深信服防火墙配置上网及端口映射 _深信服防火墙

上一篇文章，写的是深信服务路由器的配置，这篇文章来写一下深信服防火墙的配置，两篇文章有一定的联系，拓扑图也是同一张，防火墙采用路由模式，特此说明。

文章插图
1、运营网接入端口配置通过管理口(ETH0)的默认IP：10.251.251.251/24登录设备，在计算机上配置一个相同网段的任意IP地址，然后通过https登录防火墙；
Eth1配置为WAN口，并且输入IP地址和下一跳地址，即上层路由器的Lan接口IP；所属区域为：L3_untrust_A；相对华为防火墙来说，深信服多了L2区域、B区域，比较复杂。

文章插图
2、配置局域网接入端口相对应的，局域网接口肯定是L3_trust_A区域了，同样配置静态的IP ，并且允许WEB管理、允许ping 。

文章插图
3、配置默认路由哪怕是在第一步的配置中指明了网关，也并不能生成默认路由，仍然需要手动配置，不然无法上网；
目的地址是指互联网， IP/掩码当然是0.0.0.0/0 ，下一跳地址是上一级路由器的Lan接口IP ，物理接口就是接路由器的端口。

文章插图
4、配置静态路由这是通往局域网的回程路由，由于客户内部规划问题，得写很多条回程路由，无法改变掩码长度来缩写为一条路由。
简单来说，无规律的VLAN ，只能是一个VLAN写一条回程路由；如果是192.168.8.0/24--192.168.11.0/24这几个VLAN ，那么回程路由可以只写一条， 192.168.8.0/22；
如果VLAN很多，但是比较跳跃，只要都是192.168开头，非要写成一条的话，那就192.168.0.0/16 。
如果VLAN规划不好，那就一条条写吧，删除改变或者删除的时候，也方便。

文章插图
5、配置地址转换，也就是说上网的源NAT转换类型：源地址转换；源区域：当然是局域网的L3_trust_A；目的区域：自然就是L3_untrust_A了，目的地址就是0.0.0.0/0；服务：any；源地址转换为：出接口地址。

文章插图
6、配置安全策略如果是路由器的话，配置完NAT ，就能上网了，但是防火墙毕竟更注重安全问题，所以还需要配置相应的安全策略，放行刚才的NAT ，然后才能上网；
源区域、源地址、目的区域、目的地址、服务，都跟源NAT一样的，此处只是多了一个动作选项，选择“允许” ，表示放行上网数据包。

文章插图
7、配置端口映射和路由器一样，端口映射也是防火墙最基础的配置之一，标准的服务端口，基本上已经内置了，直接选用即可，如果是非标端口需要映射，那么可以先自定义一个服务，源端口为任意端口，目的端口为非标自定义端口；

文章插图
深信服的防火墙里面，并没有单独的“端口映射”模块，而是直接放在地址转换模块里面了，放哪里无所谓，叫什么名称也无所谓，只要功能上满足要求就行了。
原始数据包的源区域是L3_untrust_A；源地址：全部；目的地址：是防火墙接口IP；服务：刚才自定义的服务；
转换后的数据包，目的地址转换为：需要映射端口的内部服务器的IP地址，端口转换为：服务器所提供服务的相应端口号；