在本課中，你將學習如何理解和應用防火牆策略來允許和拒絕通過FortiGate的流量。它的核心是防火牆，所以它對你的流量所做的幾乎所有事情都與你的防火牆策略相關聯。

在本次課程中，你將探討以下主題：

• 防火牆策略
• 配置防火牆策略
• 管理防火牆策略
• 最佳實踐和故障排查

在完成這節課程之後，你應該能夠：

• 識別防火牆策略的元件
• 瞭解FortiGate如何通過介面、區域、源、目的地、服務或時間表與防火牆策略相匹配

　　通過展示識別防火牆策略的不同元件的能力，以及識別FortiGate如何將流量與防火牆策略相匹配並採取適當的行動，你將更好地理解防火牆策略如何與網路流量互動。

首先，讓我們來談談防火牆策略是什麼。

　　防火牆策略定義哪些流量與它們匹配，如果匹配，則FortiGate會做什麼。

　　流量允許通過嗎？最初，FortiIGate基於簡單的標準，例如流量的來源來決定這個決定。然後，如果策略不阻塞流量，則FortiGate將開始進行計算上開銷較大的安全配置檔案檢查（通常稱為UTM，統一威脅管理），如反病毒、應用控制和Web過濾（如果你在策略中選擇了它）。這些掃描可以阻斷流量，例如，如果它包含病毒，流量將會被阻斷，否則就會允許通行。

　　網路地址轉換（NAT）會被應用嗎？需要認證嗎？防火牆策略也決定了這些問題的答案。在完成處理之後，FortiGate將分組轉發到其目的地。

　　FortiGate從上到下查詢匹配的防火牆策略，如果找到匹配，則根據防火牆策略處理流量。如果未找到匹配項，則預設隱式拒絕策略將拒絕流量。

每個策略通過引用你定義的物件（如地址和配置檔案）來匹配流量並應用安全性。

　　其他防火牆策略型別如何？IPv6或虛擬介面對是否存在？對，這些策略使用與它們的型別相關的稍微不同的物件。在本課中，我們將討論IPv4防火牆策略，因為它們是最常見的例項。

 當資料包到達時，FortiGate如何找到匹配的策略？每個策略都有匹配標準，可以使用以下物件定義：

• 出入介面
• 源：IP 地址, 使用者, 裝置ID
• 目的： IP地址或網路服務
• 網路服務： IP協議和埠號
• 時間表：在配置時間中應用

　　如果流量匹配了防火牆策略，FortiGate 在防火牆策略中應用配置的操作。

• 如果 Action設定成DENY，FortiGate將會丟棄會話 。
• 如果 Action設定成ACCEPT，FortiGate將應用其他配置的設定來進行分組處理，例如反病毒掃描、Web過濾或源NAT。

　　例如，如果要阻塞傳入FTP到除了少數FTP伺服器之外的所有FTP，則需要定義FTP伺服器的地址，選擇那些作為目的地，以及選擇FTP作為服務。你可能不會指定源（通常允許在Internet上的任何位置）或時間表（通常FTP伺服器總是可用的，白天或晚上）。最後，你將設Action為ACCEPT。

　　這可能是足夠的，但通常你需要更全面的安全性。這裡，該策略還驗證使用者、掃描病毒以及記錄阻止的連線嘗試。

　　注意：我們將在後續課程中討論LEARN的Action。

 為了開始描述FortiGate如何為每個包找到策略，讓我們從介面開始。

　　資料包到達輸入介面，而路由決定輸出介面。在每個策略中，必須設定源和目標介面；即使其中一個或兩個都設定為any。這兩個介面必須匹配策略的介面標準才能成功匹配。

　　例如，如果你在port3（LAN）入口和port1（WAN）出口之間配置策略，並且包到達port2，則該資料包將不匹配你的策略，因此會因為列表末尾的隱式拒絕策略而被丟棄。即使策略是從port3（LAN）入口到any出口，資料包仍然會被丟棄，因為它與傳入的介面不匹配。

　　為了簡化策略配置，可以將介面分組到邏輯區域中。例如，可以將port4到port7作為一個DMZ區域。區域可以從Interfaces頁建立。但是，你應該注意，不能單獨引用區域中的介面，如果需要將介面新增到該區域，則必須刪除對該介面的所有引用（例如，防火牆策略、防火牆地址等）。如果你認為可能需要單獨引用介面，那麼應該在防火牆策略中設定多個源介面和目標介面，而不是使用區域。

預設情況下，可以只選擇單個介面作為輸入介面，而只選擇單個介面作為輸出介面。這是因為在GUI上禁用選擇多個介面或防火牆策略中的any介面的選項。但是，你可以在Feature Visibility上啟用“Multiple Interface Policies”選項來禁用單個介面限制。

　　還值得一提的是，在選擇any選項時，不能為該介面選擇多個介面。在這個示例中，因為選擇any介面作為輸出介面，所以不能新增任何附加介面，因為任何介面都暗示所有介面都已經被選擇了。

FortiGate考慮的下一個匹配標準是包的來源。

　　在每條防火牆策略中，必須選擇源地址物件。可選地，你還可以通過選擇使用者、組或特定裝置來細化源地址的定義。如果你的組織允許攜帶你自己的裝置（BYOD），那麼這三種裝置的組合將提供更細粒度的匹配，從而提高安全性。你還可以在防火牆策略中選擇ISDB物件作為原始碼，這將在本課程後面討論。

　　當選擇一個全限定域名（FQDN）作為源地址時，必須通過DNS解析並在FortiGate中快取。確保為DNS設定正確配置FortiGate。如果FortiGate不能解析FQDN地址，它將發出警告訊息，並且用FQDN配置的防火牆策略可能不能正常工作。

如果新增使用者作為源的一部分，則FortiGate必須在基於防火牆策略允許或拒絕訪問之前驗證使用者。使用者可以通過不同的方式進行身份驗證。

　　對於遠端使用者（例如，LDAP或RADIUS），FortiGate從遠端使用者接收使用者名稱和密碼，並將此資訊傳遞給身份驗證伺服器。驗證伺服器驗證使用者登入憑據並更新FortiGate。在FortiGate接收到該資訊之後，它基於防火牆策略授予對網路的訪問。

　　一個Fortinet單點登入（FSSO）從域控制器檢索使用者的資訊。訪問是基於FortiGate的組資訊授予的。

有兩種裝置識別技術：具有代理和不具有代理（無代理）。

　　無代理使用來裝置的流量。裝置通過它們的MAC地址進行索引，並且有多種方式來識別裝置，例如HTTP使用者代理頭、TCP指紋、MAC地址OUI、FortiOS-VM檢測方法等等。只有當FortiGate和工作站位於直接連線的網路段上，其中業務被直接傳送到FortiGate，並且在FortiGate和工作站之間沒有中間路由器或第三層裝置時，無代理裝置標識才有效。

　　注意：FortiGate使用先到先服務的方法來確定裝置標識。例如，如果一個裝置被HTTP使用者代理檢測到， FortiGate就用檢測到的MAC地址更新它的裝置表，一旦確定了該MAC地址的型別，掃描停止。

　　基於代理的FortiClient應用。FortiClient將資訊傳送給FortitGate，並通過其唯一的FortiClient 使用者ID（UID）跟蹤該裝置。

如果在防火牆策略中的Source中啟用Device型別，並且FortiGate在策略的源介面上啟用Device Detection 。預設情況下，FortiGate使用Device Detection進行被動掃描，它基於到達的流量進行掃描。

　　如果FortiGate無法檢測到裝置怎麼辦？

　　你如果啟用Active Scanning。如果被動檢測超過5分鐘未能檢測到裝置型別，則觸發主動掃描，每3分鐘掃描一次。如果主動掃描未能檢測到裝置型別，則下一次掃描發生在10分鐘後。如果掃描失敗，下一次掃描將發生在15分鐘後。FortiGate使用一個 (N+1)×5 分鐘的掃描演算法，其中N是已經完成的掃描次數。對裝置型別、OS和OS版本進行主動掃描。

  【提示】啟用裝置探測，則進行被動掃描，只有傳送流量的裝置可以掃描到。啟用啟用掃描，則進行主動掃描，每次間隔一定的時間進行一次掃描。

FortiGate可以通過FortiClient配置檔案和註冊來控制FortiClient的設定。為了讓FortiClient註冊到FortiGate，必須在面向網路中的端點介面上啟用FortiTelemetry，因為它偵聽來自已安裝了FortiClient的裝置的連線。FortiTelemetry是一種TCP協議，用於在TCP埠8013上執行的FortiClient和FortiGate之間的通訊。還有其他配置設定值得一提：

　　強制FortiClient符合性檢查：如果開啟，同樣也啟用了Device Detection。不相容的裝置被阻塞並重定向到Web門戶，該門戶解釋不相容並提供下載FortiClient的連結。你可以使用源、目的地或服務來免除FortiClient強制執行的裝置。

　　在FortiClient註冊後，將其新增到裝置列表中。FortiGate也將FortiClient配置檔案推到已註冊FortiClient中。你可以配置預設的FortiClient配置檔案或新增其他配置檔案。你還可以在FortiGate上檢視FortiClient Monitor頁面上的FortiClient結點資訊。

　　可以執行CLI命令來檢視FortiClient唯一的UID。FortiClient裝置有一個唯一的UID，它可以用作裝置的索引。使用唯一的UID而不是MAC地址，因為當裝置具有多個MAC地址（例如伺服器或虛擬機器）時，或者當沒有二層裝置的可視性時，使用MAC地址可能是有問題的。

　　FortiGate GUI儀表板上的License小部件顯示已註冊裝置的總數和可用於註冊的裝置的總數。Windows和 Mac OS X　FortiClient安裝程式也可以從這個儀表板小部件中獲得。

Device Inventory顯示檢測到的裝置列表。你可以右鍵單擊任何檢測到的裝置來編輯、刪除或在FortiView中顯示詳細資訊。細節包括會話、目的地、策略等。

　　裝置由MAC索引，並從多個源識別。CLI命令顯示了比Device Inventory頁面更詳細的列表，包括檢測方法。在這個幻燈片上顯示的示例中，裝置被源檢測為HTTP使用者代理和FortiClient。

　　已探測裝置將儲存到FortiGate的快閃記憶體驅動器上28天。因此，在重新啟動時，FortiGate知道裝置已經被識別，並且不必對每個裝置進行重新分類。但是，如果28天內沒有看到來自裝置的流量，則裝置資訊將過期並從裝置庫存表中刪除。可以使用FortitGate的CLI命令在每個VDOM基礎上更改此操作。

　　裝置資訊中顯示的使用者只是一個標記；它不能用作身份驗證策略的標識手段。

在這個示例中，所有三個源選擇器都標識特定的子網、使用者組和裝置型別。 記住，使用者和裝置都是可選物件。它們在這裡用來使策略更加具體化。如果你希望策略匹配更多的流量，你將脫離使用者且裝置物件未定義。

　　你還可以在防火牆策略中使用Internet服務（ISDB）物件作為源。防火牆策略中的Internet服務物件和源地址物件之間可存在任意一個關係。這意味著你可以選擇源地址或Internet服務，而不是兩者。

 象資料包的來源一樣，FortiGate也檢查一個匹配的目標地址。

　　你可以在防火牆策略中使用地址物件或ISDB物件作為目的地。地址物件可以是主機名、IP子網或範圍。如果你輸入FQDN作為地址物件，請確保你已經配置了FortiGate的DNS伺服器。FortiGate使用DNS將那些FQDN主機名解析為IP地址，這是IP頭中實際出現的IP地址。

　　可以選擇地理地址，這是分配給國家的地址的組或範圍。這些物件是通過FortiGuard更新的。

　　為什麼沒有選擇使用者或裝置的選項？在接入口處確定使用者標識或裝置標識，並且在使用者或裝置認證成功之後僅將分組轉發到出介面。

Internet服務是一個數據庫，它包含最常見的Internet服務所使用的IP地址、IP協議和埠號的列表。FortiGate定期從FortiGuard下載此資料庫的最新版本。這些可以被選擇為防火牆策略中的Source或Destination。

　　如果你需要允許流量只進入一些著名的公共網際網路目的地，比如Dropbox或Facebook? 

　　你可以在防火牆策略中使用Internet服務作為目標，該策略包含該服務使用的所有IP地址、埠和協議。出於同樣的原因，你不能將常規地址物件與Internet服務資料庫（ISDB）物件混合，也不能在防火牆策略上選擇服務。ISDB物件已經具有硬編碼的服務資訊。

　　與地址物件相比，Internet服務有助於使這種型別的部署更加簡單和容易，而地址物件需要經常檢查以確保IP地址沒有改變或允許適當的埠。

 時間表將一個時間元素新增到策略中。例如，允許備份軟體的策略可以在夜間啟用，或者遠端地址可以被允許用於測試目的，而時間表提供測試視窗。

　　時間表可以配置和使用24小時的時鐘。有幾個配置設定值得一提：

• Recurring：如果All Day被啟用，流量將被允許每天24小時通過。在配置時間表時，如果停止時間比啟動時間早，停止時間就會出現在第二天。例如，如果選擇星期天為日期，10:00為開始時間，09:00為停止時間，則日程表將在週一的09:00停止。如果啟動和停止時間相同，則計劃將執行24小時。
• One-time：開始日期和時間必須早於停止日期和時間。還可以啟用Pre-expiration event。
• log：它將在時間表過期之前N天產生一個事件日誌，其中N可以是1到100天。

 FortiGate用於匹配策略的另一個標準是服務及服務組。

　　在IP層，協議號（例如TCP、UDP、SCTP等）以及源埠和目標埠一起定義每個網路服務。一般來說，只有一個目標埠（即伺服器的偵聽埠）被定義。一些早期的應用程式可以使用特定的源埠，但是在大多數現代應用程式中，源埠是在傳輸時隨機標識的，因此不是定義服務的可靠方式。

　　例如，名為HTTP的預定義服務物件是TCP目的地埠80，名為HTTPS的預定服務物件是TCP目的地埠443。然而，源埠是短暫的，因此沒有定義。

　　預設情況下，服務被分組在一起以簡化管理，因此你可以按類別或按字母順序檢視服務。如果預定義的服務不滿足你的組織需求，則可以建立一個或多個新服務、服務組和類別。

 送分題。

現在你瞭解防火牆策略中使用的元件和FortiGate使用的匹配標準。

　　接下來，你將學習如何配置防火牆策略。

完成本章節後，你應該能夠：

• 使用安全配置檔案限制訪問並使網路更加安全
• 配置日誌記錄
• 配置學習模式評估和分析流量

　　通過演示配置防火牆策略的能力，你將能夠將正確的設定（如安全配置檔案、日誌記錄和流量整形）應用於FortiGate上的防火牆策略，並使你的網路更加安全。

在GUI上配置新的防火牆策略時，必須為防火牆策略指定唯一名稱，因為它在預設情況下啟用，但在CLI中是可選的。這有助於管理員快速識別他們正在尋找的策略。但是，你也可以在GUI的可見功能頁面啟用允許未命名的策略，不用再指定唯一名稱。

　　注意：如果在CLI上沒有策略名稱而配置了策略，並且修改了GUI上的現有策略，則必須指定唯一名稱。FortiGate平面GUI檢視允許你通過在右側填充的列表中單擊或拖放來選擇介面和其他物件。

　　現在你可以選擇Internet服務作為源，Internet服務是一個或多個地址和一個或多個與網際網路上找到的服務相關聯的服務的組合，比如軟體的更新服務。

　　在防火牆策略中可以配置許多其他選項，如防火牆和網路選項、安全配置檔案、日誌記錄選項以及啟用或禁用策略。

　　在建立防火牆物件或策略時，新增一個通用唯一標識（UUID）屬性，以便日誌可以記錄這些UUID，並在與FortiManager或FortiAnalyzer整合時改進功能。

　　當建立防火牆策略時，記住FortiGate是一個狀態防火牆。因此，你只需要建立一個防火牆策略，該策略與啟動會話的流量的方向相匹配。FortiGate將自動記住源-目的對並允許答覆。

防火牆策略可以應用的最重要的特性之一是安全配置檔案，例如IPS和反病毒。安全配置檔案檢查業務流中的每個分組，其中會話已經被防火牆策略有條件地接受。

　　在檢查流量時，FortiGate可以使用基於流的或基於代理的兩種方法之一。每種型別都支援不同的安全特性。

 如果你在防火牆策略中啟用日誌記錄功能，則FortiGate將在防火牆策略關閉IP會話之後生成流量日誌。

　　預設情況下，允許記錄流量被設定為安全事件，並且只為防火牆策略中應用的安全配置檔案生成日誌。但是，可以將設定更改為生成所有會話的日誌的全部會話。

　　如果啟用在會話啟動時生成日誌，則FortiGate在會話開始時建立流量日誌。FortiGate也在關閉時為同一個會話生成第二個日誌。但是請記住，增加日誌記錄會降低效能，所以只有在必要時才使用它。

　　在會話期間，如果安全配置檔案檢測到攻擊，則FortiGate立即記錄攻擊日誌。為了減少生成的日誌訊息的數量並提高效能，可以啟用Log Violation Traffic條目。這將在會話表中建立拒絕會話，並且如果會話被拒絕，則該會話的所有分組也被拒絕。這確保了FortiGate不必為匹配被拒絕會話的每個新包執行策略查詢，這減少了CPU使用率和日誌生成。

　　這個選項在CLI中，被稱為ses-denied-traffic。您還可以設定塊會話的持續時間。這通過在CLI中設定塊會話定時器來確定會話在會話表中將保持多長時間。預設情況下，設定為30秒。如果GUI選項 “Generate Logs when Session Starts”未顯示，則意味著你的FortiGate裝置沒有內部儲存。此選項在CLI中，無論內部儲存如何，都設定為開啟logtraffic start。

還可以在防火牆策略上啟用學習模式。當你設定動作為學習時，它就可以在策略的源介面上進行Device Detection 。防火牆策略自動應用預設靜態配置檔案，並將流量傳遞給安全配置檔案進行監視。它還支援具有完整功能的日誌記錄，這些標記被標記為日誌中的Learn。

　　你可以檢視Learning Reports頁上的學習模式的綜合報告。該報告使用所有學習日誌，跨越所有流量和安全向量，生成用於推薦目的的完整摘要報告。這使得使用者能夠容易地實現監視器，然後強制執行過程。

流量整形可配置為兩種型別：共享和每IP。

　　共享整形器使用該整形器將總頻寬應用於所有業務。範圍可以是每個策略，也可以是引用整形器的所有策略。FortiGate可以計算出入資料包速率對來監督流量。

　　FortiGate允許你建立三種類型的流量整形策略：

• 共享策略整形：安全策略的頻寬管理
• 每IP整形：使用者IP地址的頻寬管理
• 應用控制整形：應用頻寬管理

　　在建立流量整形策略時，必須確保匹配標準與要應用整形的防火牆策略相同。注意，這些應用同樣適用於TCP和UDP，並且UDP協議可能不會從資料包丟失中完美地恢復。

 送分題。

 你瞭解瞭如何在FortiGate上配置防火牆策略。

　　接下來，你將學習如何管理和微調防火牆策略的設定。

完成本章節之後，你應該能夠：

• 標識策略列表檢視
• 瞭解策略ID的使用
• 標識物件引用的位置

　　通過演示管理防火牆策略的能力，你將能夠理解防火牆策略的策略ID的使用。此外，你還可以確定物件使用情況，並使用物件組簡化策略。

防火牆策略出現在組織的列表中。列表可以在介面對檢視中組織，也可以在按順序中組織。

　　通常，列表將出現在介面對檢視。每個部分包含該入口出口對的策略。或者，你可以通過在頁面頂部選擇按順序，將策略視為單個、全面的列表。

　　在某些情況下，你將無法選擇使用哪個檢視。

　　如果你使用多個源介面或目標介面，或者防火牆策略中的any介面，那麼策略不能按介面對劃分為多個部分，有些是三元組或更多。因此，策略然後總是顯示在單個列表中（按順序）。

　　為了幫助你記住每個介面的使用，可以通過編輯網路頁上的介面來給介面提供別名。例如，你可以稱port1為SP1。這有助於使你的策略列表更容易理解。

在FortiOS 6.0版本中，當編輯策略時，策略資訊將是可見的。

　　如果管理員想要檢查策略使用情況，這個特性是非常有用的，如上一次使用、第一次使用、命中計數、活動會話等。

防火牆策略如何工作的一個重要因素是順序優先的概念，或者，如果你喜歡一個更容易識別的術語，“先到先服務”。

　　策略ID是識別符號，並顯示在GUI上。

　　在GUI上建立新防火牆策略時，FortiGate自動分配策略ID。即使序列中的規則移動得更高或更低，策略ID也不會改變。

為了簡化管理，可以對服務和地址物件進行分組。然後，您可以在防火牆策略中引用該組，而不是每次選擇多個物件或制定多個策略。

　　在這個幻燈片上，使用四個服務來配置策略：HTTP、HTTPS、FTP和DNS。瀏覽器使用DNS將URL解析為IP地址，因為人們記住網站的域名而不是IP地址。如果需要為Web和FTP流量制定許多策略，那麼建立一個名為Web-FTP的服務物件是有意義的。這樣，在每次制定策略時，你不必手動選擇所有四個服務。策略可以替代Web-FTP服務組。

　　此外，可以合併源組中的源地址。

 我們剛剛展示了幾個元件物件，它們可以在你制定策略時重用。如果要刪除物件，該怎麼辦？

　　如果正在使用物件，則不能刪除該物件。首先，必須重新配置當前使用它的物件。GUI提供了一種簡單的方法來查明FortiGate的配置中，一個物件被引用的位置。看到參考欄中的數字了嗎？它們是被使用的物件的數量。這個數字實際上是一個連結，所以如果你點選它，你可以看到哪些物件正在使用它。

　　在這個例子中，all地址物件都由Training地址組和三個防火牆策略使用。如果選擇防火牆策略，則可以使用“Edit”、“View List”列表和“View Properties ”選項卡。

• Edit：允許你編輯所選物件。在這個例子中，它顯示了防火牆策略ID 4的編輯頁。
• View List：允許檢視其類別中的選定物件。在這個例子中，它將顯示所有防火牆策略的列表。
• View Properties：顯示物件在該配置中使用的位置。在這個例子中，地址物件all都在防火牆策略的目標地址和源地址中使用。

 你可以右擊任何防火牆策略，以檢視不同的選單選項來編輯或修改策略。這些選項包括啟用或禁用防火牆策略、插入防火牆策略（上面或下面）、複製和貼上策略以及反向克隆（僅在該策略上禁用NAT的情況下）。

　　單擊Edit in CLI開啟選定的防火牆策略或物件的CLI控制檯。它顯示CLI中的配置設定，並可以在CLI Console中直接修改選定的防火牆策略或物件。

　　右擊該物件為你提供修改物件的選項，並顯示該物件的引用。

在FortiOS 6.0版本中，你可以通過GUI使用每個列中的篩選器過濾防火牆策略。你可以單擊策略ID列篩選圖示以基於策略ID號搜尋策略，或者單擊Name篩選圖示以基於策略名稱搜尋策略等等。

 送分題。

現在你瞭解瞭如何管理FortiGate防火牆策略。接下來，你將瞭解與防火牆策略相關的最佳實踐和故障排除。

  完成本章節之後，你應該能夠：

• 確認防火牆策略和物件的命名限制
• 重新排序防火牆策略以進行正確匹配
• 演示如何找到流量型別的匹配策略

　　通過演示瞭解防火牆策略限制和使用策略匹配技術的能力，你將能夠在使用防火牆策略時應用最佳實踐和基本故障排除技術。

​​  在配置防火牆物件的名稱時，只支援某些字元。例如，Training(Lan)不是地址物件的有效名稱，因為它包含不支援的特殊字元。儘管在名稱中支援空格，但作為最佳實踐，避免在名稱中使用空格。取而代之的是使用連字元或下劃線。當嘗試修改CLI或故障排除時，使用空格可能會導致問題。

　　但是，在密碼、註釋、替換訊息等中支援許多特殊字元。

​​  在生產網路中實現配置更改之前，始終計劃維護視窗併為幾個IP地址、使用者或裝置建立測試用例。使用GUI或CLI進行的任何配置更改都會立即生效，並且可以中斷服務。

　　作為最優方法，嘗試儘可能具體地配置防火牆策略。這有助於僅限制對這些資源的訪問。例如，在配置地址物件時使用適當的子網。

　　值得一提的另一個設定是安全配置檔案，它有助於為你的網路提供適當的安全性。適當的日誌配置也可以幫助你分析、診斷和解決常見的網路問題。

​​  記得你知道只有第一個匹配策略適用嗎？把你的策略安排在正確的位置很重要。它影響哪些流量被阻塞或允許。在適用的介面對的部分中，FortiGate查詢從頂部開始的匹配策略。因此，你應該將更具體的策略放在頂部；否則，更一般的策略將首先匹配流量，並且永遠不會應用更細粒度的策略。

　　在上圖所示中，你正在將僅與FTP流量匹配的Block_FTP策略（ID 2）移動到更一般的Full_Access（接受來自任何地方的一切）策略之上的位置。否則，FortiGate將始終在適用的介面對Full_Access中應用第一匹配策略，並且永遠不會到達Block_FTP策略。

　　當跨策略列表移動策略時，策略ID保持不變。

　　注意：FortiGate在建立策略時分配下一個最高可用ID號。

​​  為了優化和合並防火牆策略，始終檢查所有配置的設定。在這個示例中，兩個防火牆策略在服務、安全配置檔案和日誌記錄設定方面存在差異。可以通過組合服務和選擇適當的日誌記錄設定來合併這兩個防火牆策略。

　　如果你選擇日誌記錄設定為Security Events (UTM) ，將不會為ALL_ICMP流量生成流量日誌。

　　注意：ALL_ICMP服務不受網路過濾器和反病毒掃描的影響，這意味著將這些安全配置檔案應用於ICMP流量將導致未經檢查的流量通過。

​​  你可以根據策略查詢輸入標準找到匹配的防火牆策略。策略查詢在沒有實際流量的情況下在FortiGate上建立包流。由此，策略查詢可以從流跟蹤中提取策略ID，並在GUI策略配置頁上突出顯示該策略ID。

　　根據你選擇的協議（例如，TCP、UDP、IP、ICMP等），你需要定義其他輸入標準。例如，當選擇TCP作為協議時，需要定義源地址、源埠（可選）、目的地埠和目的地地址。當選擇ICMP作為協議時， 需要定義ICMP型別/程式碼、源地址和目的地址。

　　當FortiGate執行策略查詢時，它在為匹配策略提供結果之前，從上到下對匹配防火牆策略的入口、狀態檢查和出口執行一系列檢查。

　　注意：如果防火牆策略狀態被設定為disable，策略查詢跳過禁用策略並檢查列表中的下一個匹配策略。

​​  根據輸入標準，單擊搜尋後，將在IPv4策略頁上選擇並突出顯示跟蹤結果。

　　為什麼策略 ID #1 或 ID #2 不符合輸入規則？

　　因為策略ID #1狀態被設定為禁用，所以策略查詢跳過禁用的策略。對於防火牆策略ID #2，它與策略查詢匹配條件中指定的目標埠不匹配。

​​  送分題。

​​  你已經完成了這一課。現在，你將複習課文所涵蓋的目標。

​​  本課程包括以下目標：

• 識別資料包如何匹配防火牆策略基於：
  • 介面和區域
  • 源和目的地址
  • 網路服務
  • 時間表
• 配置防火牆策略
• 理解策略ID是如何使用的
• 標識物件使用
• 重新排序策略以首先匹配更細粒度的策略
• 使用策略查詢找到匹配策略

 

---