深信服防火墙常见问题FAQ

故障排查与解决方案汇总

返回知识库

发布日期:2026年5月11日

作者:世纪云峰技术团队

分类:网络安全 / 常见问题

阅读时间:约 20 分钟

关键词:深信服防火墙FAQ、故障排查、配置问题

本文导读:本文汇总了深信服防火墙(AF系列)在使用过程中最常见的30+问题,包括上网故障、VPN连接、策略配置、性能优化等,每个问题都提供详细的排查步骤和解决方案。

一、上网故障类问题

问题1:内网用户无法访问互联网

排查步骤:

  1. 检查WAN口是否获取到IP地址【网络】→【接口】→【物理接口】
  2. 检查默认路由是否存在【网络】→【路由】→【路由表】
  3. 检查源NAT策略是否配置【策略】→【NAT策略】
  4. 检查安全策略是否允许LAN到WAN的访问
  5. 在PC上ping 公网IP(如 8.8.8.8),测试网络连通性
  6. 在PC上ping 域名(如 www.baidu.com),测试DNS解析

常见原因:

  • WAN口未获取到IP(检查网线、运营商线路)
  • 默认路由缺失(手动添加 0.0.0.0/0 指向WAN口网关)
  • 源NAT策略未配置(内网IP未转换为公网IP)
  • DNS服务器配置错误(建议使用 114.114.114.1148.8.8.8
问题2:部分网站无法访问

排查步骤:

  1. 检查安全策略是否拦截(查看【监控】→【安全日志】)
  2. 检查应用控制策略(可能阻止了特定应用)
  3. 检查URL过滤策略(可能加入了黑名单)
  4. 尝试关闭"入侵防御"功能测试(可能是误报)
  5. 检查MTU设置(建议设置为 14921450

解决方案:

  • 在【对象】→【应用库】中,将需要访问的网站加入白名单
  • 在【策略】→【安全策略】→【高级选项】中,关闭对应策略的"应用控制"
  • 调整MTU值【网络】→【接口】→【物理接口】→【高级选项】
问题3:上网速度慢

排查步骤:

  1. 检查防火墙CPU和内存使用率【监控】→【系统状态】
  2. 检查接口带宽使用率【监控】→【流量监控】
  3. 检查是否开启了过多安全功能(IPS、AV、应用控制等会消耗性能)
  4. 使用【系统】→【数据包捕获】抓包分析

优化建议:

  • 关闭不必要的安全功能(如内网互访不需要IPS)
  • 启用硬件加速(如果设备支持)
  • 调整策略顺序(高频匹配的策略放前面)
  • 升级设备固件到最新版本
  • 如果性能不足,考虑升级到更高型号的防火墙

二、VPN连接类问题

问题4:IPSec VPN隧道无法建立

排查步骤:

  1. 检查对端公网IP是否可达(在【系统】→【诊断工具】→【Ping】中测试)
  2. 检查预共享密钥是否一致(两端必须完全相同)
  3. 检查IKE版本是否匹配(v1或v2)
  4. 检查加密算法和认证算法是否一致
  5. 检查本端和对端子网配置是否镜像(本端子网=对端子网,对端子网=本端子网)
  6. 查看【VPN】→【日志】中的错误信息

常见错误:

  • no proposal chosen:加密算法不匹配
  • invalid HASH:预共享密钥错误
  • no route to peer:到对端IP的路由不可达
问题5:SSL VPN客户端无法连接

排查步骤:

  1. 检查SSL VPN功能是否已启用【VPN】→【SSL VPN】→【全局配置】
  2. 检查用户是否有权限【VPN】→【SSL VPN】→【策略管理】
  3. 检查用户账号状态【对象】→【用户管理】
  4. 检查端口是否开放(默认4430,可能被运营商封禁)
  5. 尝试更换端口(如改为 443

客户端连接地址格式:

  • 如果SSL VPN端口是4430:https://防火墙公网IP:4430
  • 如果SSL VPN端口是443:https://防火墙公网IP

三、策略配置类问题

问题6:安全策略配置了但不生效

排查步骤:

  1. 检查策略是否"启用"(策略前面的勾要打上)
  2. 检查策略顺序(策略是从上往下匹配,第一条匹配即停止)
  3. 检查源/目的区域、地址、服务是否配置正确
  4. 在【监控】→【会话列表】中查看流量是否匹配到策略
  5. 使用【系统】→【数据包捕获】抓包分析

技巧:

  • 在策略中开启"记录日志",然后在【监控】→【安全日志】中查看是否匹配
  • 使用【监控】→【策略命中统计】查看策略匹配次数
问题7:NAT策略配置后外网无法访问内网服务器

排查步骤:

  1. 检查目的NAT策略是否配置【策略】→【NAT策略】→【目的NAT】
  2. 检查安全策略是否允许WAN到DMZ的访问(NAT转换后还需要安全策略允许)
  3. 在【监控】→【会话列表】中查看是否有会话建立
  4. 在内网PC上测试访问服务器(排除服务器本身问题)
注意:NAT策略只是做地址转换,转换后流量还需要被安全策略允许才能通过!

四、设备管理与维护类问题

问题8:忘记管理员密码怎么办

解决方案:

  1. 使用console线连接设备console口
  2. 重启设备,在启动过程中按 Ctrl+B 进入bootmenu
  3. 选择"跳过当前配置启动"(不同型号可能不同)
  4. 设备启动后,使用默认密码登录
  5. 导出原配置,修改密码后再导入
警告:此操作会清空当前配置,请务必先备份配置!
问题9:如何备份和恢复配置

备份配置:

  1. 进入【系统】→【配置管理】→【配置备份】
  2. 点击"备份当前配置"
  3. 下载配置文件到本地(文件后缀为 .cfg

恢复配置:

  1. 进入【系统】→【配置管理】→【配置恢复】
  2. 上传之前备份的配置文件
  3. 点击"恢复配置"并重启设备

最佳实践:

  • 每次重大配置变更前,务必备份配置
  • 定期备份配置(建议每周一次)
  • 保留多个版本的配置备份

五、高可用与双机热备

问题10:双机热备(HA)配置后不切换

排查步骤:

  1. 检查HA接口是否连接正常(建议使用独立HA接口)
  2. 检查两台设备的软件版本是否一致
  3. 检查HA配置是否一致(组ID、优先级等)
  4. 查看【高可用性】→【HA状态】中的详细信息

注意事项:

  • 主备设备的硬件型号必须一致
  • 主备设备的接口配置必须一致
  • 建议使用专用HA接口(不要用业务接口做HA)
专业建议:遇到复杂问题时,可以联系世纪云峰科技的技术支持团队。我们是深信服官方认证代理商,提供专业的售前咨询和售后服务。咨询电话:156-2522-0012

相关文档推荐

深信服防火墙初始配置指南 华为USG防火墙配置手册 企业网络安全架构设计 深信服产品采购咨询 联系技术支持

需要深信服技术支持?

世纪云峰科技是深信服官方授权代理商,提供:

立即咨询:156-2522-0012

获取报价