1 实验要求及网络拓扑图

（1）本实验采用以下网络拓扑图。

（2）其中各主机的网络设备所扮演的角色及作用如下：
真实机：不参与实验，只是为了远程管理防火墙，通过打开网页对防火墙进行管理。
winxp：作为公司内网主机，可以访问隔离区和外网区服务器。
win2003：一台，一台为外网区的PC。
防火墙：本实验采用天融信的防火墙topgate，两台防火墙，topgate1为活跃，topgate2为备份。

（3）本实验主要内容为搭配高可用性HA防火墙,inside区域员工可以正常上网，当活跃防火墙出故障后，仍不影响员工上网。注意，给给防火墙做备份与之前的路由器及核心交换机配置热备份有些区别。两个防火墙的接口配置除了心跳线的IP地址不一致外，其余均一致。热备份路由协议原理及路由器及核心交换机热备份实验演示看具体内容详见《HSRP-热备份路由协议原理及实验演示—基于Cisco Packet Tracer》和《核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer》。当其中一个防火墙为活跃防火墙时，另一个防火墙与PC的接口会逻辑down掉，而心跳线两端接口都是开启的。

（4）心跳线：完成两个防火墙之间的沟通：判断对方是否死机、同步数据（分为静态同步和动态同步）、完成热备份VRRP。一般采用光纤。

（5）VRRP：一个活跃/一个备份模式、两个均活跃模式。

2 实验演示过程—构建高可用性HA

在配置防火墙的HA时，防火墙先不要做其他配置，首先让两个防火墙建立主备关系，一旦主备关系建立，活跃防火墙上的配置可以通过心跳线同步到备份防火墙上。若活跃防火墙上的配置为手工配置的（如策略、IP），则需要工程师可以手动将活跃防火墙上的配置同步到备份防火墙上；若活跃防火墙上的配置是动态生成的（如PAT以及状态检测表中的会话状态），则两防火墙之间可以动态同步数据。

2.1 搭建网络结构

（1）按上述拓扑图搭建网络结构，将各PC桥接至各自VMnet中，并配置IP及网关（win2003-outside不指网关）。虚拟机的IP配置详细参考《 IP地址详解及其相关概念》

（2）将两台防火墙桥接到VMnet并开启。设备上有5块网卡，分别对应接口eth0~4，本次实验需要用到前三块，分别桥接到VMnet1至VMnet3上。

（3）将真实机的VMnet1启用并配置IP（真实机不用配置网关）→用真实机ping防火墙IP，能ping通。

2.2 防火墙配置

由于有两台防火墙，当真实机浏览器输入https://192.168.1.254:8080/打开防火墙管理页面时，不知道是打开的哪个防火墙的。这时可以将其中一台防火墙的网线拔掉（在现实中console线插的哪个防火墙就是配置哪个防火墙）。
（1）为topgate1防火墙配置心跳线接口IP。因为需要首先让两个防火墙建立主备关系，那么得先为topgate1防火墙把心跳线接口IP配好，首先将topgate2的网线拔掉（即将网卡1关闭），然后真实机浏览器输入https://192.168.1.254:8080/，先为topgate1防火墙设置心跳线IP地址。注意，两个防火墙的配置除了心跳线的IP地址不一致外，其余均一致，因此心跳线需要勾选非同步地址，而其他接口均不勾选。

（2）为topgate1防火墙配置热备份（此处为高可用性配置）。高可用性→设置本机及对端IP、设置跟踪接口→启用。启用后，工作状态会更新为“工作”

（3）为topgate2防火墙配置心跳线接口IP以及配置热备份（此处为高可用性配置）。关闭原防火墙配置网页→拔掉topgate1的网线（即将网卡1关闭）→将topgate2的网卡1重新连接→打开topgate2防火墙配置网页→设置心跳线IP地址→设置高可用性如下并启用，可以看到该防火墙为活跃防火墙（因为第一台防火墙现在有端口断开中）。

（4）为topgate1防火墙创建区域、配置其他接口IP路由、写策略、做DNAT等基础配置。关闭原防火墙配置网页→将topgate1的网卡1重新连接→用真实机打开防火墙配置网页→登录后是活跃防火墙对应网页（可以从心跳线IP地址判断是哪一台）→创建区域、配置其他接口IP、写策略、做DNAT等基础配置。创建区域时，可以考虑将心跳线接口划分为独立于内网区、外网区、隔离区之外的心跳区，不需要为该区域配置策略。创建区域、配置其他接口IP、写策略、做DNAT等基础配置具体可参考《天融信Topgate防火墙基础配置案例》。

（5）将活跃防火墙的配置同步到备份防火墙。同步成功会有提示。

2.3 验证

让winXP一直ping外网区的主机，ping -t 100.1.1.1，断开topgate1防火墙的任意一个接口，看能否一直ping通。在断开的一瞬间会丢点包，之后及时切换至备份防火墙后恢复正常工作。重新刷新防火墙的网页配置，重新登陆后自动更新为topgate2的页面。

tips:
1）当内网布置两个核心交换机、两个防火墙，两核心交换机与两防火墙两两相连的8个接口均设置为二层接口，可以大大降低网络配置难度且容易查错。

3 总结

（1）加深理解防火墙的工作原理和过程。
（2）理解动态路由热备份工作原理，并与HA的工作原理进行比较。
（3）掌握防火墙高可用性的配置方法。

参考文章

[1] 《防火墙部署实验（IP、策略、NAT、HA）——基于topgate防火墙的网页部署方法》
[2] 视频传送门

第30节天融信Topgate防火墙高可用性（HA）配置案例相关推荐

第29节天融信Topgate防火墙基础配置案例
防火墙配置目录 1 实验拓扑图及实验要求 1.1 网络拓扑图 1.2 实验1:验证防火墙的区域隔离及策略编写 1.3 实验2:做源转换SNAT 1.4 实验3:目标转换DNAT 1.5 实验4:应用层 ...
天融信虚拟企业防火墙学习
天融信虚拟企业防火墙学习防火墙的基本概念防火墙基本功能防火墙产品及厂家区域隔离防火墙的分类防火墙的发展历史衡量防火墙性能的5大指标防火墙的工作模式防火墙部署实验一:验证区域隔离及策 ...
如何配置天融信NGFW4000防火墙基于长连接的访问策略
a. 假设你已经通过串口初始化了防火墙4000(配置接口IP.GUI 登录权限等),并按照以上拓扑图连接好网络.创建了相关网络对象(如有疑问请参看"防火墙4000 管理配置"和&q ...
【高级篇 / System】(7.0) ❀ 04. 高可用性 HA 配置 ❀ FortiGate 防火墙
我们在机柜的最上方安装了一台思科的交换机和思科路由器,用来集中管理所有的设备,在我们配置HA的时候,就会发现它们的功能和作用了. 前面我已经将思科路由器的接口配置了IP地址10.10.10.10,可 ...
【天融信TOS防火墙故障排除及定位方法】网络数据抓包~温权~
文章目录一. TOS设备抓包命令以及注意事项: 二. wireshark的抓包方法以及数据过滤三.典型故障抓包技巧一. TOS设备抓包命令以及注意事项: NAT源地址转换抓目的地址,目的地址转换 ...
Netscreen 防火墙透明模式配置案例
防火墙的透明模式即防火墙内网和外网不设三层IP地址,不做路由或者地址转换,只有设置管理IP. 一般在现有复杂网络添加防火墙时采用.接口为透明模式时,NetScreen设备过滤通过防火墙的封包,而不会修 ...
天融信防火墙NGFW4000配置
这几天遇到一个问题,内网服务器通过防火墙NAT转换成公网地址,对方服务器通过公网地址能够访问服务器,但是通过服务器访问对方服务器时,访问不到,对面的服务器也是通过防火墙地址NAT转换过来的. 环境说明 ...
华云数据×天融信 | 提升云安全能力联合打造“数据中心云安全资源池解决方案”
在传统的数据中心架构中,往往堆叠着大量的安全专有设备,采用标准的主备模式.各式各样的命令行配置,形成一个多分区.机制复杂.体系庞大的安全防护架构.然而,随着云计算对资源调度方式的创新突破,传统架构的边 ...
天融信防火墙重置配置_天融信防火墙配置手册
天融信防火墙配置指南一.对象与规则现在大多防火墙都采用了面向对象的设计. 针对对象的行为进行的快速识别处理, 就是规则. 比如:甲想到 A 城市 B 地点.由这个行为就可以制定一些规则进行约束, ...

第30节天融信Topgate防火墙高可用性（HA）配置案例

目录

1 实验要求及网络拓扑图

2 实验演示过程—构建高可用性HA

2.1 搭建网络结构

2.2 防火墙配置

2.3 验证

3 总结

参考文章

第30节天融信Topgate防火墙高可用性（HA）配置案例相关推荐

最新文章

热门文章

第30节 天融信Topgate防火墙高可用性（HA）配置案例

目录

1 实验要求及网络拓扑图

2 实验演示过程—构建高可用性HA

2.1 搭建网络结构

2.2 防火墙配置

2.3 验证

3 总结

参考文章

第30节 天融信Topgate防火墙高可用性（HA）配置案例相关推荐

最新文章

热门文章

第30节天融信Topgate防火墙高可用性（HA）配置案例

第30节天融信Topgate防火墙高可用性（HA）配置案例相关推荐