云威胁情报网关部署之路由模式路由口无法上网怎么处理

前言
防火墙已进行8.0.95版本普及，大势推荐云威胁情报网关的大背景下，各种场景的云威胁情报网关的配置已成为困扰我们的难题，这里分享下项目过程中碰到的云威胁情报网关部署场景，AF路由模式场景下路由口无法直接上网，新起路由口如何对接云威胁情报网关。
客户现场拓扑：
防火墙主备路由模式部署在客户网络拓扑中,采用逻辑旁挂的方式



一、问题描述
防火墙主备路由模式部署，路由口无法访问互联网，新起路由口，默认上网流量不走新起路由口，通过增加策略路由，强制防火墙本身上网流量走新起路由口也无法生效

默认上网流量依然走的业务互联的路由口

二、告警信息
访问外网走业务互联的路由口，业务互联路由口无上网权限，导致防火墙无法上网



三、处理过程
1.首先需要了解新架构8.0.95防火墙设备上网的逻辑，设备本身上网不管走哪个接口地址，都是属于local区域；
2.因为默认流量走向我们纠正不过来，那么我们需要做一条源地址转换，把local区域的上网流量转换成新起的路由口地址去访问互联网，如图将local的流量转换成路由口地址。

3.修改策略路由，添加local区域作为源区域，源地址填写防火墙所有的接口地址，出口选择新起的路由口

4.配置完成后测试，防火墙可以访问互联网

四、根因
防火墙路由模式部署，默认上网流量会走默认路由的路由口，而防火墙本身接口区域属于local区域，策略路由未添加local区域，导致防火墙本身上网无法匹配策略路由

五、解决方案
通过源地址转换，将防火墙本身local区域的访问互联网流量转成新路由口地址去访问，并通过策略路由，将流量牵引到新路由口出去访问

六、建议与总结
建议云威胁情报网关部署场景文档或者案例更丰富些，不然碰到这种问题就傻眼了~
最后感谢所有深信服客服400的幸苦付出~