某用户网络拓扑如下图所示，用户有两台 SANGFOR NGAF 防火墙部署在用户网络出口处做 SNAT，代理内网用户上网。防火墙 A 为主防火墙，防火墙 B 为备防火墙。用户希望实现当主防火墙出现问题时，备防火墙接替工作；防火墙 A 故障修复，则防火墙 A 自动切换成主防火墙，以实现防火墙的高度冗余。

第一步：首先配置防火墙 A。进入配置接口，配置接口为路由模式，并且配置好接口IP 地址等信息。请参考网络配置章节 3.2.1。此处不再赘述。此案例中需要将 ETH1 口定义成[外网区]，ETH3 口定义成[内网区]。将 ETH2 口定义成 HA 口。界面如下：

第二步：防火墙 A：配置源地址转换规则。代理内网用户上网。此处请参考 3.6.2.1 章节。

第三步：防火墙 A：进入『高可用性』-『基本信息』配置接口，选择本端 ETH2 接口为双机通信口。填写对端地址 10.10.9.10。界面如下：

第四步：防火墙 A：进入双机热备配置接口，点击新增，本案例中定义虚拟组为 100，防火墙 A 优先级为 100，勾选抢占。本案例中用到 ETH3 与 ETH1 口作为双机检测网口。配置页面如下：

第五步：防火墙 A：进入配置同步接口，选择三种配置进行同步，点击保存，页面如下：

第六步：配置防火墙 B，此处只需要配置防火墙 B 的 ETH2 口以及双机热备信息，其余的配置可以从防火墙 A 同步过来，不需要配置。进入防火墙 B 的配置接口，配置 ETH2 接口 IP 信息，页面如下：

第七步：防火墙 B：进入高可用性配置接口，基本信息，选择本端接口 ETH2。对端通信 IP 地址 10.10.9.9，点击保存，页面如下：

第八步：防火墙 B：进入双机热备配置接口，设置与对端设备一样的虚拟组 100，优先级设置要比对端设备低，此处设置为 90 ，备机不抢占，心跳时间设置与对端设备一致，否则无法同步数据。选择网口列表。页面如下：

第九步：防火墙 B：配置同步针对防火墙 B 可以设置，也可以不设置。设置之后，那么防火墙 B 的配置做了任何修改，也会往防火墙 A 同步。本案例中进行配置，进入配置同步接口，选取配置同步对象，页面如下：

第十步：将防火墙 A 和防火墙 B 都断电，并且接好在线架。防火墙 A 先开机，待防火墙 A 开机后，再开启防火墙 B。防火墙 B 起来后会向防火墙 A 索取配置信息。注意开机顺序不能反。