发新话题
打印

总控策略及NAT策略的执行逻辑

总控策略及NAT策略的执行逻辑

一、总控策略的执行逻辑
1、总控策略匹配顺序由源IP、源端口、协议、目的IP、目的端口5元素及“规则匹配”选项决定,系统按从上到下的顺序进行匹配,在数据流的5元素与总控策略匹配的前提下,如果是“马上生效”,则按此策略实行,并会在列表界面的“动作”列中显示“允许↑”,如果是“继续检查”则即使当前匹配仍依次往下查找,并按最后一条匹配的总控策略实行(last match);“动作”项是“拒绝”时,只能“继续检查”,不能“马上生效”,防止WEB管理被阻拦
2、总控策略内置的第一条策略是“拒绝所有”的策略,管理员一般只要在其后定义通过的策略即可,即遵循“除非允许,否则拒绝”的原则
3、“方向”一般选择“流入网卡”,此时的“网卡”是最靠近来源IP对象的网卡,会在列表界面中显示“»网卡”
4、在“会话状态”、“实时监控”等页面中显示数据流及其对应的总控策略序号,方便调试总控策略



二、NAT策略的执行逻辑
1、NAT策略的匹配顺序是“马上生效”,即系统按从上到下的顺序用NAT策略去匹配数据流的源IP、源端口、协议、目的IP、目的端口5元素,如果匹配,则就按该匹配的NAT策略执行,而不再向下继续查找
2、每一条NAT策略都对应一条总控策略,可以修改相对应的总控策略的时间对象,达到修改NAT策略生效时间的目的



参考文件:
中神通UTMWALL-OS与华为USG防火墙的技术对比
http://www.trustcomputing.com.cn/utmwall-rom/UTMWALL-OS_HUAWEI_USG_tech.pdf

[ 本帖最后由 linda 于 2020-5-26 15:02 编辑 ]

TOP

发新话题