下面举个例子来说明，两台防火墙FW1和FW2部署在网络中，与上下行设备R1和R2之间运行OSPF协议。如左下图所示，正常情况下，由于FW1所在链路的OSPF Cost值较小，所以业务报文都会根据路由通过FW1转发（原理同前面的路由器的例子）。这时FW1上会建立会话，业务的后续报文都能够匹配会话并转发。
如右下图所示，当FW1出现故障时，业务会被上下行设备上的路由信息引导到FW2上（原理同前面的路由器的例子）。但由于FW2上没有会话，业务报文因为找不到会话而被FW2丢弃，从而导致业务中断。这时用户需要重新发起访问请求（例如重新进行FTP下载），触发FW2重新建立会话，这样用户的业务才能继续进行。

4.双机热备出手不凡，解决防火墙会话备份问题
      那么如何解决两台防火墙会话备份的问题，使两台防火墙主备状态切换时，保证已经建立的业务不中断呢？这时防火墙双机热备功能就该出手相助了！
如左下图所示，防火墙双机热备功能最大的特点在于提供一条专门的备份通道（也称为心跳线），用于两台防火墙之间协商主备状态，以及备份会话、Server-map表等重要的状态信息和配置信息。双机热备功能启动后，正常情况下，两台防火墙会根据管理员的配置分别成为主用设备和备用设备。成为主用设备的防火墙FW1会处理业务，并将设备上的会话、Server-map表等重要状态信息以及配置信息通过备份通道实时同步给备用设备FW2。成为备用设备的防火墙FW2不会处理业务，只是通过备份通道接收来自主用设备FW1的状态信息以及配置信息。
如右下图所示，当主用设备FW1发生故障时，两台防火墙会利用备份通道交互报文，重新协商主备状态。这时FW2会协商成为新的主用设备，处理业务；而FW1会协商成为备用设备，不处理业务。与此同时，业务流量也会被上下行设备的路由信息引导到新的主用设备FW2上。由于FW2在作为备用设备时已经备份了主用设备上的会话和配置等信息，因此业务报文就能够顺利的匹配到会话从而被正常转发。
以上两点就保证了备用设备FW2能够成功接替原主用设备FW1处理业务流量，成为新的主用设备，避免了网络业务中断。

上面介绍的是主备备份方式的双机热备。在主备备份场景中，正常情况下备用设备不处理业务流量，处于闲置状态。如果小伙伴们不希望买来的设备闲置，或者只一台设备处理流量时压力较大，可以选择负载分担方式的双机热备。

如左下图所示，在负载分担场景下，两台防火墙均为主用设备，都建立会话，都处理业务流量。同时两台防火墙又都相互作为对方的备用设备，接受对方备份的会话和配置信息。如右下图所示，当其中一台防火墙故障后，另一台防火墙会负责处理全部业务流量。由于这两台防火墙的会话信息是相互备份的，因此全部业务流量的后续报文都能够在其中一台防火墙上匹配到会话从而正常转发，这就避免了网络业务的中断。