中神通公司技术论坛 - Powered by Discuz! Board

标题: 总控策略及NAT策略的执行逻辑 [打印本页]

作者: linda 时间: 2020-4-28 17:21 标题: 总控策略及NAT策略的执行逻辑

一、总控策略的执行逻辑
1、总控策略匹配顺序由源IP、源端口、协议、目的IP、目的端口5元素及“规则匹配”选项决定，系统按从上到下的顺序进行匹配，在数据流的5元素与总控策略匹配的前提下，如果是“马上生效”，则按此策略实行，并会在列表界面的“动作”列中显示“允许↑”，如果是“继续检查”则即使当前匹配仍依次往下查找，并按最后一条匹配的总控策略实行（last match）；“动作”项是“拒绝”时，只能“继续检查”，不能“马上生效”，防止WEB管理被阻拦
2、总控策略内置的第一条策略是“拒绝所有”的策略，管理员一般只要在其后定义通过的策略即可，即遵循“除非允许，否则拒绝”的原则
3、“方向”一般选择“流入网卡”，此时的“网卡”是最靠近来源IP对象的网卡，会在列表界面中显示“»网卡”
4、在“会话状态”、“实时监控”等页面中显示数据流及其对应的总控策略序号，方便调试总控策略

二、NAT策略的执行逻辑
1、NAT策略的匹配顺序是“马上生效”，即系统按从上到下的顺序用NAT策略去匹配数据流的源IP、源端口、协议、目的IP、目的端口5元素，如果匹配，则就按该匹配的NAT策略执行，而不再向下继续查找
2、每一条NAT策略都对应一条总控策略，可以修改相对应的总控策略的时间对象，达到修改NAT策略生效时间的目的

参考文件：
中神通UTMWALL-OS与华为USG防火墙的技术对比
http://www.trustcomputing.com.cn/utmwall-rom/UTMWALL-OS_HUAWEI_USG_tech.pdf

[ 本帖最后由 linda 于 2020-5-26 15:02 编辑 ]

欢迎光临中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)