防火墙负载均衡解决方案51CTO博客 - 千亿集团

防火墙负载均衡解决方案51CTO博客

2019年04月06日08时17分35秒 | 作者: 夏之 | 标签: 防火墙,负载,均衡 | 浏览: 2129

        近期项目傍边遇到了防火墙负载均衡的需求,拿出来和咱们评论一下。

        用户在项目中收购了4台国内某知名品牌的高端防火墙,本来计划经过防火墙本身集群的方法完成防火墙的负载分管和冗余布置,惋惜防火墙厂商的答复是假如选用集群的方法,4台防火墙的全体功用只能到达相当于1.5台防火墙的处理才能!也便是说有2.5台防火墙的功用被集群所限制和耗费掉了,不能彻底完成线性的功用递加。那怎么办?防火墙厂商提出的主张是,4台防火墙两两组成一对,每对防火墙选用主备方法布置,完成会话同步和冗余切换,这样两对防火墙可以供给2倍于单台防火墙的处理才能。这个计划好像比之前集群的解决计划要更好些!最少4台防火墙的承载才能有所进步了。看到这儿,或许现已有人想到了别的一个问题,这两对防火墙之间怎么分配流量呢?有人提出选用动态路由协议分配流量;有人提出选用战略路由,依据不同的源地址或许意图地址分配流量;也有人提出选用负载均衡设备分配流量等等。

        关于动态路由协议和战略路由方法来分配防火墙的流量,其缺陷相似与咱们在评论链路负载均衡时究竟选用动态路由协议仍是战略路由分配链路流量提出的一些观念和观点,这儿就不再烦琐一遍了。因为防火墙设备的特殊性,咱们还必须考虑怎么确保相同用户的进出流量都经过相同的防火墙,也便是表里网之间彼此拜访时原途径回来的问题。那么这两种解决办法的优势在于不需要额定添加设备。

        选用负载均衡设备来对防火墙完成负载分管其下风在于需要在防火墙表里两头都布置负载均衡设备,也便是咱们常说的”三明治“方法布置,额定布置负载均衡设备会添加用户的出资,这是这种解决计划的下风。那么咱们来看看怎么可以将下风的影响削减到最小呢?咱们先从进步防火墙的运用功率来下手,首要,选用了防火墙负载均衡的解决计划,咱们可以打破防火墙两两冗余的布置方法,将4台防火墙当作独立的设备来运用,每台防火墙都能承载事务流量,这样就可以真实发挥4台防火墙的处理才能,使其处理才能可以完成线性的添加!不会像防火墙集群或许两两冗余HA布置那样,损失掉防火墙的功用。也便是说在不添加防火墙设备的情况下,选用这种计划使的现有防火墙的事务承载才能可以进步1倍!节省了未来防火墙扩容的出资。添加了负载均衡设备的出资,削减了未来防火墙设备的出资,一进一出相抵,从出资视点来说,也并不是不划算的一个计划。

        除了出资方面的考虑,咱们再看看选用防火墙负载均衡计划能带来哪些优点:

  • 进步防火墙设备的利用率,简化了防火墙设备的办理和装备,可以发挥每台设备的最大功用;
  • 进步了防火墙的扩展才能,现有防火墙组群承载才能不行时,只需要在组群中添加防火墙即可,不必局限于原有防火墙的品牌、类型、处理才能;
  • 对每台防火墙可以供给多种健康检测机制,及时发现和躲避不可用的防火墙设备,完成防火墙之间的冗余布置;
  • 经过负载均衡设备的原途径回来”auto-last-hop“功用,可以很简单的完成进出防火墙选用相同途径的需求;
  • 经过负载均衡设备的会话坚持功用,确保相关买卖和信息都经过相同的防火墙,保证事务的完整性;
  • 利于外侧负载均衡设备抵挡来自外部的DDoS***,卸载防火墙的压力;

典型拓扑如下图所示:

外部一对AX设备选用主备冗余布置,对入向的流量进行防火墙负载分管,并对出向流量的应对数据流完成原途径(防火墙)回来;

内部一对AX设备选用主备冗余布置,对出向的流量进行防火墙负载分管,并对入向流量的应对数据流完成原途径(防火墙)回来;

后期结合此项目,再给咱们介绍一些详细的防火墙负载均衡装备示例。

 

S.G

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章