在当今数字化时代,网络安全已成为企业信息化建设的重中之重。作为国内领先的网络安全解决方案提供商,深信服AF系列防火墙凭借其强大的功能、稳定的性能和易用的管理界面,广泛应用于各类企业网络环境中。
本文将带你全面了解深信服防火墙的基础配置流程,涵盖设备接入、网络设置、NAT转换、安全策略以及高可用性(HA)部署等核心内容,帮助IT管理员快速上手,构建坚固的企业网络安全防线。
深信服防火墙简介
深信服AF(Application Firewall)是一款集应用识别、入侵防御、病毒查杀、访问控制于一体的下一代防火墙(NGFW)。它不仅具备传统防火墙的包过滤能力,更融合了AI智能检测、威胁情报联动、数据防泄漏等高级安全功能,能够有效抵御APT攻击、勒索病毒、0day漏洞等新型网络威胁。
✅ 核心优势:
支持路由/透明/混合多种部署模式
内置丰富的安全特征库,实时更新
可视化流量分析与日志审计
支持IPSec/SSL VPN远程接入
提供高可用性(HA)方案保障业务连续性
首次登录与基础网络配置
1. 连接管理口并登录Web界面
深信服防火墙出厂默认管理IP为:10.251.251.251/24,管理端口通常为ETH0。
操作步骤如下:
使用网线将电脑与防火墙的ETH0管理口连接;
在电脑上手动配置一个同网段的IP地址,例如:
10.251.251.100;打开浏览器,输入
https://10.251.251.251;输入默认用户名和密码(一般为admin/admin),进入Web管理界面。
⚠️ 注意:首次登录建议立即修改默认密码,并启用双因素认证以增强安全性。
2. 配置WAN口(外网接口)
假设你采用路由模式部署,需配置WAN口连接互联网。
物理接口:ETH1
IP地址:由运营商提供,如
202.100.1.100/24下一跳网关:运营商网关,如
202.100.1.1所属区域:L3_untrust_A(表示非信任区域)
📌 区域说明:深信服通过“安全区域”划分网络边界,常见的有:
L3_trust_A:内网可信区域
L3_untrust_A:外网非信任区域
DMZ:用于放置对外服务服务器
3. 配置LAN口(内网接口)
用于连接企业内部局域网。
物理接口:ETH2
IP地址:如
192.168.1.1/24允许WEB管理:勾选,便于后续通过内网访问
允许PING:勾选,方便网络测试
所属区域:L3_trust_A
4. 配置默认路由
即使设置了网关,仍需手动添加默认路由才能实现上网。
目的地址/掩码:
0.0.0.0/0下一跳地址:
202.100.1.1出接口:ETH1(即WAN口)
✅ 路由生效后,内网终端可通过防火墙访问互联网。
配置源NAT(上网地址转换)
为了让内网用户访问公网资源,必须配置源地址转换(SNAT)。
配置路径:网络 → 地址转换 → 源地址转换
转换类型:源地址转换
源区域:L3_trust_A(内网)
目的区域:L3_untrust_A(外网)
源地址:任意或指定内网网段(如192.168.1.0/24)
目的地址:0.0.0.0/0
服务:any
转换方式:出接口地址(动态PAT)
💡 原理说明:所有来自内网的数据包,在经过防火墙时,其源IP会被替换为WAN口的公网IP,从而实现多台设备共享一个公网IP上网。
配置安全策略(关键!)
与路由器不同,防火墙默认是“拒绝一切”的原则,因此必须显式放行所需流量。
配置路径:策略 → 应用控制策略
点击“新增”,填写以下信息:
规则名称:如“内网访问外网”
源区域:L3_trust_A
源地址:192.168.1.0/24
目的区域:L3_untrust_A
目的地址:any
服务:any 或选择HTTP/HTTPS/DNS等具体服务
动作:允许
日志记录:建议开启,便于后期审计
🔐 安全建议:遵循最小权限原则,避免使用“any any”全放通策略。
配置端口映射(发布内网服务)
若需将内网服务器(如Web、FTP)对外提供服务,需配置目的地址转换(DNAT),即常说的“端口映射”。
配置路径:网络 → 地址转换 → 目的地址转换
示例:将公网IP的80端口映射到内网192.168.1.100的80端口
原始数据包
源区域:L3_untrust_A
目的地址:防火墙WAN口IP(如202.100.1.100)
服务:HTTP(或自定义TCP 80)
转换后数据包
目的地址转换为:
192.168.1.100端口转换为:
80
✅ 自动放通ACL:勾选此选项后,系统会自动创建对应的安全策略,无需手动配置。若未勾选,则需在“应用控制策略”中单独添加放行规则。
高可用性(HA)部署:保障业务连续性
对于关键业务系统,建议部署两台深信服防火墙组成HA集群,实现故障自动切换,避免单点故障。
HA常见模式对比:
| 特性 | 主备模式(Active-Passive) | 双主模式(Active-Active) |
|---|---|---|
| 设备利用率 | 较低(备机空闲) | 高(双机负载分担) |
| 切换时间 | 略长(毫秒级中断) | 极短(接近无缝) |
| 成本投入 | 适中 | 较高 |
| 维护复杂度 | 简单 | 复杂 |
| 适用场景 | 中小企业、预算有限 | 大型企业、高并发业务 |
HA基本配置要点:
使用专用心跳线连接两台防火墙;
配置虚拟IP(VIP)作为对外服务地址;
启用配置同步与会话同步;
设置优先级与故障检测机制(如心跳包、链路探测);
📚 推荐阅读:《深信服AF V8.0用户手册》第648页详细介绍了HA部署的最佳实践。
日常维护与管理建议
定期更新版本:及时升级系统固件和安全特征库,防范新出现的漏洞;
查看运行日志:通过“日志中心”监控异常登录、攻击行为、策略命中情况;
备份配置文件:定期导出配置,防止设备损坏导致配置丢失;
启用邮件告警:配置SMTP服务器,关键事件实时通知管理员;
定期审计策略:清理过期规则,优化策略顺序,提升匹配效率。
深信服防火墙作为企业网络安全的第一道防线,其正确配置至关重要。本文从设备接入、网络配置、NAT转换、安全策略到HA高可用部署,系统梳理了核心配置流程,旨在帮助网络管理员快速掌握实战技能。
