防火墙高可靠性技术产生背景

网络架构中硬件的不可靠主要源自于两个方面：一是设备不可靠，二是链路不可靠。设备不可靠可能体现在硬件设备本身的性能缺陷、使用寿命有限或因长期运行而逐渐出现的故障和老化等问题上。这些因素都可能影响设备的稳定性和可靠性，进而威胁整个网络架构的安全与高效运行。另一方面，链路不可靠则通常源于通信链路中的物理故障、信号干扰或传输质量下降等情况。这些链路问题可能导致数据传输延迟、丢包率增加，严重时甚至引发网络中断，对整个网络架构的连通性和数据传输能力构成挑战。

设备高可靠性

双机热备——两台防火墙组成双机热备，当一台防火墙发生故障时，另一台防火墙接替工作,保障业务的连续性。

跨数据中心集群——当某一个数据中心防火墙发生故障或灾难的情况下，其他数据中心防火墙可以对其业务实现接管，达到互为备份的效果。

硬件Bypass——当防火墙工作失效时，会导致网络中断,而硬件Bypass则能让防火墙在工作失效后，对流量不作任何处理，直接转发。

链路高可靠性技术

Eth-Trunk——绑定多个物理接口为一个逻辑接口，提高链路的可靠性。

增加带宽:链路聚合接口的最大带宽可以达到各成员接口带宽之和。流量负载分担:在一个链路聚合组内，可以实现业务流量的负载分担。

提高可靠性:当某条链路出现故障时，流量可以切换到其他可用链路上，从而提高链路聚合接口的可靠性。

IP-Link——IP-Link探测技术是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障。IP-Link可以检测到非直连链路的故障。因为IP-Link探测基于ARP或ICMP协议实现，若探测路径上存在某些安全设备，对ARP/ICMP报文进行了过滤，则会导致IP-Link探测失效。

所以有了BFD

BFD——周期性发送BFD控制报文，检测设备或系统之间链路的可用性。

BFD(Bidirectional Forwarding Detection，双向转发检测)用于快速检测设备之间的通信故障，并在出现故障时通知上层协议。

BFD技术基于UDP报文进行探测，目的端口号为3784，可以有效避免安全设备的拦截。

需要在防火墙和被探测设备(如路由器）之间建立BFD会话，需要会话两端设备支持BFD协议。

Link-group——Link-Group功能是将多个接口的状态相互绑定,组成一个逻辑组。

Link-Group功能可以将防火墙的多个接口组成一个逻辑组，组内接口始终保持相同的状态(UP/DOWN)。若组内任一接口出现故障，系统将组内所有接口的状态置为DOWN；组内所有接口均恢复正常后，系统才会将组内接口的状态置为UP。

健康检查——防火墙上的功能，对服务可用性、链路可用性或链路时延等进行探测，前与防火墙智能选路特性结合使用。