在当前日益复杂的网络安全环境中,企业对网络边界的防护需求愈发迫切。作为国内领先的网络安全厂商,深信服(Sangfor)下一代防火墙(NGFW) 凭借其高性能、智能化和一体化的安全能力,广泛应用于政府、金融、教育及中小企业中。
本文将为您带来一份完整且实用的《深信服防火墙配置手册》,涵盖从设备初始化、接口划分、安全策略设置到DMZ部署、NAT映射等核心操作流程。无论您是刚接触深信服产品的网络管理员,还是希望系统梳理配置逻辑的技术人员,这篇文章都将成为您的得力参考指南。
🔐 深信服防火墙概述:为什么选择AF系列?
深信服AF系列防火墙不仅具备传统包过滤与状态检测功能,更集成了入侵防御(IPS)、防病毒(AV)、Web应用防护(WAF)、APT防护、URL过滤、带宽管理等多项高级安全能力,真正实现“一次检测、多重防护”的下一代防火墙理念。
✅ 主要优势:
高可靠性架构:支持双机热备(HA),保障业务连续性。
可视化安全管理:通过Web界面直观配置,降低运维门槛。
灵活的区域隔离机制:支持Trust、Untrust、DMZ、Local等多种安全区域。
强大的日志分析与审计能力:可对接SIEM平台,实现安全事件追溯。
📌 提示:常见型号如AF-1000、AF-2000、AF-3000分别适用于中小型企业、大型园区及数据中心场景。
⚙️ 基础配置步骤:快速完成初始部署
1. 硬件连接与登录管理界面
将PC直连防火墙的管理口(通常为ETH0或MGMT口)。
设置PC IP地址为
192.168.1.x/24网段。浏览器访问默认管理地址:
https://192.168.1.1输入默认账号密码(一般为
admin / Admin@123)
✅ 建议首次登录后立即修改管理员密码,并启用多因素认证(MFA)提升安全性。
2. 接口与区域配置(Interface & Zone)
深信服防火墙采用“安全区域 + 安全策略”模型进行流量控制。不同区域之间通信必须由显式策略允许。
常见安全区域说明:
| 区域名称 | 安全等级 | 用途 |
|---|---|---|
| Trust(信任区) | 85 | 内部办公网络,如LAN |
| Untrust(非信任区) | 5 | 外网(Internet) |
| DMZ(隔离区) | 50 | 对外提供服务的服务器(如Web、邮件) |
| Local | 100 | 防火墙自身 |
配置示例:划分三个物理接口
创建并绑定安全区域:
登录Web界面 → 【网络配置】→【接口/区域】
新建区域:
名称:
DMZ安全级别:
50绑定接口:
GigabitEthernet1/0/3同样方式添加 Trust 和 Untrust 区域。
💡 注意:每个接口只能属于一个区域。
3. 安全策略配置(Security Policy)
安全策略决定了哪些流量可以穿越防火墙。策略按自上而下顺序匹配,一旦命中即执行动作(允许/拒绝)。
示例1:允许内网访问互联网(Outbound)
| 参数 | 值 |
|---|---|
| 名称 | 内网_上网策略 |
| 源区域 | Trust |
| 目的区域 | Untrust |
| 源地址 | 192.168.10.0/24(或 any) |
| 目的地址 | any |
| 服务 | HTTP, HTTPS, DNS, ALL |
| 动作 | 允许 |
📌 此策略允许内部用户正常浏览网页、收发邮件等。
示例2:禁止外网主动访问内网
深信服默认策略为“拒绝所有未明确允许的流量”,因此无需额外配置即可阻止外部非法访问内网资源。
🌐 高级配置实战:DMZ区搭建与NAT映射
1. DMZ区域配置详解
DMZ(Demilitarized Zone)即“非军事化区”,用于放置需要对外提供服务但又不能完全暴露于公网的服务器(如Web服务器、FTP服务器)。
部署原则:
DMZ与内网之间严格限制访问。
外网仅能访问指定端口和服务。
启用IPS/AV对DMZ服务器进行重点保护。
2. NAT配置:实现公网访问DMZ服务器
当外网用户需要通过公网IP访问DMZ中的Web服务器时,需配置目的NAT(DNAT) 或 端口映射(Port Forwarding)。
场景描述:
公网IP:
202.1.1.10DMZ Web服务器私有IP:
192.168.2.10服务端口:HTTP(80)、HTTPS(443)
Web界面配置步骤:
进入【策略配置】→【NAT策略】→【目的NAT】
添加新规则:
| 字段 | 值 |
|---|---|
| 名称 | Web_Server_DNAT |
| 源区域 | Untrust |
| 目的区域 | DMZ |
| 外网IP | 202.1.1.10 |
| 外网端口 | 80 |
| 映射到IP | 192.168.2.10 |
| 映射到端口 | 80 |
| 协议 | TCP |
提交保存。
CLI命令等效写法:
✅ 配置完成后,外网用户可通过
http://202.1.1.10访问DMZ内的Web服务器。
3. 源NAT(SNAT)配置:内网共享公网出口
为了让内网主机访问互联网,需配置SNAT(Source NAT),即将内网IP转换为防火墙外网口IP或公网地址池。
配置方法一:Easy IP(直接使用外网接口IP)
配置方法二:使用地址池(PAT/NAPT)
📊 PAT(Port Address Translation)允许多个内网IP共用少量公网IP,节省地址资源。
🛡️ 安全增强:启用IPS、防病毒与日志监控
1. 开启IPS防护(针对DMZ服务器)
进入【安全防护】→【IPS】
新建策略:
名称:
Protect_DMZ_Servers源区域:Untrust
目的区域:DMZ
目的地址:
192.168.2.10(或DMZ网段)启用“漏洞攻击防护”、“SQL注入”、“跨站脚本”等规则模板
动作:阻断
✅ 可定期更新特征库以应对新型威胁。
2. 启用防病毒(AV)扫描
【安全防护】→【防病毒】
配置HTTP/HTTPS协议的病毒查杀策略
对文件下载行为进行实时拦截
3. 日志与监控:及时发现异常行为
进入【日志中心】查看各类安全事件
设置告警通知(邮件/SMS/微信)
使用【诊断工具】抓包分析问题流量
🔍 推荐开启会话表监控:
diagnose → session table,查看实时连接状态。
🔁 维护与优化建议
| 项目 | 建议 |
|---|---|
| 配置备份 | 每次重大变更前导出配置文件 .cfg |
| 固件升级 | 定期检查官方版本,修复已知漏洞 |
| 策略清理 | 删除冗余策略,避免规则冲突 |
| 性能监控 | 关注CPU、内存、会话数使用率 |
| 双机热备(HA) | 关键业务环境务必部署主备模式 |
🧩 常见问题FAQ
Q1:为什么外网无法访问DMZ服务器?
检查NAT规则是否正确;
查看安全策略是否允许Untrust→DMZ方向;
确认服务器防火墙未屏蔽请求;
使用抓包工具排查流量路径。
Q2:内网上不了网怎么办?
检查默认路由是否指向外网网关;
确认SNAT/NAT策略已启用;
查看DNS设置是否正确;
检查外网口链路状态。
Q3:如何重置管理员密码?
通过Console口进入BootMenu模式;
选择“Reset Password”选项;
重启后使用默认密码登录。
📚 本文系统地介绍了深信服防火墙的完整配置流程,包括:
✅ 初始安装与登录
✅ 接口与区域划分
✅ 安全策略制定
✅ DMZ部署与NAT映射
✅ IPS/AV安全加固
✅ 日志监控与故障排查
只要按照本手册逐步操作,即使是初学者也能快速构建起一套安全可靠的网络边界防护体系。
📢 欢迎收藏+转发!如果您在配置过程中遇到具体问题,欢迎在评论区留言交流,我会第一时间为您解答。
