飞塔（Fortinet）双防火墙配置通常指两台防火墙设备的高可用性（HA）或负载均衡部署，常见模式包括 ** 主动 - 被动（Active-Passive）**和 **主动 - 主动（Active-Active）** 两种。

以下是常见的双防火墙配置模式及关键步骤：

一、高可用性（HA）模式

FortiGate支持两种主要的HA模式：

1. 主动-被动（Active-Passive）

   • 主设备处理所有流量，备用设备处于待机状态，实时同步会话和配置。
   • 故障时，备用设备自动接管。

2. 主动-主动（Active-Active）

   • 两台设备同时处理流量，负载均衡（需虚拟集群功能支持）。
   • 适用于高性能场景，但配置复杂度更高。

二、HA配置步骤

1. 前提条件

• 两台相同型号的FortiGate设备。
• 固件版本完全一致。
• 通过专用接口（如HA心跳线）连接两台设备的HA端口（或指定接口）。

2. 配置流程

a. 基础HA设置

1. 启用HA模式\ 进入Web管理界面：

   • 导航到 系统管理 > 高可用性。
   • 模式选择 主动-被动 或 主动-主动。
   • 设置 组名称 和 组密码（用于设备间通信加密）。

2. 心跳接口配置

   • 指定HA心跳接口（建议专用物理接口）。
   • 配置心跳IP地址（如 10.0.0.1 和 10.0.0.2）。

3. 同步配置

   • 勾选 配置同步，确保主设备配置自动同步到备用设备。

b. 监控与故障切换

• 监控接口：指定需监控的接口（如WAN口），若主设备接口失效则触发切换。
• 优先级设置：设置主备设备的优先级（数值低者为主设备）。

c. 保存并激活

• 提交配置后，备用设备将自动重启并同步配置。

三、双防火墙独立部署模式

若需两台防火墙独立工作（非HA），常见场景如：

• 内外网分层防护：一台处理外部流量，另一台保护内部核心网络。
• 多区域隔离：如DMZ与内网分别部署防火墙。

配置要点

1. 路由策略

   • 明确流量路径（如外网→防火墙A→防火墙B→内网）。
   • 配置静态路由或动态路由协议（OSPF/BGP）。

2. 安全策略联动

   • 在两台设备上分别定义安全策略，允许必要流量通过。
   • 示例：防火墙A放行HTTP到防火墙B，防火墙B放行HTTP到内部服务器。

3. NAT与VPN

   • 若需跨防火墙通信，配置NAT规则或IPSec VPN隧道。

四、注意事项

1. 固件兼容性

   • 确保两台设备固件版本一致，避免同步失败。

2. 心跳线冗余

   • 建议使用双心跳线（不同物理接口）防止单点故障。

3. 会话同步

   • 在HA模式下，启用 会话同步 以避免故障切换时连接中断。

4. 测试验证

   • 手动触发故障（如断开主设备电源），验证备用设备接管是否正常。

五、常见问题排查

• HA状态异常：检查心跳线连接、IP冲突、防火墙规则是否阻塞HA通信（默认使用UDP 7086端口）。
• 配置不同步：确认两台设备的HA组名称、密码一致，且未启用独立配置覆盖。
• 脑裂（Split-Brain）：确保心跳线延迟低，避免网络分区导致双主冲突。

通过上述配置，可有效实现飞塔双防火墙的高可用性或分层防护。具体操作细节建议参考FortiGate官方文档或结合实际网络拓扑调整。

详解主动-主动（Active-Active）模式

在飞塔防火墙的主动-主动（Active-Active）模式中，两台防火墙设备同时处理流量，通过负载均衡提升性能和资源利用率。与主动-被动模式不同，此模式需要**虚拟集群（Virtual Cluster）**功能支持，且配置更为复杂。以下是详细配置说明及注意事项：

一、主动-主动模式的核心特点

1. 负载均衡

   • 流量按策略（如轮询、哈希算法）分配到两台设备。
   • 支持流量分片（例如按源IP或协议类型分配）。

2. 会话同步

   • 两台设备实时同步连接状态（会话表），避免故障切换时连接中断。

3. 高可用性

   • 任一设备故障时，另一台自动接管全部流量。

二、配置前提

1. 硬件要求

   • 两台相同型号的FortiGate设备（需支持虚拟集群功能，如FortiGate 100F及以上型号）。
   • 固件版本完全一致（建议使用官方认证版本）。

2. 网络连接

   • HA心跳线：专用接口用于设备间通信（建议至少两个独立接口冗余）。
   • 数据接口：确保两台设备的上联（WAN）和下联（LAN）接口物理连接一致。

三、主动-主动模式配置步骤

1. 启用虚拟集群（Virtual Cluster）

1. 登录主设备Web界面，进入 系统管理 > 高可用性。
2. 选择模式为 主动-主动（Active-Active）。

3. 配置以下参数：

   • 集群ID：唯一标识集群的编号（如1）。
   • 会话同步：启用会话同步（Enable Session Sync）。
   • 负载均衡算法：选择流量分配方式（如基于源IP哈希或轮询）。

2. 心跳接口配置

1. 指定两个物理接口作为心跳线（如port7和port8）。

2. 配置心跳IP地址（例如：

   • 主设备：10.0.1.1/24

   • 备设备：10.0.1.2/24

   注：心跳IP需在同一子网，且不与其他网络冲突。

3. 集群成员配置

1. 在两台设备上分别设置集群优先级（数值低的设备默认为主协调节点）。
2. 配置监控接口（如WAN1、LAN1），若接口失效则触发流量迁移。

4. 配置同步

1. 在主设备启用 配置同步（Configuration Sync），确保策略和规则自动同步到备设备。

2. 手动检查同步状态：

   # 在CLI中执行
   get system ha status
   

   确认状态为 Cluster in Active-Active mode，且会话同步正常。

5. 负载均衡策略（可选）

• 若需自定义流量分配规则，可通过策略路由或SD-WAN规则细化流量路径。
• 示例：将视频流量定向到设备A，普通HTTP流量定向到设备B。

四、注意事项

1. 会话同步限制

   • 某些协议（如IPsec VPN、多播流量）可能不完全支持会话同步，需单独配置。

2. 性能影响

   • 会话同步会增加设备间通信开销，确保心跳线带宽充足（建议千兆及以上）。

3. 避免脑裂（Split-Brain）

   • 使用冗余心跳线，防止链路中断导致两台设备同时认为自身为主节点。

4. 固件兼容性

   • 虚拟集群功能可能依赖特定固件版本，升级前需查阅官方兼容性矩阵。

五、典型应用场景

1. 高流量数据中心

   • 分担大带宽流量（如视频流、云计算服务）。

2. 多租户环境

   • 为不同租户分配独立防火墙资源。

3. 零信任架构

   • 通过双活防火墙实现流量分段和深度检测。

六、常见问题排查

1. 集群状态异常

   • 检查心跳线连通性，确认无ACL或防火墙规则阻塞UDP 7086/7087端口。

2. 负载不均衡

   • 调整负载均衡算法或检查策略路由配置。

3. 会话不同步

   • 确认两台设备型号和固件完全一致，重启HA服务：

     diagnose sys ha reset-uptime
     

七、总结

主动-主动模式适合需要最大化吞吐量和资源利用率的场景，但需确保硬件兼容性、网络冗余和配置一致性。部署后务必进行故障切换测试（如拔掉主设备电源），验证流量无缝迁移。详细配置可参考FortiGate官方文档：FortiGate Cluster Guide。