放行规则

有一类特殊的防火墙规则，称为放行规则。它专用于使用媒体密集型的协议，而这类协议可能不希望执行过滤。要创建放行规则，应在新建防火墙规则时选择“放行”做为规则的“操作”。

防火墙规则上的“放行”操作与强制允许规则有下列不同之处：

• 符合放行的数据包不会由入侵防御规则处理
• 与强制允许不同的是，当防火墙状态配置开启时，放行不会自动允许对 TCP 连接进行响应（有关详细信息，请参阅后面内容）
• 有些放行规则已经过优化，流量会很有效率地流动，客户端/设备就跟不存在一般（有关详细信息，请参阅后面内容）

在防火墙状态配置开启时使用放行

如果您打算使用放行规则对通往 TCP 目的地端口 N 的传入流量跳过入侵防御规则处理，而且防火墙状态配置已设置为对 TCP 执行状态检查，则必须为源端口 N 创建匹配的传出规则，以便允许 TCP 响应。（若是强制允许规则，则不必如此操作，因为状态引擎仍会处理强制允许流量）。

所有放行规则都是单向的。每个方向的流量都需要使用显式的规则。

优化

放行规则旨在允许匹配的流量以尽可能快的速率通过。采用下列（全部）设置可达到最大的吞吐量：

• 优先级：最高
• 帧类型：IP
• 协议：TCP、UDP 或其他 IP 协议（请勿使用“任何”选项。）
• 源 IP 和 MAC 与目标 IP 和 MAC：全部为“任何”
• 如果协议为 TCP 或 UDP，且流量方向为“传入”，则目的地端口必须为一个或多个指定的端口（不是“任何”），而源端口则必须为“任何”。
• 如果协议为 TCP 或 UDP，且流量方向为“传出”，则源端口必须为一个或多个指定的端口（不是“任何”），而目的地端口则必须为“任何”。
• 时间表：无。

记录

符合放行规则的数据包不会被记录。此选项不可配置。