深信服下一代防火墙 AF初始化配置实现图解教程

网络教程 2023-11-08

一、设备登录：

下一代防火墙AF支持安全的HTTPS登录，是使用HTTPS协议的标准端口登录，为了防止配置过程中被截获而产生安全隐患。下一代防火墙AF设备，eht0网口默认的出厂IP为：eth0：10.251.251.251/24。如果电脑连接的是设备的eth0口，需要在电脑上配置一个10.251.251.0/24网段的地址，打开浏览器输入https://10.251.251.251登录设备网关控制台。

步骤1.首先为本机器配置一个10.251.251.X/24网段的IP，如配置10.251.251.100。

然后在IE浏览器中输入网址：https://10.251.251.251。出现一个如下图的安全提示，点击<详细信息>再点击<转到此网页>会跳转到控制台登录页面。

步骤2.在登录框输入用户名和密码，默认情况下用户名和密码均为：admin。

步骤3.当用户密码过于简单，则会被检测为弱密码，控制台会处理：登录后检查为若密码，则会弹出以下提示。

步骤4.点击[修改密码]后进入修改密码页面，进行密码的修改。

二、部署模式：

部署模式是用于设置设备的工作模式，可把设备设定为路由模式、透明模式、虚拟网线模式、旁路模式和混合模式。选择一个合适的部署模式，顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备可以作为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能。

透明模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能

虚拟网线模式：是透明部署中另外一种特殊情况，无需检查MAC表，直接从虚拟网线配对的接口转发，且虚拟网线转发效率高于透明模式。

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的数据，通过镜像的数据实现对流量进行检测。可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备只对流量进行检测，无法对恶意流量进行阻断。

混合模式：主要指设备的各个网口，既有2层口，又有3层口的情况，特别是当DMZ区域服务器集群需要配置公网IP地址的时候。

2.1、路由模式

路由部署的典型应用环境是将AF以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中。外网口接ADSL拨号或者公网线路，内网口接内网交换机。路由模式配置案例某企业网络是跨三层的环境，打算把AF设备部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP的，如下图所示。

如下图拓扑所示：

一个典型的中小企业的三层架构，AF防火墙外网口配置的是电信给的公网IP地址1.2.1.2/29位，内网口配置的是192.168.1.254。

三层交换机上连口配置的192.168.1.1/24，内网口配置的是192.168.2.1/24的PC端ip地址。（其实只要是有点实战经验的都不会这么去配置ip地址，尽量AF防火墙和核心交换机之间的互连ip地址，不要使用192.168.1.x网段，因为很多猫的有些lan地址就是192.168.1.x网段。）

步骤1.通过管理口

ETH0

的默认IP登录设备。管理口的默认IP是10.251.251.251/24，在计算机上配置一个相同网段的IP地址，通过https://10.251.251.251登录设备。

步骤2.配置外网接口，通过[网络/接口/区域]，点击需要设置成外网接口的接口，选择eth2作为外网接口，选择路由类型，区域选择自定义的外网区，勾选WAN口属性，配置IP 1.2.1.2/29，下一跳地址1.2.1.1等。如下图所示

注意：

1.接口的下一跳网关仅用于接口的链路检测和策略路由功能，设置了下一跳网关，不会在设备上产生0.0.0.0/0的缺省路由，需要手动设置默认路由。2.接口的线路带宽设置与流量管理的带宽设置没有关联，接口处的线路带宽设置用于策略路由的调度。

步骤3.配置内网接口。选择空闲网口、点击接口名称进入配置页面，选择eth3作为内网接口，选择路由类型，区域选择自定义的内网区，配置IP 192.168.1.254/24，如下图所示

步骤4.配置路由，需要配置一条到0.0.0.0/0.0.0.0的默认路由指向前置网关1.2.1.2。这里就是只要有流量转发到AF防火墙，就可以通过默认路由将所有流量转发到下一跳1.2.1.1的猫上。去进行上网。点击<新增>静态路由，配置默认路由目的地址/掩码为0.0.0.0/0，下一跳地址1.2.1.1。

步骤5.同时因为本例内网接口192.168.2.0网段，接的跨三层的多个网段，还需要配置另一条添加各网段的静态路由到三层交换机，进入[网络/路由/静态路由]进行配置，点击<新增>静态路由，配置回包路由（内网网段路由）目的地址/掩码为192.168.2.0/24，下一跳地址192.168.1.1。如下图所示

步骤6.配置代理内网，这里所谓的代理内网，其实就是NAT，如果对NAT不了解的小伴，请查看NAT

Network Address Translator

。进入[策略/地址转换/IPv4地址转换]，点击<新增>，配置源地址转换，源区域选择自定义的内网区，源地址选择自定义的内网，目的区域选择自定义的外网区，目的地址为全部，服务为any，源地址转换为出接口地址。如下图所示。

这里对于源区域、源地址都很好理解，源区域就是我们公司的内网，源地址，就是公司内网的ip地址，这里的ip地址是需要上网的ip地址，如果电脑IP地址禁止上外网，可以直接不放在这个ip地址段中，这个ip地址就不会nat转发到外网了。

目的区域，目的区域就是需要你电脑想去访问什么，你想访问百度，想访问网站，那这些网站和百度都在你们公司外面，所以就需要选择的是外网区。

外网区，在定义的时候，就是我们配置的AF的外网ip地址所属于的区域，那很多人会问，为什么是外网区的这个ip地址区呢？

那是因为，所有公司内网的ip地址，如果需要访问公网上的任何的服务，都需要将内网的ip都通过NAT转换到这个外网区的这个1.2.1.2这个ip上，然后通过1.2.1.2这个公网ip地址去访问到每个网站，每个服务。

步骤7.配置应用控制策略，放通内网用户上网权限，进入[策略/访问控制/应用控制策略]，点击<新增>，放通内到外的数据访问权限，源区域选择自定义的内网区，源地址选择自定义的内网，目的区域选择自定义的外网区，目的地址为全部，服务为any，应用为全部。如下图所示

步骤8.基本配置完毕后，将设备接入网络中，eth2口连接运营商、电信、移动、联通的光猫，eth3口接内网三层交换机。

注意：

1．设备工作在路由模式时，局域网内计算机的网关都是指向AF设备内网接口IP或指向三层交换机LAN口IP地址，三层交换机的网关再指向AF设备。上网数据由AF设备NAT或路由转发出去。

2．当设备有多个路由接口时，多个路由接口可以设置同网段的IP地址，通过静态路由决定数据从哪个网口转发。

3.设备支持配置多个WAN口属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。

三、如果内部有服务器需要外网访问该怎么设置呢？

1、进入到地址转换，找到IPV4地址转换。

这时我们转换的源是wan，外网区域，源地址，是外网所有的ip地址都可以访问。

2、目的地址，这里的目的地址一定是WAN口的公网ip地址，在这里有很多人会以为直接访问的目的地址是172.x.x.200这个NAS的ip地址，因为访问的最终目的是NAS的172.x.x.200这个ip地址，但是你没有想到的是，外网访问你的nas时没有办法访问你内部172.x.x.200这个ip地址的，外网区域的人只能访问到你AF防火墙的公网IP地址。

3、这时就需要通过NAT映射，将AF防火墙WAN口的公网ip地址，通过NAT转换映射到内部的NAS服务器的IP地址，就和我们公司内部ip地址想访问外部服务器一样，需要做一个NAT地址代理转换。

4、端口，这里的端口也是对应的，自定一个端口然后映射到内部服务器的端口。