通信世界网讯(CWW) 防火墙集群，简单说就是将多台防火墙捆绑使用，可以按照需要新增或减少防火墙以调整防火墙集群整体性能。

在网络建设初期，防火墙设备选型是个非常头痛的问题。我们必须明确现有网络中的业务流量模型以及未来可能出现的数据流增长，这样才能够准确定位需要购买防火墙的性能指标。

对于当前业务流量，我们可以通过网管及流量分析软件来获取相关信息，但是对于未来业务增长带来的流量变化，往往很难预测。谁都不愿意买台防火墙，结果发现半年由于业务增长而无法使用了。那么如何解决呢？传统的解决办法通常是预估性能时就高不就低，提前购买较为高端的设备。这样必然会导致长时间设备资源的浪费，增大了初期投资。“思科下一代防火墙集群”技术正好能够非常好的解决这个问题。用户无需购买昂贵的高端设备，只需照顾到现有业务及短期增长来选择购买，初期投入非常低。如果业务流量后期没有太大的变化，那么完全没有浪费。如果业务增长了，并达到设备性能瓶颈。那么只需再购买设备加入集群，提高集群的处理能力即可。实现了非常好的投资保护。

防火墙集群在业界很早就有这种说法，那为什么叫思科“下一代”防火墙集群?

我们来看一下传统防火墙的集群，通常有以下几种方式。

1. 通过负载均衡器来对多台防火墙进行负载均担。

在前些年，这种集群方式还比较普遍。通常是由负载均衡器对多台防火墙进行负载均衡，通过这种方式来解决单台防火墙瓶颈。这种方式的好处是，能够通过多台防火墙同时工作来提高性能。缺点是加入了负载均衡器，导致额外的设备管理及故障点，同时增加了投资。另外多台防火墙没有统一管理界面，需要独立管理，独立监控统计，独立的排障。

近些年，随着防火墙性能的提升，防火墙的性能已经达到甚至超过了负载均衡器。如果仍然采用这个方案，可能负载均衡器就成为了性能瓶颈，根本无法起到性能扩展的作用。

2. 无需负载均衡器防火墙直接集群。

之前有些厂家提供了无需负载均衡器，仅仅通过防火墙来组成的集群方案。但这些方案里，往往在流量负载均衡上存在着缺陷。通常是集群里选择一台防火墙作为负载均衡器使用（这点借用了防火墙负载均衡的思路）或者是通过组播方式将流量复制到集群内所有防火墙上，然后由各自防火墙进行选择性处理。这类集群方式，虽然有一定的性能扩展能力，但是不可避免的存在负载均衡性能瓶颈点或者扩展能力很低的问题。

为了解决传统防火墙集群方式出现的问题，思科推出了下一代防火墙集群。思科的下一代防火墙集群有以下特点：

更经济的线性弹性性能扩展

思科的下一代防火墙集群通过“无状态负载均衡”的方式来实现集群内防火墙的流量负载均担。

什么是无状态负载均衡？传统的负载均衡器是要记录会话表的，所以是状态负载均衡。而路由器及路由交换机的等价路由或者策略路由、链路捆绑都可以实现多链路的流量负载均衡，我们称这种链路负载均衡的方式为无状态的。很明显，这种流量分担的方式的优点是转发速度快，在单链路出现故障时流量切换快。

如下图，防火墙集群部署在两台路由设备中间。流量通过等价路由，策略路由或者链路捆绑方式分担到防火墙。当需要性能扩展时，并联新的防火墙在网络中即可。性能扩展非常方便。