安全策略匹配异常

不涉及

现场配置了安全策略，并且使用服务进行端口的限制过滤，发现有非设置端口的流量也能匹配这条策略通过。

检查现场配置。

rule 16 name untrust-to-trust
  logging enable
  counting enable
  source-zone Untrust
  destination-zone Trust
  service 135&445 

object-group service 135&445
0 service tcp destination eq 135
5 service tcp destination eq 137
10 service udp destination eq 135
15 service udp destination eq 137
20 service udp destination eq 445
25 service tcp destination eq 139
30 service tcp destination eq 445
35 service tcp source eq 139
40 service tcp source eq 445
45 service udp destination eq 139
50 service udp source eq 445
60 service udp source eq 135
70 service tcp source eq 135
80 service tcp destination eq 14444
85 service tcp source eq 14444
90 service udp source eq 14444
95 service udp destination eq 14444
100 service udp source eq 3333
105 service tcp source eq 3333

发现现场同个服务下既配置了源端口也配置了目的端口，检查软件说明书发现有产品限制。

安全策略（默认加速）和对象策略开启加速的情况下，一条rule引用服务对象组嵌套的情况下，会将所有的源端口和目的端口进行或操作（如源端口是0到65535，目的端口是0到65535，开启加速算完之后会变成源目的端口都是0到65535），导致流量全通。规避措施：在需要配置源端口和目的端口的场景下，创建2条rule规则，分别引用服务对象组。

因此现场情况下，会导致所有端口都能匹配上，必须将源端口和目的端口分开配置。

将对象组拆分成两个，一个源、一个目的，将安全策略也分开写，分别调用源和目的两个对象组。