防火墻如何配置網關?怎么設置?

防火墻配置“網關(Default Gateway)”通常是為了讓防火墻本身能正確訪問外網或轉發內網設備的數據。網關的配置方法因設備不同而略有差異，但核心步驟類似：為防火墻的“出接口”(如 WAN 口)設置一個默認的下一跳 IP 地址。

一、防火墻配置網關的通用步驟

1. 登錄防火墻管理界面

通常通過瀏覽器訪問防火墻的管理 IP(如 192.168.1.1)，或使用 SSH 登錄。

輸入管理員賬號和密碼登錄后臺。

2. 找到“網絡接口”設置

在菜單中找到 網絡(Network) → 接口(Interface) 或 端口設置。

你會看到多個接口，例如：

WAN(外網口)

LAN(內網口)

DMZ(隔離區)

3. 配置外網接口(如 WAN)：

填寫如下內容：

IP地址：比如 192.168.100.2

子網掩碼：如 255.255.255.0

默認網關：如 192.168.100.1(上級路由器/出口設備)

注意：

默認網關必須是和該接口在同一子網內的 有效 IP。

如果是撥號方式(如 PPPoE)，可以跳過手動網關設置。

4. 添加靜態路由(某些型號需要)

如果防火墻不自動生成默認路由，你可能還需要添加一條：

目標地址：0.0.0.0

子網掩碼：0.0.0.0

下一跳(網關)：192.168.100.1

接口：WAN

這條路由表示“所有未知流量，發往這個網關”。

5. 保存并應用設置

點擊“保存 / 應用 / 提交更改”，并重啟網絡服務(如需)。

二、不同防火墻品牌配置路徑參考

品牌 網關配置位置

Fortinet/FortiGate Network → Interfaces → Edit WAN port

華為 USG 系列 網絡 → 接口 → 配置接口 → 添加默認路由

深信服 網絡配置 → 物理接口 → 默認網關設置

山石 網絡 → 路由 → 默認路由配置

OPNsense / pfSense System → Routing → Gateways

Cisco ASA route outside 0.0.0.0 0.0.0.0 <網關 IP>

Linux iptables + netplan ip route add default via <網關> 或配置在netplan.yaml

三、示意圖(典型配置拓撲)

[公網]

│

路由器(網關: 192.168.100.1)

│

[防火墻 WAN: 192.168.100.2]

│

[防火墻 LAN: 192.168.1.1]

│

內網主機: 網關設為 192.168.1.1

四、配置完成后可測試

在防火墻控制臺中：

ping 8.8.8.8 # 測試是否能出網

traceroute 8.8.8.8 # 路由跳數是否正確

補充建議

若你配置完防火墻網關后仍無法訪問外網，可能還需要：

添加 NAT(源地址轉換)規則

開啟 出站策略或安全策略

檢查上級網關設備是否允許轉發