防火墙是网络安全基础架构的重要组件，互联网上的关键任务依赖于防火墙来提供安全保证，但它所带来的负面影响是站点可用性降低了，性能也受到了极大影响。由于防火墙成为跨网段网络联机的唯一枢纽，一旦防火墙因为任何原因无法发挥正常功能，造成的现象就是所有联机中断。这就是所谓的单一故障点。现今Internet联机的可靠度对组织、企业的重要性与日俱增，任何的故障点都可以造成利益的损失。因此如何提高防火墙可用度便成为防火墙业界发展的重要方向。接下来我将通过介绍冗余防火墙来解析负载平衡技术及其在防火墙中的应用，从而如何选择合适自己企业的防火墙负载平衡解决方案。

　　一、冗余对防火墙来说意味什么？

　　使用防火墙，就定义了一个中心"扼制点"，所有来自和去往Internet的信息都必须经过防火墙，都要接受防火墙的检查，这样，就防止了非法用户进入内部网络，禁止存在安全威胁的服务进出网络，并抗击来自各种路线的攻击。但是，单个的防火墙存在着单点脆弱性的问题，因为防火墙处于内部网络和外部网络相连的边界上，处于网络链接的关键部位，当该防火墙忙或者宕机时，服务就被迫中断了。为了防止这种情况的出现，应该使用冗余的防火墙来提供系统的容错性，同时也可以提高系统的处理能力。

　　使用冗余防火墙系统，能监测每个防火墙上的用户数目和流量，平等地动态分配单元进出的流量，保证所有安装的防火墙的性能处在最优化状态，这样整个系统处理数据流量的能力比单个防火墙就有了很大的提高。同时，不论处于备用状态还是负载均衡状态下，每个防火墙还监视其他设备的工作状态，当一个防火墙单元失效时，系统会将所有请求重新分配到其他单元上，并达到新的负载平衡。

　　防火墙的冗余解决方案为系统的自然增长提供了完备的可扩缩性，能够方便地管理一群相对低价位的防火墙或者VPN系统协同工作，而不用花费大量的投资升级到单个不具容错能力却价格昂贵的防火墙。另外，冗余防火墙能够提供不停顿的网络安全通信，保证了在正常的维护和升级期间的不间断服务。当要从网络上暂时移去一个防火墙时，系统会自动地将流量重定向到别的防火墙上，而增加一个防火墙时，系统也会自动地将流量重新分配到包括新防火墙的每个防火墙上。

　　二、冗余防火墙的种类

　　1、冷冗余式

　　在冷冗余的系统里，冗余防火墙处于离线状态。而所谓的冗余防火墙，就是网络上防火墙的预备品，该备品和线上防火墙在功能上是完全相同，包括了网络配置(主机名称、IP 地址、静态路由)、防火墙系统(厂商、版本、修补程序)、存取管制清单等。当网络上防火墙有任异常状况发生而无法提供正常功能或实施定期离线维护时，系统管理者须手动介入，将线上防火墙更换为备用品以继续提供服务。冷冗余系统的优点是成本低廉，因为只需要准备后备的防火墙，不需额外的冗余系统建置；缺点是需要管理者人为的介入(造成管理系统的负担及成本增加)、无法及时发现异常状况、无法自动化地切换、需手动维持两套防火墙组态设定上的一致性。

　　2、热冗余式

　　在热冗余的架构里，冗余防火墙是处于线上状态(实体联机)，但并未协同处理所有的网络联机(inactive)。冗余防火墙主要任务是随时监控主要防火墙的状态，一但主要防火墙因错误、失效无法提供正常服务而切换至离线状态时，冗余防火墙需及时接手处理后续的联机。因此热冗余模式又称为"主动/被动"模式的高可用度系统。热冗余系统明显地比冷冗余优秀，可以大幅提高可用度、降低downtime带来的影响，并提供自动化的监控以及切换机制。热冗余系统的优点是不需要系统管理者的人为介入，有效降低管理上的负担及成本，可以大幅提升可用度；缺点是必须额外建置高可用度系统，用以监控系统状态并对主要防火墙错误产生响应，成本较冷冗余高除了备品之外另须高可用度系统的建置，冗余防火墙因经常处于离线状态，需定期检验之以确保其功能在紧急切换时能顺利运作如此，亦增加管理上的负担。

　　3、负载平衡式

　　在负载平衡的架构里，2组(或以上)的防火墙组成防火墙丛集，防火墙丛集内的单一防火墙称为节点(Node)。防火墙丛集里每一个节点都是平行的，并未区分主要节点或备份节点，所有网络联机的处理会平均分散至丛集内的每一个节点。当丛集里有任何一个节点失效时，丛集里的其它正常节点会接着处理进行中的联机以及后续新建立的联机。因此负载平衡模式又称为"主动/主动"模式的高可用度系统。负载平衡技术所建构的防火墙丛集可提供最佳的稳定性，同时也能有效增加防火墙的处理能力。