防御笔记第七天（时需更新）

news2024/9/23 17:18:25

1.防火墙的可靠性：

因为防火墙不仅需要同步配置信息，还需要同步状态信息（会话表等），所以防火墙不能像路由器那样单纯靠动态协议来进行切换，还需要用到双击热备技术。

双机---目前双机技术仅仅支持两台防火墙的互备
热备---两台设备共同运行，在一台设备出现故障的情况下，另一台设备可以立即代替原设备（也存在冷备的概念，仅工作一台设备，另外一台进行备份，备份设备仅同步配置，并不工作，只有在主设备出现故障时候，再由管理员替换工作，冷设备可能造成较长时间的业务中断）

2.VRRP---虚拟路由器冗余技术

3.VGMP---华为私有协议。

因为VRRP彼此是独立的，所以一个VRRP组进行切换不会直接导致其他组切换，在防火墙的双机热备场景之下，上下由两个VRRP组，需要同步切换，使用传统的上行链路监控比较复杂，所以设计了VGMP协议，来对VRRP进行统一的切换管理。

5主备形成场景：

FW1被设定成为主设备---FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉到VGMP组中，并且状态都是active。
FW2被设定为被设备—FW2中的VGMP的standby组被激活并且将上下两个VRRP组拉进VGMP的standby组中，并且状态都是standby。（VGMP中存在优先级概念，active组的默认优先级为65001，standby组的默认优先级为65000，并且，在VGMP中，所有的主设备都会成为active，所有的被设备都成为standby）
主设备上下两个VRRP组的接口将发送免费的ARP报文。

6.Fw1接口故障切换场景

假设fw1下的接口发生故障，接口状态会从active状态切换到initialize状态（接口故障的一个过度状态）
VGMP组感知到接口变化，会降低自身的优先级（每一个接口发生故障则优先级会降低2）
Fw1会项fw2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；
FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己的standby 组的状态切换到active状态
FW2的VGMP组状态发生变化，则组中的VRRP组状态同步发生变化，都从standby到active
FW2回复FW1应答报文，表示允许切换
FW1收到应答报文以后，将自身active状态从active切换到standby状态，并且其中的VRRP组同步切换到standby状态，不包含故障接口的状态，依旧是initialize状态
FW2上下两个VRRP组将发送免费的ARP报文，让交换机切换mac地址表，之后所有的流量将会从FW2过。

注意：HRP---华为冗余协议----华为私有协议---可同步防火墙的状态和配置信息

配置信息---（接口IP地址，路由地址）-----hrp不能同步基本的接口和路由信息，安全策略和NAT策略…….

状态信息-----会话表，server-map，黑名单和白名单等等

HRP在进行双机热备时，还有一个要求，两台热设备之间，必须拥有一条链路，用来同步信息，并且，这条链路必须是三层链路---这两条路在进行数据传输时，不受安全策略的影响，（注意，如果心跳线是直连的，则不受安全策略的影响，但是中间有中继设备，即非直连场景，则需要配置安全策略）----心跳线----VGMP发送的报文也是通过心跳线传输的。

HRP会周期性的发送心跳报文，只有主设备发送，周期时间默认为1s如果设备在三个周期时间内没有收到对方的心跳报文，就会认定对方出现故障将以自身为主。