Filter
Top Products
防火墙配置 配置策略列表
FortiGate-400 安装和配置指南
147
本节讨论了以下内容:
·策略匹配的细节
·更改策略列表中策略的顺序
·启用和禁用策略
策略匹配的细节
当 FortiGate 从网络接口上收到一 个连接请求时,它首先要选择一个策略列表,在
这个策略列表中查找与这个连接请求匹配的策略。FortiGate 根据连接请求的源地址和
目的地址决定使用哪个策略列表。
随后 FortiGate 从选定的策略列表的顶端开始向 下搜索策略列表,查找第一个与连
接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策
略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。
默认的策略接受所有的从接口 1 的网络到接口 2 的网络的连接请求。用户可以从接
口 1 所连接的网络浏览网页、使用 POP3 接收邮件、使用 FTP 通过 FortiGate 下载文件
等等。如果 默认的策略在接口 1-> 接口 2 策略列表的顶端,防火 墙将允许全部从接口
1 的网络网络到互联网的连接,因为所有的连接都和默认策略匹配。如果有其他特殊策
略被添加到了策略列表并处在默认策略的下方,他们永远也不会被匹配。
对于默认策略的例外策略,例如,一个阻塞 FTP 连接的策略,必须在接口 1 到接口
2 的策略列表中位于默认策略的上方。在这个例子中,所有来自接口 1 所连接的网络的
FTP 连接尝试都与这个 FTP 策略匹配,于是被阻塞。而其它类型服务的连接请求将不会
被这个 FTP 策略所匹配,但是它们能够匹配默认策略。于是,防火墙仍然接受来自接
口 1 的网络的所有其它连接。
更改策略列表中策略的顺序
1 进入 防火墙 > 策略。
2 选择所要重新排序的策略列表的标签。
3 选择要移动的策略然后单击 移动 以改变这个策略在策略列表中的位置。
4 在 移动到 一栏输入一个数字以指定这个策略要移动到策略列表中的位置,单击 确
定。
启用和禁用策略
您可以启用和禁用策略列表中的策略以控制这个策略是否生效。FortiGate 匹配已
被启用了的策略,而不匹配被禁用的策略。
禁用一个策略
禁用一个策略可以暂时防止防火墙试图匹配这个策略。禁用一个策略不会中断当前
由这个策略建立的通讯会话。要中断活动的会话,请见 第 86 页 “ 系统状态” 。
1 进入 防火墙 > 策略。
2 选择含有要禁用的策略的策略列表的标签。
3 清除要禁用的策略的选中标志。
注意:需要认证的策略必须添加到策略列表中不需认证的策略的前面。否则,不需要认证的策略
将先被匹配。