防火牆負載均衡的實現技巧

在談及負載均衡應用的時候，說的最多的就是流量控制，網站負載，以及服務器負載等等。

那麼現在要給大家介紹的是防火牆負載均衡的應用。還是讓我們從基礎了解，防火牆大家都知道，它是安全上網的一道屏障，有了它在很多不安因子都被擋在門外。那麼，我們現在來看看如何進行防火牆的負載均衡。

防火牆負載均衡技術

概述

網絡安全性是許多ICP和ISP長期擔心的問題，網絡安全已經成為了人們關注的焦點？網絡安全技術將防火牆作為一種防止對網絡資源進行非授權訪問的常用方法？

盡管目前防火牆產品可以有效地防止網絡入侵，但是它本身也給ICP和ISP網絡帶來了問題。尤其是目前防火牆技術限制了網絡的性能和可伸縮性，並且由於防火牆經常成為單故障點，因而它降低了整體網絡的可用性。

由於防火牆處於數據路徑上，因此它們可能會限制網絡的性能和可伸縮性。在內部網絡和外部網絡之間的所有網絡流量都必須經過防火牆，可惜的是最適於防火牆的處理結構不適於檢查高容量的數據包，由於防火牆必須處理每一個數據包，因而造成了通信速度的下降，擴展防火牆的性能十分困難，因為它一般要直接升級到功能更強大的硬件平台。

也是由於防火牆安放在數據路徑上，因此它們形成了降低網絡資源可用性的單故障點。盡管多數防火牆可以使用市面上已有的高可用性軟件以熱備份的配置部署，但是迄今為止，沒有一種解決方案可以安全、可靠、高效支持多台防火牆同時工作。

新型Web交換機的防火牆負載均衡技術解決了上述問題，先進的Web交換機允許防火牆並行運行，使用戶無需將防火牆升級就可以最大限度地發揮防火牆的工作效力，擴展防火的性能，同時使防火牆不再成為一種單故障點。

實現原理

與傳統包交換機不同，Web交換機支持第四層以上的交換功能並具有維護不同TCP會話狀態的能力，這類設備為實現防火牆的負載均衡提供了完美的平台。在實施防火牆負載均衡技術時，至少需要兩台Web交換機：一台安裝在防火牆的外部，另一台安裝在內部。

改變所有輸入數據流流向的過濾器被配置在連接外部網和內部網的Web交換機端口上。

為保持高可用性，Web交換機對防火牆的健康進行監控，只將數據包發向健康的防火牆。Web交換機通過正常地向每個防火牆另一端對應的交換機發送ping數據包來監控防火牆的健康情況。

如果某個Web交換機接口不能回應ping命令，累計達到用戶定義的次數，這個Web交換機端口（以及暗指的相關防火牆）就被置成“服務器故障”狀態。同時，對應Web交換機停止向這個接口發送數據流，而將數據流分配到其余的健康的Web交換機接口和防火牆上。