在配置policy的时候会看到application中有几个参数，可能很多人搞不清这些参数有什么区别，俺给大家介绍一下： )"l'p7w]  
^j<qL< 4  
1、None：缺省值，如果policy中的service是预定义的应用（如ftp、h.323），防火墙能够自动识别该应用类型，并可对该应用进行正确处理，如：DI或FTP主动模式下的后续子端口动态policy的创建。如果是自定义的service，None参数表示防火墙无需理解具体应用类型，下面的例子ftp应用在主动模式下就无法工作。 @*p& #K]q  
set service "ftp8800" protocol tcp src-port 0-65535 dst-port 8800-8800 {oq.h8A\  
set policy id 8 from "Trust" to "Untrust" "192.168.1.1/24" "1.1.1.1" "ftp8800" permit G 2Y <$=L  
3sRh
& L  
2、ftp、h.323、http、smtp...常见应用：表示该应用属于指定的应用类型，防火墙将根据对应用层协议格式的理解，提供ALG应用层网关协议保护能力，能够检查应用层协议格式是否规范，DI将据此能够对该应用进行深层检测，防火墙能够为ftp、h.323等动态多端口应用打开后续连接的子端口的policy。下面的配置自定义ftp应用就能正常工作。 #+v?Zu"H  
set service "ftp8800" protocol tcp src-port 0-65535 dst-port 8800-8800 e+axQ  
set policy id 8 from "Trust"to "Untrust" "192.168.1.1/24" "1.1.1.1" "ftp8800" permit ]G&cnB-3X  
set policy id 8 application ftp 5rI sn~  
C grH
D  
O7o&.$1af  
3、Ignore：防火墙将忽略应用类型，仅关注传输层协议，而不会去关心具体是什么应用，防火墙将把该应用当做普通的TCP/UDP应用来进行状态检测处理。这一点和None参数还是有一点区别的。

学到了一些知识，谢谢楼主，就是英文后面的乱码比较影响理解。