防火墙配置路由模式设置指南

防火墙配置路由模式设置指南

路由模式是防火墙作为网络层设备的核心工作模式，负责在不同网络接口间转发数据包并执行安全策略。正确配置路由模式需兼顾网络连通性与安全管控，以下是关键步骤及注意事项：

一、基础环境准备

接口规划

WAN口：连接公网或上级路由(例：eth0 IP 61.120.80.100/29)

LAN口：连接内网交换机(例：eth1 IP 192.168.1.1/24)

DMZ口：托管对外服务器(例：eth2 IP 10.0.0.1/28)

路由表初始化

默认路由：指向公网网关

route add default gw 61.120.80.1

内网路由：声明直连网段

route add -net 192.168.1.0/24 dev eth1

二、核心配置步骤

接口工作模式切换

将防火墙接口从“透明模式”切换为“路由模式”(以FortiGate为例)：

config system interface

edit "eth0"

set mode routed

set ip 61.120.80.100 255.255.255.248

next

end

策略路由(PBR)配置

场景：将视频会议流量(UDP 5004-5005)优先走专线

配置逻辑：

# 创建地址对象

config firewall address

edit "Video_Conf"

set subnet 192.168.1.0 255.255.255.0

next

end

# 定义服务对象

config firewall service custom

edit "Zoom_Ports"

set protocol UDP

set port-range 5004 5005

next

end

# 策略路由规则

config router policy

edit 1

set input-device "eth1"

set src "Video_Conf"

set service "Zoom_Ports"

set gateway 61.120.80.5 # 专线网关

set priority 100

next

end

NAT与安全策略联动

出站SNAT：隐藏内网IP

config firewall ippool

edit "Outbound_NAT"

set startip 61.120.80.101

set endip 61.120.80.104

next

end

config firewall policy

edit 0

set srcintf "eth1"

set dstintf "eth0"

set srcaddr "all"

set dstaddr "all"

set nat enable

set ippool enable

set poolname "Outbound_NAT"

next

end

三、典型问题排查

路由黑洞

现象：数据包进入防火墙后无响应

解法：

检查接口zone归属是否一致

验证路由表中是否存在匹配目标网段的路由

使用tcpdump抓包分析转发路径

策略路由失效

场景：配置策略路由后流量仍走默认网关

诊断：

确认策略路由的优先级高于默认路由

检查service和src/dst地址是否精准匹配

查看会话表确认流量命中策略

diagnose sys session list | grep <源IP>

四、高阶优化建议

动态路由协议集成

在复杂网络中启用OSPF/BGP协议(需硬件支持)：

config router ospf

set router-id 192.168.1.1

config area

edit 0.0.0.0

set type backbone

next

end

config network

edit 1

set prefix 192.168.1.0 255.255.255.0

set area 0.0.0.0

next

end

end

基于SD-WAN的智能选路

多WAN场景下，根据链路质量动态分配流量：

config system sdwan

set status enable

config members

edit 1

set interface "eth0" # 主线路

next

edit 2

set interface "eth3" # 备份线路

next

end

config health-check

edit "HC_GoogleDNS"

set server "8.8.8.8"

set sensitivity medium

next

end

end

总结：

路由模式配置需遵循“先连通，后管控”原则——先确保基础路由可达，再叠加安全策略与优化规则。掌握策略路由优先级、NAT穿透逻辑与会话状态跟踪三项核心技术，即可让防火墙在复杂网络中既当“交警”又做“向导”。

本文地址：https://www.htstack.com/news/15532.shtml

特别声明：以上内容均为 衡天云(HengTian Network Technology Co.,Limited) 版权所有，未经本网授权不得转载、摘编或利用其它方式使用上述作品。