防火墙配置 配置策略列表
FortiGate-500 安装和配置指南
151本节讨论了以下内容:
·策略匹配的细节
·更改策略列表中策略的顺序
·启用和禁用策略
策略匹配的细节当FortiGate 从网络接口上收到一个连接请求时,它首先要选择一个策略列表,在
这个策略列表中查找与这个连接请求匹配的策略。FortiGate根据 连接请求的源地址和
目的地址决定使用哪个策略列表。
随后FortiGate 从选定的策略列表的顶端开始向下搜索策略列表,查找第一个与连
接请求的源地址、目的地址、服务端口以及接收到连接请求的日期和时间相匹配的策
略。匹配的第一个策略将被应用于连接。如果没有找到匹配的策略,连接将被丢弃。
默认的策略接受所有的从内部网络到互联网的连接请求。用户可以从内部网络浏览
网页、使用 POP3 接收邮件、使用 FTP 通过FortiGate 下载文件等等。如果 默认的策
略在内部 -> 外部策略列表的顶端,防火墙将允许全部从内部网络到互联网的连接,因
为所有的连接都和默认策略匹配。如果有其他特殊策略被添加到了策略列表并处在默
认策略的下方,他们永远也不会被匹配。
对于默认策略的例外策略,例如,一个阻塞 FTP 连接的策略,必须在内部 -> 外部
策略列表中位于默认策略的上方。在这个例子中,所有来自内部网络的 FTP 连接尝试
都与这个FTP 策略匹配,于是被阻塞。而其它类型服务的连接请求将不会被这个FTP
策略所匹配,但是它们能够匹配默认策略。于是,防火墙仍然接受来自内部网络的所
有其它连接。
更改策略列表中策略的顺序1进入 防火墙 > 策略。
2选择所要重新排序的策略列表的标签。
3选择要移动的策略然后单击 移动 以改变这个策略在策略列表中的位置。
4在 移动到 一栏输入一个数字以指定这个策略要移动到策略列表中的位置,单击 确
定。
启用和禁用策略您可以启用和禁用策略列表中的策略以控制这个策略是否生效。FortiGate 匹配已
被启用了的策略,而不匹配被禁用的策略。
禁用一个策略禁用一个策略可以暂时防止防火墙试图匹配这个策略。禁用一个策略不会中断当前
由这个策略建立的通讯会话。要中断活动的会话,请见 第 90 页 “ 系统状态” 。
1进入 防火墙 > 策略。
2选择含有要禁用的策略的策略列表的标签。
3清除要禁用的策略的选中标志。
注意:需要认证的策略必须添加到策略列表中不需认证的策略的前面。否则,不需要认证的策略
将先被匹配。