增強網絡彈性的五個策略

網絡彈性(cyber resilience)也稱為運維彈性(operational resilience)是指網絡在遇到災難事件時快速恢復和繼續運行的能力。災難事件的范疇很廣泛，比如長時間停電、網絡設備故障、惡意入侵和技術新人不小心在服務器上灑了咖啡等等。當我們在處理一些可能導致系統和公司業務崩潰且完全未知的運營變數時，網絡彈性可以保持網絡的正常運行。

網絡防火墻是一個實現網絡彈性的重要區域。下面5個策略可以幫助我們挺過那些可能導致整體運營崩潰的重大危機。

1、雙活集群

保證總部站點和VPN連接持續可用是保證業務持續性的重要條件，而這個高可用策略包含了雙活集群的概念。雙活集群是指所有節點都是激活的，因此它們能夠在其他節點出現故障時快速接管它的負載。使用雙活集群可以保證靈活生站點保護，其效果相當于在每一個集群中使用多個活躍節點。而且，它可以讓我們在不斷開連接的前提下隨時升級和降級代碼及更新軟件。這種運維模式可以優化防火墻的總吞吐量，從而使我們只需要使用一個防火墻就可以應付嚴重的故障事件。

2、有狀態故障轉移

當系統出現流量中斷或任意干擾時，客戶的不滿和問題擴大可能性也會隨之出現。有狀態故障轉移可以避免這兩種情況。這個策略會在一個備份設備上記錄主設備的會話，然后備份設備會在主設備宕機時馬上切入。會話完全不會中斷，客戶不會感覺到影響，也不知道有連接丟失和問題得到了控制。有狀態故障轉移是實現節點或鏈路故障轉移的必要條件，也能夠在時間要求極其苛刻的軟件升級過程中發揮重要作用。

3、多條互聯鏈路

如果只有一條互聯網連接鏈路，那么這個鏈接中斷會產生一個單點故障源。在防火墻中接入多條互聯網鏈路的代價小于租用專線或多協議標簽交換(MPLS)，而且可以在一條或多個網絡連接中斷時仍能保證互聯網的高可用性。多條鏈路應該跨越多個ISP或位置，要在鏈路之間應用負載遠程，同時要支持混合連接方法，其中包括非對稱數字訂閱線路、移動、MPLS和IP等。

4、管理系統的高可用性

網絡彈性策略需要保護管理能力，而這可以通過管理系統的高可用性實現。保證管理系統的防火墻可以讓管理員保持對配置視圖和配置變化的恒定無延遲網絡控制，以及更好地監控狀態和更靈活地響應事件。網絡安全元素仍然保持可訪問和可管理，因此即使管理服務器宕機，我們也不會丟失任何配置數據。另一個好處是它不僅能夠保護管理服務器和保證它的安全訪問，也能夠保護日志服務器，保證網絡時間協議同步在事件調查過程中保持一致。

5、服務器負載均衡

讓服務器均衡負載，意味著業務不會由于Web服務器因負荷過大無法處理到達請求而發生中斷——包括機器或程序發出的請求。通過部署一個內置了負載均衡的防火墻，我們就可以讓負載自動分散到兩個或多個服務器上。這樣就可以讓關鍵業務服務一直保持可用，同時運維成本又保持在較低水平，從而不需要單獨購買第三方服務器負載均衡解決方案。