Firewall Policy防火牆策略 ### 防火牆策略學習筆記 #### 1. 防火牆策略介紹 - **定義**：防火牆策略（Firewall Policies）定義了與策略匹配的流量以及如何處理匹配的流量。 - **隱含拒絕**：所有不匹配任何策略的流量將被默認拒絕（Implicit Deny）。 #### 2. 策略的構成要素 - **來源介面（Source Interface）**：流量的進入介面。 - **目的地介面（Destination Interface）**：流量的離開介面。 - **來源地址（Source Address）**：流量的來源IP地址。 - **目的地地址（Destination Address）**：流量的目的IP地址。 - **服務（Service）**：流量使用的協定和端口（如TCP/UDP端口）。 - **動作（Action）**：對匹配流量的處理方式，如允許（Allow）或拒絕（Deny）。 - **日誌記錄（Logging）**：是否記錄匹配到該策略的流量。 #### 3. 策略的顯示方式 - **介面配對顯示**：根據進入/離開的介面來列出策略。 - **順序顯示**：當策略設定多個來源介面/目的地介面或使用any介面時強制以此種方式顯示。 #### 4. 策略順序調整 - 策略的匹配是按順序進行的，只會匹配到第一個符合的策略。 - 可以在GUI中通過拖曳來調整策略的順序，也可以使用CLI命令進行調整： ```shell config firewall policy move <policy_id> (before|after) <policy_id> end #### 5. 檢查模式（Inspection Mode） - Proxy-based scanning：代理檢查模式，檢查更徹底但會增加延遲，會建立兩個TCP連接。 - Flow-based scanning：流量檢查模式，按TCP流量進行檢查，速度更快。 NGFW模式