小型企业网络场景下，防火墙透明部署在路由器与交换机之间，还是直接部署在网络边界当出口网关好呢？这个问题需要具体情况具体分析。

客户买了台华为USG6300E防火墙，本来想串接在路由器与交换机之间的，但原来的路由器经常死机，隔三差五就要断电重启，客户的网络架构也比较简单：内网一台H3C路由器、一台网络交换机，全部都在192.168.2.0网段；外网一个光猫、一条宽带。

针对这种情况，直接把原来的路由器替换成防火墙，配置如下：

1、通过License激活码生成授权文件，进入防火墙后台，导入授权文件，对病毒库和入侵防御库进行升级；

2、外网GE0/0/1接口，untrust；模式：路由，连接类型：dhcp；

3、内网GE0/0/3， trust，模式：路由，连接类型：静态IP，接口地址“192.168.2.1”；

4、默认路由指向光猫的接口地址“192.168.1.1”，NAT采用仅转换出接口地址的方式；

5、安全策略，禁用高危端口，只放通trust&local to untrust的流量，其它禁用，就OK了。

图1-2：华为USG6300E防火墙；图3-4：原H3C路由器和交换机，图5-6：防火墙的License管理和升级中心

#网络工程师##调试##防火墙#