随着企业的不断发展,网络访问数量大大增加。这对企业网络出口的防火墙/VPN备高可用性有着非常高的要求,这是因为:防火墙/VPN是一种网关级设备,设备本身一旦不能正常工作,整个网络就会随之瘫痪。
1.问题分析
信息服务的效率、速度、可靠性、连续性对于一个企业的生产、销售、宣传等已经起着不可估量的作用。
随着企业的不断发展,网络访问数量大大增加。这对企业网络出口的防火墙/VPN备高可用性有着非常高的要求,这是因为:防火墙/VPN是一种网关级设备,设备本身一旦不能正常工作,整个网络就会随之瘫痪。
显然,单台防火墙/VPN的安全性配置不能完全解决这个问题,所以将多台防火墙/VPN并联起来,提供高效、安全的服务就成为解决防火墙/VPN系统负载及安全性问题的唯一方案。
但是,如果将多台服务器通过网络交换机简单的进行连接,提供相同的服务,将遇到以下问题:
由于防火墙需要记录进、出数据包的会话信息,所以将多台服务器通过网络交换机简单的进行连接,必然造成防火墙进、出数据包的不一致,如上图所示,如果数据包从防火墙/VPN 2出去,但是从防火墙/VPN 1回来,这样会导致网络通讯中断。
2. 解决方案为了解决以上问题,北京融通九洲科技有限公司提出了防火墙/VPN负载均衡解决方案,从而提高防火墙/VPN系统的性能、可靠性、可扩展性。
将多台防火墙/VPN设备通过负载均衡交换机进行连接,可以实现以下功能:
防火墙/VPN负载均衡可以使多个防火墙/VPN设备同时运行,从而提高防火墙/VPN服务的整体性能;
防火墙/VPN负载均衡可以通过检查防火墙/VPN设备的健康状态,保证防火墙/VPN服务的可用性;
防火墙/VPN负载均衡可以在线的更换和增加防火墙/VPN设备,提高防火墙/VPN服务的可维护性和可扩展性;