2026-03-03 07:29:14 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细介绍了防火墙旁挂部署的两种方案：双臂旁挂和单臂旁挂。通过一个企业两个站点通过GRE隧道互访的场景，演示了如何配置策略路由和NAT，使互访流量经过旁挂防火墙进行安全防护。文章指出，在模拟器环境中双臂旁挂可能因策略路由实现问题导致路由环路，而单臂旁挂方案通过减少物理链路和简化配置，有效避免了环路风险，是更简洁实用的部署方式。 综合评分： 85 文章分类： 网络安全,安全建设,解决方案

cover_image

防火墙旁挂部署二选一：详解单臂/双臂方案，避坑策略一看就懂！

原创

衡水铁头哥衡水铁头哥

铁军哥

2026年2月23日 07:41 北京

假设有这样一张网络，某企业有两个办公站点，均具备公网IP地址，两个站点之间建立了GRE隧道，使得两张办公网之间可以通过内网互相访问。

现在出于安全考虑，需要在站点1增加一台防火墙设备，使得两个内网之间互放的流量均经过防火墙进行安全防护。为减小对业务的影响，防火墙设备采用旁挂在出口路由器的部署方式，配置引流实现互访流量经过防火墙设备。

一般来讲，以旁挂方式部署防火墙设备有两种方式，一种是双臂旁挂，如下图所示：

另一种是单臂旁挂，如下图所示：

首先，我们先参考之前的GRE配置完成PC1和PC2之间的互通（GRE隧道也能实现两端配置相同子网了，快来看看！）。

RT1

#interface&nbsp;GigabitEthernet0/0ip&nbsp;address&nbsp;10.1.1.1255.255.255.0#interface&nbsp;GigabitEthernet0/1ip&nbsp;address&nbsp;12.1.1.1255.255.255.0# &nbsp; &nbsp;interface&nbsp;Tunnel0 mode gre&nbsp;ip&nbsp;address&nbsp;10.13.1.1255.255.255.0&nbsp;source&nbsp;12.1.1.1&nbsp;destination&nbsp;23.1.1.3#&nbsp;ip&nbsp;route-static&nbsp;10.2.1.02410.13.1.3&nbsp;ip&nbsp;route-static&nbsp;23.1.1.02412.1.1.2

ISP

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;12.1.1.2255.255.255.0#interface&nbsp;GigabitEthernet0/1&nbsp;ip&nbsp;address&nbsp;23.1.1.2255.255.255.0

RT2

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.2.1.1255.255.255.0#interface&nbsp;GigabitEthernet0/1&nbsp;ip&nbsp;address&nbsp;23.1.1.3255.255.255.0#interface&nbsp;Tunnel0 mode gre&nbsp;ip&nbsp;address&nbsp;10.13.1.3255.255.255.0&nbsp;source&nbsp;23.1.1.3&nbsp;destination&nbsp;12.1.1.1#&nbsp;ip&nbsp;route-static&nbsp;10.1.1.02410.13.1.1&nbsp;ip&nbsp;route-static&nbsp;12.1.1.02423.1.1.2

PC1

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.1.1.2255.255.255.0#&nbsp;ip&nbsp;route-static&nbsp;0.0.0.0010.1.1.1

PC2

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.2.1.2255.255.255.0# &nbsp; &nbsp;&nbsp;ip&nbsp;route-static&nbsp;0.0.0.0010.2.1.1

我们测试一下PC1和PC2之间的互访。

可以看到，流量的转发路径为PC1→RT1→RT2→PC2，与设想情况一致。

接下来，如果要使用双臂旁挂，我们要先配置RT1和FW之间的互通。

RT1

#interface&nbsp;GigabitEthernet0/2&nbsp;ip&nbsp;address&nbsp;10.1.2.1255.255.255.0#interface&nbsp;GigabitEthernet5/0&nbsp;ip&nbsp;address&nbsp;10.1.3.1255.255.255.0

FW

#interface&nbsp;GigabitEthernet1/0/0&nbsp;ip&nbsp;address&nbsp;10.1.2.2255.255.255.0#interface&nbsp;GigabitEthernet1/0/1&nbsp;ip&nbsp;address&nbsp;10.1.3.2255.255.255.0

然后使用路由方式指导路由的转发就行了，比如说我们让互访的流量均通过10.1.2.0/24这个网段上行到FW，再通过10.1.3.0/24这个网段回到RT1。配置时，我们建议先配置FW的路由：

#iproute-static&nbsp;10.1.1.0&nbsp;24&nbsp;10.1.3.1iproute-static&nbsp;10.2.1.0&nbsp;24&nbsp;10.1.3.1

当然，使用默认路由配置也是可以的。

然后，就需要调整RT1的流量走向了，需要让PC1访问PC2的流量先经过防火墙，当防火墙转发回来之后再经过GRE隧道转发给RT2。这种配置需要使用策略路由来实现（一条100M宽带 + 一条200M宽带 = 300M，怎么就有人不信呢？），RT1的配置如下：

#acl&nbsp;advanced&nbsp;3401&nbsp;description&nbsp;PC1-PC2&nbsp;rule&nbsp;0&nbsp;permit ip source&nbsp;10.1.1.00.0.0.255&nbsp;destination&nbsp;10.2.1.00.0.0.255#policy-based-route fw1 permit node&nbsp;10&nbsp;if-match acl&nbsp;3401&nbsp;apply&nbsp;next-hop&nbsp;10.1.2.2#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;policy-based-route fw1

正常来讲，我们需要将配置的策略应用到报文的接口上，指导接口对接收报文的转发。在本例中，报文从GE0/0接口进来之后，由GE0/2接口出，再从GE5/0接口进来，之后就可以正常查表转发了；但是，模拟器的实际情况是，会出现路由环路，应该是实现有问题。不过，我们仍然可以在防火墙接口上配置NAT，改变报文源地址，使处理完的报文不再命中策略路由；对应的，需要在RT2上配置一条到防火墙的明细路由。

配置完成之后，我们看一下PC1访问PC2的流量转发情况。

可以看到，流量的转发路径为PC1→RT1→FW→RT1→RT2→PC2，与设想情况一致。

对应的，我们把PC2访问PC1的策略也配置一下。

#acladvanced&nbsp;3402descriptionPC2-PC1rule&nbsp;0&nbsp;permitipsource&nbsp;10.2.1.0&nbsp;0.0.0.255destination&nbsp;10.1.1.0&nbsp;0.0.0.255#policy-based-routefw2permitnode&nbsp;10if-matchacl&nbsp;3402applynext-hop&nbsp;10.1.2.2# &nbsp; &nbsp;interfaceTunnel0modegreippolicy-based-routefw2

配置完成之后，我们看一下PC2访问PC1的流量转发情况。

可以看到，流量的转发路径为PC2→RT2→RT1→FW→RT1→PC2，与设想情况一致。

以上就是双臂旁挂的情况，其实在策略路由实现机制有问题的情况下，使用单臂旁挂会更简洁。

RT1

#policy-based-routefw1 permit node&nbsp;10if-matchacl&nbsp;3401applynext-hop&nbsp;10.1.2.2&nbsp; &nbsp;&nbsp;#policy-based-routefw2 permit node&nbsp;10if-matchacl&nbsp;3402applynext-hop&nbsp;10.1.2.2#interfaceGigabitEthernet0/0ippolicy-based-route fw1#interfaceTunnel0&nbsp;mode greippolicy-based-route fw2#acladvanced&nbsp;3401descriptionPC1-PC2rule0&nbsp;permit ip source&nbsp;10.1.1.0&nbsp;0.0.0.255&nbsp;destination&nbsp;10.2.1.0&nbsp;0.0.0.255#acladvanced&nbsp;3402descriptionPC2-PC1rule0&nbsp;permit ip source&nbsp;10.2.1.0&nbsp;0.0.0.255&nbsp;destination&nbsp;10.1.1.0&nbsp;0.0.0.255

RT2

#iproute-static&nbsp;10.1.2.0&nbsp;24&nbsp;10.13.1.1

FW

#interface&nbsp;GigabitEthernet1/0/0&nbsp;ip&nbsp;address&nbsp;10.1.2.2255.255.255.0&nbsp;nat&nbsp;outbound#&nbsp;ip&nbsp;route-static&nbsp;0.0.0.0010.1.2.1

配置完成之后，我们再看一下PC1访问PC2的流量转发情况。

可以看到，流量的转发路径为PC1→RT1→FW→RT1→RT2→PC2，与设想情况一致。

再看一下PC2访问PC1的流量转发情况。

可以看到，流量的转发路径为PC2→RT2→RT1→FW→RT1→PC2，与设想情况一致。

经历过双臂旁挂的曲折，我们不难发现，单臂旁挂的方案堪称化繁为简的典范。它减少了物理链路，降低了配置复杂度，有效避免了前述的环路风险，实在是一招鲜，吃遍天的实用技巧。怎么样，是不是很简单呢？

***推荐阅读***

我们的WireGuard管理系统支持手机电脑了！全平台终端配置，支持扫码连接，一键搞定

还在为AI API费用发愁？我找到了免费使用Gemini 3和Claude 4.5的方法

每月40元实现异地组网！用家用路由器+L2TP协议，在腾讯云上搭建企业级VPN枢纽

保姆级教程：一条命令部署OpenVPN管理系统V4版，支持Win/Mac/安卓/iOS全平台接入

告别卡顿！VMware macOS虚拟机显存3MB变128MB、分辨率自由调整的终极优化指南

成本省下99.7%！用40元的腾讯云服务器自建IPsecVPN，成功对接企业级飞塔防火墙

警惕！封禁UDP 500/4500已无效？飞塔防火墙用TCP 443端口建立IPsec隧道

FortiGate实战：用BGP协议构建ADVPN网络，并警惕静态低能耗模式的性能陷阱

懒人必备！飞塔防火墙自动化脚本实战：ADVPN配置异常的自愈秘籍

超越SR-MPLS！SRv6实测：基于纯IPv6数据面承载IPv4 VPN业务，体验协议简化之美

2048卡昇腾910C集群算力集群交付工程手册

2048卡昇腾910C集群存储集群交付工程手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥衡水铁头哥衡水铁头哥《防火墙旁挂部署二选一：详解单臂/双臂方案，避坑策略一看就懂！》