HA工作模式

Active-Passive（A-P）模式

集群中的所有防火墙必须工作在同一个模式下。可以对运行中的HA集群进行模式的修改，但会造成一定的延时，因为集群需要重新协商并选取新的主设备。A-P模式提供了备机保护。HA集群中由一台主设备，和一台以上到从设备组成。

从设备与主设备一样连接到网络，但不处理任何的数据包，从设备处于备用状态。从设备会自动同步主设备的配置，并时刻监视主设备到运行状态。整个失效保护的过程是透明的，一旦主设备失效，从设备会自动接替其工作。如果设备的接口或链路出现故障，集群内会更新链路状态数据库，重新选举新的主设备。

Active-Active（A-A）模式

  A-A模式下会对占用资源较多的进程进行在各个设备中进行分担。需要处理协议识别、病毒扫描、ips、网页过滤、邮件过滤、数据防泄露、应用程序控制、voip内容扫描、协议保护（HTTP,HTTPS,FTP,IMAP,IMAPS,POP3,SMTP,SMTPS,IM,NNTP,SIP,SIMPLE）, SCCP协议控制等。通过对如上内容的负载均担，A-A模式可以提供更高的UTM性能。安全策略中的终端控制，流控，用户认证功能，在A-A模式下没有什么提高效果。其他非UTM功能不会进行负载分担，将由主设备进行处理。除了UTM功能外，还可以实现对TCP会话进行分担。

   AA模式下，集群中的主设备负责对所有通信会话的处理，然后将部分负载分发到所有从设备上。从设备可以说是活动的，因为要处理UTM的相关会话。但从设备只处理由主设备分配的数据，不会响应arp等。其他方面AA模式和AP模式是相同的。

单机配置同步、单机会话同步模式

从5.0版本开始，全新NGFW下一代防火墙 支持 单机配置同步、会话同步功能，在一些应用场景中它可以代替双机HA功能，实现控制异步流量的目的 。

HA配置要求

进行 HA 配置， 硬件和 软件版本 需满足如下要求：

1) 防火墙硬件型号相同 ;

2) 同型号硬件要求硬件版本，内存容量 ,CPU 型号，硬盘容量等相同 ;

3) 相同的 软件版本 ;

4) 设备的所有接口不能工作在 DHCP,PPPOE 模式下。没有使用的接口IP地址模式也需要选择为"自定义"；

假如HA的两台FGT存在上述不一致的情况，那么做为备机的FGT将会被Shutdown主动关闭。

串口下将会打印shutdown并提示原因：

slave and master have different hdisk status. Cannot work with HA master. Shutdown the box!

The system is going down NO

The system is halted.