防御保护---防火墙的可靠性

已于 2024-02-17 23:58:03 修改
阅读量868 收藏 21
点赞数 13
分类专栏: 防火墙专栏 文章标签: 网络 安全
于 2024-02-05 22:55:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoutong2323/article/details/136047930
版权

文章目录

一.防火墙可靠性概述

      上图中,主防火墙失效后,流量可通过备防火墙进行正常访问;然而防火墙与路由器不同,路由器的冗余备份(VRRP)可通过协议(动态/静态路由)等手段使主/备路由器的配置相同(路由表)即可;防火墙存在基于会话表进行的状态检测;由于会话表是通过流量命中防火墙策略(NAT/安全策略等)自动生成且存在老化时间;当主防火墙未失效前,流量不会经过备防火墙进行访问从而触发会话表自动生成,即使主防火墙失效切换为备防火墙,流量经过备防火墙时也会因为无法生成对应的会话表而无法正常访问。

双机热备技术概述

        双机热备技术是一种高可用性的系统架构设计方法,通过在两台服务器之间实时同步数据和状态,实现在主服务器发生故障时快速切换到备份服务器,从而保证系统的连续可用性和数据的完整性。

        双机热备技术的核心思想是将主服务器和备份服务器组成一个高可用性集群,主服务器负责处理实际的业务请求,备份服务器处于待命状态,与主服务器保持数据和状态的同步。一旦主服务器发生故障,备份服务器会立即接管主服务器的工作,继续提供服务,用户无感知。

双机热备技术具有以下特点:

  1. 实时数据同步:主服务器和备份服务器之间通过网络实时同步数据和状态,保证数据的一致性。

  2. 快速切换:当主服务器发生故障时,备份服务器能够快速接管主服务器的工作,通常在几秒钟内完成切换。

  3. 高可用性:通过双机热备技术,系统可以实现高可用性,即在主服务器发生故障时,无需手动介入,系统可以自动切换到备份服务器,从而避免服务中断。

  4. 数据保护:双机热备技术可以保护数据的完整性,即使主服务器发生故障,备份服务器上的数据仍然是最新的。

  5. 系统可扩展性:通过添加更多的备份服务器,可以进一步提高系统的可用性和容错性。

点击此处了解:虚拟路由冗余协议--VRRP概述

 VGMP协议

VGMP协议概述

     双机热备(VRRP)中的VGMP技术是一种用于实现高可用性的网络技术。VGMP主要用于双机热备模式下的虚拟网关,用于实现网络设备的冗余备份和无缝切换。

    在双机热备模式中,有两台设备(通常是路由器或交换机)同时工作,其中一台设备为主设备(Active设备),另一台为备用设备,主设备负责处理网络流量,备用设备(StandBy设备)则处于备份状态,监视主设备运行状态。

    VGMP技术通过在主设备和备设备之间建立通信通道,实时监视主设备的状态。主设备会定期发送心跳包给备设备,备设备接收到心跳包后会判断主设备是否正常运行。如果备设备连续若干次接收不到心跳包,认为主设备故障,然后自动将备设备切换为主设备,确保网络的连续性和可用性。

VGMP协议工作机制

  1. 每台防火墙默认存在两个VGMP组(Active组-默认优先级65001;StandBy组-默认优先级65000);假设 FW1 是VRRP组1,2的主(Active设备),FW2是VRRP组1,2的备(StandBy设备);VRRP组的状态与VGMP组的状态默认一致
  2.  FW1默认将VRRP组1,2划入Active组,FW2默认将VRRP组1,2默认划入StandBy组;当FW1中的一个VRRP组发生故障其状态由Active变为initialize时,FW1会将该VRRP组优先级减少2(65001-2=64999)并向FW2发送包含优先级为64999的VGMP报文;
  3.  FW2接收到FW1发送的VGMP报文后从默认将VRRP组1,2划入StandBy组改为划入Active组并发送同意请求报文给FW1FW1收到应答报文后将VRRP组1,2划入StandBy组;故障接口依然保持initialize状态;
  4. 备设备FW2通过接口向上下联链路发送免费ARP报文,切换交换机的MAC地址表,流量将被切换到原被设备上。
  • 主备形成场景

  • 主备模式下故障切换场景 

 HRP协议

HRP协议概述

       HRP协议负责将主防火墙的关键配置和会话表状态等数据向备份防火墙同步。主设备会不断地发送心跳包给备份设备,以检测备份设备的状态。当主设备发生故障或者被手动禁用时,备份设备会接管主设备的功能,并继续处理流量。这个过程是无感知的,对网络中的其他设备和用户来说是透明的。

心跳线概述

   两台FW之间通过一条独立的链路连接,进行信息同步;发送VGMP报文等---此链路称为心跳线;心跳线需要配置IP地址但不受路由策略限制;HRP协议主设备可通过心跳线向备设备周期性(1s)发送心跳报文用于检测被设备状态;若三个周期内未收到主设备心跳报文则判定原设备故障,备设备自动切换为主设备。

 防火墙的备份

  备用防火墙的备份信息

防火墙的备份方式 

设备接口恢复抢占模式

当设备接口恢复后首先进入StandBy状态(状态1);优先级由64999变为65001并进入S to A 状态(状态2)通过心跳线发送给VGMP请求报文;FW2收到后发送FW1优先级高于自身优先级则VGMP确认报文并将VRRP组从Active组划入StandBy组。FW1同理。

 防火墙负载分担

 二.双机热备实验配置

  • 配置接口IP 

FW1配置

 

FW2 配置相同 

  •  双机热备配置

配置位置:系统-->高可靠性-->双机热备-->配置

FW1

 配置VRRP

 注:与接口IP处于不同网段需要添加子网掩码

FW2

 注:主备防火墙完成相关设置后显示如下界面,可使用一致性检测是否同步

  •  配置安全策略

FW1

 注;NAT策略仅可在主防火墙配置

  •  抓包测试连通性

三.负载分担实验配置

 

  • 配置负载分担

FW1配置

 FW2配置

 

 

练习。

北 染 星 辰
关注
  • 13
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全防御设备---防火墙2
qq_52016943的博客
09-09 1321
防火墙
计算机设计 - VB多层防火墙技术的研究-状态检测(源代码+系统+开题报告+中期报告+LW),保证可靠运行,毕业生可参考,免费资
04-03
随着网络安全威胁的日益增多,防火墙作为网络安全的第一道防线,其性能与可靠性至关重要。状态检测防火墙技术,通过实时追踪网络连接的状态信息,能够有效识别并过滤恶意流量,提升网络的安全性。 在本项目中,我们...
防火墙入侵与检测 day05 防火墙可靠性
果子哥丶的博客
05-27 1505
IP-Link技术、BFD技术、双机热备技术、 双机热备的基本原理、 双机热备场景概述、 Link-group技术、 Eth-Trunk技术
防火墙可靠性
m0_48675050的博客
08-23 641
双机热备、BFD双向转发检测、IP-LINK链路检测、Link-Group逻辑组、ETH-Trunk链路捆绑、Bypass,跨数据中心集群,双主控、业务板备份、数据中心会话同步 双机热备 目的:为了防止单点故障 实现:两台硬件软件相同的FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。 关键技术:vrrp(虚拟路
防御保护---防火墙的智能选路
zhoutong2323的博客
02-03 857
防火墙的智能选路是指防火墙根据不同的网络流量和安全策略,通过智能算法选择最佳的通信路径。
防御保护--防火墙的双机热备
m0_72210904的博客
01-29 1116
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。
安全防御 --- 防火墙高可靠技术
weixin_62443409的博客
04-03 1630
VRRP:负责的单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟的IP地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费的ARP来刷新对接设备的MAC地址转发表来引导流量。 VGMP:将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上下行流量能同步切换到备用防火墙。 HRP:负责双机之间的数据同步(华为专用)
防御保护----防火墙基本知识
Tmg3202915143的博客
01-29 1923
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)工作范围:网络层、传输层(3-4层)和路由器的区别:普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径;防火墙除了要解决目的路径以外还需要根据已经设定的规则进行判断“是与否”。技术应用:包过滤技术。优势:对于小型站点容易实现,处理速度快,价格便宜劣势:规则表会很快变得庞大复杂难运维,只能基于五元组;现在很多安全风险集中在应用层中,所以,仅关注三、四层的数据无法做到完全隔离安全风险;逐包进行包过滤检测,将导致防火
AF---下一代防火墙
小翟的博客
10-14 4560
一学就会的防火墙
一、防御保护---信息安全概述
M372109150的博客
01-22 1066
防御保护---信息安全概述
HCIP-Security(安全)PPT教材及实验手册V3.0.zip
03-15
HCSCP1105防火墙可靠性 HCSCP1106技术应用 HCSCP1107sSL技术应用 HCSCP110B网路带宽管理 HCSCP1109防墙以虚拟系统 HCSCP1201内容安全概述 HCSCP1202内容安全过滤技术 HCSCP1203Neb安全防护 HCSCP1204入侵检测与...
《网络安全》-课程标准.doc
06-07
《网络安全技术》课程标准 开设时间:第4学期 课时数:90 一、课程性质 《网络安全技术》是计算机网络技术专业的实践性较强的核心课程,主要面向网络安全 管理员和网络管理员岗位。从机关、企事业网络的发展出发,...
解决方案-信息安全设计方案.docx
12-25
网络中心的,,,等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,,,以外的一切服务。 3:对校外非法网址的访问 一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的,...
HCIP-Security V4.0 培训教材PPT全套合集
最新发布
05-24
02 防火墙可靠性技术.pptx 03 防火墙流量管理.pptx 04 防火墙虚拟系统.pptx 05 防火墙智能选路.pptx 06 IPSec VPN技术应用.pptx 07 SSL VPN技术与应用.pptx 08 网络攻击与防范.pptx 09 漏洞防御与渗透测试...
网络安全试卷一-含答案.doc
06-10
" " " "环境安全 " " " "人员安全 " " " "设备安全 " " " "介质安全 " " " "窗体底端 " " " "窗体顶端 " " 问题2 " "单项选择题(2.0分 难度:基本题) " " " " " " " "防火墙的安全性角度,最好的防火墙结构类型是...
HCIP-Security V4.0 培训文档PPT.rar
12-23
02防火墙可靠性技术ppt权 03防火墙流量管理ppt 04防火墙虚拟系统.ppt O5防火墙智能选路.pptⅸ O6 IPSec技术应用.ppt 07SSL技术与应用ppt O8网络击与防范.ppt O9防御与测试.ppt 10内容安全过.ppx 11应急响应(1)pp ...
运营探讨--ipv6安全浅析
01-19
报文认证头)和ESP(Encapsulation Security Payload,报文封装安全载荷)就内嵌到协议栈中,作为IPv6的扩展头出现在IP报文中,提供完整性、保密性和源认证保护,这无疑是从协议上较大地提升安全性。  整体上看,...
数据通信与网络技术-第8章-网络安全.pptx
06-08
网络安全概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改泄露,系统连续、可靠、正常地运行,网络服务不中断。 广义上,凡是涉及网络上信息的安全性、...
ISG5000-MA
03-05
ISG5000-MA是一款由华为公司推出的安全设备。它是一种高性能的集成安全网关,旨在提供全面的网络安全保护和管理。以下是ISG5000-MA的一些主要特点和功能: 1. 高性能:ISG5000-MA采用了多核处理器和硬件加速技术,具有出色的数据处理能力和吞吐量,可以满足大规模网络环境下的安全需求。 2. 综合安全防护:ISG5000-MA支持多种安全功能,包括防火墙、入侵检测与防御系统(IDS/IPS)、***0-MA支持多种部署方式,包括网关模式、透明模式和混合模式,可以根实际需求进行灵活配置和部署。 4. 高可靠性和可扩展性:ISG0-MA具有冗余设计和可扩展的硬件架构,可以提供高可靠性和可扩展性,确保网络安全设备的稳定运行和适应不断增长的网络规模。 5. 统一的安全管理平台:ISG5000-MA可以与华为的安全管理平台配合使用,实现统一的安全策略管理、日志审计和报告生成,简化了安全管理的复杂性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北 染 星 辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值