多出口防火墙的配置

1、NetSt 多出口防火墙的配置需求： 系统有两条网络出口，一条上ChinaNet ,另一条上教育网，要求连接教育网站时使用教育出口，连接其他网站时使用ChinaNet 出口。ChinaNet出口地址是192。168。10。10/24 ,网关地址为192。168。10。1 教育网的出口地址为 172.16.12.10/24 网关172.16.12.1 系统配置1：外网卡绑定不同的外部地址，只用于外网卡连接外部出口）系统连线 教育网ChinaNet配置防火墙的网卡地址set if external 192.168.10.10 /24set if internal 10.10.10.1 /24设置网

2、卡的别名add alias external 172.16.12.10 /24start alias配置缺省路由set net Netst 192.168.10.1 external start net 配置路由（对教育网站的访问路由到172.16.12.1 ） add route 要访问的教育网站 172.16.12.1 external 配置NAT ,在NAT 转换时把指定特定网段的NAT转换的要放前面add nat static 10.10.10.0 /24 要访问的教育网站ip any 172.16.12.10 要访问的教育网站ip any (有几个教育网站书写几个)以下 NAT 是对

3、非教育网站的NAT 转换add nat static 10.10.10.0/24 any any 192.168.10.10 any any 配置过滤规则add rule 启动防火墙引擎start firewall 系统配置方案2：（使用不同的网卡连接不同的出口）系统连线:防火墙的外网卡接ChinaNet的路由器，DMZ网卡接教育网的路由器教育网ChinaNet设置“D2E”模式set mode d2e配置防火墙的网卡地址set if external 192.168.10.10/24set if dmz 172.16.12.10 /24set if internal 10.10.10.1/2

4、4配置缺省路由set net Netst 192.168.10.1 external start net配置路由（此时的网卡位置为dmz）add route 教育网站的IP 172.16.12.1 dmz(有几个写几个)配置NAT 此时只需添加2个NAT 规则，防火墙会根据数据包的目的地址决定使用那一条add nat static 10.10.10.1/24 any any 172.16.12.10 any any add nat static 10.10.10.1/24 any any 192.168.10.10 any any配置过滤规则add rule 启动防火墙start firewall 多出口路由均衡的配置在系统配置2中，使用2个ISP 提供的服务，这2条线路都能访问INTERNET ,实现流量均衡，要求地址为192。168。10。10/24 的2M带宽，另一出口地址172。16。12。10/24 1M带宽系统配置：（1） 设置 d2e 模式（2） 配置防火墙的网卡（3） 增加ISP 网关参数add ispgw 192.168.10.1 external 2add ispgw 172.16.12.1 dmz 1(3) 清除系统缺省网关set net * 0.0.0.0 any (如不清除，将不能实现路由均衡，系统在路由均衡功能启动后会自动增加相