深信服1000防火墙配置详细步骤

哈喽，大家好，爱护配置小技巧第八起来了，本期讲解如何配置 ips 策略。首先找到策略，安全防护策略，新增用户防护策略，常规输入名称选择区域，原地址 选择网络对象，选择目的地址区域选择网络对象， 只选择漏洞攻击保护，选择对应模板， 轻松应用防护策略，常规名称 选择网的对象选择目的地 区域选择网的对象。业务访问场景，访务员经过原地址或 cdn 评估，取消实时漏洞分析，勾选防御默认模板业务保护场景内容安全取消勾选外部应用保护，取消勾选 检测响应僵尸网络取消勾选。好了，本期配置内容就到这里完成了，我们下次见喽，拜拜！ 艾特 if 配置小技巧，学习高能操作，点赞转发关注！

老板最近新加了几台设备，快跟我来看看，就这个有没有认识这个 logo 的， 妥妥的 number one。 我 们这里来到了四台这样的设备，分别是 af 和 ac， af 呢是防火墙， ac 呢就是我们说的这个上网行为管理。 首先呢，这上面这几个灯， power 呢是代表电源， h a 呢表示的是有没有做这个覆盖均衡，或者说做主备。至于这最后一个灯呢，就是看它有没有接入到声音符的管理系统里边。然后呢，除了这些以外，可以看这上面呢会有些接口， usb 接口呢，一般是用来拷贝一些配置文件的 control 口，这个 它的密码永远只有内部人才知道。至于后面还有一些 e t h 口，这个呢主要是用来连接我们下联的业务的，如果看到这个 manager 口，可以插上网线试一下它，一般呢有默认的管理页面，可以到后面去看一看。除了这个以外，还有就是像这里 e t h 零，这个其实也是管理口这样的设备呢，比如像防火墙，可以去防 防止一些网络安全的威胁，比如像什么各种各样的漏洞啊，像什么暴力破解啊，像挖矿病毒啊，各种各样的木马，也是可以进行防护的，它呢主要是通过预设置的一些规则来进行匹配规则，从而可以达到防御的效果。而下面这个就不一样了，这台 a c 呢，在当年号称非常厉害的东西，牛到可以监控 某性的聊天记录，现在呢其实也很厉害啊，我在他的后台里面呢，一些扩展功能里面看到可以监控员工的离职率，通过后台都是可以分析出来的，最主要的呢，它里面可以禁用很多很多的游戏，甚至是一些聊天软件，他也可以截取到，这是我们老板最近加进来的，兄弟们，你们觉得这个设备怎么样？

小伙伴们，今天我们来介绍一款生性服下一代防护墙减针分居 af 生性服下一代防护墙 af 融合边界对干威胁所需的专业安全能力，通过简单易用的方式交付，全面防护各类威胁， 并具备多重智能模型和智能联动的手段，可持续对干不断出现的各类新风险。现在来说一下边界安全形势与挑战。边界威胁持续增加，业务面临新的挑战。边界威胁变化快，传动防护手段之效， 私信处事不及时、威胁石器过大，都是安全边界的问题。那么深信福安全边界的房屋有哪些要素呢？主要有以下三点，一、全面房， 应对安全威胁的增长，融合全面安全能力，严重应对更多的威胁。二、持续对杠，应对安全威胁的变化及时更新，保持安全有效，自主学习适应当前的新业务。三、简单易用， 应对处事及时有效交付，包含如策略变化、危险处事的应用体验。 bye bye bye bye！

你们要的四颗硬件防火墙真幸福！硬件防火墙操作演示来了， bye bye bye！

各位小伙伴大家好，我是老新，今天带大家了解一个驻场网工的一天。先简单写个备忘录，美好的巡检往往从打开 crt 开始，这里有 ip 冲突，拿出小本本先记下来， 正常的日志应该是这个样子的。给大家表演个三秒送文件，一二三，文件已送达，下边去机房了。新防火墙前天只是通了电，今天把原来的配置导入给大家，听下机房的原声。 这台防火墙刚返场升级，还没上线运行，目前处于通电测试阶段，所以暂时只是找个空机柜放一下。各位看官老爷 不要问为什么就放在地板上问，就是我太懒了，就是这两台。申信服采用主备模式部署，目前只连了心跳线和管理口网线， 把管理口网线连接电脑配置好根深。信服防火墙默认管理口幺零点二五幺点二五幺点二五幺。相同的二十四位地址配置完成后，开始今天的工作，具体方法我们切换到录屏模式下，看得更清楚一点吧。 在浏览器输入防火墙默认管理 ip 幺零点二五幺点二五幺点二五幺。个人不太喜欢某绿厂软件，推荐使用火狐浏览器，因为设备还未上线使用，我这里就直接使用浏览器记住的密码，登录后依次点击系统，系统维护、备份与恢复， 在选择方式二，从本地文件中恢复，点选本地下载的备份文件，输入密码后确认恢复 设备提示不支持低于 zf。 八点零点四零版本的配置导入恢复，配置失败，我太不容易了，机房这么吵，先溜了。 回到工位跟申信服客服确认，需要把备份文件上传给申信服工程师，转换后才可以找到申信服技术服务建工单。五分钟后接到小姐姐电话，加企业微信导入小姐姐给的转换后文件 成功后会自动退出现有的登录信息。这里要注意，转后的密码既不是你原有密码， 也不是老设备的密码。跟小姐姐确认后，密码一改为这样我们的配置恢复就完成了。来看看我们今天的工作完成进度怎么样。 还有一个 h 三 c 的学习课程没来得及，只能放在明天继续了。 五点下班，现在已经五点三十五了，溜了溜了。

爱上情感。

深信服二零二五年年报出来了，这份年报可以用一句话概括，业绩在修复，结构在变化，但还没到全面爆发的时候。先看最核心的数据， 二零二五年，申信福实现营业收入八十点四三亿元，规模净利润三点九三亿元，扣非净利润三点零四亿元，经营现金流净利润十三点四二亿元。这组数据说明什么？说明申信福今年不只是收入恢复了，利润也在改善， 现金流也明显变强了，尤其是经营现金流达到十三点四二亿元，这个数字很关键，因为它说明深信服不是只有账面利润， 而是真正把钱收回来了，经营质量是提升的。但看深信服，不能只看利润，更重要的是看业务结构。二零二五年，深信服的网络安全业务收入是三十五点四零亿元， 占总额收入百分之四十四点零一。云计算及 it 基础设施业务收入四十点一零亿元，占总额收人百分之四十九点八六。 基础网络和互联网业务收入四点九三亿元，占比百分之六点一三。这里最值得注意的一点是，云业务已经超过安全业务， 成了申幸福第一大收入板块。这意味着什么？意味着申幸福已经不是传统意义上的纯安全公司了，它正在变成一家同时做安全、云基础设施和 ai 的 平台型企业。先说安全， 安全仍然是深信服最核心的能力底盘。它的产品线依然很完整，包括防火墙、 vpn、 全网行为管理、零信任 x d r cs m s s， 还有安全 g p t。 这说明深信服的安全能力还在，而且不是单点产品， 而是平台化布局。但问题也很现实，安全业务虽然重要，可现在已经不是公司最大的收入来源，所以后面市场还会继续看申信服的安全业务 能不能重新证明增长能力。再看云业务，云业务为什么重要？因为它已经成为公司增长的主要支撑。 申信服现在的云产品包括超融合 h c i 云平台、 scp 分 布式存储、 e d s 桌面云、 ai 算力网关，还有托管云和私有云方案。这说明申幸福现在想做的不只是网络安全，而是企业数字化和智能化的底座。换句话说，过去大家觉得申幸福是安全厂商， 现在它更像是企业级基础设施平台。在看 ai 这份年报里， ai 内容非常多，包括 ai 安全平台、 大模型安全护栏、安全使用直奈方案、 ai 算力网关、 ai 超融合、 ai 存储，还有 ai 扣定平台。这说明申幸福对 ai 不是 喊口号，而是已经放进产品体系里了。但这里要看清一点， 现阶段 ai 对 申幸福来说更像能力增强项，不是已经完全兑现的大利润来源，它现在的作用主要是增强产品竞争力，提升市场想象空间， 给未来增长做铺垫。所以 ai 是 机会，但短期还不是业绩主引擎。接下来要说一个重点，申信服这份年报虽然不错，但不是没有压力， 最典型的压力就是毛利率，二零二五年，申信服整体毛利率是百分之五十九点三一，这个数字本身不低，但问题在于，随着云业务占比越来越高，公司未来要面对的考验是收入做大之后， 盈利能力能不能稳住。因为云基础设施业务和传统高毛利安全业务盈利逻辑并不一样， 所以未来市场最关注的不会只是收入能不能继续涨，还会看毛利率，看利润、看资本回报率。不过这份年报最让我认可的地方还是经营质量。第一，现金流很强。 第二，应收账款不重。第三，合同负债不低。这些指标放在一起看，说明申信服的订单质量、回款能力、业务储备整体都还不错，这说明它不是靠激进确认收入做业绩，而是真有一定经营底盘。 所以，怎么定义申信服二零二五年，我觉得最准确的说法是它已经不是低谷期的申信服了， 但也还不是完全打开增长天花板的。深信服它正在从传统安全厂商往云基础设施加安全加 ai 的 平台型企业走，这个方向是对的，经营也确实在修复，但未来能不能进一步走强， 还要看三件事，第一，安全业务能不能重新形成更强增长。第二，云业务做大后能不能稳住盈利能力。 第三， ai 布局能不能从产品能力逐步兑现成收入和利润。最后一句话总结，深信服二零二五年年报 是一份经营扎实、方向清晰、利润和现金流明显改善的年报，它最强的地方是修复已经发生，它最值得继续观察的地方是转型能不能真正走向新成长。

今天呢，咱们来探讨一下，深信服是如何凭借技术创新和 ai 战略在网络安全和云计算领域占据领先地位的，以及他未来的发展潜力到底怎么样？嗯， 这个话题确实很值得关注，那我们就直接进入今天的讨论吧。咱们先来聊一聊深信服的市场地位和核心亮点， 然后再重点说一下他的技术创新能力，这家公司在网络安全行业到底是处于一个什么样的位置，以及他最近几年在技术创新上面有哪些具体的成果？申请福呢？是中国网络安全和云计算解决方案的头部企业，在企业级安全领域的市场占有率连续多年都是排名前三的， 而且他也是软件定义安全这个领域公认的标杆。听起来真的很厉害啊，那他在技术创新上面有哪些硬实力呢？ 首先它的专利数量非常多，截止到二零二五年，已经有一千两百七十六项授权专利了哦。然后呢，它的研发投入占比高达百分之二十八，比行业平均水平要高十个百分点，而且累计的专利申请已经超过了三千件，其中发明专利的占比是超过九成的 哇，在 ai 安全领域呢，它也推出了安全 gpt， 这是国内首个通过了网信办双备案的安全垂直领域大摸星， 而且已经叠到到四点零版本了，可以把威胁减出率提升到百分之九十五以上，太牛了！那申信服到底在哪些产品上面是处于市场领先地位的？它的市场份额到底有多高？申信服的产品矩阵非常完整，它在很多核心的领域都是第一名，比如说它的全网行为管理已经连续十七年市场占有率第一了， 然后 vpn 产品更是连续十八年保持第一，在应用交付这个领域也是连续四年拿到了第一名，这成绩简直逆天了。那他在网络安全硬件和云计算领域表现怎么样？在网络安全硬件这一块呢？他的 ai 加 s a s e 赋能的下一代防火墙 零信任 vpn 和全网行为管理的市场份额分别为百分之二十二点八、百分之二十三点一和百分之十九点二，都是各自细分领域的第一名。 嗯，然后云计算这一块呢？深信服的全站超融合在二零二五年的前三季度也是中国市场份额第一。好吧，深信服到底都服务了哪些客户？在哪些重点行业里面有比较深入的应用？深信服的客户覆盖非常广，包括百分之九十以上的政府部委，百分之八十的全球五百强中资企业， 百分之九十以上的银行、证券、保险机构，百分之九十的双一流高校，以及百分之九十的医疗百强机构，在重点行业的深度应用已经超过五百家，用户环境还支撑了上百家关键信息基础设施单位的实战攻防。申信福的客户群体真庞大啊，那他在 ai 战略上面都做了哪些布局？具体又有哪些落地的成果？ 申信福很早之前就把 ai 作为核心战略，他是行业里面最早进行 ai 布局的公司之一。嗯，早在二零一六年就开始了。 然后它的这个 ai 安全平台呢，是以统一的安全数据和模型底座为核心的集成了流量检测、安全运营、钓鱼防护、数据安全等多个场景化的安全大模型。看来申信服确实在 ai 领域走在前面，但它最近有什么新的动作吗？ 在二零二五年秋季的新品发布会上，申信服又发布了面向严肃开发场景的 ai coding 平台 co strict 和普惠安全的新一代 ai 算力承载平台 a c p。 这一系列的动作让他的 ai 技术生态更加完整。申信福的技术生态确实越来越完善了。那我们再来看看申信福未来一两年的成长动力。那第一个就是行业的发展趋势。嗯，网络安全和云计算这两个市场未来几年会有多大的增长空间？中国的网络安全市场规模预计在二零二五年会达到两千五百亿元， 然后到二零三零年是会翻一翻，达到五千亿元哦，他的年复合率有百分之十五左右。云计算市场也是在快速增长的， 到二零二六年是会达到一万三千五百亿元，年增速在百分之十四到百分之十五之间，市场的增长空间真的巨大啊。那信创政策的持续推进会给申信服带来哪些具体的机会呢？ 因为政策要求到二零二七年年底，央国企要实现所有的信息化系统安全可控和信创全面替代，然后到二零二五年，关键行业的核心系统国产化率要达到百分之七十。 所以申信服基于 arm 和 c 八六架构的信创超融合平台，已经兼容了八款国内的 cpu， 跟五十多家厂商完成了适配， 也帮助了六百多家央国企用户实现了数字化底座的国产化转型。国产化转型真的很重要，那申信服在技术创新方面最近有什么突破吗？在 vmware 替代这件事上面，它表现怎么样？申信服通过 ai 加上云化的技术，让安全产品可以持续地进化，解决了传统硬件升级慢、扩展难、能力跟不上的问题， 所以它也成为了 v m v r 替代的首选。到二零二五年，在中小企业的 v m v r 替代市场里面拿下了百分之二十八的份额。申信服的市场份额提升的很快啊，那它最近在商业模式上面有什么新的变化吗？申信服现在主推的是云端安全大脑，加上本地的轻量碳针，再加上远程专家服务这样的一个模式， 而把安全能力通过萨斯的方式交付出去，这种订阅制让客户的使用成本大幅的降低了，也让公司的收入结构更健康。现在 s a、 s e 和 x d r 等产品都已经全面转向了订阅。

演示一下 agent space 是 如何帮助我们的员工安全使用 ai 来提效的。 好的，阿露，那你给我们先演示一下我们的 agent space 五感沙箱是如何启动的吧。好的，现在我的终端已经安装了 agent space， 我 直接在命令行启动 open cloud， 可以看到启动时自动拉起了 atasc 的 进行认证，管理员通过 atasc 的 温馨提示推送了安全使用 opencloud 的 通知。我现在进行认证， 认证完成后，系统生成了一个 opencloud 的 安全工作区，这意味着 opencloud 已经运行在 agent space 沙箱里面了，用户无感， agent 已经被管控。 这个真是看上去特别的无感知啊。但是我有一个大胆的挑战，就是，你确定你这个 openclaw 真的 是运行在了 a 帧的 space 里面吗？完全看不出来啊。当然，我通过几个用力来验证 openclaw 是 不是跑在 a 帧的 space 中。 我先演示一个最直接的场景，现在让 openclaw 删除地盘所有的数据， 可以看到这条指令直接被拦截了，因为它违反了深信服 agent space 的 安全策略。我再追问一下， open open cloud 遵循的安全策略有哪些？ 可以看到，通过 agent space 安全策略，我们通过文件隔离将 agent 读写操作限制到安全工作区中，通过系统高危命令拦截，限制了 agent 对 主机的破坏。 即使 a 证的初见幻觉或者被提示词注入攻击，进而诱导进行删除格式化，这种极端操作也不会对员工的终端造成重大损害。 那我明白了，所以 a 证的 space 其实也是基于零信任的理念，在防破坏和业务访问层面都是白名单的最小化权限可以做到防破坏，也能防止重要的文件和业务系统数据等等被泄密。 但是你做了隔离之后的话，会不会员工想用这个 open club 干啥任务都干不了，各种被拦截，根本没法提效。所以我更关注的是用 open club 来干活是不是顺畅的，会不会各种被打断这个干活的任务啊？ 不会的，接下来我们一起来看一下 agent space 里面 agent 到底能不能正常干活。现在我想呢，让 opencloud 帮忙写一份工作总结，需要访问内网数据库里的个人周报，以及本机电脑上的个人工作总结。 这个听起来有点难度啊，如果只让这个龙虾做一些互联网搜索，我觉得是很简单的，但是现在呢，你相当于让龙虾来访问部分的内网业务，还要使用本机的文件，那能执行成功吗？ 啊，现在我们知道了 open klo， 它只能获取安全工作区里面的文件。所以呢，我先把桌面上的上半年下半年的工作总结文件放进 agent space 安全工作区中，我们一起执行下任务看一看。 现在我在飞书中给 open klo 下指令，结合芝士库周报和本地的个人总结，生成 word 版的年度总结报告。 opencll 现在正在访问知乎库拉取周报，并且读取工作区中的工作总结。 通过 opencll 的 外部工作台，我们看到 opencll 正在执行当前的任务。 好的，一份完整的年度总结文档生成了，保存在 opencll 的 安全工作区里面，我们看一下效果怎么样。 整体效果还不错， 可以看出， opencloud 顺利完成了任务，自主完成了数据收集、内容整合和文档生成，整个过程员工体验完全流畅，与不用 agent space 时体验一模一样。 确实很顺畅啊。那还有个问题呢，就是它能否帮助我们的安全团队守住安全的底线呢？ 尤其是一些风险更大、危害更致命的。针对于 agent 的 一些攻击行为，比如说，攻击者通过一些供应链投毒，在 agent 的 一些插件里面埋了一些木马，拿到了终端控制权。像这类型危害比较大的攻击的话，我们 agent space 还能不能守得住？ 当然可以，眼见为实。接下来我们来看一个真实的 scale 投毒攻击，你来演示员工视角，我来做攻击者视角。 好的，那我现在呢，用的就是员工张三的电脑啊。我之前在一个 ai 的 技术交流群里面，其实下载了一个叫每日 ai 资讯的 skill 文件，它已经安装给了我们这个 open klo。 那 我现在呢，就让 open klo 给我发一下今天的 ai 资讯。 好的，功能正常啊，我作为一个普通的员工，我没有感觉到有任何的异常和任何的安全风险。 我这边是攻击者，其实群里的 skill 是 我很早之前就做了投毒的，张三在调用 skill 的 时候，木马服务已经同步在后台运行了。现在呢，我已经可以通过木马与张三的电脑建立远程连接。 接下来我要进行文件便利，看看有没有合同啊，代码，重要的客户数据这些高价值的文件。 因为 agent space 的 文件隔离机制，攻击者只能看到 opencloud 的 工作区，其他的桌面下载、 d 盘等目录全都不可见。现在我尝试通过进程注入的方式扩大终端的权限。 通过进程便利，我找到了一个 chrome 进程，我尝试把恶意代码注入到 chrome 里面， client 进程并没有按照预期进行上线。这个注入失败了。好的，可以看到呢，在员工的视角，张三的电脑的 agent space 账号直接被注销了，证明攻击者的这个攻击已经被发现并且阻断。 我们刚刚这个攻击场景呢，模拟的就是最严峻的情况， agent 的 供应链被污染，攻击者已经拿到了控制权。但即便如此， agent space 依然层层拦截 文件。便利呢，看不到沙箱外的数据，进城注入又穿不透隔离的边界，攻击者从始至终都被关到了沙箱里，对公司的网络安全是零影响的。好的，那再次感谢阿璐带来的精彩演示。