工业防火墙主备是什么？

防火墙设备是一个单点，所有信息都必须通过一个点。如果出现故障，整个信息流将被中断。确保信息的连续流动非常重要，因此必须解决防火墙设备的单点故障。

为了解决这个问题，您可以通过两个防火墙执行冗余路由备份。一个是主防火墙，另一个是备份防火墙。主防火墙和备份防火墙的每个接口都连接到相应的安全区域。通过VRRP协议协商确定防火墙的活动和等待状态，并通过HSB协议进行防火墙会话表条目的同步。

工业防火墙主备

防火墙是一个有状态的防火墙，它只检查会话流中的第一个数据包，并动态创建会话表条目。对于每个动态创建的会话连接，防火墙都有一个会话表条目来记录用户会话的状态信息。以下消息（包括反馈）只有当它与会话表条目匹配时，它才能通过防火墙。

工业防火墙主备基本网络图

如图所示，防火墙A作为主设备执行所有数据传输操作，并在其上创建许多动态会话表条目。防火墙B处于备份状态，不传递流量。

如果防火墙A不工作或相关链接出现问题，则防火墙B将切换到新的主防火墙以接收传输任务。

如果会话表条目在状态更改之前没有备份到防火墙B，则业务可能会由于与防火墙B的会话表不匹配而中断，因此之前通过防火墙a的所有会话都无法通信。

实时备份主防火墙和备份防火墙之间的会话表和状态信息，以确保在主防火墙发生故障时备份防火墙的顺利运行。当前防火墙主防火墙和备份防火墙使用HSB机制来备份和同步主防火墙和备用防火墙之间的会话表和状态信息。

防火墙主机和备份的状态要求

防火墙的VRRP状态必须一致。也就是说，连接到防火墙的每个安全区域的多个接口必须是活动的和备用的。

假设防火墙A和防火墙B的VRRP状态相同，则防火墙A的所有接口均处于主状态，防火墙B的所有接口都处于备用状态。此时，信任区的PC1访问信任区的PC2，消息传递路径为（1）-（2）-（3）-（4）防火墙A发送访问包时，动态生成会话表条目。如果防火墙A的反馈达到（5）-（6）-（7）-（8），它将与会话表一致并顺利返回，实现无缝通信。

假设防火墙A和防火墙B的VRRP状态不匹配。例如，如果防火墙B和信任作用域之间的接口处于备用状态，但信任作用域接口处于主状态，则PC1消息将通过防火墙A到达PC2，并在防火墙A上动态生成。来自PC2的反馈来自路径（5）-（9）通过返回。除非其他数据包过滤规则允许，否则防火墙B将丢弃数据包，导致会话中断，因为流的会话表条目不在防火墙B中。

此外，通过交换机的SmartLink确保与交换机的下行链路连接，以确保连接的稳定性，两个防火墙设备之间的直接连接确保在下行链路故障的情况下，流量通过该链路路由到另一个防火墙。