深信服防火墙配置实例：从入门到实战的完整指南（2025最新版）-拾贝生活号

在当今复杂多变的网络安全环境中，企业对边界防护的需求日益增长。作为国内领先的网络安全厂商，深信服科技推出的下一代防火墙（NGFW）系列产品，凭借其高性能、高可靠性以及智能化的安全策略管理能力，广泛应用于政府、金融、教育和中小企业网络中。

深信服防火墙配置实例：从入门到实战的完整指南（2025最新版）

本文将以“深信服防火墙配置实例”为主题，结合实际应用场景，系统梳理从设备初始化、基础网络配置到安全策略、NAT转换及高级功能的全流程操作步骤，帮助网络管理员快速掌握核心配置技巧，提升网络安全防护水平。

深信服防火墙上架前准备

在进行任何配置之前，需完成以下准备工作：

✅ 1. 硬件选型与连接

常见型号系列：

低端：AF-1000系列（适用于小型办公室）
中端：AF-3000/4000系列（适合中型企业）
高端：AF-6000及以上（大型数据中心或集团总部）

🔌 推荐使用双电源供电，并确保管理口（MGT）接入带外管理网络。

✅ 2. 初始访问方式

默认管理地址：https://10.251.251.251
默认账号密码：admin / Admin@123（首次登录建议修改）
浏览器推荐：Chrome 或 Firefox 最新版

基础网络配置实例

以下为一个典型的三层组网场景配置示例。

📌 拓扑结构说明

1内网用户（Trust区） → 防火墙 → 外网ISP（Untrust区）
2                     ↓
3                 DMZ服务器区

▶ 步骤1：配置物理接口IP地址

1# 进入系统视图
2system-view
3
4# 配置内网接口 G1/0/1
5interface GigabitEthernet1/0/1
6 undo shutdown
7 ip address 192.168.10.1 255.255.255.0
8 service-manage ping permit    # 允许Ping测试，便于排错
9
10# 配置外网接口 G1/0/2
11interface GigabitEthernet1/0/2
12 undo shutdown
13 ip address 202.100.1.100 255.255.255.248

💡 service-manage ping permit 是关键命令，否则接口无法响应ICMP请求。

▶ 步骤2：创建安全区域并绑定接口

深信服防火墙默认有四个预定义区域，安全等级由高到低如下：

区域	安全优先级	用途说明
Trust	85	内部可信网络
DMZ	50	对外发布服务器区域
Untrust	5	外部不可信网络（如互联网）
Local	100	防火墙自身

执行命令将接口加入对应区域：

1# 创建 Trust 区域
2firewall zone trust
3 set priority 85
4 add interface GigabitEthernet1/0/1
5
6# 创建 Untrust 区域
7firewall zone untrust
8 set priority 5
9 add interface GigabitEthernet1/0/2
10
11# 创建 DMZ 区域（如有需要）
12firewall zone dmz
13 set priority 50
14 add interface GigabitEthernet1/0/3

安全策略配置实例

安全策略是控制流量通行的核心机制，遵循“按顺序匹配，先匹配优先”的原则。

✅ 实例1：允许内网访问外网（Outbound）

目标：允许 Trust 区域内的所有用户访问 Internet。

1security-policy
2 rule name ALLOW_TRUST_TO_UNTRUST
3  source-zone trust
4  destination-zone untrust
5  source-address 192.168.10.0 24
6  action permit

📌 注意：深信服防火墙默认策略为“拒绝所有”，必须显式放行所需流量。

✅ 实例2：限制特定服务访问

目标：仅允许财务部主机（192.168.10.50）访问ERP服务器（192.168.20.100:TCP 8080）

1security-policy
2 rule name FINANCE_ERP_ACCESS
3  source-zone trust
4  destination-zone dmz
5  source-address 192.168.10.50 32
6  destination-address 192.168.20.100 32
7  service tcp 8080
8  action permit

NAT配置实战案例

🧩 场景1：源NAT（内网用户上网）—— NAPT模式（推荐）

使用公网地址池做PAT转换，节省IP资源。

1# 创建NAT地址池
2nat address-group OUTBOUND_POOL
3 mode pat
4 section 0 202.100.1.101 202.100.1.103
5
6# 配置NAT策略
7nat-policy
8 rule name NAT_OUTBOUND
9  source-zone trust
10  destination-zone untrust
11  source-address 192.168.10.0 24
12  action nat address-group OUTBOUND_POOL

⚠️ 若未配置NAT，即使安全策略放行，内网也无法正常访问外网。

🧩 场景2：目的NAT（外网访问内网服务）—— NAT Server

目标：将公网IP 202.100.1.102:80 映射至DMZ区Web服务器 192.168.20.10:80

1nat server WEB_SERVER_80
2 protocol tcp
3 global 202.100.1.102 80
4 inside 192.168.20.10 80
5 no-reverse   # 可选：禁止反向映射

✅ 配合安全策略放行：

1security-policy
2 rule name ALLOW_WEB_FROM_INTERNET
3  source-zone untrust
4  destination-zone dmz
5  destination-address 192.168.20.10 32
6  service tcp 80
7  action permit

🔍 配置后自动生成 Server-Map 表项，用于处理返回流量。

路由与黑洞路由配置

✅ 配置默认路由指向运营商网关

1ip route-static 0.0.0.0 0.0.0.0 202.100.1.1

✅ 添加黑洞路由防止路由环路

当使用多个公网IP时，为避免回包路径错误导致环路，应配置黑洞路由：

1ip route-static 202.100.1.101 32 NULL0
2ip route-static 202.100.1.102 32 NULL0
3ip route-static 202.100.1.103 32 NULL0

高级功能简析（可选扩展）

🔐 虚拟防火墙（Vsys）技术

支持在同一台物理设备上划分多个逻辑防火墙实例，适用于多租户或分支机构集中部署。

1vsys enable
2create vsys VSYS_FINANCE
3assign interface GigabitEthernet1/0/4 to vsys VSYS_FINANCE

🛡️ 启用IPS/AV/URL过滤

在安全策略中引用内容安全模板，实现一体化检测：

1security-policy
2 rule name SECURE_WEB_ACCESS
3  source-zone trust
4  destination-zone untrust
5  profile intrusion-prevention default
6  profile antivirus default
7  profile url-filtering WEB_FILTER_POLICY
8  action permit

常见问题排查技巧

问题现象	可能原因	解决方法
内网无法上网	未配置NAT或缺省路由	检查`nat-policy`和`ip route-static`
Ping不通接口	接口未启用或禁用了ping	使用`undo shutdown`和`service-manage ping permit`
策略不生效	规则顺序靠后或未提交	调整策略顺序并点击“应用”按钮
Session表为空	无匹配流量或策略拒绝	抓包分析或查看日志