防火墙功能介绍

接口类型

物理接口
      物理接口是指设备的硬件接口，其参数包括∶接口名称、接口状态、接口当前工作模式、接口自协商模式等;可以根据MAC地址表进行数据帧转发及三层路由转发功能。

子接口
     子接口的名称是它来源的接口名字的扩展，例如ge0.2。DBAPPOS支持以下类型子接口∶以太网子接口、聚合子接口。

网桥接口
     网桥接口是指设备的物理接口工作在网桥模式，负责二层（数据链路层)报文的转发﹔其中一个网口收到的报文会经FDB表转发或被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。
聚合接口
       聚合接口是物理接口的集合，一个聚合可以包含1到16个物理接口。这些物理接口平均分担该聚合接口IP地址的流量负载。因此聚合接口可以提高单个IP地址可用带宽。如果聚合接口中的一个物理接口出现故障，不能工作，其他接口可以继续处理流量，只是可使用的带宽变小了。

隧道接口
       lunnel接口主要用于报文的封装和解封装，常见的封装协议为GRE、JPSec和lPv6lP。隧道接口充当VPN通道的入口。流量通过隧道接口进出VPN通道。隧道接口只能是三层接口。

无线接口
无线接口作为设备的外置接口，支持通过USB口插入4G网卡的方式接入。

安全策略基础

         策略是网络安全设备的基本功能。默认情况下，安全网关会拒绝设备上所有接口之间的信息传输。而策略则通过策略规则决定从一个接口到另一个接口的哪些流量该被允许，哪些流量该被拒绝。
策略规则的基本元素
        策略规则允许或者拒绝从一个(多个）接口到另一个(多个）接口/从一个地址段到另一个地址
段的流量。流量的类型、流量的源安全域/源地址与目的安全域/目的地址以及行为构成策略规则的基本元素。

• lF_IN/SIP           ——流量的源接口或源安全域/源地址。
• lFOUT /DIP        ——流量的目的接口或目的安全域/目的地址。
• SERVICE–流量的服务对象。
• USER                ——流量的用户对象。
• APPLICATION——流量的应用对象。
• SCHEDULE ——流量的时间对象。
• Action     ——安全设备在遇到指定类型流量时所做的行为，包括允许（Permit )、拒绝（Deny )。
• ID                      ——-安全策略的唯一标识。

安全策略的匹配原则
策略匹配顺序:
         一从列表由上至下(不是按照ID号大小匹配）根据流量的过滤条件进行匹配，系统会对流量按          照找到的第一条与过滤条件相匹配的策略规则进行处理。
        系统缺省的策略是拒绝所有流量。

调整策略规则位置-WebUI配置
通过WebUI调整策略规则位置，在IPv4安全策略规则编辑页面选择<优先级>: