当前设置

我们有许多机器分布在 13 /24 个子网中。目前我们有一个相当愚蠢的路由器，它允许在这些子网之间路由流量。这不是防火墙，它不跟踪状态。

所需的设置

我们希望用防火墙替换路由器（VC 中的一对瞻博网络 SRX 345）。这不是一个特别简单的过程，因为一旦您开始跟踪状态，空闲连接就会超时。

应用程序没有设置来处理这个问题，因此，向这些新防火墙的迁移需要循序渐进。我们不能只是撕掉路由器并将它们的 IP 分配给防火墙。

问题

以机器 A (10.20.9.118/24) 已迁移到新防火墙的情况为例。它的网关已更改为指向新防火墙。机器 B (10.20.12.221/24) 尚未迁移 - 它的网关仍指向旧路由器。

在这种情况下，从 A 到 B 的流量通过新防火墙，但返回流量通过旧路由器。新防火墙看不到任何返回流量，因此会丢弃状态，假设它是无效的。

建议的解决方案

通过新防火墙在机器 B 上为机器 A 添加静态路由。这工作正常，除了维护是一场噩梦，因为这需要在与那些已迁移的机器通信的每台机器上完成。

通过新防火墙为旧路由器上的机器 A 添加静态路由。这带来了一个问题，因为路由将（通常）将返回流量发送到防火墙的不同接口上，而不是从它出来的接口上。据我了解，瞻博网络 SRX 设备跟踪区域（这是一组接口）中的防火墙状态，并且返回流量将不匹配状态（因此不会通过），除非它进入同一个区域。我们每个子网有 1 个区域。

问题

据推测，人们之前已经在现有网络中实施了防火墙。这里有什么解决方案？