前言

有人说过，新年第一发往往决定了一整年的质量，所以稍微微调了一下写作顺序，在打算写的八篇文章里面先挑出这篇来写，来一点儿浓厚的文章震撼 huaji

话说服务器在元旦那天是又不给力了（一开机几分钟就死机，最后查出原因真是让人哭笑不得，根本不是服务器的问题，后篇说），于是打算趁修服务器的同时改造一下网络，用硬路由换掉原先的软路由，防止服务器出问题家里就直接断网，也提高一下家里网络的稳定性，给自己远程排障预留一些余地 xiaoku

选型

按理说这里可以选择的空间不是很大，海鲜市场随便找找~~淘汰二手~~企业级的路由器就行，于是最开始选中了菊厂的 AR169FGW-L ，只要 200 还包邮，支持双 WAN ，有 SFP 接口，甚至还支持 4G LTE ，带 4 个 AP 授权，成色相当不错

（下面截图这家已经卖出去了，本来打算买它的）

点击展开/收合图片

看了价格和成色，很是诱人，于是准备下单，先去整了一份产品文档，看看菊厂论坛，结果看负载均衡配置的时候发现这货带的负载均衡很简单，就是直接五五开分配到两条 WAN 上，想了一下，这还不如原先软路由呢，拉。又看帖子下面，人说用防火墙配置这个就好不少。想想学校也是核心汇聚之后交给防火墙出口。与其买路由器，不如整个防火墙当路由器使，找了一圈，决定整个华为的 USG6310S ，没有风扇，功耗低，看了一圈价格最低 352 包邮（半个月之后的现在看到了 300 包邮的 USG6507 ，配置更高，更合适，不过有风扇，功耗也大一些，看自己需求了）

（下面截图这家写文章的时候还没有卖出去，搭配 WSIC 2XG8GE 扩展卡就能支持 10G 不过扩展卡现在炒的很贵，想上 10G 不如 USG5000 加便宜扩展卡） xiaoku

点击展开/收合图片

把优香酱抱回家

经过一番纠结，大概过了一遍产品文档，决定入手了一个 USG6310S-AC ，设备的情况大概这样

点击展开/收合图片

外观

外观看起来还是相当不错的，和新的差不多，不错不错

点击展开/收合图片

License 情况

相比之下 License 就不大乐观了，基本上等同于没有，不过似乎可以直接去菊厂的安全中心手动下载更新？所以似乎也还行？（等今年 3 月中过期了看看）

点击展开/收合图片

设置土豆雷

先来说说大概感受，防火墙这玩意儿，我的评价是个高级的路由器，和软路由有点像，可定义性非常高，玩法很多很灵活，缺点的话就是配置起来很复杂，想把它用起来得费上一番功夫

起名

设备到了第一件也是最重要的一件事就是先给设备起个名字

哈？你居然觉得名字不是重点？？！没有名字的设备是没有灵魂的！姬机魂不悦，设备容易出现各种问题，死机，崩溃……所以一般上新机器，还得开光【大雾】

嘛，其实是自己的一点小小习惯罢了 xiaoku ，开光倒不至于，起个名字还是要的，既然是网络枢纽，管理网络门户，自然而然就联想到了管账婆，于是就是优香酱咯~~设备的名称自然就是 LuckyYuuka 啦~~

基础设置

在介绍基础设置之前，首先先来康康设备的接口，从左到右，USB 口是 4G LTE 接口，然后是记录日志数据的 MircoSD 卡槽（带防盗盖），一个 Console 口，8 个 RJ45 GE 口（全部可自定义，不区分 LAN/WAN 口），最后是接地，重置和电源口

点击展开/收合图片

要实现上网（这里专指家庭环境对接光猫），最少需要配置以下内容，我们从最简单的上网开始

安全区域
上网方式
安全策略
NAT 策略
静态路由

在最开始的设置之前，如果你想要用 WEB 来进行设置，你需要先把 Console 线怼上去，做一点点基础设置，打开 WEB ，非常简单，所以这里就阐述一下思路，参照文档配置即可：

管理接口加入 trust 安全区域
管理接口配置 IP 地址
该接口访问策略管理 -> 允许 http 和 https 访问

安全区域

USG6310S 属于 NGFW （Next Generation FireWall）设备，在 NGFW 设备里面将网络按照不同区域分开，分别是 trust （信任区，一般是内部用户终端设备），DMZ（对外提供服务的服务器区），untrust（公网部分，不可信），local（设备自己），这几个图之间的关系可以用下图表示

点击展开/收合图片

上图来自“强哥侃墙”，非常生动形象，推荐找来康康

各安全区域之间划地而治，等级森严，在各安全区域之间的通信，必须按照安全策略和 NAT 策略的规定进行

话说虽然叫做 NGFW 下一代防火墙，实际上这个名字是在 2009 年由 Gartner 定义的，这么说的话其实这个“下一代”已经有点落伍，近两年，随着硬件设备的快速升级，往往新上的设备都是“零信任（Zero-Trust）”防火墙，顾名思义，就是不再划分这样的安全区域，对于所有区域的设备都不信任，都要对其发出的报文进行严格的检查，所以海鲜市场里面的 NGFW 设备往往都是这样换代退下来的，不过 NGFW 对于家用来说还是足够了

话说回来，我们具体设置的时候，就需要把 WAN 口的接口放到 Untrust 区域，把 LAN 口放到 Trust 区，服务器放在 DMZ 区，为了方便区分不同 ISP 后面做不同策略，我们还可以新建区域，把不同 ISP 的线路放在不同的安全区域，像这样

点击展开/收合图片

我们针对电信和移动方便建了两个安全区域，优先级略低于 Untrust ，优先级越低的区域信任度就越低

上网方式

这个倒是好说，就是在上行口设置 WAN 相关参数，和路由器类似，也就是 PPPOE （家用情况下，光猫桥接一般这个），DHCP/静态（家用情况下，光猫路由一般这个），设置起来很简单，不做过多说明

安全策略

路由器就没有这个，第一次接触防火墙的话就需要注意一下，我们首先来观察一下默认的那条策略 huaji

我们注意到，默认的唯一一条安全策略把从 any 发往 any 的数据包全部阻断了！这就是防火墙和路由器的不同之处，防火墙通过安全策略，能够精细地控制各个方向的数据流，对于不大熟悉防火墙的同学，如果按照路由器的思维来配置，没有配置安全策略，是不能够上网的！滑稽_菜醒

所以我们需要配置一条安全策略，允许内网的用户访问外网，实现正常上网，同时还要允许内网设备互访，于是我们添加以下两条安全策略，分别允许内网互访和访问外网，使用不同的安全区域来规划是否允许访问

点击展开/收合图片

需要注意的是，防火墙里面的策略是从上往下匹配的，一旦匹配成功，就不会再向下继续匹配，如果你设置的安全策略哪条都没有匹配上，就会匹配上最下面的默认安全策略，也就是被阻断

NAT 策略

在家庭使用情况下，因为我们对外的 IP 只有一个（不管是公网 IP 还是内网 IP ），所以我们需要设置一层 NAT 转换，把内网设备的地址转换成防火墙获取到的地址，否则落到默认 NAT 策略不做转换也不能上网

点击展开/收合图片

静态路由

类似设置交换机，我们得给防火墙设置一条默认路由，让优香酱能找到网络的出口，设置的时候要注意优先级，优先级数字越小的越优先，有多条出口线路时，一般应该设置成同等优先级

点击展开/收合图片

需要特别注意的是，当出口的网络设置不是动态获取的时候（比如 PPPOE 动态获取 IP），你需要手动指定一下下一跳的 IP ，路由相关的策略都是这样

都设置完成之后，再给设备设置一个 DNS ，方便设备自己用以及下面设备用网关做 DNS 的时候解析用

最后，经过以上设置之后，终于能够正常上网了，是不是比路由器要麻烦不少？或许这就是为什么像这样的二手设备卖的价格和路由器差不多的原因，设置起来比较麻烦所以买家太少了。实际上如果能够玩转的话还是要比路由器强太多了，可定义性就像软路由一样，又有硬路由的转发性能，这么一看，软路由就是个渣渣 doge

稍微高级一点的设置

高级功能有点多，稍微的~~来挑几个说说

负载均衡和智能选路

防火墙在这个方面要比同价位的 AR 路由器要强，其实主要是看这个原因才上防火墙的 xiaoku ，打算入手 AR 路由器的时候就是在论坛上看到有人说 FW 比路由器这块更好才没入手 AR

类似软路由，要做负载均衡之前，首先还是要设置出口的上下行带宽、过载阈值和运营商，在接口里面找到出接口就能设置，另外需要注意为了能够在相应接口没有网的时候能够不选中这个接口做出口，应当设置一个健康检查（从这个接口 ping / 发 TCP 包 / DNS 测试到某个服务器，康康这个接口是不是真的能正常上网，还可以提供测试结果确定线路质量，注意健康检查应当设置多个服务器组成一组防止某个服务器炸了导致判断出错），就像这样

点击展开/收合图片

上下行带宽、过载阈值和运营商以及相应的健康检查设置完成之后，就可以开始我们的负载均衡和智能选路啦

先说智能选路，这里我们使用以下场景为例说明

①某接口或某 IP 需要指定走某运营商线路，线路失效时不允许切换

设置要点：设置智能选路，但是不设置健康检查，强制任何情况下该策略都生效，参与匹配

点击展开/收合图片

这样，在 GE0/0/1 CMCC 失效的情况下，由于没有设置健康检查，该策略又排在较前的位置，从上到下优先匹配到该策略，执行该项策略路由，数据从 GE0/0/1 CMCC 线路出，但是由于该线路失效，所以匹配到该策略路由的数据包最终被丢弃，无法上网

②某接口或某 IP 需要优先走某运营商线路，线路失效时自动切换

设置要点：设置智能选路，并设置健康检查（绑定 IP-Link），当该线路不可达时该策略失效，不参与匹配

点击展开/收合图片

这样，在 GE0/0/0 Telecom 失效的情况下，由于设置了健康检查，健康检查发现本项策略路由的出口失效，使该项策略路由失效，不参加策略路由选路，数据从 GE0/0/1 CMCC （假设只有 GE0/0/0 Telecom 和 GE0/0/1 CMCC 两个出口线路）线路出，实现了线路失效时自动切换，用户不会感知到断网

这里的策略生效顺序仍是从上到下，所以我们在最下面创建负载均衡策略

点击展开/收合图片

和软路由的配置很像，另外因为我们已经在接口那里配置了健康检查，如果 GE0/0/0 失效时，下面的出接口列表里面的 GE0/0/0 会自动失效，数据不会走到已经失效的链路上。GE0/0/1 失效时同理

端口映射

这里叫做“服务器映射”或是说叫 “NAT Server” 设置上和软路由的端口映射是一样的，指定内侧 IP 、端口和外侧线路即可

点击展开/收合图片

有一点头疼的是，这里的公网地址不能从接口获取，如果公网地址变动之后策略就会失效，另外端口必须开连续端口，否则只能一个一个的开（一条策略开一个端口）。对于这个问题，可以通过调北向接口来解决

北向小工具

对于上面端口映射的问题，我写了一个小工具开源在 GitHub 上，项目地址：https://github.com/luckykeeper/RESTCONF-YuukaChan

关于北向接口和北向小工具的细节，我后面会单开一文细嗦滑稽_安逸的很

安全防护

说了半天，既然是防火墙，安全防护肯定是主要的功能，除了安全策略之外，还有攻击防范、Ping代理，SSL解密，反病毒，入侵防御等等功能

攻击防范、Ping 代理，SSL 解密是全局生效策略，攻击防范可以防范 IP /端口扫描，畸形报文和特殊报文攻击，Ping代理用于保护服务器，SSL 解密就更有意思了，可以解密 SSL 报文，防止 https 协议的攻击，在开有 https 服务的情况下，可以把服务器的 SSL 证书给防火墙，这样就能让防火墙看到加密的报文，阻断里面的攻击数据

反病毒，入侵防御等等功能随同安全策略设置

私网用户用公网地址访问内部服务器

配置完成后，如果 DMZ 区的服务用公网地址互相进行调用，比如 SSO 的回调，是不通的，原因在于没有数据没有过防火墙走公网而是直接发往对方，关于这个问题，其实只需要拿一个地址给做一个 NAT 就能解决

参考华为案例文档：https://support.huawei.com/enterprise/jp/knowledge/EKB1000115914

IPV6

IPV6 这里的情况就有点复杂，网关设备在对接运营商光猫的情况下，只有通过 DHCPv6 PD （也就是无状态）方式获取前缀的情况下才能继续给下面的终端发放 IPV6 地址，可以参考这个案例：https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_TASK_0176372728&lang=zh

运营商的光猫往往都是有状态的 DHCPv6 ，分配下去的是 /128 的 v6 地址，没法继续给终端分配，如果想实现 IPV6 上网的话，只能到防火墙上来一层 NAT

而运营商的局端设备一般都是支持并且配置了 DHCPv6 PD 的，所以如果你想让设备不过防火墙 NAT 上 v6 ，你就需要把光猫改成桥接模式啦

结语

前面说到服务器死机的原因，其实是因为强弱电没有分开，强弱电线走在一起，结果导致网线带电（居然有 137V ，蛤人）网线插在服务器上就导致服务器带电，因为是感应电所以不会马上导致问题，而当感应电积累到一定程度时，主板为了保护自己会让自己死机，之前死机的原因就是这个，因为线路已经没有办法改造，所以只能这样将就用咯~死机的时候拉下电闸再推上去就能好。等以后有自己的屋了赶紧迁过去 xiaoku