可以使用策略检查程序确定 XTM 设备如何管理指定的源和目标之间的特定协议的流量。 如果 XTM 设备意外允许或拒绝流量,或者如果要确保策略按预期的方式管理流量,这可能是非常有用的故障排除工具。 根据指定的参数,策略检查程序会通过 XTM 设备发送测试数据包,以了解设备如何管理该数据包。 如果有管理流量的策略,则策略检查程序会在防火墙策略列表中突出显示该策略。
运行策略检查程序时,必须指定以下参数:
结果可能包括任意以下详细信息:
不能在 Fireware XTM Web UI 中对 FireCluster 使用策略检查程序。 相反,在 Command Line Interface 中使用策略检查命令。 有关详细信息,请参阅 Command Line Interface 参考。
要运行策略检查程序:
如果数据包通过策略管理,则策略详细信息在结果部分中显示,并且该策略在防火墙策略列表中突出显示。
如果数据包未通过策略管理,而是通过任何其他方式(例如恶意站点匹配)管理,则该信息在结果部分中显示,但防火墙策略列表中不会突出显示任何内容。
结果部分中始终包括一个值的元素只有名称和类型元素。 所有其他元素的值仅当其值建立时才会显示。
元素 | 值 | 说明 |
---|---|---|
类型 | 策略 | 策略允许或拒绝的数据包。 |
安全性 | 数据包被策略以外的其他方式(例如,阻止的站点匹配)丢弃,并且触发安全措施。 | |
非决定性 | 数据包处置的解释出错。 | |
名称 | 取决于类型值 |
如果类型为策略,则显示策略的名称。 并非所有配置的策略都会公开。 如果策略名称不熟悉,则可以检查配置文件,以了解有关策略的详细信息。 如果类型为安全性,则会显示安全功能(例如,阻止的站点)。 各个版本支持的安全功能组可能不同。
如果类型为非决定性,则名称为未指定。 |
操作 | 允许 | 允许数据包。 |
拒绝 | 拒绝数据包。 类型为安全性时始终为该结果。 | |
接口 | 接口名称 | 出口接口。 这是用户定义的名称(例如 External),不是系统名称(例如 eth0)。 |
源 NAT IP | IP 地址 | 通过 NAT 更改的原始源 IP 地址的 IP 地址。 |
源 NAT 端口 | TCP/UDP 端口 | 通过 NAT 更改的原始源端口的 TCP 或 UDP 端口。 |
目标 NAT IP | IP 地址 | 通过 NAT 更改的原始目标 IP 地址的 IP 地址。 |
目标 NAT 端口 | TCP/UDP 端口 | 通过 NAT 更改的原始目标端口的 TCP 或 UDP 端口。 |