文:侯小东
双机热备的概念目前已经深入人心了,当高端用户的业务应用对“7×24×365”的不间断运行提出苛刻的要求时,双机热备技术就成为满足这种业务应用需求必须的技术手段。而这种技术对于“串联“应用于网络中的设备同样提出了严峻的挑战,尤其以防火墙、IPS为代表的安全产品日益突出。
目前采取双机热备方式的防火墙都是基于Active-Standby的工作模式,即:一台防火墙工作在Active模式,我们称之为主动模式,另一台防火墙工作在Standby模式,我们称之为备份模式。正常情况下,Active主动防火墙进行工作,两个防火墙时刻保持配置的一致性,当主动防火墙出现“异常”,工作在Standby模式的防火墙马上接替主动防火墙进行工作,从而保证网络的畅通和业务的不中断运行。那么所谓的异常是指什么,传统的防火墙在判断异常时基本只考虑“链路是否畅通”一个方面,而引起链路中断的因素是很多的,比如:防火墙的网络接口故障;防火墙整机Down掉。这些最终都会引起“链路的中断”,那么到底是哪些原因更容易引起防火墙整机Down掉呢?
东软根据过去五年对金融、电信、电力等重要行业的安全设备进行有针对性的跟踪,发现引起防火墙整机Down掉的因素主要集中在以下几个方面:
1、防火墙硬盘故障,防火墙硬盘通常用来存放防火墙所产生的日志信息,因为安装防火墙内核的Flash卡容量有限,不可能提供长时间的日志存储功能,因此借助硬盘存储日志是最为普通和最为节省成本的应用,但硬盘在连续几年不间断运转的情况下,会出现故障,从而导致整机出现问题。
2、防火墙风扇故障,防火墙的CPU散热主要是依赖于风扇的快速转动,然而因为长年累月的灰尘堆积,造成风扇异常后引起设备CPU温度快速升高,严重时可以直接导致CPU频繁进行断电自我保护产生设备故障,这种直接导致系统瘫痪的案例与日俱增。
3、关键元器件的电压供应不稳定,以往机房增加设备时,只考虑是否还有空闲的机位和电源插座,并不衡量整个机房的电压供应情况,当整个机房的电压供应不足以完全满足所有设备正常运转时,设备的关键元器件便工作在一种不稳定的电压状态,导致产生故障的现象日益突显。
针对客户对安全的需求,东软公司时刻保持着自己敏锐的触觉,经过长时间的客户服务跟踪后,根据上述发现的问题,东软公司积极地提供技术方案。在NetEye FW5200防火墙中,系统全面丰富了双机热备所必须的“异常条件”的判断:
1、根据任何一个网络接口的通讯状态 ;
2、根据防火墙硬盘状态;
3、根据防火墙风扇状态;
4、根据防火墙电压状态;
5、根据防火墙温度状态。
NetEye FW5200防火墙可以创新的设置条件,根据防火墙自身硬件设备温度到到某一临界数值时就进行系统的HA切换。尤其值得一提的是东软NetEye FW5200防火墙在分析电压状态时;系统通过实时采集设备上十几个关键部件的电压的供应情况,从而实现电压状态的全面监控,及时发现因为电压异常造成的安全隐患。
中国建设银行作为奥运支撑单位,在奥运前统一采购了最新东软NetEye FW5200防火墙, 并以双机热备模式应用在其关键业务中,正是看重了东软NetEye FW5200防火墙所提供的全面的双机热备功能。东软防火墙的这一优秀特性为构建固若金汤的科技奥运又增添了一层坚实的安全壁垒。
东软网络安全 微信号:Neusoft_NetEye
