网络安全技术

在网络关键位置，如果只使用一台防火墙设备，就会因为设备的单点故障导致网络中断

如果部署两台独立的防火墙，容易出现主备状态不一致的情况，会话的状态信息也不同步

防火墙双机热备：

​    双机热备需要两台硬件和软件配置都相同的防火墙，两机之间通过独立的链路连接，用来同步信息和会话表项

​    目前只支持两台设备进行双机热备

​    主备设备的产品型号和版本都必须相同

​    主备设备的业务板和接口卡的位置、类型、和数目的必须相同，否则无法兼容，从而导致主备无法切换

双机热备的关键组件：

​    VRRP是一种容错协议，保证主设备发生故障时，备机自动代替前者完成报文的发送，保证连续性和可靠性

​    VGMP组，用来集中监管和管理所有VRRP组的状态，保证主备切换时所有VRRP组统一进行状态切换

​    HRP，华为冗余协议，实现防火墙双机之间动态状态数据和关键配置命令的备份

VGMP四种状态：

​    Initialize ： 初始状态，（启用双机热备时）

​    Load Balance ： 两个防火墙的VGMP组的优先级相等的时候

​    Active ： 本端的VGMP组优先级高于对端时

​    Standby ： 本端的VGMP组优先级低于对端时

默认情况下两端优先级是相同的，可以使用VRRP和手工指定设备，使两设备形成主备状态

VRRP配置的方式适用于FW连接二层交换机的组网，指定备设备的方式适用于FW其他方式的双机热备组网

HRP和心跳线：

负载分担组网下，两台FW都是主用设备，这时候允许备份命令就会造成两台设备命令相互覆盖或冲突的问题

为了实现备用设备能够在主设备故障时平滑地接替工作，必须在主备设备间备份关键配置命令和会话表等状态信息

为此华为防火墙引入了HRP协议，配置命令和状态信息都是由主用设备备份到备用设备

防火墙能够备份的配置：

​    策略：安全策略、NAT策略、NAT server等

​    对象：地址、地区、服务、应用、用户等等

​    网络：安全区域、DNS、IPsec、SSL VPN等等

​    系统：管理员、虚拟系统、日志配置

二层设备双机热备组网：

​    防火墙的业务接口工作在三层，上下行连接交换机

​    终端可以将默认网关设置为VRRP 的虚拟IP地址，返程路由也可以将下一跳设置为虚拟IP地址

三层设备双机热备的组网：

​    防火墙的业务接口工作在三层，上下行连接路由器

​    防火墙于路由器直接运行OSPF，当主设备的业务接口故障时，切换为备用接口

防火墙虚拟系统：

应用于大中型企业的网络隔离；云计算中心的安全网关

在虚拟系统的特性中，根系统的作用是管理其他虚拟系统，并为虚拟系统间的通信提供服务

虚拟系统是在防火墙上划分出来的、独立运行的逻辑设备

防火墙的虚拟化

资源虚拟化：每个虚拟系统都有独享的资源，包括接口、VLAN、策略和会话，虚拟系统自行管理使用

配置虚拟化：每个虚拟系统都拥有独立的虚拟系统管理员和配置界面

安全功能虚拟化：每个虚拟系统都可以配置独立的安全策略及其他安全功能，只有该系统的报文才会受到配置影响

路由虚拟化：每个虚拟系统都拥有各自的路由表，相互独立隔离

虚拟接口：

虚拟系统之间通过虚拟接口实现互访，是一个逻辑接口，是用于虚拟系统之间通信的接口

虚拟接口必须配置IP地址，并加入安全区域才能正常工作

虚拟接口名的格式为 Virtual-if + 接口号，接口号从1开始，自动分配

以上均为个人笔记，总结于华为技术有限公司和网络平台资源

如有问题，谢谢指正