上网权限策略生效的优先级问题

AC1200,6.1版本

1）某用户适配的上网权限策略中，假如：

第3条是应用控制——允许访问某url的白名单策略

第4条是应用控制——拒绝访问某些恶意、非法网站或应用

此时，访问正常网站、某url都可以。

2）然后给该用户又适配第5条策略，结果如下

第3条是应用控制——允许访问某url的白名单策略

第4条是应用控制——拒绝访问某些恶意、非法网站或应用

第5条是应用控制和端口控制——全部拒绝

此时，某url，所有网站，都不能访问。

请问诸位，这几条策略都是可叠加策略，最后的结果为不能访问的原因。是因为在可叠加的策略集中，有冲突时，该全部拒绝的策略是最后适配的，所以他的生效。还是说，冲突时，拒绝的策略优于允许的策略而生效？

策略的匹配顺序是从上往下，根据你的描述 匹配下来的结果就是 “允许访问某url的白名单策略”--可以访问，其他都是被拒绝的
但 前提是http、ssl和dns需要允许（访问网站要用到）

您好，您这种情况：是端口控制优先。
策略的匹配情况是从上到下的（这是对于：应用控制的情况），但如果您这边设置了端口控制就不一样了：而是端口控制>应用控制>URL控制。

个人觉得应该是像ACL一样遍历所有策略后再做判断的，一个数据包匹配所有的策略后才通过，有一个策略检测到拒绝就拒绝。

从上到下

不是叠加的，是从上到下匹配，只要匹配到就不往下匹配了

从上向下

应用控制优先级  端口控制>应用控制>URL控制
AC配置多条策略的时候，匹配的优先级：
1、如果一个用户匹配了多条策略，可以在【在线用户】-【根据ip/登录名搜索】-【点开登录名】-【策略列表】-【查看用户测策略结果集】，AC/SG策略是从上往下匹配的
2、同一个用户的某个应用，如果在第一条是允许的，第二条是拒绝的，则最终结果是允许的，因为已经匹配了第一条的允许策略，是不会再继续匹配第二条的拒绝的，同理，如果第一条是拒绝的，第二条是允许的，则最终结果是拒绝的

您好 请问下这个问题解决了吗？如果没有解决，可以跟帖说明；如果已经解决，希望分享下处理结果
谢谢