深信服防火墙配置案例

深信服SSL VPN快速配置文档
一、用户环境与需求
A公司在阿里云上部署了若干业务服务器，公司内部的业务人员需要访问其中的销售系统，公司内部的运维人员需要访问数据库服务器。

二、设备配置步骤
配置步骤如下：
第一步：进入『SSL VPN设置』→『用户管理』，点击新建，新建两个SSL接入用户，配置完以后点保存，本案例配置界面如下：
第二步：进入『SSL VPN设置』→『资源管理』，新建一个TCP应用。

点击新建，选择TCP应用，设置资源名称，选择资源类型，配置界面如下：
配置资源地址，点击后面的添加按钮，配置完后点击确定，配置界面如下：
第三步：角色关联，即将资源和用户关联，进入『SSL VPN设置』→『角色授权』，点击新建，选择新建角色，配置角色名称，选择关联用户，界面如下：
关联用户，点击后面的选择授权用户按钮，配置完后点击确定，配置界面如下：
进入『编辑授权资源』页面，选择关联资源，界面如下：
配置完以后点保存。

第四步：配置完成后点击【立即生效】，使配置生效。

第五步：用户在浏览器上输入SSL的登录地址，登录界面如下：
第六步：输入用户名密码登录SSL，便可以看到资源列表，界面如下：
这时，用户就可以访问被关联的资源了。

深信服AF防火墙恢复出厂密码配置步骤
AF U盘恢复密码的操作步骤如下：
1、准备一个空闲的U盘，U盘格式为FAT32
2、新建一个txt文档，将txt文档拷贝到U盘根目录
注：AF8.0.48及以下版本txt命名为reset-password，AF8.0.50及以上版本命名为reset_password（下划线存在区别）
3、将U盘插入AF后，重启AF设备
4、当设备的LED红灯熄灭之后，等待10分钟左右，再拔出U盘
5、查看U盘中的结果文件reset-password.log （若恢复成功在该文件中记录恢复后的控制台密码，否则记录的是恢复失败信息）
U盘恢复密码注意事项：
1、U盘中的txt文件可以在windows系统上创建空白文件txt文件，将文件名称改成对应功能要求的文件名即可
2、txt文件必须在U盘的根目录下
3、U盘可以为单分区或多分区。

单分区的U盘格式必须为FAT32；多分区U盘必须将txt 文件放在第一个分区。

且第一个分区格式必须为FAT32；以上三个功能不互斥，一次可以同时进行多个操作
4、U盘恢复密码需要重启设备进行操作，建议业务空闲时进行
5、若当次恢复不成功可更换U盘按上述步骤再次操作来恢复
6、U盘成功恢复密码后，默认登录账号密码为admin/admin
7、U盘恢复密码不会恢复AF配置，只会恢复密码为默认。

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。

如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。

ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。

选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

深信服防火墙解决方案1. 引言深信服防火墙是一种网络安全设备，用于保护企业的网络免受未经授权访问和恶意攻击的侵害。

本文档将介绍深信服防火墙的特点、功能以及解决方案。

2. 深信服防火墙的特点深信服防火墙具有以下特点：2.1 强大的安全策略深信服防火墙支持基于应用、用户、时间和行为等多个维度的安全策略定制。

通过灵活的策略配置，可以有效拦截恶意攻击，并且降低误报率。

2.2 多层次的安全防护深信服防火墙集成了多种安全技术，包括状态检测、应用层过滤、入侵检测与防御系统等。

通过组合使用这些技术，可以构建多层次的安全防护体系，提供全方位的网络安全保护。

2.3 高性能的数据处理能力深信服防火墙采用了先进的硬件和软件技术，具有出色的数据处理能力。

无论是处理大规模的流量还是执行复杂的安全策略，深信服防火墙都能轻松应对，保证网络的高性能运行。

3. 深信服防火墙的功能深信服防火墙具有以下主要功能：3.1 流量过滤深信服防火墙可以对进出网络的流量进行过滤，根据预设的安全策略进行许可或拒绝。

它能够对不同协议、端口和应用进行精确的识别和控制，有效阻止恶意流量的传输。

3.2 应用识别和控制深信服防火墙可以对网络中的各种应用进行精确的识别和控制。

它通过深度包检测和应用特征库的匹配，可以识别出几千种应用，并对其进行细粒度的访问控制。

3.3 入侵检测与防御深信服防火墙集成了先进的入侵检测与防御系统（IDS/IPS），可以实时监测网络中的异常行为并进行快速响应。

它能够自动识别和拦截各种入侵攻击，有效保护企业的网络免受攻击和恶意代码的侵害。

3.4 虚拟专网（VPN）深信服防火墙支持建立安全的虚拟专网连接，通过加密和隧道技术，实现远程用户和分支机构与总部网络的安全通信。

这样可以有效保护数据的机密性和完整性，同时提供远程办公和业务拓展的便利性。

3.5 行为分析与安全审计深信服防火墙可以通过行为分析和安全审计功能，实时监测网络中的异常行为和安全事件，并生成详细的安全日志。

引：IPsec 报文原理IPsec有两种场景，一种是NAT44环境，一种是NAT444环境，一般防火墙外网配置静态地址的是NAT44环境，如果外网接口配置为PPPOE的是NAT444环境。

也可以使用内网客户端上使用百度查询IP，查看地址是否与防火墙上一致。

针对NAT44环境一、设置天融信配置配置第一阶段算法与对端地址为任意注意：密钥与算法的DH组。

配置第二阶段感兴趣流查看安全策略放行状态：配置天融信防火墙内网地址（192.168.2.0）访问本端内网地址（192.168.200.0）源NAT 转换（内网与200段为三层互联非同段地址）。

查看VPN状态查看路由表是否生成通往192.168.2.0路由（注意出接口为IPsec0）二、设置深信服配置登入天融信防火墙配置VPN1、选择第三方对接，选择新建第一阶段配置点击高级配置，设置ike密钥点击确认保存。

2、选择第二阶段配置入站为对端IPsec的子网网端，出站为本地内网网端。

设置入站策略点击确认保存设置出站策略点击确认保存。

3、设置IPsec加密算法（其他设备在第二阶段加密，如果友商IPsec有DH组，第二阶段可以不需要配置，）4、配置安全策略（放行），放行vpn到LAN，与LAN到VPN.注意：深信服与其他友商不一样的地方是不需要配置IPsec的感兴趣流，在LAN口直接转发到VPN虚拟接口，不会转发到公网的出接口，所以不需要配置，只需要配置第二阶段的出入向配置。

查看VPN状态测试：使用namp进行对天融信内网扫描，发现大量存活主机，ping测试访问正常，远程桌面正常。

（未截图）正对NAT444场景（例如100的地址）野蛮模式对接提示：深信服设置天融信设置。

附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。

3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。

ETH2(WAN1)口与路由器CISCO2821，与Internet连接。

ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。

通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。

表1设备端口IP地址分配表图2 WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。

如图3所示。

图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。

图4系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。

图5所示为管理员帐户列表。

图5管理员帐户列表如需对管理员帐户进行配置，直接单击蓝色用户名，如需创建新管理员，单击左上角“新增”图标，即可进入创建页面。

4.2.3 系统时间系统时间设置界面如图6所示。

图6系统时间设置页面4.2.4 系统升级如图7列表中所显示的，除病毒库未购买升级服务，网关补丁不需购买服务外，其他服务都在2012年4月7日到期，到时可根据实际情况决定是否购买。

sangfor对接启明星⾠防⽕墙引：IPsec 报⽂原理这次说说IPsec另外两种场景，⼀种是做外⽹⽹关部署环境，⼀种是旁挂模式部署环境，⼀般防⽕墙直接挂在外⽹然后使⽤IPsec属于外⽹⽹关部署环境，如果VPN设备旁挂于核⼼或者防⽕墙之后⾮公⽹地址为单臂模式环境。

拓扑图：参旁挂模式拓扑。

针对单臂环境注：启明防⽕墙为旁挂模式部署⼀、引：启明星⾠防⽕墙映射VPN需要的UDP 500与45006.4 配置步骤（1）配置⽹络连通性保证防⽕墙外⽹接⼝到互联⽹能够连通，内⽹接⼝到服务器能够连通。

（2）定义 IP 地址对象、开放端⼝对象在【防⽕墙】--【地址】--【地址】定义内⽹服务器地址。

在【防⽕墙】--【服务】--【基本服务】定义开放的端⼝号注：源端⼝低和⾼⼀般不需要填写，除⾮是客户端限定了访问源端⼝（3）配置端⼝映射规则在【防⽕墙】--【策略】--【NAT策略】--选择端⼝映射公开地址：需要映射的外⽹⼝地址（必须为物理接⼝或者别名设备地址）拨号⽤户选择拨号获取到的公⽹地址即可内部地址：在地址列表⾥定义的服务器地址对外服务：需要对外开放的端⼝，此处选择vpn端⼝注：系统预定义⼤量常⽤端⼝，可以直接使⽤对内服务：内⽹服务器需要开放的端⼝，此处选择vpn端⼝500、4500隐藏内部地址：可选。

如果取消选中，既能通过公开地址和端⼝访问内部服务器，也可以直接访问服务器；如果选中，只能通过公开地址和端⼝访问内部服务器如果需要内⽹⽤户通过访问公⽹地址来实现访问内⽹服务器，则需要将源地址转换为选择为防⽕墙内⽹接⼝地址。

（4）配置安全规则源地址选择any，⽬的地址选择为vpn，服务选择为vpn端⼝。

⼆、设置启明星⾠配置（1）配置启明星⾠VPN 接⼝地址进⼊【⽹络管理】-【⽹络接⼝】-【物理设备】，设置eth1和eth2为内外⽹⼝地址。

（2）配置防⽕墙IPsec基本属性（2）配置启明星⾠VPN IPSEC---VPN规则进⼊【VPN】-【IPSec】-【VPN规则】-添加，设置本地保护⼦⽹为192.168.83.0/24，对端保护⼦⽹为192.168.82.0/24。