SUPPRIMER Combiner les politiques

L’ordre et la composition des politiques sont déterminants lorsqu’on mélange des règles authentifiées et non authentifiées.

Prenons l’exemple d’une politique « Invité » (ID 17) qui recherche à la fois une adresse IP (LOCAL_SUBNET) et un groupe d’utilisateurs (Guest-group). Un trafic initial provenant de LOCAL_SUBNET ne correspondra pas à cette politique tant que l’utilisateur n’est pas authentifié, car l’aspect « groupe » n’est pas encore satisfait.

FortiGate poursuit alors l’évaluation des politiques suivantes. Si une politique de « repli » (fall-through) plus permissive existe, le trafic peut y correspondre avant que l’authentification n’ait lieu — d’où l’importance d’un ordonnancement soigné des politiques.