2.3.1 策略的匹配条件

防火墙的匹配离不开6个最基本的要素：入接口、出接口、源地址、目标地址、服务、时间。下一代防火墙还可以支持应用、用户等要素的匹配。安全策略的匹配如图2-10所示。

图2-10 安全策略的匹配

图2-10中，各要素的具体含义如下：

●入接口：流量首次进入的接口，可以是物理接口、逻辑接口和安全域。

●出接口：流量经过路由或者透明转发的出接口，可以是物理接口、逻辑接口和安全域。

●源地址：流量的源地址。地址可以是IP地址、MAC地址、IP+MAC地址等。一般来讲，只有透明部署的防火墙才可以支持MAC地址的匹配。

●目标地址：流量的目标地址。地址可以是IP地址、MAC地址、IP+MAC地址等。

●服务：服务一般是指传输层（TCP、UDP）端口。通常是源端口和目标端口的组合，源端口的范围一般为1～65535，目标端口根据服务类型来确定。例如，HTTP的目标端口为80，Telnet的目标端口为23。

●时间：时间是指策略生效的时间段。可以设置绝对时间和周期时间，绝对时间是指明确的起始和截止时间，如2020年12月19日8点到2020年12月19日18点。周期时间是指每周或每天的某个时间段，如每周一到周五的8点到18点。

●动作：包括允许（PERMIT）、拒绝（DENY）。

●日志：防火墙可以记录转发会话的开始和结束日志以及拒绝（DENY）的日志。