策略 > 使用策略检查程序查找策略

使用策略检查器查找策略

可以使用策略检查程序确定 XTM 设备如何管理指定的源和目标之间的特定协议的流量。 如果 XTM 设备意外允许或拒绝流量,或者如果要确保策略按预期的方式管理流量,这可能是非常有用的故障排除工具。 根据指定的参数,策略检查程序会通过 XTM 设备发送测试数据包,以了解设备如何管理该数据包。 如果有管理流量的策略,则策略检查程序会在防火墙策略列表中突出显示该策略。

运行策略检查程序时,必须指定以下参数:

结果可能包括任意以下详细信息:

不能在 Fireware XTM Web UI 中对 FireCluster 使用策略检查程序。 相反,在 Command Line Interface 中使用策略检查命令。 有关详细信息,请参阅 Command Line Interface 参考

要运行策略检查程序:

  1. 选择防火墙 > 防火墙策略
    将显示防火墙策略页面。
  1. 单击显示策略检查程序
    将显示策略检查程序部分。
  1. 接口下拉列表选择 XTM 设备上的活动接口。
  2. 协议下拉列表中选择一个选项: Ping、TCP 或 UDP。
  3. 源 IP 文本框中,键入流量的源 IP 地址。
  4. 目标 IP 文本框中,键入流量的目标 IP 地址。
  5. 如果为协议选择 TCPUDP,则在源端口文本框中,键入或选择流量源的端口。
    如果选择 Ping 作为协议,则会禁用端口文本框。
  6. 如果为协议选择 TCPUDP,则在目标端口文本框中,键入或选择流量目标的端口。
    如果选择 Ping 作为协议,则会禁用端口文本框。
  7. 单击运行策略检查程序
    将在结果部分中显示结果。

读取结果

如果数据包通过策略管理,则策略详细信息在结果部分中显示,并且该策略在防火墙策略列表中突出显示。

如果数据包未通过策略管理,而是通过任何其他方式(例如恶意站点匹配)管理,则该信息在结果部分中显示,但防火墙策略列表中不会突出显示任何内容。

结果部分中始终包括一个值的元素只有名称类型元素。 所有其他元素的值仅当其值建立时才会显示。

元素 说明
类型 策略 策略允许或拒绝的数据包。
  安全性 数据包被策略以外的其他方式(例如,阻止的站点匹配)丢弃,并且触发安全措施。
  非决定性 数据包处置的解释出错。
名称 取决于类型

如果类型为策略,则显示策略的名称。

并非所有配置的策略都会公开。 如果策略名称不熟悉,则可以检查配置文件,以了解有关策略的详细信息。

如果类型为安全性,则会显示安全功能(例如,阻止的站点)。 各个版本支持的安全功能组可能不同。

  • ICMP 淹没攻击
  • IKE 淹没攻击
  • IPSec 淹没攻击
  • TCP SYN 淹没攻击
  • UDP 淹没攻击
  • TCP SYN 检查
  • 广播
  • DNS 转发非活动
  • FWSPEED 许可证
  • 阻止的端口
  • 阻止的站点
  • 阻止的连接 — 与现有连接匹配并被策略阻止的数据包。
  • 未激活的单位
  • DDoS 客户端配额
  • DDoS 服务器配额
  • 超出的用户计数
  • IP 源路由
  • 欺骗攻击
  • 无线客户
  • 无线 MVPN
  • MAC 访问控制
  • MAC/IP 地址绑定

如果类型为非决定性,则名称为未指定

操作 允许 允许数据包。
  拒绝 拒绝数据包。 类型为安全性时始终为该结果。
接口 接口名称 出口接口。 这是用户定义的名称(例如 External),不是系统名称(例如 eth0)。
源 NAT IP IP 地址 通过 NAT 更改的原始源 IP 地址的 IP 地址。
源 NAT 端口 TCP/UDP 端口 通过 NAT 更改的原始源端口的 TCP 或 UDP 端口。
目标 NAT IP IP 地址 通过 NAT 更改的原始目标 IP 地址的 IP 地址。
目标 NAT 端口 TCP/UDP 端口 通过 NAT 更改的原始目标端口的 TCP 或 UDP 端口。

请参阅

关于策略

关于 代理操作

提供反馈  •   获得支持  •   全部产品文件  •   知识库