iprope列表
2025/11/4大约 2 分钟
iprope列表
简介
iprope 表是 FortiGate 内部用于表示管理员所配置防火墙策略的结构化数据形式。 iprope 将所有策略条目按功能划分为多个策略组,每组条目从上到下依次匹配,一旦命中即执行相应动作,不再继续检查同组的后续条目。
匹配依据包括:
- 源/目的地址
- 端口范围
- 协议类型
可能的动作包括:
- drop:丢弃数据包,不建立会话。
- accept:放行数据包,建立会话。
- redirect:将数据包交付内部处理逻辑。
提示
iprope 表中不存在 GUI 防火墙策略的“隐式拒绝”,所有条目均为显式策略。
常用命令
用于查看不同策略组的命令:
diagnose firewall iprope list 100002 # 静态 SNAT 策略
diagnose firewall iprope list 100000 # VIP(DNAT)策略
diagnose firewall iprope list 100004 # 普通 Forward 策略
diagnose firewall iprope list 10000e # 系统生成的 Local-In 策略
diagnose firewall iprope list 100015 # Traffic Shaping 策略
diagnose firewall iprope list 100017 # 简单 ZTNA 策略输出示例及字段说明
FortiGate # diagnose firewall iprope show 00100004
Policy Group 00100004
policy index=1 uuid_idx=14 action=accept
flag (8050108): redir nat master use_src pol_stats
flag2 (4000): resolve_sso
flag3 (20): schedule(always)
cos_fwd=255 cos_rev=255
group=00100004 av=00004e20 au=00000000 split=00000000
host=0 chk_client_info=0x0 app_list=0 ips_view=0
misc=0 dd_type=0 dd_mode=0
zone(1): 3 -> zone(1): 6
source(1): 10.0.1.0-10.0.1.255, uuid_idx=12,
dest(1): 192.0.2.0-192.0.2.255, uuid_idx=13,
service(1):
[0:0x0:0/(0,65535)->(0,65535)]
helper:auto字段含义说明:
| 字段 | 含义 |
|---|---|
| policy index | 策略条目索引 |
| action | 动作类型 |
| flag/flag2/flag3 | 启用的处理能力标识,如 NAT、SSL、策略统计等 |
| zone | 入/出口 zone 标识 |
| source/dest | 源/目的地址范围和 UUID |
| service | 协议与端口匹配范围 |
| helper | ALG(会话助手)配置方式 |
策略组列表
| Group ID | 名称 | 说明 |
|---|---|---|
| 00000003 | AUTH_DEFAULT | Authentication 策略 |
| 00000005 | CAPTIVE_PORTAL | 配置 security-mode 的接口 |
| 00004e20 | SESS_HELPER | Session Helper 相关 |
| 00100001 | CUST_LOCAL_IN | 自定义 Local-In 策略 |
| 00100002 | STATIC_SNAT | 静态 SNAT 或地址池 SNAT |
| 00100003 | DEC_FWD | IPsec 解密后策略匹配 |
| 00100004 | ENC_FWD | 所有 Forward 策略 |
| 0010000a | MULTICAST | 组播策略 |
| 0010000c | EP_REDIR | Endpoint Control 相关策略 |
| 0010000d | CENTRAL_NAT | Central NAT 策略 |
| 0010000e | IMPLICIT_IN | 系统生成的 Local-In 策略(例如管理协议) |
| 0010000f | ADMIN_IN | 管理面流量的基于接口放行策略 |
| 00100011 | ZTNA_PROXY | ZTNA 策略 |
| 00100015 | Traffic Shaper | Forward 整形策略 |
| 00100018 | Traffic Shaper | Local-In 整形策略 |
| 00100019 | Traffic Shaper | Local-Out 整形策略 |
提示
如果某功能在设备中启用,则对应策略组中可能包含默认策略条目。
注意事项
- 策略组具有固定的 Group ID。
- 每条策略使用 policy index 标识。
- 出厂配置中若某功能默认启用,则可能存在预置条目。
- 所有策略检查在数据平面内部完成,不在 GUI 中显示。