实验拓扑
 
防火墙基本配置
接口配置
eth1
 
eth2
 
eth3
 
 
路由配置
 
地址转换配置
 
放通策略
 
1. 出口申请了主电信、备联通两条外网线路（均为 50M 带宽）。
 
 
2. 内网有 web 服务器linux 172.16.3.100运行 http 服务，内外网用户通过
出口路由器公网地址的 8080 端口访问 web 服务，管理员在内外网通过 SSH
管理 web 服务器。
做双向地址转换
双向8080
没有8080端口，要自定义新增
 
 
 
双向ssh
 

  3. windows 2012 服务器（172.16.3.200）对内提供域服务，管理员在外网通过
远程桌面管理服务器。
目的地址转换3389
 
4. 财务部服务器（172.16.5.10）与外网隔离
隔离策略
 
1. 内网访问电信资源的流量优先走电信线路，访问联通资源的流量优先走联通线
路。当任意一条线路故障，流量自动切换到另外一条线路，保障网络不中断。
策略路由（要开启链路检测）
 
 
 
 
负载分担
 
注意顺序

  2. 内网用户上班时间（9:00-17:00）不允许看视频、玩游戏及网上购物，其余时
间访问互联网不受限制
禁止策略
 
 
 
 
3. 互联网用户只允许访问内网两台服务器的 WEB、SSH 和远程桌面服务，其余
服务均不允许访问
外网到内网的限制策略
 
 
4. 客户在阿里云申请了域名 www.colorhunter.com公网地址：54.176.19.212，要求内网用户均能通过域名访问内网的 web 服务器。
DNS maping
 
"注意：双向地址转换，要注意策略路由的问题，策略路由会将访问的公网IP直接指向下一条，可以将策略路由的优先级适当降低。"