四层负载均衡基于报文中的目的IP地址和端口来实现。客户端访问防火墙提供的虚拟服务器地址和端口，防火墙根据负载均衡算法选择实服务器，将报文中的目的IP地址和端口替换为选定的实服务器的IP地址和端口。四层负载均衡类似于目的NAT转换。

图1-1 四层负载均衡地址转换示意图

防火墙在处理四层负载均衡业务时，首先查找安全策略。业务报文通过安全策略检查之后，替换报文中的目的IP地址和端口号，查路由转发。因此：

• 安全策略的目的IP地址应指定为虚服务器地址，服务应指定为虚服务器的端口。 
• 安全策略的目的安全区域应指定为实服务器所在的安全区域。 
• 安全策略的源IP地址应指定为客户端IP地址，本文档以企业对外开放服务为例，均设置为any。

表1-1 安全策略示例-四层负载均衡

负载均衡就是目的NAT，安全策略中的目的地址应指定为转换之后的地址，即真实服务器的地址。

防火墙首先替换报文中的目的IP地址和端口号，再查找安全策略。因此，安全策略中的目的地址应指定为替换之后的地址，即实服务器地址。

七层负载均衡在四层负载均衡的基础上，增加了应用层特征的判断，可以根据应用层特征来选择实服务器，如URL、Host等。在七层负载分担场景中，每个客户端的访问都会在防火墙上建立两个会话。

• 左侧会话：客户端访问虚服务器的会话，需要开放安全策略。安全策略的目的安全区域为实服务器所在的安全区域，目的IP地址为虚服务器地址。 
• 右侧会话：客户端访问实服务器的会话，不检查安全策略，直接转发。因此不需要配置安全策略。

表1-2 安全策略示例-七层负载均衡

SSL卸载场景中，客户端访问服务器的HTTPS业务由防火墙解密，还原为HTTP业务。防火墙充当了SSL代理服务器的角色，负责所有SSL加解密运算，可以减轻服务器的业务负荷。

图1-2 SSL卸载场景示意图

同七层负载均衡场景一样，SSL卸载场景中，每个客户端的访问都会在防火墙上建立两个会话。不同的是，左侧会话和右侧会话都需要配置安全策略。

• 左侧会话：客户端访问虚服务器的会话。安全策略的目的安全区域为实服务器所在的安全区域，目的IP地址为虚服务器地址。 
• 右侧会话：客户端访问实服务器的会话。安全策略的目的安全区域为实服务器所在的安全区域，目的IP地址为实服务器地址。安全策略的源安全区域应指定为客户端所在的安全区域或者Local。 
  • 右侧会话安全策略的源安全区域应指定为Untrust，即客户端所在的安全区域。 
  • 版本原因，或者右侧会话安全策略的源安全区域应指定为Local。

表1-3 安全策略示例-SSL卸载

防火墙定期发送探测报文，以了解实服务器的健康状态，并据此调度业务。防火墙支持的探测报文包括TCP、HTTP、HTTPS、DNS、RADIUS和ICMP。

在早期版本中，你需要为服务健康检查配置安全策略。后期版本防火墙发送探测报文时不再检查安全策略。

防火墙探测报文的源IP地址为探测报文出接口的IP地址，目的IP地址为实服务器的IP地址。探测报文的源安全区域为Local，目的安全区域为实服务器所在的安全区域。

当探测报文为TCP、HTTP、HTTPS、DNS或RADIUS时，可以手工指定探测报文的目的端口。如果未指定探测端口，则探测实服务器的开放的服务端口。如果未配置实服务器的服务端口，则探测虚服务器的服务端口。因此，请根据SLB业务的配置，设置合适的安全策略。