这部分包括以下内容:
给现有防火墙添加一个备份防火墙即可使用阿姆瑞特HA。备份防火墙具有与主防火墙相同的配置。备份防火墙不工作,监控主防火墙,直至认为主防火墙不再起作用,这时备份防火墙会激活,进行数据包的转发、过滤。
备份防火墙的硬件与主防火墙的硬件不完全相同。例如:您可以选择用F300作为F600的备份,因为HA与硬件无关,但是因为不同型号的防火墙吞吐量不同,因此在作HA的时候,我们建议使用型号相同的防火墙,这样可以防止当型号低的防火墙出于主动状态的时候,降低吞吐量。
阿姆瑞特HA提供冗余,同步状态防火墙解决方案。这表明激活防火墙的状态,即连接表和其他重要信息是连续拷贝到不工作防火墙的。当备用防火墙接管不工作防火墙失败时,他知道哪些连接是激活的,可以不中断地进行通讯。失败接管的时间通常为一秒,而正常TCP转发超时情况下,一般要超过一分钟。通过防火墙连接的客户在包丢失时仅经历接管失败的过程,与TCP在这种情况下经历的过程一样,在一,两秒内转发丢失的包,然后继续通讯。
给防火墙设置添加冗余功能后,将删除通讯路径中失败单点中的一个点。可是,这对所有可能的失败通讯不是万能的。例如:如果路由器,交换机等设备没有进行备份,那么当这些设备出故障的时候,网络也不同通了。此外,阿姆瑞特HA不具有负载均衡的功能。只能一个防火墙是激活的,另一个是不工作的。
防火墙在作HA的时候,不能使用多个备份的防火墙。只支持两个防火墙:主、从防火墙。与所有其他支持状态失败接管的防火墙一样,阿姆瑞特HA只在两台阿姆瑞特防火墙之间工作。
同时,目前HA不具备接口备份的功能,这意味着尽管一个或多个接口不起作用,如果激活的防火墙能够通过其任何接口与未激活的防火墙进行现场通讯,就不会接管失败。
主防火墙的所有接口应出现在连接在同一网络的备份防火墙上。如前所述,不会实施不必要的失败接管,所以,任何防火墙可以延期保持HA集群的主动角色。因此,把某个设备只连接到“主”或“从”防火墙可以限制产生不期望的结果。
如图所示,两台防火墙同时连接到内部和外部网络上。如果有更多的网络,如一或多个非军事保护区,或内部网段,这两台防火墙也要与这些网络连接,把“主”防火墙接入网络很可能会丢失延期的连接。