#原创分享#XX单位造就的特殊环境（上联口就是上不去互联网）怎么样的骚操作才能让内网口为源地址更新特征库

一、客户环境

版本信息：

AF8.0.32两台

二、现场环境

碰到的问题：

更换了边界防火墙A后，防火墙无法更新特征库。

三、处理思路

大家可能被我的标题吸引进来的，我再好好跟大家白扯一下怎么回事哈，事情是这样的，客户在边界防火墙A的位置，原来是一台交换机，上联两根线到大数据局路由器，通过静态路由的方式分别走不同的流量，下联的地址配置的业务地址，只有业务地址在大数据局那里有互联网权限，上联口的互联地址是没有外网权限的。

这个时候我们将交换机替换为边界防火墙A，并做了路由模式部署，配置好静态路由及相关的安全策略，替换好后下联的业务地址网段用户能正常上网，没问题，但是设备本身无法进行特征库升级，我干了这么久，也没想到什么好的解决办法，怎么办呢，急死我了，于是乎，碰到问题不要慌，先发个朋友圈，哈哈！ ~~~~~再于是乎只能请教400工程师来处理。

我拨通了400的电话，转2，一个小姐姐接的（工号1206），喂你好，我。。。。此处省略若干字，然后通过给她展示拓扑，介绍情况，令我没想到的是，她竟然快速的想到了解决办法，真的是超级厉害的客服，凌驾于我之上感觉， 然后我们快速的进行沟通，分析数据包转发等等细节问题，通过配置源地址策略路由的方式，下一跳指向去往核心交换机的地址，然后我核心交换机在写条缺省路由指回防火墙，竟然奇迹般的搞定了，以下是我的操作步骤，接口配置等基础操作不做截图，只截图关键位置。

四、操作步骤4.1 接口配置

将两个上联口的WAN属性去掉，勾选下联口的WAN属性。

这个WAN属性后期与客服小姐姐沟通其实都去掉也没有关系啦。

4.2网络对象配置

这个地方根据客服小姐姐的建议配置一个内网不存在的地址，于是乎我就起了一个名字叫不存在，地址为11.1.1.1，当时我听到配置这个东西，也是一脸懵逼，先配上再说。

4.3源策略路由配置

创建源策略路由

接口选择ETH5，也就是内网接口，一定要再内网接口这个地方配置网关，网关地址为内网交换机地址，如果没配置，这个地方会有报错。

完成配置

4.3验证配置

最后竟然很神奇的可以升级特征库了，我当时愣是没想到怎么这么骚的操作，就解决了呢？大家各位想想，自己琢磨一下。

五、分析总结

再次感谢某公司400工程师工号1206，非常感谢给我解惑了，茅塞顿开。   

其实 今天那个是防火墙机制问题。

防火墙自身上网会匹配自己第一个源地址策略路由的出接口，和静态路由 默认路由 vpn路由没关系 和源地址也没有关系。

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

学到了 学到了 耿大佬

学习学习

感谢分享

学习一下