创建防火墙放行规则

有一类特殊的防火墙规则，称为放行规则。它专用于使用媒体密集型的协议，而这类协议可能不希望执行过滤。要创建放行规则，应在新建防火墙规则时选择“放行”做为规则的“操作”。

防火墙规则上的“放行”操作与强制允许规则有下列不同之处：

• 符合放行条件的数据包不会由入侵防御规则处理。
• 与强制允许不同的是，当防火墙状态配置开启时，放行不会自动允许对 TCP 连接进行响应（有关详细信息，请参阅后面内容）。
• 有些放行规则已经过优化，流量会很有效率地流动，客户端或设备就跟不存在一般（有关详细信息，请参阅后面内容）

在防火墙状态配置开启时使用放行

如果您打算使用放行规则对通往 TCP 目标端口 N 的传入流量跳过入侵防御规则处理，而且防火墙状态配置已设置为对 TCP 执行状态检查，则必须为源端口 N 创建匹配的传出规则，以便允许 TCP 响应。（若是强制允许规则，则不必如此操作，因为状态引擎仍会处理强制允许流量）。

所有放行规则都是单向的。每个方向的流量都需要使用显式的规则。

优化

放行规则旨在允许符合条件的流量以尽可能快的速度通过。采用下列（全部）设置可达到最大的吞吐量：

• 优先级:最高
• 帧类型: IP
• 协议：TCP、UDP 或其他 IP 协议。（请勿使用“任何”选项。）
• 源和目标 IP 和 MAC：全部为“任何”
• 如果协议为 TCP 或 UDP，且流量方向为“传入”，则目标端口必须为一个或多个指定的端口（不是“任何”），而源端口则必须为“任何”。
• 如果协议为 TCP 或 UDP，且流量方向为“传出”，则源端口必须为一个或多个指定的端口（不是“任何”），而目标端口则必须为“任何”。
• 时间表:无。

日志记录

符合放行规则的数据包不会被记录。此选项不可配置。