下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","基本介绍")}}

基本介绍

更新时间:2023-11-15

高可用性是为了避免单点故障的隐患,采用双机模式是保证业务连续性的一种有效解决方案,能够在很大程度上避免了网络业务的中断,主要是在对网络可靠性较高,业务连续性强的场景中使用。

点击<配置>,界面如下。

双机热备:勾选启用后可以进行双机热备的配置。

运行模式:设置双机的模式,可以选择主备备份和主主负载两种模式。

控制链路:原心跳口,负责传递双机心跳报文,其中包含本端双机配置、本端双机状态等信息。两端使用相同接口配置控制链路后,通过控制链路进行协商主备机,并将主机的配置同步到备机,最终建立双机,支持使用聚合口作为控制链路,主备接口需保持一致。

数据链路:原数据同步口,负责同步会话等数据,为选填选项。如果不配置数据链路或者数据链路故障时,控制链路会代替数据链路工作。控制链路故障时,数据链路会承担心跳报文传输。

高级设置:点击<设置>可以进行高级参数的自定义,如下图所示。

 

优先级:用于设置网口列表中选中接口的优先级。值越高,优先级越高。一定要开启抢占,则优先级的设置才有意义。如果两台设备是双机热备工作方式(即一台工作,另外一台完全作为备机,不工作),那么可以设置A设备优先级为90抢占,B设备设置为优先级80(抢占或不抢占都行)。90优先级的设备故障,那么80优先级的设备工作,90优先级的设备恢复,那么90优先级的设备会抢占成为主机,80优先级的设备成为备机。

主动抢占:设置是否开启抢占成为主机。需要与优先级配合使用。

抢占切换延时:设置抢占切换的延时,默认300秒。

虚拟IP:设置各个业务接口作为通信的虚拟IP地址,虚IP会从主机同步到备机,只在主机下发,备机不下发。当主备发生切换时,新主机会下发虚IP,新备机会取消下发虚IP,点击<新增>即可进行配置,如下图所示。

监视对象管理:设置接口监视和关联链路检测对象。点击<管理>进行设置,如下图所示。

接口监视:可进行接口监视的配置,设置需要监控的接口,可设置多个接口组,每个接口组中可设置多个网口,每个接口组可设置所有接口故障时或者任一接口故障时,则判定该组接口故障,进行双机切换,点击<新增>后进行设置,如下图所示。

关联链路检测对象:该设置依赖于[对象/链路对象]的接口检测方式,即接口的链路故障检测功能。此处选择相应的接口,则会进行探测,检测接口的好坏以及链路是否有问题,如果不关联链路检测对象,则双机工作的时候只检测[接口监视]中的网口是否DOWN掉,物理网口DOWN掉才进行切换。可以设置多个监控组,每个监控组里面可以添加多个链路检测对象,每种链路检测对象可以选择不同的故障判定方式,可设置所有链路检测对象故障时或者任一链路检测对象故障时,则判定该对象组故障,进行双机切换,点击<新增>后进行设置,如下图所示。

监视对象:关联[展开监视对象配置]里设置的监视组,根据对应的条件进行双机的切换。

配置同步

配置同步用于双机进行配置的同步,有主备控状态,主要是控制设备配置同步的方法。如下图所示。

同步对象:用于选择两台设备的同步对象。包括会话表。设备每10秒检测一次配置是否改变。

配置同步角色:用于设置配置同步角色包括主控和备控。

主备模式:主机永远是主控,备机永远是备控。主备控不可手动切换。

主备镜像模式:主机永远是主控,备机永远是备控。主备控不可手动切换。

路由主主模式:组0为主机的设备是主控,组0为备机的设备是备控。主备控不可手动切换。

透明主主模式:可以手动随意切换主备控。

1. 主控角色配置会同步给备控角色,备控角色无法修改配置。

2. 主备和双主模式下主、备控角色和组0状态一致、双主透明模式下主、备控角色需要手动配置。

3. 只有主主负载透明模式下可以手动切换主、备控。

HA Traffic

该功能用于在上下游设备为路由设备,AF做路由双主或者透明双主情况下存在来回流量不一致的场景,需要开启,不存在此场景时无需开启,开启该功能后AF将业务口收到的所有数据包以hash分配方式决定是否通过同步口发送到对端设备进行数据包处理,保证同一条流的所有数据包都能在同一台设备进行安全检测,解决数据非对称转发中出现的网络不通和安全检测失效问题,对端设备安全检测完成后,再将数据包通过同步口发回来,由本端再做数据转发,避免了下游设备路由口因数据包目的MAC地址非本机而丢包,从而导致网络不通。配置如下图所示。

具体工作流程如下:

  1. PC访问服务器流量经过AF1AF1经过hash算法计算由AF1进行检测,检测完成继续从AF1转发给服务器;
  1. 服务器返回流量到达AF0
  2. AF0经过hash算法计算要由AF1进行检测(同地址计算结果会相同),将数据包通过双机聚合线转发给AF1;
  3. AF1收到数据包检测完成后,再通过数据同步线转发回AF0
  4. AF0将数据包返回给PC

 

双机聚合

主要用于AF透明模式主主部署模式下,AF上、下联的设备做了链路聚合并且都为路由口,数据包存在来回路径不一致的场景。如发送的数据经过A防火墙,回来的数据经过B防火墙,导致来回数据包在AF上的连接跟踪不一致而被AF丢包,而双机聚合功能则可以使来回路径不一致数据包经过AF时能够正常转发,开启后,每台AF都会在后台程序自动生成一个是0或者是1的编号,这个编号界面上看不到,所有经过AF双机聚合配置中内外网区域接口的流量都会是经过算法(即根据源/目的IP地址)计算,看计算结果的值是0还是1,从而将对应数据包转发到对应编号的AF上进行转发(比如根据算法算出来的值是0,则从编号为0AF转发数据)。配置如下图所示。

启用:勾选启用双机聚合功能,启用双机聚合条件是:双机热备处于启用状态;双机运行模式是双主透明模式;配置了数据同步口;至少存在两个可选的二层口。

内网区域设置:选择本端和对端下联内网区域的接口。

外网区域设置:选择本端和对端上联外网区域的接口。

具体工作流程如下:

  1. PC访问服务器流量经过AF1AF1经过hash算法计算由AF1进行检测,检测完成继续从AF1转发给服务器;
  1. 服务器返回流量到达AF0
  2. AF0经过hash算法计算要由AF1进行检测(同地址计算结果会相同),将数据包通过双机聚合线转发给AF1;
  3. AF1将数据包返回给PC。

1. 主备设备的监控网口必须要设置成一致。

2. 虚拟组设置的优先级一样,那么无论开启抢占与否,都不会进行抢占。

3. 配置同步分为两种:批量同步和增量同步。只有主控设备会向对端发送配置同步请求,要求将对方的配置同步到本端,此时会进行批量同步。当主控设备批量同步完成后,设备每隔10秒检查一次配置是否改变,如改变,则同步主控修改的配置到备控设备,此时会进行增量同步。备控设备无权修改配置,如需自行修改先修改同步角色,否则提交无权修改。

4. 如果设备A的规则库序号没有过期,设备B规则库序号过期了。那么设备A升级规则库后,设备A的规则库同步给对端会失败,但是不影响其他配置的同步。

5. 双机热备的两台设备硬件型号必须一致。不同型号的设备网口数不同,作为双机的设备进行配置同步时,也会同步网口的配置,会导致主备设备工作不正常。