在談及負載均衡應用的時候，說的最多的就是流量控制，網站負載，以及服務器負載等等。那么現在要給大家介紹的是防火墻負載均衡的應用。還是讓我們從基礎了解，防火墻大家都知道，它是安全上網的一道屏障，有了它在很多不安因子都被擋在門外。那么，我們現在來看看如何進行防火墻的負載均衡。

防火墻負載均衡技術

概述

網絡安全性是許多ICP和ISP長期擔心的問題,網絡安全已經成為了人們關注的焦點?網絡安全技術將防火墻作為一種防止對網絡資源進行非授權訪問的常用方法?

盡管目前防火墻產品可以有效地防止網絡入侵，但是它本身也給ICP和ISP網絡帶來了問題。尤其是目前防火墻技術限制了網絡的性能和可伸縮性，并且由于防火墻經常成為單故障點，因而它降低了整體網絡的可用性。

由于防火墻處于數據路徑上，因此它們可能會限制網絡的性能和可伸縮性。在內部網絡和外部網絡之間的所有網絡流量都必須經過防火墻，可惜的是最適于防火墻的處理結構不適于檢查高容量的數據包，由于防火墻必須處理每一個數據包，因而造成了通信速度的下降，擴展防火墻的性能十分困難，因為它一般要直接升級到功能更強大的硬件平臺。

也是由于防火墻安放在數據路徑上，因此它們形成了降低網絡資源可用性的單故障點。盡管多數防火墻可以使用市面上已有的高可用性軟件以熱備份的配置部署，但是迄今為止，沒有一種解決方案可以安全、可靠、高效支持多臺防火墻同時工作。

新型Web交換機的防火墻負載均衡技術解決了上述問題，先進的Web交換機允許防火墻并行運行，使用戶無需將防火墻升級就可以最大限度地發揮防火墻的工作效力，擴展防火的性能，同時使防火墻不再成為一種單故障點。

實現原理

與傳統包交換機不同，Web交換機支持第四層以上的交換功能并具有維護不同TCP會話狀態的能力，這類設備為實現防火墻的負載均衡提供了完美的平臺。在實施防火墻負載均衡技術時，至少需要兩臺Web交換機：一臺安裝在防火墻的外部，另一臺安裝在內部。

改變所有輸入數據流流向的過濾器被配置在連接外部網和內部網的Web交換機端口上。

為保持高可用性，Web交換機對防火墻的健康進行監控，只將數據包發向健康的防火墻。Web交換機通過正常地向每個防火墻另一端對應的交換機發送ping數據包來監控防火墻的健康情況。如果某個Web交換機接口不能回應ping命令，累計達到用戶定義的次數，這個Web交換機端口（以及暗指的相關防火墻）就被置成“服務器故障”狀態。同時，對應Web交換機停止向這個接口發送數據流，而將數據流分配到其余的健康的Web交換機接口和防火墻上。

當一個Web交換機接口處于“服務器故障”狀態時，其對應的Web交換機繼續以用戶配置的速率向它發送ping命令，在發回第一個成功的ping回應后，該接口（以及防火墻）恢復到服務狀態。

前幾節描述的防火墻健康監控技術是Web交換機保證應用程序高可用性的一種方式。在采用防火墻負載均衡技術的同時使用熱備份Web交換機，可以使應用獲得更高水平的可用性。在使用防火墻負載均衡技術的情況下,可以采用Web交換機對（一臺處于工作狀態，另一臺處于熱備份狀態。）來構造整個系統無單故障點的網絡拓撲結構，這意味著Web交換機不是單故障點，使用它不會造成網絡另一些點上的單故障點。

防火墻負載均衡功能實現

在案例中，使用了四臺交換機，兩臺位于防火墻的外部，兩臺位于防火墻的內部。

在實施熱備份配置時，每對Web交換機中的一臺被指定為激活交換機，另一臺被指定為備份交換機。在激活Web交換機與備份Web交換機之間配置一條直通鏈路，即所謂的故障轉移鏈路。通常故障轉移鏈路在激活的和備份Web交換機之間只傳遞Web交換機狀態信息，數據流只有在激活Web交換機端口現出故障的情況下才經過故障轉移鏈路傳輸。如果激活Web交換機檢測到鏈路故障的話，它就將此信息通過故障轉移鏈路通知備份Web交換機。如果備份Web交換機上的相應端口是健康的話，該端口就被激活。