多出口防火墙的配置

NetSt多出口防火墙的配置需求：系统有两条网络出口，一条上ChinaNet,另一条上教育网，要求连接教育网站时使用教育出口，连接其他网站时使用ChinaNet出口。ChinaNet出口地址是192。168。10。10/24,网关地址为192。168。10。1教育网的出口地址为172.16.12.10/24网关172.16.12.1系统配置1：外网卡绑定不同的外部地址，只用于外网卡连接外部出口）系统连线教育网ChinaNet配置防火墙的网卡地址setifexternal192.168.10.10/24setifinternal10.10.10.1/24设置网卡的别名addaliasexternal172.16.12.10/24startalias配置缺省路由setnetNetst192.168.10.1externalstartnet配置路由（对教育网站的访问路由到172.16.12.1）addroute要访问的教育网站172.16.12.1external配置NAT,在NAT转换时把指定特定网段的NAT转换的要放前面addnatstatic10.10.10.0/24要访问的教育网站ipany172.16.12.10要访问的教育网站ipany(有几个教育网站书写几个)以下NAT是对非教育网站的NAT转换addnatstatic10.10.10.0/24anyany192.168.10.10anyany配置过滤规则addrule启动防火墙引擎startfirewall系统配置方案2：（使用不同的网卡连接不同的出口）系统连线:防火墙的外网卡接ChinaNet的路由器，DMZ网卡接教育网的路由器教育网ChinaNet设置“D2E”模式setmoded2e配置防火墙的网卡地址setifexternal192.168.10.10/24setifdmz172.16.12.10/24setifinternal10.10.10.1/24配置缺省路由setnetNetst192.168.10.1externalstartnet配置路由（此时的网卡位置为dmz）addroute教育网站的IP172.16.12.1dmz(有几个写几个)配置NAT此时只需添加2个NAT规则，防火墙会根据数据包的目的地址决定使用那一条addnatstatic10.10.10.1/24anyany172.16.12.10anyanyaddnatstatic10.10.10.1/24anyany192.168.10.10anyany配置过滤规则addrule启动防火墙startfirewall多出口路由均衡的配置在系统配置2中，使用2个ISP提供的服务，这2条线路都能访问INTERNET,实现流量均衡，要求地址为192。168。10。10/24的2M带宽，另一出口地址172。16。12。10/241M带宽系统配置：（1）设置d2e模式（2）配置防火墙的网卡（3）增加ISP网关参数addispgw192.168.10.1external2addispgw172.16.12.1dmz1(3)清除系统缺省网关setnet*0.0.0.0any(如不清除，将不能实现路由均衡，系统在路由均衡功能启动后会自动增加相应的路由)（4）设置防火墙的过滤规则（5）设置nat规则addnatpool10.10.10.0/24anyanyanyanyany