在当今复杂的网络环境中,企业网络安全至关重要。作为国内领先的网络安全解决方案提供商,深信服(Sangfor)下一代防火墙(NGFW) 凭借其高性能、高可靠性和强大的安全功能,成为众多企业的首选。然而,对于初次接触的用户来说,如何正确地完成深信服防火墙的安装与基础配置,往往是第一道难关。
别担心!本篇博文将为您带来一份从零开始的深信服防火墙安装与基础配置全流程指南,结合图文和命令行示例,即使是网络新手也能轻松上手,快速构建起企业网络的第一道安全防线。
准备工作:工欲善其事,必先利其器
在动手之前,充分的准备工作是成功部署的关键。
1. 硬件与连接
设备检查:确认您已收到深信服防火墙硬件设备(如AF系列),并检查配件是否齐全(电源线、Console线等)。
物理部署:根据您的网络规划,将防火墙放置在合适的位置,并连接好电源。
管理连接:使用网线将您的电脑(笔记本)与防火墙的管理口(Manage Port) 相连。这是最安全、最可靠的初始配置方式。
2. 电脑网络设置
深信服防火墙出厂时,管理口(Manage)的默认IP地址通常为
10.251.251.251。请将您的电脑手动设置一个同网段的静态IP地址,例如:
IP地址:
10.251.251.200子网掩码:
255.255.255.0网关:可不填或填写
10.251.251.251
3. 登录Web管理界面
打开电脑上的浏览器(推荐Chrome、Firefox或Edge)。
在地址栏输入
https://10.251.251.251(注意是https)。首次访问会提示证书风险,点击“高级”并选择“继续前往”即可。
输入默认登录凭据:
用户名:
admin密码:
admin验证码:根据页面提示输入。
成功登录后,系统通常会强制要求您修改管理员密码,请务必设置一个强密码。
💡 小贴士:如果后续通过其他接口管理设备,记得确保您的电脑网络可达该接口的IP地址。
核心配置四步曲:构建安全网络骨架
完成初始化登录后,我们就可以开始进行核心的网络配置了。整个过程可以概括为四个关键步骤:区域划分 -> 接口配置 -> 路由设置 -> 安全策略。
第一步:创建安全区域 (Security Zones)
深信服防火墙采用“区域”(Zone)的概念来对网络进行逻辑划分,不同区域代表不同的安全等级,这是制定安全策略的基础。
常见的区域包括:
Trust (信任区, 优先级85):通常用于内部办公网络,安全性最高。
Untrust (非信任区, 优先级5):通常用于连接互联网的WAN口,安全性最低。
DMZ (非军事区, 优先级50):用于放置对外提供服务的服务器(如Web服务器、邮件服务器),安全性介于前两者之间。
Local (本地, 优先级100):指防火墙设备本身。
操作步骤(Web界面):
进入【网络】-> 【区域】。
点击【添加】按钮。
填写区域名称(如
LAN)、描述,并选择区域类型(如Trust)。同样方法,创建
WAN区域,类型选择Untrust。
第二步:配置网络接口 (Network Interfaces)
将物理或逻辑接口分配给相应的安全区域,并为其配置IP地址。
操作场景:假设我们将 eth1 口连接外网(WAN),eth2 口连接内网(LAN)。
操作步骤(Web界面):
进入【网络】-> 【接口】。
找到
eth1接口,点击编辑。接口用途:选择
路由模式。安全区域:选择刚才创建的
WAN区域。IP地址:配置您的公网IP地址和子网掩码(例如
1.1.1.2/24)。开启Ping:在“服务管理”中勾选
ping,以便后续测试连通性。找到
eth2接口,点击编辑。安全区域:选择
LAN区域。IP地址:配置您的私网IP地址(例如
192.168.1.1/24)。开启Ping:同样勾选
ping。保存所有配置。此时,接口状态应显示为绿色(UP),表示物理连接正常。
第三步:配置路由 (Routing)
路由决定了数据包的转发路径。为了让内网用户能够访问互联网,我们需要配置一条默认路由,指向运营商提供的网关。
操作步骤(Web界面):
进入【网络】-> 【路由】-> 【IPv4静态路由】。
点击【新增】。
填写以下信息:
目的地址/掩码:
0.0.0.0/0(代表所有未知目的地)下一跳:输入您的运营商网关地址(例如
1.1.1.254)。出接口:选择
eth1(WAN口)。优先级:保持默认。
点击确定保存。
⚠️ 重要提醒:如果您的公网IP地址是动态获取的(如PPPoE拨号),则无需在此处配置静态默认路由,而应在WAN口配置中启用PPPoE客户端。
第四步:配置安全策略 (Security Policy)
这是防火墙的灵魂所在!深信服防火墙默认遵循“默认拒绝”原则,即任何未被明确允许的流量都将被阻断。
为了允许内网用户上网,我们需要创建一条安全策略。
操作步骤(Web界面):
进入【策略】-> 【安全防护】-> 【防火墙】。
点击【新建】创建一条新的策略规则。
关键参数配置如下:
动作:
允许(Allow)源区域:
LAN(或您创建的Trust区域)目的区域:
WAN(或您创建的Untrust区域)源地址:可以指定内网网段(如
192.168.1.0/24),或选择any允许所有。目的地址:通常选择
any。服务:选择
HTTP,HTTPS,DNS等常用服务,或选择any。应用控制:可根据需要启用,以限制P2P、视频等应用。
为策略命名(如
Allow_LAN_to_WAN),然后点击保存。
进阶配置:NAT与内外网互通
仅仅有安全策略还不够,我们还需要解决IP地址转换问题。
1. 源NAT (Source NAT / SNAT)
当内网用户访问互联网时,他们的私有IP地址(如192.168.1.x)无法在公网上路由。源NAT 的作用就是将这些私有IP地址转换为防火墙WAN口的公网IP地址。
好消息是,在深信服防火墙上,当我们配置了安全策略并将其应用于跨区域(如LAN到WAN)的流量时,系统通常会自动应用源NAT,将流量转换为出接口(WAN口)的IP地址。这被称为“Easy-IP”模式,非常方便。
如果您有多个公网IP地址组成的地址池,则需要单独配置NAT策略。
2. 服务器映射 (Port Forwarding / NAT Server)
如果您希望从外网访问内网的服务器(如公司网站),就需要配置服务器映射。
操作步骤(Web界面):
进入【策略】-> 【NAT】-> 【服务器映射】。
点击【新增】。
填写以下信息:
公网地址:您拥有的公网IP(如
1.1.1.2)。公网端口:外部用户访问的端口(如
80)。协议:
TCP。私网地址:内网服务器的IP地址(如
192.168.1.100)。私网端口:服务器监听的端口(如
80)。双向地址转换:根据需求选择。
保存配置。
别忘了:必须同时配置一条安全策略,允许从
Untrust区域到DMZ或Trust区域的相应流量,否则即使NAT配置了,流量也会被安全策略拦截。
验证与测试:一切就绪!
配置完成后,进行测试以确保一切正常工作。
测试管理通道:尝试用新设置的IP地址(如WAN口IP)通过HTTPS登录防火墙,看是否成功。
测试内网用户上网:
将一台电脑连接到
eth2口或LAN交换机,设置IP为192.168.1.x,网关为192.168.1.1。尝试
ping外部地址(如ping 8.8.8.8)。尝试打开网页浏览互联网。
查看会话表:登录防火墙Web界面,进入【监控】-> 【会话】,可以看到当前通过防火墙的活跃连接,这是验证策略生效的直接证据。
恭喜您!通过以上五个步骤,您已经成功完成了深信服防火墙的安装与基础配置。回顾一下关键流程:
物理连接与初始登录。
逻辑划分:创建Trust、Untrust等安全区域。
物理绑定:为接口配置IP并加入对应区域。
路径指引:配置默认路由通往互联网。
规则制定:配置安全策略和NAT,明确放行哪些流量。
最后的重要建议:
最小权限原则:安全策略应遵循“最小权限”,只开放必要的服务和端口。
定期备份:配置完成后,立即进行配置文件备份,以防意外丢失。
持续学习:深信服防火墙功能强大,本文仅覆盖基础。建议深入学习IPS、AV、应用控制、SSL解密等高级功能。
寻求支持:若遇到复杂问题,不要犹豫,及时联系深信服官方技术支持获取专业帮助。
掌握防火墙配置是每个IT专业人士的必备技能。希望这篇详尽的教程能助您一臂之力!如果您觉得有用,欢迎点赞、收藏和分享给更多需要的朋友!
