netscreen防火墙策略验证

netscreen防火墙策略验证
策略验证
ScreenOS 提供一种工具，用于验证策略列表中策略的顺序是否有效。可能会出现一种策略掩蔽或“遮盖”另一种
策略的现象。考虑以下示例:
set policy id 1 from trust to untrust any any HTTP permit
set policy id 2 from trust to untrust any dst-A HTTP deny
因为 NetScreen 设备从列表顶部开始查找策略，所以找到所接收信息流的匹配策略后，就不再向下查找策略列表中
的其它策略。在上例中， NetScreen 设备从未到达策略 2，因为策略 1 中的目标地址“any”包括策略 2 中更具体的
“dst-A”地址。某 HTTP 数据包从 Trust 区段 ( 为 Untrust 区段中的 dst-A 绑定) 中的一个地址到达 NetScreen 设备
时， NetScreen 设备始终首先找到与之匹配的策略 1。
要纠正上述范例，只需颠倒策略顺序，将较为具体的策略放在第一位:
set policy id 2 from trust to untrust any dst-A HTTP deny
set policy id 1 from trust to untrust any any HTTP permit
当然，本例的目的只是为了说明基本概念。在有很多策略的情况下，一个策略对另一个策略的掩蔽可能就不会这么容
易发现。要检查策略列表中是否有策略遮盖16，可使用下列 CLI 命令:
exec policy verify
此命令报告遮盖策略和被遮盖的策略。然后，则由管理员负责纠正此情形。
策略验证工具无法检测出一个策略组合遮盖另一个策略的情况。