防火墙内网双网关拒绝互访案例

网络环境如下图：客户需求，使用防火墙当出口，下接两个傻瓜交换机，内网网关起在防火墙的lan1口和lan2口，要求两个网段之间拒绝互访，且两个网段可以正常使用互联网。

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml14844/wps1.jpg

如图所示：配置防火墙两个接口为内网口，且是三层接口

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml14844/wps2.jpg

第二图中：先配置基本策略之后，客户两个网段之间可以正常访问互联网，在配置一条两个内网接口的拒绝。配置完成后客户两个网段可以正常访问互联网，且两个网段不能互相访问。

应用控制策略中要做lan-lan1拒绝互访

新建两条策略，第一条源区域为lan 源地址为lan区域下的网段，目的区域为lan1，目的地址lan1区域的地址段。

新建第二条策略源区域为lan1源地址为lan1区域下的网段，目的区域为lan，目的地址为lan区域的地址段。

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml14844/wps3.jpg