防火墙配置 配置策略列表
FortiGate-500 安装和配置指南
151
本节讨论了以下内容:
·策略匹配的细节
·更改策略列表中策略的顺序
·启用和禁用策略
策略匹配的细节
当 FortiGate 从网络接口上收到一 个连接请求时,它首先要选择一个策略列表,在
这个策略列表中查找与这个连接请求匹配的策略。FortiGate 根据连接请求的源地址和
目的地址决定使用哪个策略列表。
随后 FortiGate 从选定的策略列表的顶端开始向 下搜索策略列表,查找第一个与连
接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策
略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。
默认的策略接受所有的从内部网络到互联网的连接请求。用户可以从内部网络浏览
网页、使用 POP3 接收邮件、使用 FTP 通过 FortiGate 下载文件等等。如果 默认的策
略在内部 -> 外部策略列表的顶端,防火墙将允许全部从内部网络到互联网的连接,因
为所有的连接都和默认策略匹配。如果有其他特殊策略被添加到了策略列表并处在默
认策略的下方,他们永远也不会被匹配。
对于默认策略的例外策略,例如,一个阻塞 FTP 连接的策略,必须在内部 -> 外部
策略列表中位于默认策略的上方。在这个例子中,所有来自内部网络的 FTP 连接尝试
都与这个 FTP 策略匹配,于是被阻塞。而其它类型服务的连接请求将不会被这个 FTP
策略所匹配,但是它们能够匹配默认策略。于是,防火墙仍然接受来自内部网络的所
有其它连接。
更改策略列表中策略的顺序
1 进入 防火墙 > 策略。
2 选择所要重新排序的策略列表的标签。
3 选择要移动的策略然后单击 移动 以改变这个策略在策略列表中的位置。
4 在 移动到 一栏输入一个数字以指定这个策略要移动到策略列表中的位置,单击 确
定。
启用和禁用策略
您可以启用和禁用策略列表中的策略以控制这个策略是否生效。FortiGate 匹配已
被启用了的策略,而不匹配被禁用的策略。
禁用一个策略
禁用一个策略可以暂时防止防火墙试图匹配这个策略。禁用一个策略不会中断当前
由这个策略建立的通讯会话。要中断活动的会话,请见 第 90 页 “ 系统状态” 。
1 进入 防火墙 > 策略。
2 选择含有要禁用的策略的策略列表的标签。
3 清除要禁用的策略的选中标志。
注意:需要认证的策略必须添加到策略列表中不需认证的策略的前面。否则,不需要认证的策略
将先被匹配。