策略 > 关于策略优先级

关于策略优先级

优先级是 XTM 设备检查网络流量并应用策略规则的先后顺序。 XTM 设备会自动以从最详细到最笼统的顺序排列策略。 它会将数据包中的信息与第一个策略中的规则列表进行比较。 然后将列表中与数据包情况相符的第一个规则应用于该数据包。 如果两个策略的详细程度相同,则代理策略始终优先于数据包筛选器策略。

策略自动排序

XTM 设备会为最详细的策略指定最高优先级,为最笼统的策略指定最低优先级, 并会按下列顺序检查后续条件的详细程度。 如果它无法根据第一个条件确定优先级,将继续检查第二个条件,依此类推。

  1. 策略详细程度
  2. 为策略类型设置的协议
  3. 列表的流量规则
  4. 列表中的流量规则
  5. 应用于策略的防火墙操作(允许、拒绝或拒绝 (发送重置))
  6. 应用于策略的计划
  7. 基于策略类型的字母顺序
  8. 基于策略名称的字母顺序

下面的部分将会更详细地描述 XTM 设备在这八个步骤中所做的工作。

策略详细程度和协议

XTM 设备将依次使用下列条件来比较两个策略,直到发现两个策略的详细程度相同,或一个策略比另一策略更加详细。

  1. 任意策略始终具有最低优先级。
  2. 检查 TCP 0(任意)或 UDP 0(任意)协议的编号。 拥有较小编号的策略具有较高优先级。
  3. 检查用于 TCP 和 UDP 协议的唯一端口号。 拥有较小编号的策略具有较高优先级。
  4. 将 TCP 和 UDP 的唯一端口号相加。 拥有较小编号的策略具有较高优先级。
  5. 基于各协议的 IP 协议值为其打分。 获得较小分数的策略具有较高优先级。

如果 XTM 设备在比较策略详细程度和协议后无法设置优先级,则会继续检查流量规则。

流量规则

XTM 设备将会依次使用下列条件来将某一策略最笼统的流量规则与另一策略最笼统的流量规则做比较。 并将较高优先级分配给流量规则更为详细的策略。

  1. 主机地址
  2. IP 地址范围(小于做比较的子网)
  3. 子网
  4. IP 地址范围(大于做比较的子网)
  5. 认证用户名
  6. 认证组
  7. 接口,XTM 设备
  8. 任意外部、任意可信任、任意可选
  9. 任何

例如,比较这两个策略:

(HTTP-1) 来自: 可信任、用户 1

(HTTP-2) 来自: 10.0.0.1,任意可信任

可信任 是 HTTP-1 最笼统的条目。 任意可信任 是 HTTP-2 最笼统的条目。 由于可信任 包含在任意可信任 别名内,因此 HTTP-1 是更为详细的流量规则。 尽管 HTTP-2 含有 IP 地址,上述结论仍然是正确的,因为 XTM 设备是将某一策略最笼统的流量规则与另一策略最笼统的流量规则做比较来设置优先级的。

如果 XTM 设备在比较流量规则后无法设置优先级,则会继续检查防火墙操作。

防火墙操作

XTM 设备会将两个策略的防火墙操作做比较来设置优先级。 防火墙操作的优先级从高到低依次为:

  1. 拒绝或拒绝 (发送重置)
  2. 允许的代理策略
  3. 允许的数据包筛选器策略

如果 XTM 设备在比较防火墙操作后无法设置优先级,则会继续检查计划。

计划

XTM 设备会将两个策略的计划做比较,以设置优先级。 计划的优先级从高到低依次为:

  1. 始终关闭
  2. 有时打开
  3. 始终打开(O)

如果 XTM 设备在比较计划后无法设置优先级,则会继续检查策略类型及名称。

策略类型及名称

如果两个策略与其他所有优先级条件均不匹配,XTM 设备会按照字母顺序将策略分类。 首先,它会使用策略类型, 然后使用策略名称。 因为两个策略不可能既属于同一类型又拥有同一名称,所以这是判断优先级的最后一个条件。

手动设置优先级

您可以禁用自动排序模式,以更改为手动排序模式,并为 XTM 设备设置策略优先级。 更改为手动排序模式后,还可以按列对策略列表排序。

  1. 选择防火墙 > 防火墙策略
    将显示防火墙策略页面。
  2. 已启用自动排序模式旁,单击禁用
    将显示确认消息。
  3. 单击确认确实想要切换到手动排序模式。
  4. 要更改策略顺序,请选择该策略,然后将其拖到新位置。
    或者,选择一个策略,然后单击上移下移在列表中上移或下移该策略。
  5. 要按列对策略列表排序,请单击列标题。
  6. 单击保存

请参阅

关于策略页面

关于防火墙或 Mobile VPN 策略页面

设置策略访问规则

提供反馈  •   获得支持  •   全部产品文件  •   知识库