我又查了资料，ftd不支持配置接口security-level，默认全部是0，那我这个需求该如何设置呢，以下是我当前配置的acl截图

默认action已经是block all traffic了

inside-zone是inside口，outside-zone是outside接口

rule 5已经是any any permit了啊。不知道会不会是这个的坑，Intrusion Policy不知道是什么策略内容

基本的策略包含的点：

1.全局白名单

2.全局黑名单

3. inside-> outside的 黑名单

4. permit  inside -> outside 所有流量

5. outside -> inside的放行策略

6. 其他zone之间的策略

7. Default Policy。

1-3条策略都包含了特定的控制对象，4是disable状态，5直接permit any any

建议在5之前插入特定的策略（包含源和目的区域、IP，端口等等），先设置成permit，记录log，等确认match之后，在改成drop即可

我大概明白了，很可能就是rule5的坑，我应该把rule5和rule6换一下顺序对吧。我这个rule5是做了一个intrusion policy，就是把默认自带的intrusion policy写上了，default-IPS那个就是默认的intrusion policy，如下图

我还有疑问，如果把5和6换了顺序后，会有其它影响么。

现在规则5是做intrusion policy，规则6是放行inside-》outside

假如我换了顺序，规则5是放行inside-》outside，规则6是做intrusion policy，那匹配到规则5的是不是就不做intrusion policy了

是的，匹配了前一个策略之后就不会再做下一个匹配了；5,6都是两个Allow的策略，谁前谁后，在数据放行上没有什么区别，就看是match了哪一条策略了

不过要解决你原始的问题，对调5,6是不行的，还需要写其他的明细策略来做限制

那5和6可以合并成一个么？ 做acl的同时也做intrusion policy？

可以是可以，不过inside->outside做 intrusion 没啥必要吧，一般来说ips优先外到内的流量吧，来过滤互联网上的访问威胁

我放一张图吧，都是从inside-outside的 被drop的 intrusion event

确实是对我很有启发，可能也和我这之前的管理方案都是粗暴的管理有关系，所以思维方式一直没能跳出来，真是听君一席话胜读十年书，我真要好好考虑下这个设备的使用，如何被正确及合理的使用。