防火墙策略命中问题

1.    ACL是否命中：

入方向ACL会命中：当流量进入防火墙时，若配置了入方向ACL（如接口ACL或包过滤ACL），源设备的请求报文会命中入方向ACL，并正常计数。

出方向ACL不命中：若没有回包，出方向ACL因无报文流出，不会被命中。

2.    安全策略是否命中：

仅匹配单方向报文：对于有状态检测的防火墙（如H3C SecPath系列），安全策略需要检测双向会话。若目标设备无响应：

请求报文：会尝试匹配从源安全域到目的安全域的策略（如Trust→Untrust），仅当策略放行且首包通过时计数+1。

无响应报文：因回包缺失，会话无法完全建立，响应方向（Untrust→Trust）的策略不被触发，命中次数不增加。

ICMP协议例外：若为ICMP请求（如Ping），因ICMP无状态，单方向请求也可能触发策略计数（需策略放行ICMP）。

3.    抓包与策略计数的差异：

抓包可见请求报文：防火墙能在物理接口或逻辑层面捕获到发出的请求报文（如tcpdump）。

策略计数不增加：因会话未完整建立，安全策略的"匹配次数"统计仅对完整会话生效。若安全策略未放行请求报文，则直接丢弃且不计入命中次数。

都没命令就检查是否开启了统计和流量是否经过FW吧