FAQ--USG防火墙的策略路由匹配规则?

发布时间:  2015-12-31 浏览次数:  221 下载次数:  0
问题描述
Q:USG防火墙的策略路由匹配规则?
处理过程

A:USG防火墙的策略路由匹配规则如下:

1.  if-match可以配置3类匹配条件(ACL、用户/用户组、应用协议),可以共存在一个node下,3类匹配条件是与的关系,也就是说,如果3类都配了,必须全命中才算命中了这个node。这个policy下面配置source、destination之类是一样的,必须同时命中。
2.  3类中的每一类只能配置一个if-match,后配置的会覆盖前配置的,也就是说你先配置了if-match acl 3000,再配置一个if-match acl 3001,那么实际只有一个acl 3001
3.  if-match如果是配置的acl:
acl中permit代表命中了这个node,这个node如果是node permit,那么执行这个node 下的apply语句,并且不再往下执行其他node,退出整个策略路由。如果是node deny,那么不执行apply语句,并且退出整个策略路由。
acl中deny代表没有命中这个node,不管这个node是permit还是deny,都不执行这个node 下的apply语句,并且往下查找其他node。
如下执行:


4.  策略路由是一种弱策略,当ip-link的目的地址和策略路由的下一跳相同时,会自动关联。当ip-link down时,会自动将策略路由失效。也就是说,当业务流命中策略路由的某个node,但是这个node的下一跳对应的ip-link已经down的情况下,就会退出整个策略路由,不再进行策略路由匹配。

END