F1000-AI-60做隔离防火墙，

不是很理解，FAB区和OA区访问外网都要经过CORE区，外网的策略应该怎么定义？能同时保证既能访问外网也能同时访问CORE的特定IP，其他地址全部拒绝呢

匹配源地址就行

匹配源地址为AAB区和OA区，目的为CORE区，放行就行，其余全部拒绝

是先拒绝FAB和OA源地址访问CORE区的网段，下一条在源地址允许全部访问，这样就行了把

不，反过来，

不是把。比如CORE区的网段IP是192.168.0.0/16 有一个服务器地址是192.168.1.1 ，OA区（192.168.2.2）访问外网的第一条策略应该是 允许访问192.168.1.1，然后再拒绝访问192.168.0.0/16，最好再允许所有。又比如一个外网的地址是8.8.8.8 ，192.168.2.2访问8.8.8.8那么第一条策略和第二条都匹配不上，直接匹配第三条策略，这样既可以满足访问服务器又可以满足访问外网？

用安全策略，写两条就够了，第一条写允许：源地址：为OA区（192.168.2.2）目的：192.168.1.1 和8.8.8.8动作允许，第二条写拒绝，源地址还是OA区（192.168.2.2），目的：192.168.0.0/16，动作拒绝

你这么写有一个问题啊。外网的IP你怎么知道具体是多少，访问的

外部any就行啊

外部any的话这条策略就优先匹配了啊，访问任何地址都是any，从上到下依次匹配多嘛