防火墻設(shè)備的典型應(yīng)用環(huán)境是將設(shè)備以路由模式部署在公網(wǎng)出口，代理內(nèi)網(wǎng)上網(wǎng)，像一個(gè)路由器一樣部署在網(wǎng)絡(luò)中，如下圖所示：

1、防火墻設(shè)備工作在路由模式時(shí)，LAN內(nèi)網(wǎng)終端的網(wǎng)關(guān)地址指向防火墻的內(nèi)網(wǎng)接口IP地址，或者三層交換機(jī)，三層交換機(jī)的網(wǎng)關(guān)再指向防火墻設(shè)備。

2、內(nèi)網(wǎng)終端到互聯(lián)網(wǎng)數(shù)據(jù)由防火墻做NAT轉(zhuǎn)發(fā)出去。

3、當(dāng)防火墻有多個(gè)路由接口時(shí)，多個(gè)路由接口可以設(shè)置同網(wǎng)段的IP地址，通過(guò)靜態(tài)路由決定數(shù)據(jù)從哪個(gè)網(wǎng)口轉(zhuǎn)發(fā)。

4、防火墻設(shè)備支持配置多個(gè)WAN口屬性的路由接口連接多條外網(wǎng)線路，但是需要開(kāi)通多條線路的授權(quán)。

配置流程：

1、通過(guò)IE瀏覽器，進(jìn)入防火墻管理界面；

2、配置外網(wǎng)接口；

通過(guò)『網(wǎng)絡(luò)配置』→『接口/區(qū)域』，點(diǎn)擊需要設(shè)置成外網(wǎng)接口的接口，如 eth2，出現(xiàn)以下頁(yè)面：

接口[類(lèi)型]選擇路由。

[基本屬性]可以設(shè)置是否為 WAN 口和允許 PING。連接上行鏈路的接口需要勾選 WAN口。

[區(qū)域]選擇接口 eth2 所屬的區(qū)域。區(qū)域需要提前設(shè)置。

[連接類(lèi)型]包括靜態(tài) IP、DHCP、ADSL 撥號(hào)三種，根據(jù)該線路的特征進(jìn)行配置；

3、配置內(nèi)網(wǎng)接口。

選擇空閑網(wǎng)口、點(diǎn)擊接口名稱(chēng)進(jìn)入配置頁(yè)面，配置內(nèi)網(wǎng)接口接口類(lèi)型為路由接口，WAN 口類(lèi)型為否、配置 IPv4 地址等，如下圖所示：

4、配置路由

需要配置一條到 0.0.0.0/0.0.0.0 的默認(rèn)路由指向前置網(wǎng)關(guān) 1.1.1.2，同時(shí)因?yàn)楸纠齼?nèi)網(wǎng)接口接的跨三層的多個(gè)網(wǎng)段，需要添加到各網(wǎng)段的靜態(tài)路由到三層交換機(jī)。

5、配置代理內(nèi)網(wǎng)上網(wǎng)

請(qǐng)關(guān)注后續(xù)文件有關(guān)源地址轉(zhuǎn)換配置。

6、防火墻設(shè)備連接

將設(shè)備接入網(wǎng)絡(luò)中，eth2 口連接光纖，eth1 口接內(nèi)網(wǎng)三層交換機(jī)。

7、內(nèi)網(wǎng)VLAN配置

若內(nèi)網(wǎng)劃分了多個(gè)VLAN區(qū)域，部署防火墻設(shè)備，通過(guò)防火墻做VLAN間路由和內(nèi)網(wǎng)VLAN 的網(wǎng)關(guān)。

首先配置內(nèi)網(wǎng)接口，通過(guò)『網(wǎng)絡(luò)配置』→『接口/區(qū)域』→『物理接口』，點(diǎn)擊需要設(shè)置成內(nèi)網(wǎng)接口的接口，如 eth2。內(nèi)網(wǎng)接口必須設(shè)置成路由接口，WAN 口屬性為否，IP地址和網(wǎng)關(guān)可任意配置，如下圖所示：

第二添加 VLAN 子接口。通過(guò)『網(wǎng)絡(luò)配置』→『接口/區(qū)域』→『子接口』，點(diǎn)擊新增，如下圖所示：

[物理接口]選擇在哪個(gè)物理接口下添加子接口，只能在路由口下添加子接口。

[VLAN ID]設(shè)置此子接口的 VLAN ID。

[連接類(lèi)型]可以選擇靜態(tài) IP 或者 DHCP，如靜態(tài) IP，則填寫(xiě)對(duì)應(yīng) VLAN 的網(wǎng)關(guān)地址。

點(diǎn)擊提交，保存配置，并按照相同的方法新增 VLAN3 的子接口。