深信服防火墙配置详细步骤（2025最新图文指南）｜小白也能轻松上手

在当前网络安全威胁日益复杂的背景下，企业对网络边界的防护要求越来越高。作为国内领先的网络安全厂商，深信服（Sangfor）下一代防火墙AF系列凭借其强大的集成化安全能力、智能联动机制和易用的管理界面，广泛应用于各类企业网络环境中。

然而，对于初次接触深信服防火墙的技术人员或网络管理员来说，如何正确完成基础配置并实现业务上线，仍是一大挑战。本文将为你带来一份2025年最新版“深信服防火墙配置详细步骤”实操指南，涵盖从区域划分、VPN部署到安全策略设置的全流程，手把手教学，助你快速完成防火墙开局部署。

深信服防火墙配置前的准备工作

在开始配置之前，请确保以下事项已完成：

1. 设备物理连接正确：确认WAN口、LAN口、DMZ口等接口已按规划接入相应网络。

2. 获取管理权限：默认管理地址通常为 10.251.251.251 或通过Console口登录。

3. 浏览器兼容性：推荐使用Chrome、Firefox或Edge浏览器访问Web管理界面。

4. 明确网络规划：包括内网IP段、外网IP、需要发布的服务器、是否启用IPSec VPN等。

深信服防火墙配置详细步骤（路由模式）

步骤1：定义安全区域

安全区域是深信服防火墙策略控制的基础，不同区域代表不同的信任等级。

路径：【网络】→【区域】

常见默认区域：

• Trust（信任区）：安全等级85，如内网用户区

• Untrust（非信任区）：安全等级5，如外网WAN

• DMZ（隔离区）：安全等级50，如对外服务器区

• Local：设备自身，安全等级100

操作示例：

1. 新建区域“服务器区”，安全等级设为50，绑定接口 eth2。

2. 新建区域“分部区”，用于后续IPSec VPN隧道接口 vpntun。

⚠️ 提示：未加入任何区域的接口无法转发流量！

步骤2：启用并配置IPSec VPN服务

若需实现总部与分支之间的安全互联，需配置IPSec VPN。

路径：【网络】→【Sangfor】→【IPSecVPN】→【VPN运行状态】

✅ 勾选“开启VPN服务”

步骤3：配置VPN线路

路径：【网络】→【Sangfor】→【IPSecVPN】→【通用配置】→【VPN线路配置】

1. 点击【新增线路】

2. 填写本端公网IP地址（如：1.2.1.1）

3. 选择对应WAN接口

✅ 此步骤确保防火墙能正确识别并绑定公网出口。

步骤4：配置IPSec VPN连接（第三方设备对接）

路径：【网络】→【Sangfor】→【IPSecVPN】→【IPSec VPN配置】

1. 点击【新增】，选择“第三方设备”

2. 基础配置：

• 对端路由器公网IP：2.2.2.1

• 预共享密钥：your_psk_key

• 本端子网：192.168.1.0/24

• 对端子网：192.168.2.0/24

3. IKE配置：

• IKE版本：IKEv2

• 本地ID：1.2.1.1

• 对端ID：2.2.2.1

• 加密算法：DES（建议生产环境使用AES）

• 认证算法：MD5（建议使用SHA256）

4. IPSec配置：

• 与对端设备保持一致即可（如ESP协议、AES加密、SHA1认证等）

✅ 配置完成后点击“确定”，隧道状态应显示“已连接”。

步骤5：配置应用控制策略

仅开启VPN还不够，必须通过策略允许流量通过。

路径：【策略】→【访问控制】→【应用控制策略】→【策略配置】

1. 点击【新增】

2. 配置如下：

• 源区域：分部区（即对端通过VPN接入的区域）

• 目的区域：服务器区

• 源地址：可选具体IP或网段

• 目的地址：192.168.1.3（目标服务器）

• 服务：HTTP / HTTPS / 自定义端口

• 动作：允许

✅ 策略按从上到下顺序匹配，建议将高优先级规则置顶。

步骤6：配置安全防护策略（可选但推荐）

为提升整体安全性，建议启用内置安全模板。

路径：【策略】→【安全策略】→【安全防护策略】

1. 点击【新增】

2. 选择“业务防护场景”

3. 使用默认模板（如“服务器防护”、“终端防护”）

4. 应用于对应区域间流量

该策略可集成防病毒、入侵防御（IPS）、Web应用防护（WAF）等功能，实现一体化深度防护。

步骤7：配置NAT与路由（关键！避免不通）

✅ 配置缺省路由

路径：【网络】→【路由】→【静态路由】

添加一条默认路由：

• 目标地址：0.0.0.0/0

• 下一跳：运营商网关地址（如 1.1.1.254）

✅ 配置NAT出站（源地址转换）

路径：【策略】→【NAT】→【NAT策略】

新建策略：

• 源区域：Trust

• 目的区域：Untrust

• 动作：NAT（使用PAT模式，节省公网IP）

✅ 配置黑洞路由（防路由环路）

为避免公网IP回流造成环路，需配置黑洞路由：

ip route-static 1.1.1.10 32 NULL0
ip route-static 1.1.1.11 32 NULL0

步骤8：发布内网服务器（NAT Server）

如需将内网Web服务器对外提供服务：

路径：【策略】→【NAT】→【NAT Server】

配置示例：

• 公网IP：1.1.1.10

• 公网端口：8080

• 内网IP：10.2.0.7

• 内网端口：80

• 协议：TCP

• 勾选“不反向转换”（no-reverse）

✅ 配置后自动生成Server-map表，用于处理外部访问。

常见问题与排错建议

本文系统梳理了深信服防火墙从开局到上线的完整配置流程，包括：

• 区域划分与接口绑定

• IPSec VPN部署（兼容第三方设备）

• 安全策略与应用控制

• NAT、路由与服务器发布

只要按照上述步骤逐一操作，即使是新手也能顺利完成防火墙的基础配置。建议在正式环境前先在测试环境中演练，并定期备份配置文件。