防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备

news2024/11/16 17:57:16

防火墙技术基础篇:配置主备备份的双机热备

防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。

一、基本原理

防火墙双机热备技术的基础是将两台(或更多)防火墙设备组成一个高可用性(HA)集群,这些防火墙在网络出口位置进行协同工作。一旦主防火墙出现故障,备份防火墙会立即接管业务流量,确保网络通信的连续性。此技术主要涉及以下三个核心协议:

VRRP(Virtual Router Redundancy Protocol):虚拟路由冗余协议,提供网关冗余,通过虚拟IP地址实现无缝接管。
VGMP(Virtual Gateway Management Protocol):虚拟网关管理协议,负责多台防火墙设备的同步和管理。
HRP(Hot Standby Routing Protocol):热备路由协议,负责在主备防火墙之间同步会话状态和配置。

二、主要工作模式

防火墙双机热备主要有以下两种工作模式:

主备备份模式:在这种模式下,两台防火墙设备分为主设备和备设备。平时业务流量由主设备处理,备设备处于待机状态,仅在主设备故障时才接管业务。
负载分担模式:两台防火墙设备共同处理流量,彼此分担负载,提高整体的处理能力和效率。当某一设备故障时,另一设备会接管其流量。

接下来我们通过一个简单的实验来演示防火墙双机热备(主备模式)的配置过程以及具体的效果。

实验步骤

一、FW1配置

1 FW1基础IP地址配置

1.1 配置g1/0/1

1.2 配置g1/0/6

1.3 配置g1/0/2

2 将FW1将接口加入安全区域

2.1 将接口g1/0/2加入trust

2.2 将g1/0/6加入dmz区域

2.3 将g1/0/1加入untrust区域

3 配置默认路由访问外网

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.10

4 配置VRRP备份组

4.1 配置VRRP备份组1为master

4.2 配置VRRP备份组2为master

5 指定心跳口和对端的IP地址

[USG6000V1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2

6 开启双击热备

1 FW2配置

1 FW2基础IP地址配置

1.1配置g1/0/1

1.2配置g1/0/6

1.3 配置g1/0/2

2 将FW2将接口加入安全区域

2.1 将接口g1/0/2加入trust

2.2 将g1/0/6加入dmz区域

2.3 将g1/0/1加入untrust区域

3 配置默认路由访问外网

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.10

4 配置VRRP备份组

4.1 配置VRRP备份组1为backup

4.2 配置VRRP备份组2为backup

5 指定心跳口和对端的IP地址

[USG6000V1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1

6 开启双击热备

2 配置转发策略(在FW1配置即可)

3.1 配置安全策略

因为开启了双机热备功能,并且FW1为master所以只需在FW1配置,然后自动备份到FW2

HRP_M[USG6000V1]security-policy
HRP_M[USG6000V1-policy-security]rule name to_un
HRP_M[USG6000V1-policy-security-rule-to_un]source-zone trust
HRP_M[USG6000V1-policy-security-rule-to_un]destination-zone untrust
HRP_M[USG6000V1-policy-security-rule-to_un]source-address 10.3.0.0 24
HRP_M[USG6000V1-policy-security-rule-to_un]action permit
HRP_M[USG6000V1-policy-security-rule-to_un]dis th

3.2 配置源NAT地址池

3.3 配置NAT转发策略


HRP_M[USG6000V1]nat-policy
HRP_M[USG6000V1-policy-nat]rule name nat1
HRP_M[USG6000V1-policy-nat-rule-nat1]source-zone trust
HRP_M[USG6000V1-policy-nat-rule-nat1]destination-zone untrust
HRP_M[USG6000V1-policy-nat-rule-nat1]source-address 10.3.0.0 24
HRP_M[USG6000V1-policy-nat-rule-nat1]action source-nat address-group test
HRP_M[USG6000V1-policy-nat-rule-nat1]dis th

3 配置路由器

4 查看配置有没有同步到FW2

在FW2上可以看到nat地址池,这个操作我们并没有在FW2上执行过,是通过双机热备进行备份的

5 查看双机热备状态

下面还有vrrp 备份组2的信息,篇幅太长,就不截图了

七、测试双击热备切换

7.1 设置PC1的IP地址,向路由器发起ping



查看防火墙会话表,流量从FW1转发

7.2 从PC不间断ping路由器,然后断开FW1的g1/0/1接口,模拟链路故障,再查看ping的状态

这里发现丢了两个数据包,之后就恢复转发了,防火墙发生了主备切换

查看FW1双击热备状态,发现FW1的vrrp备份组1处于初始化状态,vrrp2处于备份状态


查看FW2的双机热备组状态,发现FW2的vrrp备份组1处于master状态,vrrp2也处于master状态

7.3 恢复FW1的链路故障,查看双击热备的状态

当链路故障恢复后,FW1会恢复他的master状态,因为我们在配置的时候指定的FW1的身份为master

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1717140.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

在CentOS系统上安装Oracle JDK(华为镜像)

在CentOS系统上安装Oracle JDK(华为镜像) 先爱上自己,再遇见爱情,不庸人自扰,不沉溺过去,不为自己的敏感而患得患失,不为别人的过失而任性,这才是终身浪漫的开始。 https://repo.huaweicloud.com/java/jdk …

详解 Spark 核心编程之 RDD 算子

RDD 算子就是 RDD 的方法 一、转换算子 根据数据处理方式的不同可以分为单 Value 类型、双 Value 类型和 Key-Value 类型 1. map /**单 Value 类型算子函数签名:def map[U: ClassTag](f: T > U): RDD[U]功能:将处理的数据逐条进行映射转换&#xff0…

【CGAL】Region_Growing 检测平面并保存

目录 说明一、算法原理二、代码展示三、结果展示 说明 本篇博客主要介绍CGAL库中使用Region_Growing算法检测平面的算法原理、代码以及最后展示结果。其中,代码部分在CGAL官方库中提供了例子。我在其中做了一些修改,使其可以读取PLY类型的点云文件&…

OSPF状态机+SPF算法

OSPF状态机 1.点到点网络类型 down-->init-->(前提为可以建立邻接)exstart——>exchange-->若查看邻接的DBD 目录后发现不用进行LSA 直接进入ful。若查看后需要进行查询、应答先进入loading,在查询应答完后再进入 fuIl: 2.MA网络类型 down --&g…

269 基于matlab的四连杆机构动力学参数计算

基于matlab的四连杆机构动力学参数计算。将抽油机简化为4连杆机构,仿真出悬点的位移、速度、加速度、扭矩因数、游梁转角等参数,并绘出图形。程序已调通,可直接运行。 269机构动力学参数计算 位移、速度、加速度 - 小红书 (xiaohongshu.com)

煤炉Mecari防封攻略:如何降低封店概率?

不少卖家反馈,Mecari不少封店情况存在,今天就来整理一下常见原因及解决方法。 一、煤炉被封号的原因如下 1、IP不稳定:一定不要多次切换线路,IP跳动频繁,IP不纯净,多人共享,均会导致账号活动异…

linux开发之设备树六、linux下pinctrl子系统管理设置pin管脚的复用功能(一般原厂提供)

客户端的编写格式是固定的,不管哪家原厂的处理器,格式都是一样的 对于服务端部分是原厂提供,各个芯片肯定就不一样了,主要在于编写的格式不同 pinctrl客户端写法 使用pinctrl设置管脚复用 在kernel/arch/arm64/boot/dts/rockchi…

2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项第三阶段任务书

第三阶段竞赛项目试题 本文件为信息安全管理与评估项目竞赛-第三阶段试题。根据信息安全管理与评估项目技术文件要求,第三阶段为夺旗挑战CTF(网络安全渗透)。 本次比赛时间为180分钟。 介绍 夺旗挑战赛(CTF)的目标…

蓝桥杯第17135题 不完整的算式 C++ Java Python

目录 题目 思路和解题方法 步骤 1:识别缺失的部分 步骤 2:根据已知条件计算或推断 步骤 3:处理特殊情况和验证 c 代码 Java 版本 Python 版本(仅供参考) 代码和解题细节: 题目 题目链接&#xff…

科迅图书馆云平台 WebCloud.asmx SQL注入致RCE漏洞复现

0x01 产品简介 科迅图书馆云平台又称集群式图书管理系统是采用B/S架构的垂直管理模式,管理系统下设城市集群式图书馆管理系统+电子阅览室+门户网站,不仅实现了总馆对分馆的在线管理,而且实现了资源共享和建设图书馆联合服务体系,可以方便读者在图书馆门户网站或者其中任何…

CSS绘制圆弧

css绘制如图的圆弧&#xff1a; 这种矩形弧形的效果中&#xff0c;弧形的效果一般是由一条曲线拉伸出来的&#xff0c;这条曲线往往是属于一个椭圆的&#xff0c;所以可以绘制一个椭圆&#xff0c;截取部分可视区域实现效果。 <style> .wrapper{width: 400px;height: 60…

工业相机识别电路板元器件:彩色与黑白的区别

工业相机用于识别电路板上的元器件时&#xff0c;选择彩色相机或黑白相机取决于具体应用需求和条件。彩色相机能提供更丰富的信息&#xff0c;但处理复杂度较高&#xff1b;黑白相机则在处理速度和精度上具有优势。理解它们的区别和各自的优缺点&#xff0c;有助于在具体项目中…

PromptIR论文阅读笔记

MZUAI和IIAI在NIPS2023上的一篇论文&#xff0c;用prompt来编码degradation&#xff0c;然后用来guide restoration network&#xff0c;使得模型能够泛化到不同degradation types and levels&#xff0c;也就是说是一个模型一次训练能够应对多种degradation的unified model。文…

Satellite Stereo Pipeline学习

1.在Anaconda某个环境中安装s2p pip install s2p 2.在Ubuntu系统中安装s2p源代码 git clone https://github.com/centreborelli/s2p.git --recursive cd s2p pip install -e ".[test]" 3.在s2p中进行make all处理 中间会有很多情况&#xff0c;基本上哪个包出问题…

【机器学习】Adaboost: 强化弱学习器的自适应提升方法

&#x1f308;个人主页: 鑫宝Code &#x1f525;热门专栏: 闲话杂谈&#xff5c; 炫酷HTML | JavaScript基础 ​&#x1f4ab;个人格言: "如无必要&#xff0c;勿增实体" 文章目录 Adaboost: 强化弱学习器的自适应提升方法引言Adaboost基础概念弱学习器与强学习…

Docker 图形化界面管理工具 Portainer | 让你更轻松的管理 Docker

本文首发于只抄博客&#xff0c;欢迎点击原文链接了解更多内容。 前言 Portainer 是一个 Docker 图形化管理工具&#xff0c;可以通过 Web UI 轻松的管理容器、镜像、网络、卷。与 Dockge 相比功能更加的完善&#xff0c;同时上手难度也更大一些 Portainer 分为社区版和商业版…

实战16:基于apriori关联挖掘FP-growth算法挖掘关联规则的手机销售分析-代码+数据

直接看视频演示: 基于apriori关联挖掘关联规则的手机销售分析与优化策略 直接看结果: 这是数据展示: 挖掘结果展示: 数据分析展示:

el-table中的信息数据过长 :show-overflow-tooltip=‘true‘**

可以在 el-table-column中添加 :show-overflow-tooltip‘true’

【机器学习】AI大模型的探索—浅谈ChatGPT及其工作原理

&#x1f4dd;个人主页&#xff1a;哈__ 期待您的关注 目录 &#x1f4da;介绍ChatGPT 1.1 什么是ChatGPT 1.2 ChatGPT的应用场景 &#x1f4a1;基础概念 1. 人工智能和机器学习 1.1 人工智能&#xff08;AI&#xff09;简介 1.2 机器学习&#xff08;ML&#xff09;简…

RAG技术探索

什么是RAG 1 RAG原理 RAG&#xff08;Retrieval Augmented Generation, 检索增强生成&#xff09;&#xff0c;即LLM在回答问题或生成文本时&#xff0c;先会从大量文档中检索出相关的信息&#xff0c;然后基于这些信息生成回答或文本&#xff0c;从而提高预测质量。RAG模型尤…