深信服防火墙路由模式开局部署-手把手教学（小白篇）

PS：深信服的设备只有400能够通过console连接，一般用户是无法连接的，所以大家不要妄想着从Console连接设备了，开局就通过MANAGE进入Web就可以

1. 接通电源后，开机
2. 拿一根网线，一端连接防火墙的MANAGE口，另一端连接自己笔记本电脑的网口
3. 防火墙MANAGE带外管理地址默认是10.251.251.251，将自己笔记本网卡的地址也改为相同网段

1. 用ping测试一下网络有没有连通

直接在浏览器输入默认管理地址登录(https://10.251.251.251)

基础架构规划：

PC可通过防火墙进行路由转发即可

AF开启路由模式，充当下联PC的网关

将路由器下的另一端网线连接至防火墙的eth1口

1、先创建两个区域wan和lan，然后引用接口

2、为引用的接口设置地址，能看到接口呈绿色状态，说明网线是已经连接好了

3、类型选择路由，区域选择wan，把wan口的属性给勾选上，设置一个静态的IP地址，我这边出口路由的内网网段是192.168.3.0/24，网关地址是192.168.3.1

4、设置内网的接口地址

区域选择内网，静态设置一个地址，这地址就充当下联PC的网关，所以网关这一栏就不用填了

5、设置下联网段的DHCP

6、DHCP设置

接口选择刚刚设置的eth2的内网接口；88段分配的地址范围选择88.2开始，因为88.1防火墙的AF接口使用了，DNS就不设置了，使用系统的DNS设置，稍后我们去专门设置DNS地址

7、DNS设置

DNS首选可以设置为TP出口路由器的地址，备选设置成114.114.114.114，然后开启DNS代理，这样下联的PC就不用自己解析DNS了，由防火墙解析就OK

8、设置NAT源地址转换

因为AF不是直接做的出口设备，要通过TP才能够上网，所以要设置源地址转换

源区域选择lan，源地址选择私有地址，目的区域选择wan，目的地址选择全部，将地址转换为出接口地址，就能够直接与TP通讯了

9、设置允许上网规则

深信服的AF是默认拒绝所有用户出外网的，所以要新增加一条允许所用用户出外网的规则，策略是从上往下匹配，所以不会有影响

新增加一个策略组，然后设置允许用户上网规则

定义一个名称，调用刚才增加的策略组，源区域选择lan，地址选择私有地址

目的区域选择wan，地址选择全部，动作选择允许，这样一条允许用户上网的规则就生成了

10、测试网络连通性

打开命令行，输入login admin（admin是账号名称），然后输入密码

先pingTP出口路由的网关，回显已ping通了，说明防火墙wan口设置的IP地址没有问题

再ping外网百度域名，回显找不到主机，说明目前防火墙只能和直连的TP通讯，无法与外网通讯，那么就要加一条默认路由

11、设置静态路由

12、再通过命令行做ping测试，测试网络连通性 加完静态路由以后，网络就通了

接下来测试PC是否能够正常上网（拔掉网线，将PC网口的地址改回自动）

电脑已获得到防火墙下发的地址，而且网络通讯也是正常的

使用PC通过下联88.1地址登录防火墙，也能够正常访问