深信服防火墙配置完整教程

下一代防火墙AF系列从入门到精通配置手册

返回知识库

发布日期:2026年5月11日

作者:世纪云峰技术团队

分类:网络安全 / 配置指南

阅读时间:约 25 分钟

关键词:深信服防火墙配置、AF配置教程、下一代防火墙

目录

一、设备初始连接与登录

深信服下一代防火墙(AF系列)是集防火墙、VPN、入侵防御、病毒防护、应用控制等功能于一体的综合安全网关。本章节详细介绍设备的初始连接和配置方法。

1.1 物理连接步骤

步骤1:连接管理接口

深信服防火墙默认管理口为 ETH0 接口,默认IP地址为 10.251.251.251/24

  1. 使用网线将电脑连接到防火墙的 ETH0 接口(通常标记为"MGMT"或"管理口")
  2. 将电脑IP设置为 10.251.251.100/24,网关设置为 10.251.251.251
  3. 打开浏览器,访问 https://10.251.251.251(注意是HTTPS协议)

1.2 默认登录信息

项目 默认值 说明
用户名 admin 管理员账号
密码 admin 或设备序列号后8位 根据型号不同,请查看设备标签
重要提醒:首次登录后请立即修改管理员密码,并使用强密码策略(包含大小写字母、数字、特殊字符,长度至少8位)。

二、网络接口配置(WAN/LAN)

深信服防火墙的接口配置是整个网络打通的基础。正确配置WAN口和LAN口,才能实现内外网通信。

2.1 WAN口配置(外网接口)

进入【网络】→【接口】→【物理接口】,选择连接外网的接口(通常为 ETH1):

  1. 接口类型选择:路由模式
  2. 连接类型:根据运营商提供的接入方式选择
    • 静态IP:手动填写IP地址、子网掩码、网关、DNS服务器
    • DHCP:自动获取IP地址(适合光猫拨号场景)
    • PPPoE:输入宽带账号和密码(适合ADSL拨号)
  3. 填写IP地址信息后,点击"确定"保存配置
  4. 在【网络】→【路由】→【静态路由】中,确认默认路由(0.0.0.0/0)指向WAN口网关

2.2 LAN口配置(内网接口)

选择连接内网的接口(通常为 ETH2):

  1. 接口类型选择:路由模式
  2. IP地址:配置内网网段,如 192.168.1.1/24
  3. 启用DHCP服务:为内网用户自动分配IP地址
    • DHCP地址池:192.168.1.100-192.168.1.200
    • 网关:192.168.1.1
    • DNS:填写运营商DNS或公共DNS(如 114.114.114.114
最佳实践:建议将接口名称修改为易识别的名称,如"WAN-电信"、"LAN-内网",方便后续策略配置时快速识别。

三、安全策略配置详解

安全策略是防火墙的核心功能,用于控制内外网之间的流量访问。深信服AF采用"默认拒绝,显式允许"的策略逻辑。

3.1 创建安全策略

进入【策略】→【安全策略】→【添加】,配置参数如下:

  1. 策略名称:便于识别的名称,如"允许内网访问外网"
  2. 源区域:选择内网区域(如LAN)
  3. 目的区域:选择外网区域(如WAN)
  4. 源地址:选择内网IP组或"any"
  5. 目的地址:选择"any"或特定外网IP
  6. 服务:选择允许的服务(如HTTP、HTTPS、DNS等)
  7. 动作:允许/拒绝/拒绝并记录日志
  8. 高级选项:可配置应用控制、入侵防御、病毒防护等

3.2 常用安全策略模板

策略名称 源区域 目的区域 动作
允许内网访问外网 LAN WAN 允许
允许外网访问服务器 WAN DMZ 允许(特定端口)
禁止内网访问高危端口 LAN any 拒绝(记录日志)

四、NAT策略配置(源NAT/目的NAT)

NAT(网络地址转换)是实现内网用户访问外网、外网用户访问内网服务器的关键技术。

4.1 源NAT(SNAT)配置

源NAT用于将内网私网IP转换为公网IP,实现内网用户访问互联网。

  1. 进入【策略】→【NAT策略】→【源NAT】→【添加】
  2. 源区域:LAN(内网)
  3. 目的区域:WAN(外网)
  4. 源地址:内网网段(如 192.168.1.0/24
  5. 目的地址:any
  6. 转换方式:选择"动态POOL"或"出接口地址"(推荐)
  7. 点击"确定"保存

4.2 目的NAT(DNAT)配置

目的NAT用于将外网用户访问公网IP的请求,转发到内网服务器(端口映射)。

  1. 进入【策略】→【NAT策略】→【目的NAT】→【添加】
  2. 源区域:WAN(外网)
  3. 目的区域:WAN(外网)
  4. 协议:选择需要映射的协议(如TCP)
  5. 目的地址:填写公网IP地址
  6. 目的端口:填写外网访问端口(如 80
  7. 转换后地址:填写内网服务器IP(如 192.168.1.100
  8. 转换后端口:填写内网服务器端口(如 80
  9. 点击"确定"保存
注意:配置目的NAT时,必须同时配置安全策略允许WAN到DMZ的访问,否则NAT转换后流量仍会被防火墙拦截。

五、VPN配置(IPSec/SSL VPN)

深信服防火墙支持多种VPN技术,满足远程办公、分支机构互联等场景需求。

5.1 IPSec VPN配置(站点到站点)

适用于分支机构与总部之间的安全通信。

  1. 进入【VPN】→【IPSec VPN】→【站点对站点】→【添加】
  2. 对端网关:填写对端防火墙的公网IP
  3. 预共享密钥:两端必须一致(建议使用复杂密码)
  4. 本端子网:填写本地内网网段
  5. 对端子网:填写对端内网网段
  6. IKE版本:推荐IKEv2(安全性更高)
  7. 加密算法:AES-256、SHA-256(推荐)
  8. 点击"确定"并激活连接

5.2 SSL VPN配置(远程接入)

适用于移动办公用户远程接入企业内网。

  1. 进入【VPN】→【SSL VPN】→【全局配置】
  2. 启用SSL VPN功能
  3. 配置【资源列表】:添加内网需要访问的服务器资源
  4. 配置【用户管理】:添加允许使用SSL VPN的用户账号
  5. 配置【策略管理】:设置用户可以访问的资源权限
  6. 用户通过浏览器访问 https://防火墙公网IP:4430 下载客户端并连接

六、用户认证配置

深信服防火墙支持本地认证、AD域认证、Radius认证等多种用户认证方式。

6.1 本地用户认证

  1. 进入【对象】→【用户管理】→【本地用户】→【添加】
  2. 填写用户名、密码、所属用户组
  3. 可配置"允许访问时间"、"允许访问地址"等限制条件

6.2 AD域认证

  1. 进入【对象】→【认证服务器】→【AD域】→【添加】
  2. 填写AD域控制器IP、端口(默认389)、Base DN等信息
  3. 测试连接并绑定账号
  4. 在【用户管理】中导入AD域用户

七、日志与审计配置

完善的日志配置是安全运维和合规审计的基础。

7.1 日志服务器配置

  1. 进入【系统】→【日志设置】→【日志服务器】
  2. 启用日志上报功能
  3. 填写日志服务器IP和端口(深信服日志中心默认UDP 514)
  4. 选择需要上报的日志类型(安全日志、流量日志、系统日志等)

7.2 本地日志配置

  1. 进入【系统】→【日志设置】→【本地日志】
  2. 配置日志保留天数(推荐90天以上,满足等保要求)
  3. 启用"日志空间不足时自动删除旧日志"

八、常见问题与故障排查

8.1 无法访问互联网

排查步骤:

  1. 检查WAN口是否获取到IP地址【网络】→【接口】
  2. 检查默认路由是否正确【网络】→【路由】→【路由表】
  3. 检查源NAT策略是否配置【策略】→【NAT策略】
  4. 检查安全策略是否允许LAN到WAN的访问
  5. 在【系统】→【数据包捕获】中进行抓包分析

8.2 VPN连接失败

排查步骤:

  1. 检查对端公网IP是否可达(ping测试)
  2. 检查预共享密钥是否一致
  3. 检查IKE版本和加密算法是否匹配
  4. 检查本端和对端子网配置是否镜像
  5. 查看【VPN】→【日志】中的错误信息
专业建议:遇到复杂问题时,可以联系世纪云峰科技的技术支持团队。我们是深信服官方认证代理商,提供专业的售前咨询和售后服务。咨询电话:156-2522-0012

相关文档推荐

华为USG防火墙配置手册 企业网络安全架构设计 等保2.0合规建设指南 深信服产品采购咨询 联系技术支持

需要深信服防火墙?

世纪云峰科技是深信服官方授权代理商,提供正品保障、原厂技术支持、有竞争力的价格。

立即咨询:156-2522-0012

获取报价