防火墙规则处理措施和优先级

在本文中：

防火墙规则可以执行以下操作：

允许规则有两个功能：

常用的允许规则包括：

放行规则专用于媒体密集协议，无需通过防火墙或入侵防御模块进行过滤。放行规则具有以下显著特征：

符合放行规则条件的数据包具有以下特点：

由于状态检查未应用于已绕开的流量，因此绕开一个方向的流量不会自动绕开另一个方向的响应。因此，应始终成对创建和应用放行规则，一个用于传入流量，另一个用于传出流量。

趋势科技服务器深度安全防护系统管理中心会自动实施优先级 4 放行规则，该规则会在运行趋势科技服务器深度安全防护系统客户端的计算机上打开客户端用于侦听波动信号的端口上的传入 TCP 流量。优先级 4 可确保在所有拒绝规则之前先应用此规则，放行可保证流量始终不会受到影响。“放行”规则未在防火墙规则列表中明确显示，因为该规则是内部创建的。

但是，此规则接受来自任何 IP 地址和任何 MAC 地址的流量。要强化此端口上的客户端安全性，您可以为此端口创建另外一个更加严格的放行规则。客户端实际上将禁用缺省管理中心流量规则以支持新的定制规则，前提是该定制规则具有以下特点：

定制规则必须使用以上参数替换缺省规则。实际管理中心的 IP 地址或 MAC 地址应用作规则的数据包源。

“强制允许”选项排除了另外可能被拒绝操作覆盖的流量子集。它与其他操作的关系如下所示。强制允许与放行规则的效果是一样的。但是，和放行不同的是，因此操作通过防火墙的流量仍要由入侵防御模块进行审查。强制允许操作对于确保必要的网络服务能够与 DSA 计算机进行通信特别有用。通常，强制允许规则只能与允许和规则一起使用来允许由允许和拒绝规则禁止的部分流量。当启用 ICMP 和 UDP 状态时，还需要强制允许规则以允许未经请求的 ICMP 和 UDP 流量。

到达计算机的数据包会先按防火墙规则进行处理，接着根据状态配置条件进行处理，最后再按入侵防御规则进行处理。

以下是应用防火墙规则的顺序（传入和传出）：

在同一优先级上下文中，拒绝规则会覆盖允许规则，而强制允许规则将会覆盖拒绝规则。通过使用规则优先级系统，可以制订较高优先级的拒绝规则来覆盖较低优先级的强制允许规则。

假设有一个 DNS 服务器策略使用强制允许规则允许所有传入 DNS 查询。如果创建一个优先级高于该强制允许规则的拒绝规则，则可指定一个特定 IP 地址范围以禁止这些 IP 地址访问同一个公共服务器。

通过基于优先级的规则集，您可以设置应用规则时所要依据的顺序。如果已设置具有最高优先级的拒绝规则，而且同一优先级中没有强制允许规则，则会自动丢弃匹配该拒绝规则的任何数据包，并忽略其余的规则。相反地，如果具有最高优先级标志集的强制允许规则存在，则会自动允许匹配该强制允许规则的任何传入数据包通过，且不针对任何其他规则进行检查。

放行规则从不生成事件。此选项不可配置。

仅当符合规则的数据包后来没有被下列任一规则阻止时，仅记录规则才会生成事件：

如果数据包被上述两种规则中的一种阻止，则这些规则（但不是仅记录规则）将生成事件。如果没有后续规则停止数据包，则仅记录规则会生成事件。

趋势科技服务器深度安全防护系统防火墙规则既有规则处理措施，又有规则优先级。这两种属性配合使用可让您创建非常有弹性且功能强大的规则集。其他防火墙使用的规则集可能要求依照运行时应有的顺序定义规则，与此不同的是，趋势科技服务器深度安全防护系统防火墙规则是根据规则处理措施和规则优先级的确定顺序运行的，与其定义或分配的顺序无关。

每个规则可以有五种处理措施之一。

实行允许规则将导致拒绝允许规则未特别覆盖的所有其他流量：

“拒绝”规则可以优先于“允许”规则执行，以阻止某些类型的流量： “强制允许”规则可以应用于被拒绝的流量之上，以允许某些异常经过：

拒绝和强制允许类型的规则处理措施可以在 5 种优先级的任一种中加以定义，以便进一步修正允许规则集所定义的允许流量。规则以最高（优先级 4）到最低（优先级 0）的优先级顺序运行。在特定的优先级级别中，规则是根据规则操作的顺序（强制允许、拒绝、允许、仅记录）得到处理的。

优先级上下文可让用户使用拒绝/强制允许组合依次修正流量控制，以达到更大的灵活性。在同一优先级上下文中，可以使用拒绝规则否定允许规则，也可以使用强制允许规则否定拒绝规则。

规则以最高（优先级 4）到最低（优先级 0）的优先级顺序运行。在特定的优先级级别中，会根据规则处理措施的顺序处理规则。优先级相同的规则处理顺序如下：