上一篇文章，写的是深信服务路由器的配置，这篇文章来写一下深信服防火墙的配置，两篇文章有一定的联系，拓扑图也是同一张，防火墙采用路由模式，特此说明。

1、运营网接入端口配置

通过管理口(ETH0)的默认IP：10.251.251.251/24登录设备，在计算机上配置一个相同网段的任意IP地址，然后通过https登录防火墙；

Eth1配置为WAN口，并且输入IP地址和下一跳地址，即上层路由器的Lan接口IP；所属区域为：L3_untRust_A；相对华为防火墙来说，深信服多了L2区域、B区域，比较复杂。

2、配置局域网接入端口

相对应的，局域网接口肯定是L3_trust_A区域了，同样配置静态的IP，并且允许WEB管理、允许ping。

3、配置默认路由

哪怕是在第一步的配置中指明了网关，也并不能生成默认路由，仍然需要手动配置，不然无法上网；

目的地址是指互联网，IP/掩码当然是0.0.0.0/0，下一跳地址是上一级路由器的Lan接口IP，物理接口就是接路由器的端口。

4、配置静态路由

这是通往局域网的回程路由，由于客户内部规划问题，得写很多条回程路由，无法改变掩码长度来缩写为一条路由。

简单来说，无规律的VLAN，只能是一个VLAN写一条回程路由；如果是192.168.8.0/24--192.168.11.0/24这几个VLAN，那么回程路由可以只写一条，192.168.8.0/22；

如果VLAN很多，但是比较跳跃，只要都是192.168开头，非要写成一条的话，那就192.168.0.0/16。

如果VLAN规划不好，那就一条条写吧，删除改变或者删除的时候，也方便。

5、配置地址转换，也就是说上网的源NAT

转换类型：源地址转换；源区域：当然是局域网的L3_trust_A；目的区域：自然就是L3_untrust_A了，目的地址就是0.0.0.0/0；服务：any；源地址转换为：出接口地址。

6、配置安全策略

如果是路由器的话，配置完NAT，就能上网了，但是防火墙毕竟更注重安全问题，所以还需要配置相应的安全策略，放行刚才的NAT，然后才能上网；

源区域、源地址、目的区域、目的地址、服务，都跟源NAT一样的，此处只是多了一个动作选项，选择“允许”，表示放行上网数据包。

7、配置端口映射

和路由器一样，端口映射也是防火墙最基础的配置之一，标准的服务端口，基本上已经内置了，直接选用即可，如果是非标端口需要映射，那么可以先自定义一个服务，源端口为任意端口，目的端口为非标自定义端口；

深信服的防火墙里面，并没有单独的“端口映射”模块，而是直接放在地址转换模块里面了，放哪里无所谓，叫什么名称也无所谓，只要功能上满足要求就行了。

原始数据包的源区域是L3_untrust_A；源地址：全部；目的地址：是防火墙接口IP；服务：刚才自定义的服务；

转换后的数据包，目的地址转换为：需要映射端口的内部服务器的IP地址，端口转换为：服务器所提供服务的相应端口号；

注意，放通策略默认勾选“后台放通ACL”，意思是防火墙会自动放行这条NAT，而不必手动创建安全策略；当然了，也可以选择“手动配置ACL”，那就要在“应用控制策略”里面手动配置相应的安全策略了。

深信服防火墙的基础配置大概就是这些了，其他功能，后面有机会再另写文章。