返回
防火墙负载均衡原理

防火墙负载均衡原理

ID:37678289

大小:2.35 MB

页数:12页

时间:2019-05-28

防火墙负载均衡原理_第1页
防火墙负载均衡原理_第2页
防火墙负载均衡原理_第3页
防火墙负载均衡原理_第4页
防火墙负载均衡原理_第5页
资源描述:

《防火墙负载均衡原理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、企业级IT项目实战第一品牌——专注所以专业www.combat‐lab.com防火墙负载均衡原理F5Bigip应用交换机实现防火墙负载均衡标准结构及阐述企业级IT项目实战第一品牌——专注所以专业www.combat‐lab.com防火墙负载均衡原理一、为什么需要对防火墙进行负载均衡?1、消除性能瓶井:单台防火墙性能不够;随着网络流量的增加,单台防火墙可能成为网络的瓶井。通过实现防火墙的负载均衡,横加增加防火墙的数量,又保护了原有投资。2、提高设备利用率:处于Active/Standy双机模式的防火墙可以转换成Active

2、/Active方式。3、提高系统的扩展性:采用负载均衡器对防火墙进行负载均衡,系统的扩展性大大增加,可以随着网络流量的增加,横加增加防火墙的数量,而且新增加的防火墙并不局限在同一型号。二、防火墙负载均衡的典型网络架构:对一进一出的二路防火墙,一般采用如下图的防火墙三明治结构(在实际应用环境中,为了防止网络中出现单点故障,负载均衡器往往会采用双机结构,具体的网络拓扑结构设计请参考<<F5Bigip应用交换机实现防火墙负载均衡标准结构及阐述>>):如果是采用Untrust,Trust,DMZ的三路防火墙,则防火墙负载均衡的典

3、型拓扑结构如下:企业级IT项目实战第一品牌——专注所以专业www.combat‐lab.comInterneeRouterARouterBDMZ对于三路防火墙的负载均衡,在一个无单点故障的网络设计中要采用六台负载均衡器。另外在三路防火墙负载均衡的设计中,针对防火墙的健康检查要特别当心、精心设计。三、为什么需要防火墙负载均衡需要采用三明治的结构?目前的绝大多数防火墙都是基于连接状态检测的防火墙,也即是说对于构成完整用户会话的双向数据流进行监控,以确定数据流的合法性。当采用多台防火墙对网络流量进行负载均衡时,如果数据流处理不

4、当,可能出现的情况是对构成同一个用户会话的双向数据包,在多台防火墙上进行处理,而每一个防火墙上都看到到完整的用户会话信息。而防火墙如果看不到完整的用户会话信息,就会将该数据包当作非法访问而抛弃掉。只有采用三明治结构,通过在防火墙的两端都设置四层交换机,四层交换机可以在作流量分发的同时,维持用户会话的完整性,使对某一用户的同一会话产生的双向数据包始终都由同一台防火墙来处理,而使防火墙得于在负载均衡环境下还可以正常工作。四、F5Bigip应用交换机对防火墙作负载均衡时所用到的主要功能:利用F5Bigip应用交换机对防火墙作负

5、载均衡时,与用F5Bigip应用交换机对服务器作负载均衡时类似,都是需要将防火墙放在一个Pool里面,然后根据Pool的负载均衡算法在防火墙之间进行流量分发。但为了支持防火墙负载均衡器上,F5Bigip应用交换机有以下几个功能是区别于服务器负载均衡的:LastHop功能Bigip上的LastHop功能,又叫基于连接的路由(PerConnecitonRouting),是用于当回应的路据包需要经由相邻企业级IT项目实战第一品牌——专注所以专业www.combat‐lab.com的传输最初发起访问数据包的网络设备时。如下图:

6、InternetRouter200.1.1.0/24FW#2201.1.1.0/24BIG-IP202.1.1.0/24当一个客户发起到内网服务器访问,假设他是经由防火墙1进来(如褐色线条所示),当服务器接受到这次访问而产生回应时,回应的数据包首先到达内网的负载均衡器,这时负载均衡器即可以将加应的数据包经回防火墙1发出去,也可以经由防火墙2发出去。根据基于状态防火墙的工作特点,对于同一连接的双向数据须经由同一防火墙处理。而Bigig的LastHop功能是可以实现这一点,当内网的负载均衡器首次接收到用用户的访问请求时,它就

7、会在它的连接表中创建一条LastHop记录,记录本次连接发起请求是由哪个设备传送过来的(俗称最后一跳记录,实际上就是该设备的MAC地址,本例中就是防火墙1内网卡的MAC地址)。当它收到服务器回应的数据包时,它可以识别出这个回应数据包所属的连接,并查找出这一连接所对应的LastHop记录,并将服务器回应包发给那台设备――防火墙1。如果用户再次发起一个新的连接,假设这一次,外网的负载均衡器将它负载均衡到了防火墙2上(如蓝色线条所示),这时能过内网的负载均衡器的LastHop功能,由服务器对本次连接请求所回应的数据包将都由防火

8、墙2出去。注:如果对负载均衡器的四层连接表有疑问,请对考服务器负载均衡工作原理。企业级IT项目实战第一品牌——专注所以专业www.combat‐lab.comTransparent健康检查功能BigipTransparent健康检查功能是指Bigip对某一非相邻节点(非相邻节点是指与Bgip的SelfIP不在同一网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。