下一代防火墻如何進行接入策略設置？

首先明確資源池區域，如果資源池為：南寧23、華東1、上海36、武漢41、青島20、華北2、長沙42、西南1、南昌5，進行如下配置：

1. 用戶登錄到云等保專區后，進入“下一代防火墻”原子能力，進行綁定彈性IP操作，點擊“綁定彈性IP”。

   

   根據彈出的彈性IP地址，選擇需要綁定的具體IP地址。

   

2. 完成彈性IP綁定工作后需要進行子網路由綁定，進入到天翼云控制臺，選擇“網絡 > 虛擬私有云”進入配置頁面。

   

3. 選擇“路由表 > 創建路由表”，進行路由表創建。填寫路由名稱，以及需要防護的VPC之后，在關聯資源類型處選擇“子網”。

   

   

4. 創建完成后，根據剛才創建的名稱選擇剛才創建的路由，點擊名稱進入子網路由配置頁面，點擊“創建”按鈕，進行子網路由創建操作。

   

   

5. 在路由規則創建處填寫對應的IP地址，在云主機選擇是選擇下一代防火墻的云主機。

   

6. 進行子網關聯設置，點擊“關聯子網”模塊，選擇需要關聯的子網，點擊“確定”按鈕即可。

   

   

7. 在系統菜單中點擊“策略 > 防火墻策略 > 一體化策略”，進入一體化策略配置頁面。

   

8. 點擊“新建”創建新的一體化策略。

   

其余資源池進行如下配置：

1. 用戶登錄到云等保專區后，進入“下一代防火墻”原子能力，進行綁定彈性IP操作，點擊“綁定彈性IP”。

   

   根據彈出的彈性IP地址，選擇需要綁定的具體IP地址。

   

2. 確認需要防護的資產在子網內的IP地址。

   

3. 完成彈性IP綁定操作之后，點擊進入下一代防火墻-配置，進入下一代防火墻配置頁面，點擊“NTA策略”-“策略”-“新建”，進入NAT配置新建一條DNAT規則。

   

4. 建立防火墻上端口到資產業務端口的端口映射（以防火墻開放10022端口映射到資產22端口為例）。

   

5. 配置完畢點擊右上角保存按鈕保存。

   

6. 在系統菜單中點擊“策略 > 防火墻策略 > 一體化策略”，進入一體化策略配置頁面。

   

7. 點擊<新建>創建新的一體化策略。

   

防火墻精確訪問控制規則的匹配順序是什么，一條精確訪問控制規則內多個條件的關系是什么？

多條精確訪問控制規則之間是或的關系，匹配順序為從上往下順序匹配，如果匹配中某一條精確訪問控制規則，將不再匹配后續的規則。

一條精確訪問控制規則可以包含10個匹配條件，多個匹配條件之間是與的關系，流量必須滿足該條規則的所有條件，才能命中該條規則。

防火墻的關鍵字過濾功能區分大小寫字母嗎？

關鍵字過濾不區分大小寫字母，無論配置為大寫或小寫均可正常檢測和過濾。

防火墻的策略分析功能有什么作用？

當前網絡環境的復雜性，網絡服務與網絡終端的多樣性，相應的防火墻設備就需要更多、更復雜的控制策略。這些控制策略經過一段時間的積累，往往會造成老策略不敢刪，新策略不斷增加，單個防火墻會積累成千上萬的策略，極大降低設備性能和用戶體驗。

每IP限速和通道帶寬限制的處理關系是什么？

流量先被每IP限速處理，然后再被流控通道處理。每IP限速的周期是一秒，流控通道是實時的。被IP限速通過的流量可能會繼續被流控通道丟棄。

防火墻防病毒能力支持處理哪些壓縮格式的文件？

目前支持對.zip、.gz、.bz2等壓縮文件進行掃描。

防火墻P2P智能識別三種級別寬松度有什么區別？

P2P智能識別，是針對UDP流量進行固定特征+并發連接識別方式。
“嚴格”和“適中”都是先進行并發連接識別，再進行固定特征識別，“嚴格”要求并發連接閾值高。
“寬松”是固定特征識別方式，有誤報的可能。

防火墻告警日志記錄最大規格是多少？

記錄到1萬條日志時，會刪除最初的1000條。

防火墻支持IPS自定義規則的最大規格是多少？

IPS自定義規則最多可配置32條，每條自定義規則最多可包含8個協議字段，每個協議字段最多可包含8個協議匹配條件。

下一代防火墻運行過程中，產生的日志數據存儲需要的磁盤不夠怎么辦？

訂購下一代防火墻時，承載服務器當前只掛載了系統盤，未掛載數據盤，在業務運行過程中，會產生相應的日志數據，可能會導致下一代防火墻需要的磁盤容量不夠，影響防火墻的性能，還可能導致重要日志數據丟失；因此客戶購買下一代防火墻的時候，可以搭配訂購日志審計存儲使用，確保網絡安全和合規性。