据来回路径不一致，甚至收到无法返回的数据。VGMP是VRRP组管理协议，将一台设备上的多个VRRP备份组加入一个VGMP组，VGMP组的状态决定设备的角色（Master还是Backup）。当主设备Master的某一個VRRP备份组的接口发生故障时，VGMP组优先级降低，从设备成为主设备，转发数据，确保通信正常。

2部署防火墙热备

2.1配置安全策略

4.2验证结果

使用PING命令测试，发现只丢失几个包，主设备从FWl切换到FW2，防火墙热备验证成功。

5结束语

在以上企业实际生产环境通过VGMP对VRRP进行统一管理来实现防火墙双机热备的具体实例中，正在转发数据的防火墙FWI某一个端口发生故障时，防火墙FW2将成为主设备，承担转发数据，保证数据通信的正常进行，提高了企业网络的可靠性。

值得注意的是，用于防火墙双机热备的两台防火墙一定要型号相同，用于心跳线的接口必须编号相同且要加入相同的安全区域，否则有可能影响防火墙双机热备功能的实现。