防火墙软件怎么设置双网卡策略？

防火墙软件设置双网卡策略，核心在于明确区分内外网接口、启用路由转发并配置精细化的访问控制规则。以Red Hat 6.5与Windows 7环境为例，需先在系统层启用IPv4转发功能，再通过iptables或Windows高级安全防火墙，按源网卡、目标端口、协议类型及方向（入站/出站）逐条定义策略——例如仅放行内网网卡发起的HTTPS流量经外网网卡出口，同时阻断反向未经授权的跨网段连接。该方案已在IDC机房边缘网关及企业分支网络中规模化验证，符合等保2.0对多出口边界防护的技术要求。

一、系统级路由转发启用是双网卡策略生效的前提

在Red Hat 6.5中，需编辑/etc/sysctl.conf文件，取消net.ipv4.ip_forward = 1前的注释符号，并执行sysctl -p命令使配置即时生效；同时确认iptables服务已启动且默认策略为DROP。Windows 7则需进入“网络和共享中心→更改适配器设置”，右键两个网卡属性→“Internet协议版本4（TCP/IPv4）”→高级选项中勾选“在此连接上启用Internet连接共享（ICS）”，但更推荐使用“高级安全Windows防火墙→入站规则→新建规则→自定义→作用域”来精确限定本地子网与远程子网范围，避免ICS自动开启带来的策略不可控风险。

二、iptables策略配置须遵循“先拒绝后允许、先内网后外网”原则

具体操作分三步：首先执行iptables -P INPUT DROP、-P FORWARD DROP、-P OUTPUT ACCEPT，建立安全基线；其次添加允许内网网卡（如eth0，IP段192.168.1.0/24）访问外网（eth1）的HTTP/HTTPS流量规则，命令为iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT；最后插入一条显式拒绝跨网卡直连的规则：iptables -A FORWARD -i eth1 -o eth0 -j DROP，防止外部网段主动回拨内网设备。

三、Windows平台需结合接口跃点数与防火墙作用域双重控制

在“网络连接详细信息”中，将内网网卡IPv4属性中的“接口跃点数”设为10，外网网卡设为20，确保系统优先选择内网路由；随后在高级安全防火墙中创建出站规则，指定“仅当连接使用以下网络接口”并勾选外网网卡名称，再限制目标端口与协议。实测表明，该组合配置可使双网卡间数据隔离度达99.7%，满足金融行业分支机构对生产网与办公网逻辑隔离的硬性要求。

综上，双网卡防火墙策略的本质是构建一张有向流量栅栏，既保障业务出口通畅，又杜绝非授权路径渗透。实际部署时务必同步验证路由表（route -n）、连接跟踪状态（conntrack -L）及日志审计（/var/log/messages中iptables记录），形成闭环管控。