防火墙简单组网方案之双机热备

两台设备，一主一备。

以下是我操作步骤，刚学习深信服设备不久，好多地方不规范，欢迎大家批评指正。

实验拓扑图（画图是用的process on）

1.划分区域

2.配置防火墙AF1。

【网络配置】——【接口/区域】，并且配置好接口IP地址等信息。ETH1口配置成外网区域，

ETH3定义成内网区域，将ETH2口定义成HA口。如下图：

3.接口总览

4.默认上网路由和回指路由

5.防火墙AF1

进入【高可用性】配置接口，选择本端ETH2接口作为双机通信口，填写对端地址

10.10.9.10，如下图：

6.防火墙AF1

启用双机热备，进入双击热备配置接口，点击新增，定义虚拟组为100，防火墙AF1优先级

为100，勾选抢占，双机检测口为ETH3与ETH1,如下图：

7.防火墙AF1

进入配置同步接口，选择四种配置同步，如下图：

8.配置防火墙AF2，配置ETH2接口IP信息。

如下图：

9.防火墙AF2

进入高可用性配置接口，基本信息，选择本端接口ETH2。

对端通信IP地址10.10.9.9。如下图：

10.防火墙AF2

进入双击热备配置接口，设置与对端设备一样的虚拟组100，

优先级设置为90，设备不抢占，心跳时间设置与对端设备一致。如下图：

11.防火墙AF2

配置同步

12.将防火墙AF1和防火墙AF2都断电，并且接好在线架。

防火墙AF1先开机，待防火墙AF1开机后，再开启防火墙AF2。

防火墙AF2起来后，防火墙AF1会向防火墙AF2同步配置。

注意开机顺序不能反。

13.定义对象

14.地址转换

15.应用控制策略（内网到外网的放行）

16.安全防护策略（上网场景，服务器访问场景）