Добрый день всем!
Хочу понять логику взаимодействия политик с конкурирующими правилами доступа.
Ситуация такова. Глобальная политика стандартна: на вход - все разрешенное, на выход - все незапрещенное. В политике ALL есть правила, разрешающие вход-выход ВСЕМ адресам ЛВС по HTTP(80) для ряда сайтов и порталов, описанных IP-адресами. Политика NO-HTTP запрещает исходящий трафик по HTTP(80) для нескольких блоков IP-адресов ЛВС (учебных классов).
Уже здесь налицо определенная коллизия... Но самое удивительное, что реализация политики безопасности зависит от взаимного расположения политик в списке!!! Система работает ТОЛЬКО в том случае, если NO-HTTP расположена РАНЕЕ (выше) ALL(!?)... Если же сначала ALL, то доступ на разрешенные сайты блокируется... А, вроде бы, должно быть наоборот...
Каков алгоритм прохождения анализа на допуск/запрет сквозь "сито" политик?

Правила тестируются последовательно по списку, и если происходит совпадание, то дальше список уже не проверяется!

Я тоже рассуждал именно так. Но тогда политика NO-HTTP, стоящая первой в списке, сразу бы блокировала выход по 80-му порту, не разбираясь - разрешен сайт или нет! А этого не происходит - все с точностью до наоборот. А играет ли какую-либо роль ID политики? Сейчас система нормально работает только с такой последовательностью

2 NO-HTTP Always Enable Deny
3 TCH-Pos.. Always Enable Permitt
4 StopSca.. Always Enable Deny
1 All Always Enable Permit

_________________
"Счастье - это когда тебя понимают". И ты тоже...