深信服路由器配置上网、端口映射及远程维护

第一次配置深信服的上网行为管理，是在2005年，距今已经十几年了，期间多次配置过深信服的防火墙及上网行为管理设备，就是没怎么配过路由器。品牌见多了，所以配置当然不难，只是找到远程管理却费了5分钟时间，哈哈。

个人认为，深信服最擅长的还是上网行为管理，所以，平时推荐、调试深信服路由器的机会并不多；这次是帮同行远程调试深信服的路由器，所以特地写一篇文章来记录，分享给需要的朋友。

1、选择路由器部署模式；

在本例中，深信服路由器型号为：SDW-R-B1100D，软件版本为：SDW-R 4.0 40，部署在出口处，所以部署模式为：网关模式；

然后将GE0和GE1设置为Lan口，GE3设置为Wan口，连接光猫，其他接口备用，等待其他链路接入后再作配置。

2、配置Lan接口；

根据网络规划，配置局域网接口IP，这个IP地址将是局域网内客户端的网关IP。

3、配置Wan接口；

根据运营商提供的信息，填写Wan口的配置，本例中是专线网线，所以有固定的IP地址，如果是普通宽带，就选择“ADSL拨号”，然后输入宽带账号密码即可；

注意，如果只有一条链路，不必启用线路故障自动检测，检测了也没用，又没得切换，如果有两条以上的链路，那应该勾选此项，以便于故障时自动切换；

上下行带宽，根据实际情况，必须如实填写，否则无法配置正确的流控。

4、配置代理上网；

这没什么好说的，就是配置SNAT（源NAT）——内网客户端上网的NAT。

源接口是Lan，目的接口当然是Wan，将源IP转换为目的接口IP。

5、配置端口映射；

企业内部总有需要提供给外部的服务，所以端口映射基本上是常规操作了，不可或缺；

名称随意，自己能看懂就行，源接口是Wan，源线路是GE3，目前只有这一条，源IP为所有IP，意思是不限制公网的源IP；

目的IP是运营商给的、前面已经配置在Wan口的IP地址；

转换后的数据包：目的IP是指内部服务器的IP地址，目的端口是该服务器所提供服务的端口，在本例中，有一台WEB服务器需要映射到公网，所以目的端口为443。

6、DHCP服务的配置

注意，这里只是顺便展示一下深信服路由器的DHCP服务配置方法，并不是本例真实配置；

默认网关就是路由器Lan接口IP，DNS服务器选择运营商提供的地址，IP范围为1-254，下面可以设置保留和绑定的IP地址。

7、允许远程维护

远程维护在所难免，默认没有开启，所以需要手动开启，可以设置为启用24小时，也可以“长期启用”。

藏得比较好，要在“防火墙”的“本机规则设置”中才能找到配置远程维护的配置项。

8、修改远程维护端口；

默认的维护端口为443，显然未经备案的情况下，在公网是无法通过80和443端口进行远程维护的，所以必须修改https服务端口；

9、备份配置文件

好不容易配置完了，别忘记保存配置，然后下载一份配置文件，以备不时之需。

以上只是深信服路由器的基础配置，既然称为安全智能路由器，肯定还有安全方面的配置，诸如：访问控制策略、防DOS攻击、流量管理、防火墙等高端功能，待以且有机会再细说吧。