各位师傅好，本文章将介绍 硬件版 雷池WAF产品反向代理模式的双机HA高可用配置场景。

部署场景

在硬件反向代理部署模式下，Web业务访问流量经雷池WAF反向代理至Web服务区，实现实时Web安全防护，不需要串联接入原先的网络拓扑。同时雷池WAF采用双机冗余配置，避免单点故障，提高业务可用性。

工作特性

• 硬件反向代理双机HA模式，基于VRRP keepalived的高可用机制实现，通过通过在两台反向代理雷池的业务网口上配置VIP，在WAF配置站点后，WAF会监听在该VIP上
• 当配置了高可用之后 keepalived 服务对外广播站点监听地址（两台设备的业务网口应该接入到同一网络中，才能进行 keepalived 广播），通过 VRRP 协议协商之后，会有一个设备抢占到站点 IP（主设备优先级更高，正常情况下会抢到），业务流量会由抢占到该VIP的设备进行处理。
• 当 主设备 无法正常工作之后，备设备会抢占到该 VIP，流量切换到备设备上处理，实现站点高可用；VIP 主备切换时间是秒级

注意事项

• 配置HA前提：硬件设备型号一致，软件版本一致，网络管理（VIP配置、VLAN接口信息、工作组等）配置一致。

配置过程

• 由于主、备设备之间会进行License同步，因此当需要给WAF设备申请授权License时，请把2台WAF设备的机器码同时告知长亭科技，申请 同时绑定2个机器码的 License文件。
• 两台 WAF 需要通过一个网口（默认是 HA网口）进行数据同步，这两个网口需要配置IP网络互通并接线连通。选择其中一台WAF设备为主设备，另一台为备设备。配置顺序可以先配置主设备，HA口接线后，再配置备设备。

主设备 配置示例：

• 主设备配置业务口，例如：eth1.1，配置真实IP为 192.168.1.180/24、虚拟IP为192.168.1.200/24；（⚠️注意：如果业务口上需要配置多个VIP，请确保主、备设备配置的VIP一致）

• 主设备配置HA心跳口：真实IP为 1.1.1.1/30;
  

• 主设备配置第一个工作组为反向代理模式，选择业务口eth1.1（建议工作组名称和备注相同）；

• 主设备配置第二个工作组为数据同步模式，选择心跳HA口（建议工作组名称和备注相同）；
  

• 主设备工作模式配置为主设备，数据同步接口选择默认的HA口；
  

备设备 配置示例：

• 备设备配置业务口，例如eth1.1：真实IP为 192.168.1.181/24、虚拟IP为192.168.1.200/24；

• 备设备配置HA心跳口：真实IP为 1.1.1.2/30;
  

• 备设备配置第一个工作组为反向代理模式，选择业务口eth1.1（建议工作组名称和备注相同）；

• 备设备配置第二个工作组为数据同步模式，选择心跳HA口（建议工作组名称和备注相同）；
  

• 备设备工作模式配置为备设备，数据同步接口为HA，主机通信识别码为A设备主要通信识别码，主设备IP地址为主设备心跳口真实地址（此处为1.1.1.1）；
  

状态检查

• 从WEB管理界面「网络管理-高可用配置」中可以看到心跳状态与同步状态，状态均为正常。
  
• 从主设备上创建防护站点、策略配置等，将会自动同步至备设备上。

数据同步

支持同步的内容

• 网站防护：包括 防护站点配置、防护策略配置、自定义规则、访问频率限制、Bot防护、IP组管理、SSL证书管理、扩展插件管理、威胁情报配置等
• 日志管理：日志归档配置
• 系统设置：告警收信配置、功能启用设置
• 系统信息：许可证license信息