上一篇文章，寫的是深信服務(wù)路由器的配置，這篇文章來寫一下深信服防火墻的配置，兩篇文章有一定的聯(lián)系，拓?fù)鋱D也是同一張，防火墻采用路由模式，特此說明。

1、運營網(wǎng)接入端口配置

通過管理口(ETH0)的默認(rèn)IP：10.251.251.251/24登錄設(shè)備，在計算機上配置一個相同網(wǎng)段的任意IP地址，然后通過https登錄防火墻；

Eth1配置為WAN口，并且輸入IP地址和下一跳地址，即上層路由器的Lan接口IP；所屬區(qū)域為：L3_untrust_A；相對華為防火墻來說，深信服多了L2區(qū)域、B區(qū)域，比較復(fù)雜。

2、配置局域網(wǎng)接入端口

相對應(yīng)的，局域網(wǎng)接口肯定是L3_trust_A區(qū)域了，同樣配置靜態(tài)的IP，并且允許WEB管理、允許ping。

3、配置默認(rèn)路由

哪怕是在第一步的配置中指明了網(wǎng)關(guān)，也并不能生成默認(rèn)路由，仍然需要手動配置，不然無法上網(wǎng)；

目的地址是指互聯(lián)網(wǎng)，IP/掩碼當(dāng)然是0.0.0.0/0，下一跳地址是上一級路由器的Lan接口IP，物理接口就是接路由器的端口。

4、配置靜態(tài)路由

這是通往局域網(wǎng)的回程路由，由于客戶內(nèi)部規(guī)劃問題，得寫很多條回程路由，無法改變掩碼長度來縮寫為一條路由。

簡單來說，無規(guī)律的VLAN，只能是一個VLAN寫一條回程路由；如果是192.168.8.0/24--192.168.11.0/24這幾個VLAN，那么回程路由可以只寫一條，192.168.8.0/22；

如果VLAN很多，但是比較跳躍，只要都是192.168開頭，非要寫成一條的話，那就192.168.0.0/16。

如果VLAN規(guī)劃不好，那就一條條寫吧，刪除改變或者刪除的時候，也方便。

5、配置地址轉(zhuǎn)換，也就是說上網(wǎng)的源NAT

轉(zhuǎn)換類型：源地址轉(zhuǎn)換；源區(qū)域：當(dāng)然是局域網(wǎng)的L3_trust_A；目的區(qū)域：自然就是L3_untrust_A了，目的地址就是0.0.0.0/0；服務(wù)：any；源地址轉(zhuǎn)換為：出接口地址。

6、配置安全策略

如果是路由器的話，配置完NAT，就能上網(wǎng)了，但是防火墻畢竟更注重安全問題，所以還需要配置相應(yīng)的安全策略，放行剛才的NAT，然后才能上網(wǎng)；

源區(qū)域、源地址、目的區(qū)域、目的地址、服務(wù)，都跟源NAT一樣的，此處只是多了一個動作選項，選擇“允許”，表示放行上網(wǎng)數(shù)據(jù)包。

7、配置端口映射

和路由器一樣，端口映射也是防火墻最基礎(chǔ)的配置之一，標(biāo)準(zhǔn)的服務(wù)端口，基本上已經(jīng)內(nèi)置了，直接選用即可，如果是非標(biāo)端口需要映射，那么可以先自定義一個服務(wù)，源端口為任意端口，目的端口為非標(biāo)自定義端口；

深信服的防火墻里面，并沒有單獨的“端口映射”模塊，而是直接放在地址轉(zhuǎn)換模塊里面了，放哪里無所謂，叫什么名稱也無所謂，只要功能上滿足要求就行了。

原始數(shù)據(jù)包的源區(qū)域是L3_untrust_A；源地址：全部；目的地址：是防火墻接口IP；服務(wù)：剛才自定義的服務(wù)；

轉(zhuǎn)換后的數(shù)據(jù)包，目的地址轉(zhuǎn)換為：需要映射端口的內(nèi)部服務(wù)器的IP地址，端口轉(zhuǎn)換為：服務(wù)器所提供服務(wù)的相應(yīng)端口號；

注意，放通策略默認(rèn)勾選“后臺放通ACL”，意思是防火墻會自動放行這條NAT，而不必手動創(chuàng)建安全策略；當(dāng)然了，也可以選擇“手動配置ACL”，那就要在“應(yīng)用控制策略”里面手動配置相應(yīng)的安全策略了。

深信服防火墻的基礎(chǔ)配置大概就是這些了，其他功能，后面有機會再另寫文章。