上一篇文章,写的是深信服务路由器的配置,这篇文章来写一下深信服防火墙的配置,两篇文章有一定的联系,拓扑图也是同一张,防火墙采用路由模式,特此说明。
1、运营网接入端口配置
2、配置局域网接入端口
相对应的,局域网接口肯定是L3_trust_A区域了,同样配置静态的IP,并且允许WEB管理、允许ping。
3、配置默认路由
哪怕是在第一步的配置中指明了网关,也并不能生成默认路由,仍然需要手动配置,不然无法上网;
4、配置静态路由
这是通往局域网的回程路由,由于客户内部规划问题,得写很多条回程路由,无法改变掩码长度来缩写为一条路由。
简单来说,无规律的VLAN,只能是一个VLAN写一条回程路由;如果是192.168.8.0/24–192.168.11.0/24这几个VLAN,那么回程路由可以只写一条,192.168.8.0/22;
如果VLAN很多,但是比较跳跃,只要都是192.168开头,非要写成一条的话,那就192.168.0.0/16。
如果VLAN规划不好,那就一条条写吧,删除改变或者删除的时候,也方便。
6、配置安全策略
如果是路由器的话,配置完NAT,就能上网了,但是防火墙毕竟更注重安全问题,所以还需要配置相应的安全策略,放行刚才的NAT,然后才能上网;
7、配置端口映射
和路由器一样,端口映射也是防火墙最基础的配置之一,标准的服务端口,基本上已经内置了,直接选用即可,如果是非标端口需要映射,那么可以先自定义一个服务,源端口为任意端口,目的端口为非标自定义端口;
注意,放通策略默认勾选“后台放通ACL”,意思是防火墙会自动放行这条NAT,而不必手动创建安全策略;当然了,也可以选择“手动配置ACL”,那就要在“应用控制策略”里面手动配置相应的安全策略了。
深信服防火墙的基础配置大概就是这些了,其他功能,后面有机会再另写文章。