返回
防火墙双机热备设计与应用

防火墙双机热备设计与应用

ID:28240102

大小:17.26 KB

页数:5页

时间:2018-12-08

防火墙双机热备设计与应用_第1页
防火墙双机热备设计与应用_第2页
防火墙双机热备设计与应用_第3页
防火墙双机热备设计与应用_第4页
防火墙双机热备设计与应用_第5页
资源描述:

《防火墙双机热备设计与应用》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了确保“教学点数字教育资源全覆盖”项目设备正常使用,我校做到安装、教师培训同步进行。设备安装到位后,中心校组织各学点管理人员统一到县教师进修学校进行培训,熟悉系统的使用和维护。防火墙双机热备设计与应用  摘要防火墙内外网通信,可通过防火墙信任区域与非信任区域,采用防火墙安全策略,实现内外网络通信。使用单台防火墙可实现数据正常转发,但单台设备容易造成网络不可靠。一旦直连链路或设备故障将会造成网络中断,内外网无法正常通信。为了解决单点故障,采用防火墙双机热备组网方式,基于虚拟组管理协议,其中一台为主防火墙

2、,另一台为备用防火墙,正常情况下主防火墙负责数据正常转发,当主防火墙或直连链路故障,备用防火墙担任主防火墙角色,实现链路数据正常转发,确保网络稳定性和可靠性。  【关键词】安全区域虚拟组管理协议心跳线  1防火墙双机热备拓扑结构与需求  需求:  按照网络拓扑结构,给出相应设备IP地址信息,华为防火墙USG5500FW1与USG5500FW2g0/0/1端口属于trust区域,g0/0/2端口属于untrust区域,g0/0/3端口属于dmz区域,全网采用OSPF路由协议,实现AR1能够与AR2正常通信

3、。  FW1为主防火墙,FW2为备用防火墙,通过心跳线,将防火墙配置信息和工作状态传递给备用防火墙。当FW1防火墙出现故障或直连链路出现故障,主防火墙FW1失效,FW2备用防火墙担任主防火墙角色,实现链路数据正常转发。为了充分发挥“教学点数字教育资源全覆盖”项目设备的作用,我们不仅把资源运用于课堂教学,还利用系统的特色栏目开展课外活动,对学生进行安全教育、健康教育、反邪教教育等丰富学生的课余文化生活。为了确保“教学点数字教育资源全覆盖”项目设备正常使用,我校做到安装、教师培训同步进行。设备安装到位后,中

4、心校组织各学点管理人员统一到县教师进修学校进行培训,熟悉系统的使用和维护。  当主防火墙FW1恢复正常,备用防火墙FW2交还防火墙Master角色,继续作为Backup角色。  2安全区域  安全区域是一个或者多个接口所连接的网络。防火墙提供缺省安全区域,本地区域、信任区域、非军事化区域、非信任区域,本地区域优先级为100,信任区域优先级为85、非军事化区域优先级为50、非信任区域优先级为5。优先级的值越大,安全级别越高。同一安全区域发送数据,不存在安全风险,不同区域之间发送数据会执行区域安全策略。  

5、FW1防火墙配置:  [FW1]firewallzonetrust进入防火墙trust区域[FW1-zone-trust]addinterfaceg0/0/1将g0/0/1端口加入到trust区域  [FW1]firewallzoneuntrust进入防火墙untrust区域  [FW1-zone-untrust]addinterfaceg0/0/2将g0/0/2端口加入到untrust区域  [FW1]firewallzonedmz进入防火墙dmz区域  [FW1-zone-untrust]addin

6、terfaceg0/0/3将g0/0/3端口加入到dmz区域  同理防火墙FW2做相应的配置。  3虚拟组管理协议为了充分发挥“教学点数字教育资源全覆盖”项目设备的作用,我们不仅把资源运用于课堂教学,还利用系统的特色栏目开展课外活动,对学生进行安全教育、健康教育、反邪教教育等丰富学生的课余文化生活。为了确保“教学点数字教育资源全覆盖”项目设备正常使用,我校做到安装、教师培训同步进行。设备安装到位后,中心校组织各学点管理人员统一到县教师进修学校进行培训,熟悉系统的使用和维护。  内外网正常通信,可利用单台

7、防火墙多个区域进行数据转发,但单台设备出现故障会造成网络中断,容易形成单点故障,网络的可靠性也比较差。采用两台防火墙,增强网络的可靠性,基于虚拟路由冗余协议VRRP,采用备份组方式,一台为主设备、另一台为备用设备,起到冗余的效果,增强网络的可靠性。但防火墙的数据转发,仅仅利用VRRP是无法正常进行数据转发,每个报文在匹配路由的同时,还要进行状态的匹配,因此VRRP无法满足防火墙的双机热备,必�利用到虚拟组管理协议。  虚拟组管理协议基于虚拟路由冗余协议,将同一台防火墙上的多个VRRP组都加入到一个VRR

8、P管理组,由管理组统一管理所有VRRP组。通过统一控制各VRRP组状态统一切换,来保证管理组内的所有VRRP组状态都是一致的。  4心跳线  在防火墙双机热备组网中,主防火墙或直连链路出现故障,所有流量将切换到备防火墙。USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙上会话表等连接状态数据,则备防火墙流量将无法通过防火墙,造成现有网络的连接中断。华为冗余协议能够通过心跳线将主防火墙关键配置和连接状态传递给备用防火墙,真正实现双机热备

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。