在一个部署了防火墙产品的重要网络中，防火墙设备一旦出现故障，必然会影响网络的安全运营，所以很多用户在购买防火墙的时候，都会根据自己网络情况认真考虑是采用单台设备组网，还是采用冗余备份的方式。但是，这真的可靠吗？

单双机部署均存在难以破解的故障

网络中部署单台防火墙设备时，无论其可靠性多高，系统都必然要承受因单点故障而导致网络业务中断的风险，而且部署在互联网出口的防火墙一般要使用网络地址转换（NAT）功能，因此无法使用Bypass来解决单点故障。

当双机部署时，单点故障问题可通过双活架构组网来规避，但防火墙是状态检测设备，如果仍是单机模式，会出现单台设备故障时，靠路由冗余切换过来的TCP流无法通过状态检测而中断。即使防火墙关闭状态检测，对于需要网络地址转换的流，由于没有NAT会话同步，也会导致中断，而且流的后续报文可能缺少应用特征关键字，导致流量应用类型识别不准，所以这些是网络管理员需要直接面对的难题。

怎样组建高度可靠的安全网络

山石网科防火墙提供了三种高可靠组网工作模式：AP模式、AA模式、对等模式。AP和AA模式都是两台防火墙通过山石网科集群管理协议建立互相备份关系（山石网科集群管理协议的基本原理请参考官网），而对等模式则是两台防火墙依赖组网中的路由冗余建立互相备份关系。

AP模式

两台设备（工作在透明模式或者路由模式）配置成一个“HA组”，一台作为主设备，另一台作为备份设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时，备份设备接替主设备工作，转发报文。这种主备模式具有较强冗余性，而且其网络结构简单，便于维护管理。