M4001【产品教程】2025.08.22 XOS2.0（公用801）场景落地-路由模式下，单WAN接入（二层内网环境）
操作背景：某公司有一台NGFW部署在网络出口，代理内网用户上网，出口GE0-2公网线路是光纤接入固定分配的IP地址。防火墙内网接口GE0-4，内网的组网结构为二层组网，操作如下图所示：

![](/media/202605/627a5a40ea8b40b0a8b49952855e401c8365.png)
1、相关的基本概念
路由模式：当NGFW设备的接口处于路由接口模式部署时，称为路由模式部署。此时，防火墙是一台具有过滤功能的路由器网关，各接口需要配置IP地址。
2、配置的基本步骤
第一步，设接口并配置安全区域
第二步，配置外网接口IP地址
第三步，配置内网接口IP地址
第四步，配置缺省路由
第五步，配置安全策略
第六步，配置NAT规则
第七步，配置LAN口DHCP server
第八步，保存配置
3、详细操作步骤
第一步，设置端口并配置安全区域
默认区域有trust、untrust、L2trust、L2untrust、DMZ 和 管理区域
其中，业务区域中，trust、untrust为三层安全区，L2trust、L2untrust为二层安全区

![](/media/202605/3b39f24ed3584009863add34af2aab403662.png)
正常情况下，咱们只需要使用默认的几个区域就已经足够了，当然，区域咱们也可以自定义，这里方便，该场景下咱们使用默认的安全区域
第二步，配置物理接口属性（接口的工作模式、安全区域和接口属性）
配置当前接口的工作模式为路由模式，
配置2口的接口属性为外网，安全区域为untrust区域；配置4口的接口属性为内网，安全区域为trust区域；

![](/media/202605/c8d5271f5b234e66b904867d3f7bed4a9896.png)
第三步，配置WAN接口的IP地址，并绑定到物理口2口上
在该场景下，配置WAN口的接入方式为静态IP地址的方式（其他方式视情况而定），可接入管理的情况为所有情况

![](/media/202605/354253550bc24535b380181b2e9150ec7699.png)
第四步，配置LAN接口的IP地址，并绑定到物理口4口上
在该场景下，配置LAN接口的IP地址，并绑定到物理口4口上（LAN侧口基本作为网关或者内网局域网的出口，一般配置静态）可以接入管理的情况可以视安全情况而定来取消对应访问方式的勾选。

![](/media/202605/24c6bdc25461413ebdcdb4f13079f00f7014.png)
第五步，配置缺省路由

![](/media/202605/c108121077ca45e3aca9f4934b1e8c939622.png)
第六步，配置安全策略
这里因为咱们只需要将网络配通，因此，配置策略时，咱们配置一条任意和允许的策略
注意：防火墙系统默认拒绝所有流量（该规则在页面不显示），需配置放行规则。要想保证区域间正常通信，必须新增策略，将数据流放开。

![](/media/202605/ff0e2c51b29343428e6d009d96f800f34523.png)
第七步，新增NAT策略
针对从trust区域到untrust区域任意源目IP，任意服务的数据包，都做源地址转换
（意在对由内网到外网的数据包做NAT地址转换）

![](/media/202605/b045de8a48d2414f9bf67e2ad97d0c757869.png)
第八步，针对内网指定网段，开启DHCP server

![](/media/202605/fb0115d1a18d4f11a6af640f3a9f3ba17733.png)
第九步，保存配置

![](/media/202605/a041a676dc91425ba80baff35cd1cbe92312.png)

梦想网关（公用801）场景落地-路由模式下，单WAN接入（二层内网环境）