3、配置默認路由

哪怕是在第一步的配置中指明了網關，也並不能生成默認路由，仍然需要手動配置，不然無法上網；

目的地址是指網際網路，IP/掩碼當然是0.0.0.0/0，下一跳地址是上一級路由器的Lan接口IP，物理接口就是接路由器的埠。

4、配置靜態路由

這是通往區域網的回程路由，由於客戶內部規劃問題，得寫很多條回程路由，無法改變掩碼長度來縮寫為一條路由。

簡單來說，無規律的VLAN，只能是一個VLAN寫一條回程路由；如果是192.168.8.0/24--192.168.11.0/24這幾個VLAN，那麼回程路由可以只寫一條，192.168.8.0/22；

如果VLAN很多，但是比較跳躍，只要都是192.168開頭，非要寫成一條的話，那就192.168.0.0/16。

如果VLAN規劃不好，那就一條條寫吧，刪除改變或者刪除的時候，也方便。

5、配置地址轉換，也就是說上網的源NAT

轉換類型：源地址轉換；源區域：當然是區域網的L3_trust_A；目的區域：自然就是L3_untrust_A了，目的地址就是0.0.0.0/0；服務：any；源地址轉換為：出接口地址。

6、配置安全策略

如果是路由器的話，配置完NAT，就能上網了，但是防火牆畢竟更注重安全問題，所以還需要配置相應的安全策略，放行剛才的NAT，然後才能上網；

源區域、源地址、目的區域、目的地址、服務，都跟源NAT一樣的，此處只是多了一個動作選項，選擇「允許」，表示放行上網數據包。

7、配置埠映射

和路由器一樣，埠映射也是防火牆最基礎的配置之一，標準的服務埠，基本上已經內置了，直接選用即可，如果是非標埠需要映射，那麼可以先自定義一個服務，源埠為任意埠，目的埠為非標自定義埠；

深信服的防火牆裡面，並沒有單獨的「埠映射」模塊，而是直接放在地址轉換模塊裡面了，放哪裡無所謂，叫什麼名稱也無所謂，只要功能上滿足要求就行了。

原始數據包的源區域是L3_untrust_A；源地址：全部；目的地址：是防火牆接口IP；服務：剛才自定義的服務；

轉換後的數據包，目的地址轉換為：需要映射埠的內部伺服器的IP位址，埠轉換為：伺服器所提供服務的相應埠號；

注意，放通策略默認勾選「後台放通ACL」，意思是防火牆會自動放行這條NAT，而不必手動創建安全策略；當然了，也可以選擇「手動配置ACL」，那就要在「應用控制策略」裡面手動配置相應的安全策略了。

深信服防火牆的基礎配置大概就是這些了，其他功能，後面有機會再另寫文章。