防火墙配置 | 配置策略列表 |
|
|
本节讨论了以下内容: ·策略匹配的细节 ·更改策略列表中策略的顺序 ·启用和禁用策略
策略匹配的细节
当 FortiGate 从网络接口上收到一个连接请求时,它首先要选择一个策略列表,在 这个策略列表中查找与这个连接请求匹配的策略。FortiGate 根据连接请求的源地址和 目的地址决定使用哪个策略列表。
随后 FortiGate 从选定的策略列表的顶端开始向下搜索策略列表,查找第一个与连 接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策 略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。
默认的策略接受所有的从内部网络到互联网的连接请求。用户可以从内部网络浏览 网页、使用 POP3 接收邮件、使用 FTP 通过 FortiGate 下载文件等等。如果 默认的策 略在内部
对于默认策略的例外策略,例如,一个阻塞 FTP 连接的策略,必须在内部
注意:需要认证的策略必须添加到策略列表中不需认证的策略的前面。否则,不需要认证的策略 将先被匹配。
更改策略列表中策略的顺序
1 | 进入 防火墙 > 策略。 |
|
2 | 选择所要重新排序的策略列表的标签。 |
|
3 | 选择要移动的策略然后单击 移动 | 以改变这个策略在策略列表中的位置。 |
4 | 在 移动到 一栏输入一个数字以指定这个策略要移动到策略列表中的位置,单击 确 | |
| 定。 |
|
启用和禁用策略
您可以启用和禁用策略列表中的策略以控制这个策略是否生效。FortiGate 匹配已 被启用了的策略,而不匹配被禁用的策略。
禁用一个策略
禁用一个策略可以暂时防止防火墙试图匹配这个策略。禁用一个策略不会中断当前 由这个策略建立的通讯会话。要中断活动的会话,请见 第 88 页 “ 系统状态” 。
1 进入 防火墙 > 策略。
2 选择含有要禁用的策略的策略列表的标签。
3 清除要禁用的策略的选中标志。
149 |
