Deny 規則放最後即可.
FortiGate Policy
所以建議越精準的條件擺上面
第三條不用放也是 deny.
3 (只LOG 192.168.3.1的)
1 (只LOG 192.168.1.1的)
2 (只LOG 192.168.1.1以外的)
0 (你不搞好就什麼都沒LOG, DENY掉也不知道的)
自己習慣, 先封殺, 再放行
既然樓主講到的是觀念
在下會覺得樓主缺少了Fortigate的interface觀念
所以policy的順序並沒有正確與否的答案
很多設過其他品牌的防火牆policy的工程師
都會習慣於object的設定方式
但是F牌的建置,最好要有結構化設定的概念
要先有interface to interface的層面
然後才是進入object的policy設定
當然,有人喜歡直接搞成一大面policy然後一直用搜尋
在下也是祝福她一路平安,等到6.4.x版以後,GUI會慢到一個不行
樓主不管.1或.2或.3網段都應該不同
所以都應該會先有介面
不同介面之間,沒有順序問題,沒有開policy也不會通
因此命題1跟2是同樣的事
而命題3根本不用開
建議樓主,買設備記得要把知識跟技術買進來
不管是SI還是User,技術都是日新月異的
提供給大家參考