规则排序

　　乍一看，规则排序有些复杂。要了解规则排序，最关键的是要先忘记排序。与其说规则排序讲的是排序，不如说它在讲述匹配选择。下面以入站流量为例进行说明。如果入站流量不符合接受它的任何规则，则默认情况下该流量将被阻止。您可能将其视为一种“首先考虑允许规则”的排序，但这种假定是不正确的。如果某个具体数据包同时符合允许规则和阻止规则，则应用阻止规则。简单来说，这意味着匹配的内容为：

　　●阻止规则。如果数据包或连接符合其中一项，它将被放弃。

　　●允许规则。如果数据包或连接符合其中一项，它将被允许。

　　●默认的定向配置文件行为。如果不符合任何阻止或允许规则，则会根据被指定为该配置文件中该方向的流量默认值的行为，来决定如何对待流量。如果所有配置文件都是入站方向，则阻止默认配置中的流量。默认情况下，如果是出站方向，则允许默认配置中的流量。

　　匹配过程由经过身份验证的跳过 (IPsec) 规则进行调节。如果使用该类型的规则，则对于所有经过身份验证的流量，只要符合该规则的其他参数就会得到允许，而不管该流量是否符合任何其他规则。经过身份验证的跳过规则就是选中了“替代阻止规则”选项的定向规则，如图 2 所示。优先考虑此类规则是为了让经过身份验证的流量都能到达系统。这就说明了您为什么可以轻松接受来自经过身份验证的主机的流量，但会阻止其他流量。在排序时，您可以将这个规则视为第 0 位。因此，完整的规则排序列表如下所示：

　　图 2 选中“替代阻止规则”选项以配置经过身份验证的跳过规则

　　0. 经过身份验证的跳过规则

　　1. 阻止规则

　　2. 允许规则

　　3. 默认的定向配置文件行为

　　每个类别中是否包含多个符合流量模式的规则，其实并不重要。只要找到了与流量匹配的规则，规则处理就会停止。