安全4.1 防火墙双机热备技术.pdf

0 双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署 两台或多台网关设备，保证了内部网络于外部网络之间的通讯畅通。 USG防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即 位于业务接口点上。在这种业务点上，如果仅仅使用一台USG防火墙设备，无论其可靠性 多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意 外故障而导致网络业务中断，可以采用两台防火墙形成双机备份。 为了避免路由器传统组网所引起的单点故障的发生，通常情况可以采用多条链路的保 护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一 定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题，因此推出了另一 种保护机制VRRP （虚拟路由冗余协议）来进行。采用VRRP的链路保护机制比依赖动态路 由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链 路保护。 VRRP （Virtual Router Redundancy Protocol）是一种基本的容错协议。  备份组：同一个广播域的一组路由器组织成一个虚拟路由器，备份组中的所有路由器一 起，共同提供一个虚拟IP地址，作为内部网络的网关地址。  主 （Master）路由器：在同一个备份组中的多个路由器中，只有一台处于活动状态， 只有主路由器能转发以虚拟IP地址作为下一跳的报文。  备份 （Backup）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路 由器均为备份路由器，处于备份状态。 主路由器通过组播方式定期向备份路由器发送通告报文 （HELLO），备份路由器则负 责监听通告报文，以此来确定其状态。由于VRRP HELLO报文为组播报文，所以要求备份 组中的各路由器通过二层设备相连，即启用VRRP时上下行设备必须具有二层交换功能， 否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足，则不能使用 VRRP 。 当防火墙上多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备 份组。 由于USG防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。为了满足 这个限制条件，就要求在同一台防火墙上的所有VRRP备份组状态保持一致，即需要保证 在主防火墙上所有VRRP备份组都是主状态，这样所有报文都将从此防火墙上通过，而另 外一台防火墙则充当备份设备。 如图所示，假设USG A和USG B的VRRP状态一致，即USG A的所有接口均为主用状态 ，USG B的所有接口均为备用状态。 此时，Trust 区域的PC1访问Untrust 区域的PC2 ，报文的转发路线为(1)- (2)- (3)- (4) 。 USG A转发访问报文时，动态生成会话表项。当PC2的返回报文经过(4)- (3)到达USG A时 ，由于能够命中会话表项，才能再经过(2)- (1)到达PC1，顺利返回。同理，当PC2和DMZ 区域的Server也能互访。 假设USG A和USG B的VRRP状态不一致，例如，当USG B与Trust 区域相连的接口为备 用状态，但与Untrust区域的接口为主用状态，则PC1的报文通过USG A设备到达PC2后， 在USG A上动态生成会话表项。PC2的返回报文通过路线(4)- (9)返回。此时由于USG B上 没有相应数据流的会话表项，在没有其他报文过滤规则允许通过的情况下，USG B将丢弃 该报文，导致会话中断。 问题产生的原因：报文的转发机制不同。  路由器：每个报文都会查路由表当匹配上后才进行转发，当链路切换后，后续报文不会 受到影响，继续进行转发。  状态检测防火墙：如果首包允许通过会建立一条五元组的会话连接，只有命中该会话表 项的后续报文 （包括返回报文）才能够通过防火墙；如果链路切换后，后续报文找不到 正确的表项，会导致业务中断。 注意：当路由器配置NAT后也会存在同样的问题，因为在进行NAT后会形成一个NAT 转换后的表项。 VRRP在防火墙中应用的要求：  VRRP状态的