配置NGFW4000防火墙双机热备策略

a. 假设你已经通过串口初始化了主防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络、创建了相关网络对象（如有疑问请参看“防火墙4000 管理配置”和“防火墙4000属性配置”相关文档或DEMO演示）；

b. 要求：两台防火墙4000组合应用，使得某条传输线路断开或其中一台防火墙出现故障的时候，另一台防火墙能够及时接替工作。实现方式如下：

c. 首先进入主防火墙的串口管理模式，执行如下命令：

将此防火墙设置为主防火墙模式，且把防火墙的ID号设置为0。

d. 然后进入另外一台防火墙的串口管理模式，执行如下命令：

将此防火墙设置为从防火墙模式，且把防火墙的ID号设置为1。

e. 第三步是通过防火墙管理软件连接上防火墙，可按实际网络环境需要配置相应的访问策略（如有疑问请参看“防火墙4000访问策略和通信策略”相关文档或DEMO演示）；

f. 接下来在防火墙管理器中点击“工具”→“配置管理” 中的“同步”按钮，使得主从防火墙的状态保持一致；

g. 以上步骤完成以后，防火墙即进入双机热备状态：一旦主防火墙系统出现故障或主传输线路中断时，从防火墙便会立即接替工作。

h. 本操作暂无DEMO演示（以后版本中会加以补充）。

注  意：

在双机热备的系统中，两台防火墙的软件版本必须相同，网络端口的数目和类型也要相同；必须将每个防火墙的最后一个接口作为热备口；心跳线必须选用交叉线连接；如果防火墙有多余的端口，必须将其DOWN掉，具体操作如下（进入串口模式）：

另外，两台防火墙的配置必须保持一致；管理员通过管理器只能对一台防火墙进行管理，配置完毕后，必须通过“同步”菜单将修改信息发送到另一台防火墙。

关键词：

状态传输开关：用于保护防火墙已经建立的连接在主从防火墙切换时不会导致丢失。例如某个连接经过主防火墙，此时主墙发生故障，由从墙接替工作。如果状态传输（STP）开关没有打开，则这个连接必须重新建立才能通信；如果开关打开，则连接不需要重新建立，两端的通信机器可以完全没有意识到故障的存在。

知识点：

双机热备：将两台网络设备并联在网络中，在任何时刻只有一台设备工作（称为主设备），另一台设备（称为从设备）监视主设备的工作状态；当主设备发生故障时，由从设备来接替工作。