F5 Bigip应用交换机实现防火墙负载均衡标准结构和阐述.pdf

防火墙负载均衡原理 F5 Bigip 应用交换机实现防火墙负载均衡 标准结构及阐述 Prepared By F5 Networks Inc, David Wang 2004-11-30 第一篇、 防火墙负载均衡原理 3 第二篇、 F5 Bigip 应用交换机实现防火墙负载均衡标准结构及阐述 10 公司主页: 2 第一篇、 防火墙负载均衡原理 防火墙负载均衡原理 一、为什么需要对防火墙进行负载均衡？ 1、消除性能瓶井： 单台防火墙性能不够；随着网络流量的增加，单台防火墙可能成为网络的瓶 井。通过实现防火墙的负载均衡，横加增加防火墙的数量，又保护了原有投 资。 2 、提高设备利用率： 处于Active/Standy 双机模式的防火墙可以转换成Active/Active 方式。 3、提高系统的扩展性： 采用负载均衡器对防火墙进行负载均衡，系统的扩展性大大增加，可以随着 网络流量的增加，横加增加防火墙的数量，而且新增加的防火墙并不局限在同 一型号。 二、防火墙负载均衡的典型网络架构： 对一进一出的二路防火墙，一般采用如下图的防火墙三明治结构（在实际 应用环境中，为了防止网络中出现单点故障，负载均衡器往往会采用双机结 构，具体的网络拓扑结构设计请参考＜＜F5 Bigip 应用交换机实现防火墙负载 均衡标准结构及阐述＞＞) ： 如果是采用Untrust, Trust, DMZ 的三路防火墙，则防火墙负载均衡的典型拓扑 结构如下： 公司主页: 3 Interne t Router A Router B DMZ 对于三路防火墙的负载均衡，在一个无单点故障的网络设计中要采用六台 负载均衡器。另外在三路防火墙负载均衡的设计中，针对防火墙的健康检查要 特别当心、精心设计。 三、为什么需要防火墙负载均衡需要采用三明治的结构？ 目前的绝大多数防火墙都是基于连接状态检测的防火墙，也即是说对于构成完 整用户会话的双向数据流进行监控，以确定数据流的合法性。当采用多台防火 墙对网络流量进行负载均衡时，如果数据流处理不当，可能出现的情况是对构 成同一个用户会话的双向数据包，在多台防火墙上进行处理，而每一个防火墙 上都看到到完整的用户会话信息。而防火墙如果看不到完整的用户会话信息， 就会将该数据包当作非法访问而抛弃掉。 只有采用三明治结构，通过在防火墙的两端都设置四层交换机，四层交换机可 以在作流量分发的同时，维持用户会话的完整性，使对某一用户的同一会话产 生的双向数据包始终都由同一台防火墙来处理，而使防火墙得于在负载均衡环 境下还可以正常工作。 公司主页: 4 四、F5 Bigip 应用交换机对防火墙作负载均衡时所用到的主要功能： 利用F5 Bigip 应用交换机对防火墙作负载均衡时，与用F5 Bigip 应用交换机 对服务器作负载均衡时类似，都是需要将防火墙放在一个Pool 里面，然后根据 Pool 的负载均衡算法在防火墙之间进行流量分发。 但为了支持防火墙负载均衡器上，F5 Bigip 应用交换机有以下几个功能是区别 于服务器负载均衡的：  Last Hop 功能 Bigip 上的La