在企业级网络安全架构中,深信服(Sangfor)防火墙(AF)是构建第一道防线的核心设备。对于初次接触网络设备的IT新手来说,“如何让一台全新的深信服防火墙成功联网并实现上网功能”是一个既关键又容易让人困惑的问题。
别担心!本文将化繁为简,以最清晰、最实用的步骤,带你从零开始,完成深信服防火墙的物理连接、初始登录、基础网络配置,最终实现内网用户通过防火墙安全上网。无论你是刚入职的网管,还是需要部署设备的项目工程师,这篇指南都能帮你快速上手。
第一步:物理连接与准备工作
在进行任何软件配置之前,正确的物理连接是成功的第一步。
连接管理口 (MANAGE):
找到深信服防火墙设备上的 MANAGE 口(带外管理口)。这是出厂时用于初始配置的专用接口。
准备一根标准网线,一端连接防火墙的 MANAGE 口,另一端连接你的笔记本电脑的网卡接口。
配置本机IP地址:
深信服防火墙的 MANAGE 口出厂默认IP地址为
10.251.251.251,子网掩码为255.255.255.0(即 /24 网段)。你需要将笔记本电脑的IP地址设置为同一网段。例如,可以将电脑IP设为
10.251.251.200,子网掩码255.255.255.0,网关可不填。重要提示:普通型号的深信服防火墙(非400系列等特殊型号)无法通过Console线连接,开局必须通过MANAGE口进入Web界面进行配置。
测试连通性:
配置好电脑IP后,打开命令提示符(CMD),执行
ping 10.251.251.251。如果收到回复(Reply from...),说明物理连接和网络配置正确,可以进行下一步。
第二步:登录防火墙Web管理界面
打开浏览器:
在已连通网络的笔记本电脑上,打开任意现代浏览器(如Chrome、Edge)。
输入管理地址:
在浏览器地址栏中输入
https://10.251.251.251并回车。注意:地址前缀必须是
https://,因为管理界面使用加密连接。输入默认账号密码:
用户名:
admin密码:
admin在登录页面,输入默认的用户名和密码。
根据多个技术社区(CSDN、百度知道)的验证,深信服防火墙AF的出厂默认凭据通常是:
首次登录后,系统通常会强制要求你修改密码,请务必设置一个强密码并妥善保管。
第三步:核心网络配置——实现上网功能
登录成功后,我们正式开始配置防火墙,使其能够转发流量并允许内网用户访问互联网。这里我们采用最常见的“路由模式”。
1. 创建区域并绑定接口
进入【网络】>【接口】或【区域管理】。
创建两个逻辑区域:WAN(外网)和 LAN(内网)。
将防火墙的一个物理接口(如
eth1)引用到 WAN 区域,另一个接口(如eth2)引用到 LAN 区域。
2. 配置接口IP地址
WAN口配置:
选择WAN区域对应的接口(如
eth1)。类型选择“路由”。
设置静态IP地址。这个地址需要与你的上游出口设备(如光猫或路由器)在同一网段。
例如,如果上游路由器的内网地址是
192.168.3.1,那么你可以将WAN口IP设为192.168.3.2,子网掩码255.255.255.0,网关填写192.168.3.1。LAN口配置:
选择LAN区域对应的接口(如
eth2)。同样选择“路由”类型。
设置一个静态IP地址,这个地址将作为内网用户的网关。
例如,设置为
192.168.88.1,子网掩码255.255.255.0。网关栏留空。
3. 配置DHCP服务(可选但推荐)
为了让下联的PC能自动获取IP,建议开启DHCP。
进入【网络】>【DHCP服务】。
启用DHCP服务器,选择接口为刚才配置的LAN口(
eth2)。设置地址池范围,例如
192.168.88.2到192.168.88.253。填写DNS服务器地址(如
114.114.114.114和8.8.8.8),或启用DNS代理。
4. 配置NAT源地址转换(重中之重)
由于内网使用的是私有IP地址(如192.168.88.x),无法直接在公网通信,必须进行地址转换。
进入【策略】>【NAT】>【源地址转换】。
新建一条规则:
源区域:选择
LAN源地址:选择内网网段(如
192.168.88.0/24)目的区域:选择
WAN转换动作:选择“转换为出接口地址”(也称“Easy IP”或“接口地址”)。
此规则的作用是:当内网用户访问外网时,其私有IP会被替换为防火墙WAN口的公网IP(或上游分配的IP)。
5. 配置上网访问控制策略(必须)
深信服防火墙的安全策略默认是“默认拒绝”,即所有流量都不被允许。因此,必须手动添加允许规则。
进入【策略】>【访问控制】。
新建一条安全策略:
名称:例如“允许LAN用户上网”
源区域:
LAN源地址:内网网段(如
192.168.88.0/24)目的区域:
WAN目的地址:
any(代表所有地址)服务:
HTTP,HTTPS,DNS等常用服务,或直接选any动作:允许
重要:策略按从上到下的顺序匹配,确保这条“允许”规则位于任何“拒绝”规则之前。
6. 配置静态路由(如需)
大多数情况下,只需在WAN口配置时填写了网关,系统会自动生成默认路由。
如果网络不通,可以在【网络】>【路由】中检查。若没有指向
0.0.0.0/0的默认路由,需手动添加:目标:
0.0.0.0/0下一跳:上游设备的IP(如
192.168.3.1)出接口:WAN口(如
eth1)
第四步:测试与验证
完成以上所有配置后,进行最终测试:
测试防火墙自身连通性:
在防火墙的命令行界面(可通过Web Console或SSH),执行
ping 192.168.3.1(上游网关),应能通。执行
ping www.baidu.com,如果能通,说明NAT和路由配置正确。测试内网用户上网:
将一台PC连接到防火墙的LAN口(如
eth2)。将PC的IP设置为“自动获取”,它应能获得
192.168.88.x网段的IP。尝试打开网页,访问百度等网站,确认网络畅通。
让深信服防火墙成功联网,核心在于理解四个关键点:
初始连接:通过MANAGE口,使用默认IP
10.251.251.251和账号admin/admin登录。接口规划:明确区分WAN和LAN,并正确配置IP。
NAT转换:必须配置源地址转换,解决私网IP上网问题。
安全策略:牢记“默认拒绝”,务必添加显式的“允许”规则。
按照本文的步骤操作,你就能顺利完成深信服防火墙的基础联网配置。记住,在生产环境中,配置完成后应及时更改默认密码,并根据实际需求细化安全策略。希望这篇指南能成为你网络之旅中的得力助手!
