防火墙配置路由模式设置指南

路由模式是防火墙作为网络系统层器械的中心职业模式，负责在不同网络系统数据端口间转发数量包并运行平安策略解决策略。正确配置路由模式需兼顾网络系统连通性与平安管控，以下是中心步骤及注意事项：

一、基础环境准备

数据端口规划

WAN口：链接公网或上级路由(例：eth0 IP 61.120.80.100/29)

LAN口：链接内网交换机(例：eth1 IP 192.168.1.1/24)

DMZ口：托管对外主机(例：eth2 IP 10.0.0.1/28)

路由表初始化

默认路由：指向公网网关

route add default gw 61.120.80.1

内网路由：陈述直连网段

route add -net 192.168.1.0/24 dev eth1

二、中心配置步骤

数据端口职业模式切换

将防火墙数据端口从“明了模式”切换为“路由模式”(以FortiGate为例)：

config system interface

edit "eth0"

set mode routed

set ip 61.120.80.100 255.255.255.248

next

end

策略解决策略路由(PBR)配置

场景：将录像集会流量(UDP 5004-5005)优先走专线

配置逻辑：

# 创建地址对象

config firewall address

edit "Video_Conf"

set subnet 192.168.1.0 255.255.255.0

next

end

# 定义服务项目对象

config firewall service custom

edit "Zoom_Ports"

set protocol UDP

set port-range 5004 5005

next

end

# 策略解决策略路由规则

config router policy

edit 1

set input-device "eth1"

set src "Video_Conf"

set service "Zoom_Ports"

set gateway 61.120.80.5 # 专线网关

set priority 100

next

end

NAT与平安策略解决策略联动

出站SNAT：隐藏内网IP

config firewall ippool

edit "Outbound_NAT"

set startip 61.120.80.101

set endip 61.120.80.104

next

end

config firewall policy

edit 0

set srcintf "eth1"

set dstintf "eth0"

set srcaddr "all"

set dstaddr "all"

set nat enable

set ippool enable

set poolname "Outbound_NAT"

next

end

三、典型问题排查

路由黑洞

现象：数量包进入防火墙后无响应

解法：

检查身体数据端口zone归属是否一致

验证路由表中是否存在匹配目标设定网段的路由

使用tcpdump抓包剖析转发路径

策略解决策略路由失效

场景：配置策略解决策略路由后流量仍走默认网关

诊断：

确认策略解决策略路由的优先级高于默认路由

检查身体service和src/dst地址是否精准匹配

查看会话表确认流量命中策略解决策略

diagnose sys session list | grep <源IP>

四、高阶提升建议

变迁路由协定集成

在繁杂网络系统中启用OSPF/BGP协定(需设备部件支持帮助)：

config router ospf

set router-id 192.168.1.1

config area

edit 0.0.0.0

set type backbone

next

end

config network

edit 1

set prefix 192.168.1.0 255.255.255.0

set area 0.0.0.0

next

end

end

基于SD-WAN的智能进程选路

多WAN场景下，根据链路质量水平变迁分配流量：

config system sdwan

set status enable

config members

edit 1

set interface "eth0" # 主线路

next

edit 2

set interface "eth3" # 备份线路

next

end

config health-check

edit "HC_GoogleDNS"

set server "8.8.8.8"

set sensitivity medium

next

end

end

归纳：

路由模式配置需遵循“先连通，后管控”原则——先确保基础路由可达，再叠加平安策略解决策略与提升规则。掌握策略解决策略路由优先级、NAT穿透逻辑与会话状态跟踪三项中心技术手段，即可让防火墙在繁杂网络系统中既当“交警”又做“向导”。