优先级是 XTM 设备检查网络流量并应用策略规则的先后顺序。 XTM 设备会自动以从最详细到最笼统的顺序排列策略。 它会将数据包中的信息与第一个策略中的规则列表进行比较。 然后将列表中与数据包情况相符的第一个规则应用于该数据包。 如果两个策略的详细程度相同,则代理策略始终优先于数据包筛选器策略。
XTM 设备会为最详细的策略指定最高优先级,为最笼统的策略指定最低优先级, 并会按下列顺序检查后续条件的详细程度。 如果它无法根据第一个条件确定优先级,将继续检查第二个条件,依此类推。
下面的部分将会更详细地描述 XTM 设备在这八个步骤中所做的工作。
XTM 设备将依次使用下列条件来比较两个策略,直到发现两个策略的详细程度相同,或一个策略比另一策略更加详细。
如果 XTM 设备在比较策略详细程度和协议后无法设置优先级,则会继续检查流量规则。
XTM 设备将会依次使用下列条件来将某一策略最笼统的流量规则与另一策略最笼统的流量规则做比较。 并将较高优先级分配给流量规则更为详细的策略。
例如,比较这两个策略:
(HTTP-1) 来自: 可信任、用户 1
(HTTP-2) 来自: 10.0.0.1,任意可信任
可信任 是 HTTP-1 最笼统的条目。 任意可信任 是 HTTP-2 最笼统的条目。 由于可信任 包含在任意可信任 别名内,因此 HTTP-1 是更为详细的流量规则。 尽管 HTTP-2 含有 IP 地址,上述结论仍然是正确的,因为 XTM 设备是将某一策略最笼统的流量规则与另一策略最笼统的流量规则做比较来设置优先级的。
如果 XTM 设备在比较流量规则后无法设置优先级,则会继续检查防火墙操作。
XTM 设备会将两个策略的防火墙操作做比较来设置优先级。 防火墙操作的优先级从高到低依次为:
如果 XTM 设备在比较防火墙操作后无法设置优先级,则会继续检查计划。
XTM 设备会将两个策略的计划做比较,以设置优先级。 计划的优先级从高到低依次为:
如果 XTM 设备在比较计划后无法设置优先级,则会继续检查策略类型及名称。
如果两个策略与其他所有优先级条件均不匹配,XTM 设备会按照字母顺序将策略分类。 首先,它会使用策略类型, 然后使用策略名称。 因为两个策略不可能既属于同一类型又拥有同一名称,所以这是判断优先级的最后一个条件。
您可以禁用自动排序模式,以更改为手动排序模式,并为 XTM 设备设置策略优先级。 更改为手动排序模式后,还可以按列对策略列表排序。