3.9 防火墙策略

3.9.1 安全策略、NAT策略

图36 配置防火墙设备拓扑图

配置步骤：为防火墙与外网相连的接口G1/0/1，G1/0/2配置相应的接口地址，然后将接口加入相应的安全区域，再为防火墙配置安全策略，为防火墙加上NAT策略，需要在防火墙上根据NAT地址规划表配置NAT地址池，并配置源NAT策略。

FW5的配置：

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 59.39.177.2 255.255.255.248

#

interface GigabitEthernet1/0/2

 undo shutdown

 ip address 58.252.2.210 255.255.255.248

firewall zone name isp1 id 4

 set priority 6

 add interface GigabitEthernet1/0/1

#

firewall zone name isp2 id 5

 set priority 7

 add interface GigabitEthernet1/0/2

nat address-group isp1 0

 mode pat

 section 0 59.39.177.5 59.39.177.6

#

nat address-group isp2 1

 mode pat

 section 0 58.252.2.211 58.252.2.212

nat-policy

 rule name nat

  source-zone trust

  destination-zone isp1

 rule name nat2

  source-zone trust

  destination-zone isp2

FW6的配置：

firewall zone name isp1 id 4

 set priority 6

 add interface GigabitEthernet1/0/1

#

firewall zone name isp2 id 5

 set priority 7

 add interface GigabitEthernet1/0/2

nat address-group isp1 0

 mode pat

 section 0 59.39.178.5 59.39.178.6

#

nat address-group isp2 1

 mode pat

 section 0 58.252.1.211 58.252.1.212

#

 multi-interface

  mode proportion-of-weight

nat-policy

 rule name ipsec

  source-zone trust

  destination-zone isp2

  action no-nat

 rule name nat

  source-zone trust

  destination-zone isp1

 rule name nat2

  source-zone trust

  destination-zone isp2

3.9.2 IP-link联动默认路由

配置步骤：在FW5上开启IP-link功能，创建名为ISP1的ip-link，配置待检测目的地址为59.39.177.1，创建名为ISP2的ip-link，配置待检测目的地址为58.252.2.209，配置ISP1的静态路由59.39.177.1，如果ip-link探测isp1链路失效，则这条路由失效，切换至备用路由。配置ISP2的静态路由58.252.2.209，如果ip-link探测isp2链路失效，则这条路由失效，切换至备用路由。

 在FW6上开启IP-link功能，创建名为ISP1的ip-link，配置待检测目的地址为59.39.178.1，创建名为ISP2的ip-link，配置待检测目的地址为58.252.1.209，配置ISP1的静态路由59.39.178.1，如果ip-link探测isp1链路失效，则这条路由失效，切换至备用路由。配置ISP2的静态路由58.252.1.209，如果ip-link探测isp2链路失效，则这条路由失效，切换至备用路由。

FW5配置命令：

ip route-static 0.0.0.0 0.0.0.0 59.39.177.1 preference 50 track ip-link isp1

ip route-static 0.0.0.0 0.0.0.0 58.252.2.209 track ip-link isp2

#

FW6配置命令：

ip route-static 0.0.0.0 0.0.0.0 59.39.178.1 preference 50 track ip-link isp1

ip route-static 0.0.0.0 0.0.0.0 58.252.2.209track ip-link isp2

#

IP-link联动默认路由