网络安全防御保护 Day4

要点一：防火墙的智能选路

就近选路：

       在访问不同运营商的服务器时直接通过对应运营商的链路，以此来提高通信效率，避免绕路。

策略路由（PBR）：

       这是一种基于用户定义的策略（如业务需求、安全要求或其他条件）来执行数据包转发的机制，相较于传统路由，策略路由更具灵活性，适用场景更为广泛。

智能选路（全局路由策略）：   

DNS透明代理：

       当防火墙收到DNS请求时，会根据自己的策略和路由信息来选择一个最佳的DNS服务器来响应这个请求，让流量能更均匀地分配到多条链路上，从而提高流量转发效率和服务质量

注：DNS透明代理的前提是开启就近选路。

要点二：防火墙的可靠性保证

双机热备技术：

       两台设备同时运行，在一台设备出现故障的情况下，另一台设备可以立即替代原设备。

VRRP（虚拟路由器冗余协议）技术：

       在VRRP组中，路由器被分配为主路由器和备份路由器,其中，主路由器负责响应和处理客户端的请求，而备份路由器则负责在主路由器出现故障时接替其工作。通常情况下，VRRP备份组之间是相互独立的，当一台设备上出现多个VRRP组时，他们之间的状态无法同步。

VGMP（华为私有协议）:

       这个协议就是将一台设备上的多个VRRP组看成一个大组，之后统一进行管理、统一切换的协议，以此来保证VRRP组状态的一致性。

HRP（华为冗余协议）：

       HRP常用于备份配置信息和状态信息。这个协议有一个前提，就是两台设备之间必须专门连一根用于备份的线路（心跳线）。该线路的接口必须是一个三层接口，且需要配置对应的IP地址。这条备份数据的链路不受路由策略限制。

三种备份方式：

1.自动备份

       默认开启自动备份，可以实时备份配置信息。但是，自动备份不能立即同步状态信息。这种备份一般是在主设备上状态生成后一段时间（10s左右）同步到备份设备上。

使用命令Hrp standby config enable可以让备份设备上的配置同步到主设备上。

2.手动备份

       由管理员手动触发，可以立即同步配置信息以及状态信息。

3.快速备份

       该模式仅使用在负载分担的工作方式下，因为在负载分担的场景下，两台设备都需要处于工作状态，为了避免因为状态信息同步不及时，导致业务流量中断，所以默认开启快速备份。快速备份可以实时同步状态信息。但是该方式不会同步配置信息。