一、集群部署背景

1. 业务需求 随着公司业务的不断扩展和数字化转型的推进，网络安全成为保障业务连续性和数据安全的关键因素。现有的单机防火墙虽然能够基本满足日常的网络安全需求，但在面对高流量、复杂攻击和硬件故障时，存在明显的局限性。为了进一步提升系统的可靠性和安全性，公司决定部署防火墙双机高可用方案。
2. 增加数据可靠性 数据冗余：通过部署双机高可用方案，可以在主防火墙发生故障时，无缝切换到备用防火墙，确保数据传输的连续性和完整性。 负载均衡：双机高可用方案可以实现负载均衡，分散网络流量，减少单点故障的风险，提高整体系统的稳定性和性能。 数据备份：双机高可用方案通常配备数据同步机制，确保主备防火墙之间的数据一致性和同步，进一步增强数据的可靠性。
3. 安全保障 故障恢复：在主防火墙发生硬件故障、软件故障或网络中断时，备用防火墙可以立即接管工作，确保业务不受影响，提高系统的容错能力。 攻击防护：双机高可用方案可以提供更强大的攻击防护能力。主备防火墙可以协同工作，共同抵御复杂的网络攻击，如DDoS攻击、SQL注入、XSS攻击等。 安全审计：双机高可用方案可以提供更全面的安全审计功能。主备防火墙可以记录详细的日志信息，帮助安全团队快速定位和响应安全事件。
4. 提升用户体验 减少停机时间：通过双机高可用方案，可以显著减少因维护、升级或故障导致的停机时间，提升用户的满意度和信任度。 优化性能：负载均衡和资源优化可以提高系统的响应速度和处理能力，确保用户在高峰时段也能获得流畅的体验。
5. 合规性和监管要求 符合行业标准：许多行业标准和法规要求企业采取高可用性和灾难恢复措施，以确保业务连续性和数据安全。部署防火墙双机高可用方案有助于公司符合这些标准和法规要求。 风险管理：通过部署双机高可用方案，可以有效降低因网络安全事件导致的业务中断和数据泄露风险，提升公司的风险管理水平。
6. 未来扩展 灵活性和可扩展性：双机高可用方案具有良好的灵活性和可扩展性，可以根据业务发展的需要，轻松添加更多的防火墙节点，进一步提升系统的性能和可靠性。 技术演进：随着网络安全技术的不断发展，双机高可用方案可以更容易地集成新的安全技术和工具，确保公司在未来的竞争中保持领先地位。

二、集群部署架构

1.架构说明：

• CP防火墙在Ali部署cluster集群模式，采用Active/Standby模式
• CP防火墙总有3个接口，一个外网口，一个内网口，一个HA心跳口
• 公网访问内网服务器，将数据转发Active公网口，配置DNAT策略
• 内网服务器访问Internet写入自定义路由，将数据转发Active内网口，配置SNAT策略，访问公网
• 东西向访问通过配置对应的VPC路由指向防火墙，由防火墙控制访问策略

2.部署准备：

• 部署前提是已经安装了CheckPoint防火墙管理工具SMC
• Ali云CheckPoint部署脚本

https://github.com/mgf0911/CloudGuard-China/tree/main/terraform-China/alicloud-multi-versions/cluster

通过git clone

• 创建用于防火墙的key并下载密钥文件
• Ali云创建RAM账号，并授权VPC、ECS、EIP、RAM操作权限。访问控制 –> 用户 –>权限管理
• 安装terraform环境及设置变量
• 创建AccessKey

三、集群部署操作

1.设置环境变量

Configure environment variables in Linux:

$ export ALICLOUD_ACCESS_KEY=anaccesskey

$ export ALICLOUD_SECRET_KEY=asecretkey

$ export ALICLOUD_REGION=cn-beijing

Check Point Terraform 模板结构介绍

cluster 目录，在现有 VPC 中部署 cluster（及 cluster-master 使用的部分资源文件）

cluster-master 目录，创建新的 VPC 及 vSwitch 并部署 cluster

gateway 目录，在现有 VPC 中部署单台 firewall（及 gateway-master 使用的部分资源文件）

gateway-master 目录，创建新的 VPC 及 vSwitch 并部署单台 firewall management 目录，在现有 VPC 中部署管理服务器 management-master 目录，创建新的 VPC 及 vSwitch 并部署管理服务器 modules 目录，公共资源目录

2.脚本编写必填项

特别注意，在调用路由表添加的0.0.0.0/0路由需要确认当前业务是否受影响

3.进入cluster对应目录，然后进行terratorm init初始化部署

4.进入cluster对应目录，然后进行terratorm plan查看部署资源

5.进入cluster对应目录，然后进行terratorm apply进行资源部署

6.防火墙状态检测

• WEB登录两台防火墙，修改时区为shanghai
• WEB登录两台防火墙，需要更新最新补丁

7.将两台防火墙加入cluster集群

• 在管理机配置添加两台防火墙，为方便管理，建议SMC部署在与防火墙同子网，点击新建按钮，选择cluster-cluster按钮
• 选择自定义部署

• 配置cluster信息
• 添加防火墙进集群
• 配置接口信息，并关闭接口anti-spoofing
• 策略下发，初次下发建议将默认Drop策略改成Accept
• 下发成功，登录专家模式命令行，确认HA状态

#cphaprob state

四、验证测试

HA切换测试

如果 Active 的防火墙离线，在线防火墙会调用挂载的 RAM Role 执行以下操作

• 解绑防火墙 A 和防火墙 B 的 eth0 接口上的 EIP
• 对调两个 EIP 并重新绑定，原先防火墙 A 的 EIP 绑定在防火墙 B 的 eth0 上，原防火墙 B 的 EIP 会绑定到防火墙 A
• HA 切换中的 EIP 对调基于 EIP tag name 中的关键字 -primary- 和 -secondary-，如果需要更换其它 EIP 请保证 tag name 中包含这两个关键字。
• 自动修改绑定在 Private-vswitch 的路由表（Tag 名为 Internal_Route_Table 的路由表） 路由表修改的内容

联蔚盘云——国内领先的多云管理服务提供商

联蔚盘云秉持“帮助客户创造更多价值” 理念，基于深厚的行业经验和客户洞察，以技术创新为本，持续耕耘于云管理服务，为众多中大型行业客户提供基于自主研发基础上的FinOps 云成本优化（订阅制）、AI 大模型，平台工程全生命周期管理、信息安全- 等保、云安全、AI 安全、合规咨询、MSP- 云迁移、云运维、云灾备一站式服务、数据等多云管理全生命周期领先产品及解决方案，帮助客户降本提效、通过云能力提升驱动业务，迎接瞬息万变的挑战，赋能企业数字化转型，拥有云、SRE、安全、项目管理等各领域的专业认证，连续多年获得Gartner 等市场权威机构认可，是微软、阿里云和AWS 等公有云头部合作伙伴。

联蔚盘云20 多年成功服务了100+ 世界及中国500 强客户，基于深厚的行业经验和客户洞察，在零售、消费品、汽车、制造、房地产、金融等行业帮助客户应对数字化时代瞬息万变的商业挑战，创造共创共赢的合作模式，让多云管理更简单。