深信服防火墙用户手册：从零开始配置企业级网络安全网关

在当今复杂的网络环境中，保障企业数据安全与业务连续性已成为IT管理的首要任务。深信服（Sangfor）作为国内领先的网络安全解决方案提供商，其下一代防火墙（NGAF）产品凭借高性能、多功能和易用性，广泛应用于企业、政府、教育及医疗等行业。

本文将为您带来一份详尽的深信服防火墙用户手册，手把手指导您完成设备初始化、基础网络配置到核心安全策略部署的全过程，帮助您快速构建起一道坚固的网络安全防线。

设备安装与首次登录

1.1 物理连接

在开始配置前，请确保完成以下物理连接：

• 将深信服防火墙设备接入电源。

• 使用网线将您的笔记本电脑与防火墙的 Manage（管理）口 相连。这是进行初始配置的标准方式。

1.2 获取默认管理地址并登录

深信服防火墙出厂时，其Manage管理口具有一个固定的默认IP地址，这是您登录Web管理界面的关键。

• 默认管理IP地址：https://10.251.251.251

• 默认用户名：admin

• 默认密码：admin

操作步骤：

1. 在您的笔记本电脑上，手动设置一个与管理口同网段的IP地址，例如：10.251.251.200，子网掩码 255.255.255.0。

2. 打开浏览器（推荐使用Chrome或Firefox），在地址栏输入 https://10.251.251.251。

3. 在弹出的登录页面中，输入用户名和密码，点击“登录”即可进入Web控制台。

提示：首次登录后，系统通常会强制要求您修改默认密码，以增强设备安全性。

基础网络配置：搭建网络框架

完成登录后，接下来需要为防火墙划分区域并配置接口，这是所有后续策略的基础。

2.1 区域与接口规划

根据典型的网络架构，我们需要创建至少两个三层区域：

• WAN区域（外网区）：连接互联网，用于访问外部资源。

• LAN区域（内网区）：连接内部办公网络，保护内部用户和服务器。

操作路径：[网络配置] → [接口/区域]

• 创建名为 WAN 的区域，并将其绑定到物理接口（如 eth1）。

• 创建名为 LAN 的区域，并将其绑定到另一个物理接口（如 eth2）。

2.2 配置网络接口

为每个区域的接口分配具体的IP地址。

• WAN口配置：在 WAN 区域的接口上，配置运营商提供的公网IP地址、子网掩码和网关。

• LAN口配置：在 LAN 区域的接口上，配置您规划的内网IP地址段，例如 192.168.1.1/24，这将成为内网用户的网关。

2.3 配置路由

路由是数据包在网络间转发的“指路牌”。

• 默认路由：配置一条指向WAN口网关的默认路由（目标地址 0.0.0.0/0），确保内网用户的所有外网流量都能被正确转发出去。

• 回程路由（可选）：如果您的网络环境复杂，存在多个出口或VPN，可能还需要配置去往特定内网网段的静态路由，以保证返回流量的路径正确。

核心安全策略配置：构筑防护体系

基础网络打通后，必须通过精细的安全策略来控制流量，实现“该通的通，不该通的断”。

3.1 源地址转换（SNAT）

为了让内网PC能够通过防火墙访问互联网，必须配置SNAT（源地址转换）。

• 作用：将内网用户的私有IP地址（如192.168.1.x）转换为防火墙WAN口的公网IP地址。

• 效果：实现了内网用户的上网代理，同时隐藏了内部网络结构。

操作路径：[策略配置] → [NAT]** 或 **[策略配置] → [源地址转换]

3.2 设置默认拒绝策略

遵循网络安全的“最小权限原则”，应将防火墙的默认行为设置为最严格的。

• 配置：确保防火墙的最后一条安全策略是“拒绝所有”（Deny All），即任何未被明确允许的流量都将被阻止。

• 意义：极大地提升了整体网络的安全基线。

3.3 应用控制策略放通

在“默认拒绝”的基础上，再根据业务需求，逐条放行必要的应用和协议。

• 操作路径：[策略配置] → [安全策略]

• 示例策略：

• 名称：放通_内网_上网

• 源区域：LAN

• 目的区域：WAN

• 源地址：LAN 网段（如 192.168.1.0/24）

• 服务：选择 HTTP, HTTPS, DNS 等常用服务。

• 动作：允许

• 高级功能：利用深信服的应用识别能力，可以精确控制QQ、微信、迅雷等具体应用程序的访问。

高级安全防护配置

除了基础的访问控制，深信服防火墙还集成了多种高级威胁防护功能。

4.1 入侵防御系统（IPS）

主动检测并阻断来自外部网络的漏洞利用、病毒传播等攻击行为。

操作路径：[安全防护] → [入侵防御 (IPS)]

• 创建针对 LAN 区域客户端的防护规则。

• 启用常见的攻击防护特征库，如“漏洞攻击防护”、“僵尸网络防护”等。

4.2 僵尸网络防护

专门防范内网主机被恶意软件感染后，成为受控的“肉鸡”向外发起攻击或窃取数据。

操作路径：[安全防护] → [僵尸网络防护]

• 开启全局防护开关。

• 可关联IPS策略，对检测到的C&C通信等行为进行阻断。

4.3 流量管控（流控）

解决P2P下载、视频网站等占用过多带宽，导致关键业务卡顿的问题。

操作路径：[策略配置] → [流量管理]

1. 启用流控：首先开启流量管理功能。

2. 配置虚拟线路：定义总的可用带宽。

3. 创建流控策略：

• 对象：指定需要限速的用户或应用（如 p2p下载、在线影视）。

• 带宽限制：为这些应用设置最大带宽（例如限制为50Mbps）。

• 优先级：为OA、ERP等关键业务设置高优先级，保障其带宽。

特殊场景：配置DMZ区域

对于需要对外提供Web、邮件等服务的企业，应设置DMZ（非军事化区）。

5.1 DMZ区域配置步骤概要

1. 划分区域：新增一个 DMZ 区域，并绑定专用物理接口（如 eth3），配置内网IP（如 192.168.2.1/24）。

2. 发布服务器：

• 安全策略：创建策略，允许 WAN 区域访问 DMZ 区域的特定服务（如HTTP/80端口）。

• 端口映射（DNAT）：配置NAT策略，将公网IP的80端口映射到DMZ区内Web服务器的私有IP和80端口。

3. 严格控制：默认禁止 DMZ 区域访问 LAN 区域。如有必要（如数据库连接），必须创建极其细化的策略，仅允许特定IP和端口的通信。

通过以上五个步骤，您已经掌握了深信服防火墙从初始化到高级防护的核心配置流程。这份深信服防火墙用户手册涵盖了日常运维中最常见、最关键的配置项。

重要提醒：

• 版本差异：不同型号和固件版本的深信服防火墙，其Web界面和具体选项可能存在细微差别。

• 官方文档：本文旨在提供通用指导，实际操作中请务必参考您所使用设备的官方最新版用户手册和配置指南。

• 专业支持：对于复杂的网络环境或高级功能（如SSL解密、云沙箱联动），建议联系深信服认证的专业技术人员进行部署和优化。

掌握防火墙配置，就是掌握企业网络安全的命脉。希望本手册能助您一臂之力！