升级后系统出现策略号先后冲突

deadzoon

我当前版本: 代号"QINGUO(秦)r4"，创建于2010-04-30 22:06:05

升级前一直都用比较老的版本。

我的策略很简单，其目的就是仅允许访问指定的一些ip（服务器），在这些ip上行为不受控，但其他的基本都是禁止。因此最重要的是在最后一条拒绝所有的访问。
之前这样的设置都是正确的，应用非常好。 但升级之后发现。只要启用了最后一条“60 任意路径 any any 任意协议 阻断  不抑制  停止   编辑    删除”，就会导致我vip里允许的财务数据库ip连接不能成功。  按防火墙的优先顺序来讲。 我前面都是允许访问，后面的大数字的规则的优先级应该低于前面。 为什么会出现这样的情况呢？  盼解答。

另：只要删除最后一条全部阻止。一切都是正常的。   

我初步怀疑是目前这个版本对规则的 判断 优先顺序出现了问题。导致的这个错误。   





附我的规则：
10 任意路径 any any 网络管理 允许  不抑制  停止   编辑    删除   
20 任意路径 any any 电子邮件 允许  不抑制  停止   编辑    删除   
21 任意路径 any any 终端类 允许  不抑制  停止   编辑    删除   
22 任意路径 any any 文件传输 允许  不抑制  停止   编辑    删除   
30 任意路径 any vip 任意协议 允许  不抑制  停止   编辑    删除   
40 网桥1->双向 vip any 任意协议 允许 300 不抑制  停止   编辑    删除   
50 网桥1->双向 passuser any QQ聊天 允许 90 不抑制  停止   编辑    删除   
51 网桥1->双向 passuser any QQ文件传输 允许 240 不抑制  停止   编辑    删除   
60 任意路径 any any 任意协议 阻断  不抑制  停止   编辑    删除

panabit

原帖由 deadzoon 于 2010-5-8 11:57 发表
我当前版本: 代号"QINGUO(秦)r4"，创建于2010-04-30 22:06:05

升级前一直都用比较老的版本。

我的策略很简单，其目的就是仅允许访问指定的一些ip（服务器），在这些ip上行为不受控，但其他的基本都是禁止。因此 ...

你能否再确认一下？
策略顺序应该不会有问题。

panabit

BTW，你下载10.05再看看。

deadzoon

升级已经完成（利用系统自带升级导入方式升级的）， 故障依然，请看看我还有什么地方没有做对？

再提供下详细情况 ，1 我之前是用的老版本，周还是多少的版本记不得了？ 规则是导出的。 安装新版本后导入的。

2  导入后其他控制都正常，但就是使用oracl数据连接奇慢。但该服务器的ip是被我在规则前面就允许全通了（而且，即使我在前面的规则允许所有的数据库连接不受限制依然不行）。
3 只要我删除最后一条规则，前面的访问就全部没有问题。严重说明最后一条规则限制了前面的访问
4  担心导入有问题，删除所有规则后，重新写规则依然故障相同。


请指点。谢谢

panabit

原帖由 deadzoon 于 2010-5-10 10:36 发表
升级已经完成（利用系统自带升级导入方式升级的）， 故障依然，请看看我还有什么地方没有做对？

再提供下详细情况 ，1 我之前是用的老版本，周还是多少的版本记不得了？ 规则是导出的。 安装新版本后导入的。

...

你看是不是你的VIP表的问题，或者你的内外网有没有可能接反。

fantian2000

我也出过类似问题
我在策略最后加一条 any any 所有协议 阻断
也会造成网络中断