NetSt 多出口防火墙的配置需求: 系统有两条网络出口,一条上 ChinaNet ,另一条上教育网,要求连接教育网站时使用教育出口,连接其他网站时使用 ChinaNet 出口。ChinaNet 出口地址是 192。168。10。10/24 ,网关地址为 192。168。10。1 教育网的出口地址为 网关 172.16.12.1 系统配置 1:外网卡绑定不同的外部地址,只用于外网卡连接外部出口〕系统连线 教育网ChinaNet配置防火墙的网卡地址set if external 192.168.10.10 /24set if internal 10.10.10.1 /24设置网卡的别名add alias external 172.16.12.10 /24start alias配置缺省路由set net Netst 192.168.10.1 external start net 配置路由〔对教育网站的访问路由到 〕 add route 要访问的教育网站 172.16.12.1 external 配置 NAT ,在 NAT 转换时把指定特定网段的 NAT 转换的要放前面add nat static 10.10.10.0 /24 要访问的教育网站 ip any 172.16.12.10 要访问的教育网站 ip any (有几个教育网站书写几个)以下 NAT 是对非教育网站的 NAT 转换 192.168.10.10 any any 配置过滤规那么add rule 启动防火墙引擎start firewall 教育网系统配置方案 2:〔使用不同的网卡连接不同的出口〕系统连线:防火墙的外网卡接 ChinaNet 的路由器,DMZ 网卡接教育网的路由器ChinaNet设置“D2E〞模式set mode d2e配置防火墙的网卡地址set if external set if dmz 172.16.12.10 /24配置缺省路由set net Netst 192.168.10.1 external start net配置路由〔此时的网卡位置为 dmz〕add route 教育网站的 IP 172.16.12.1 dmz(有几个写几个)配置 NAT 此时只需添加 2 个 NAT 规那么,防火墙会根据数据包的目的地址决定使用那一条add nat sta配置过滤规那么add rule 启动防火墙start firewall 多出口路由均衡的配置在系统配置 2 中,使用 2 个 ISP 提供的效劳,这 2 条线路都能访问 INTERNET ,实现流量均衡,要求地址为 192。168。10。10/24 的 2M 带宽,另一出口地址 172。16。12。10/24 1M 带宽系统配置:(1)设置 d2e 模式(2)配置防火墙的网卡(3)增加 ISP 网关参数add ispgw 192.168.10.1 external 2add ispgw 172.16.12.1 dmz 1(3) 去除系统缺省网关set net * 0.0.0.0 any (如不去除,将不能实现路由均衡,系统在路由均衡功能启动后会自动增加相应的路由)(4)设置防火墙的过滤规那么(5)设置 nat 规那么 add any any any any any
