FAQ--USG防火墙的策略路由匹配规则？

A:USG防火墙的策略路由匹配规则如下：

1.  if-match可以配置3类匹配条件（ACL、用户/用户组、应用协议），可以共存在一个node下，3类匹配条件是与的关系，也就是说，如果3类都配了，必须全命中才算命中了这个node。这个policy下面配置source、destination之类是一样的，必须同时命中。
2.  3类中的每一类只能配置一个if-match，后配置的会覆盖前配置的，也就是说你先配置了if-match acl 3000，再配置一个if-match acl 3001，那么实际只有一个acl 3001
3.  if-match如果是配置的acl：
acl中permit代表命中了这个node，这个node如果是node permit，那么执行这个node 下的apply语句，并且不再往下执行其他node，退出整个策略路由。如果是node deny，那么不执行apply语句，并且退出整个策略路由。
acl中deny代表没有命中这个node，不管这个node是permit还是deny，都不执行这个node 下的apply语句，并且往下查找其他node。
如下执行：


4.  策略路由是一种弱策略，当ip-link的目的地址和策略路由的下一跳相同时，会自动关联。当ip-link down时，会自动将策略路由失效。也就是说，当业务流命中策略路由的某个node，但是这个node的下一跳对应的ip-link已经down的情况下，就会退出整个策略路由，不再进行策略路由匹配。