| 安全产品线 >> 全新NGFW >> HA >> |
1、全新防火墙HA有哪些模式,相应的区别是什么
集群中到所有防火墙必须工作在同一个模式下。可以对运行中的HA集群进行模式的修改,但会造成一定到延时,因为集群需要重新协商并选取新到主设备。A-P模式提供了备机保护。HA集群中由一台主设备,和一台以上到从设备组成。
从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行状态。整个失效保护到过程是透明的,一旦主设备失效,从设备会自动接替其工作。如果设备到接口或链路出现故障,集群内会更新链路状态数据库,重新选举新的主设备。
A-A模式下会对占用资源较多的进程进行在各个设备中进行分担。需要处理协议识别、病毒扫描、ips、网页过滤、邮件过滤、数据防泄露、应用程序控制、voip内容扫描、协议保护(HTTP,HTTPS,FTP,IMAP,IMAPS,POP3,SMTP,SMTPS,IM,NNTP,SIP,SIMPLE),
SCCP协议控制等。通过对如上内容到负载均担,A-A模式可以提供更高的UTM性能。
安全策略中的终端控制,流控,用户认证功能,在A-A模式下没有什么提高效果。其他非UTM功能不会进行负载分担,将由主设备进行处理。除了UTM功能外,还可以实现对TCP会话进行分担。
AA模式下,集群中到主设备负责对所有通信会话的处理,然后将部分负载分发到所有从设备上。从设备可以说是活动的,因为要处理UTM的相关会话。 但从设备只处理由主设备分配的数据,不会响应arp等。
其他方面AA模式和AP模式是相同的。
除此之外,还有单机配置、会话同步模式:
在该模式下,两台设备同时工作,同时处理数据,并且相互同步状态表信息。因两台设备分别独立工作,因此这种模式并不是真正的HA,并不能起到一台设备挂掉完全切换到另一台工作的情形,一台异常可能导致客户网络出现异常。
单机配置、会话同步模式因其工作特点,一般部署在网络有非对称路由的场景下,即网络中用户访问的上行流量和下行流量可能经过不同设备的情形。又因为设备同步状态表和配置会消耗比较多的资源,不建议在低端设备开启此功能。
2、HA环境下设备如何升级
AA和AP模式下,防火墙升级系统不会中断,只要按照正常的方式升级即可:通过管理主墙,上传版本文件后,主墙把版本文件同步给备墙,备墙先升级,备墙升级完后,主墙开始升级,升级过程中会切换到备墙工作,整个过程透明,无需其他额外操作,通单台升级操作一样。
而在单机配置、会话同步模式下,因两台设备并非完全的HA,需要为每一台设备单独升级;升级过程中设备需要重启,此时因来回路径问题会导致网络临时出现中断同时设备升级完成后所有会话都会清空,建议在上网低峰期操作;