# Explicador de contexto e regras do AFM

> Caminhe um pacote pela ordem de contextos documentada do AFM e veja a semântica que decide resultados reais: accept passa um contexto e o tráfego é processado de novo no próximo, só accept-decisively encerra a caminhada, regras de ICMP em um virtual server ou self IP são ignoradas, e policies em staging registram sem aplicar. Uma policy sozinha recebe a auditoria de regras redundantes e conflitantes que o próprio sistema define.

- Tool: https://ronutz.com/pt-BR/tools/f5-afm-rule-context
- Family: Redes

---

# Explicador de contexto e regras do AFM

O Network Firewall do BIG-IP AFM - Advanced Firewall Manager é uma hierarquia, e o manual declara sua ordem com clareza: as policies processam do contexto global, para o route domain, e então para o virtual server ou self IP, com as regras da porta de gerenciamento processadas separadamente e sem poder receber policy alguma. A frase que decide resultados reais está logo ao lado dessa ordem: quando o tráfego casa com uma regra dentro de um contexto, aquela ação é aplicada e o tráfego é processado de novo no próximo contexto. Accept, em outras palavras, é um bilhete para o próximo posto de controle, não para o prédio inteiro. Só accept-decisively encerra a caminhada com um sim, nas palavras do próprio overview do DevCentral: o pacote é permitido e nenhum processamento adicional de contexto é realizado. Drop é silencioso; reject responde com um RST TCP ou um ICMP unreachable.

Cole declarações de contexto, as policies que elas aplicam e uma linha de pacote, e a caminhada roda naquela ordem documentada independentemente da ordem da colagem. Cada contexto vira um passo: a primeira regra que casa, sua ação, e o que a ação significa ali. Policies em staging se comportam como o manual diz que staging se comporta, o casamento é relatado e a conectividade não é afetada. Rule-lists expandem no lugar, seguindo a recomendação de construir policies a partir delas.

Dois comportamentos com fonte são aplicados mecanicamente em vez de mencionados de passagem. A restrição de ICMP, literal do manual: regras para ICMP ou ICMPv6 não podem ser criadas em um contexto de self IP ou virtual server, e se uma rule list contrabandear uma, tal regra será ignorada; a caminhada pula essas regras nos contextos de borda e diz isso. E a ferramenta nunca inventa um padrão: se nenhum contexto encerra o pacote e nenhum `default-action` foi declarado, a caminhada diz que a disposição cai na Default Firewall Action da caixa em vez de adivinhar qual modo você usa.

Uma policy sozinha recebe a auditoria usando as definições do próprio sistema: uma regra cujos critérios são totalmente cobertos por uma regra anterior com a mesma ação é redundante, com ação diferente é conflitante, e o caso especial do manual é honrado, accept versus accept-decisively contam como conflitantes mesmo que ambos aceitem. Geolocalização, FQDNs e schedules são reconhecidos e relatados, não avaliados: uma regra que os usa para a caminhada com um indeterminado honesto em vez de um chute.

Tudo roda localmente; nada do que você cola sai da página, e nada aqui toca qualquer dispositivo.

## Standards and references

- [BIG-IP Network Firewall: Policies and Implementations 14.1 - Policies and Rules (the context processing order: global, route domain, then virtual server/self IP; management port separate; action-applied-then-processed-again-at-the-next-context; staging semantics; rule lists)](https://techdocs.f5.com/kb/en-us/products/big-ip-afm/manuals/product/big-ip-network-firewall-policies-and-implementations-14-1-0/05.html) - the walk order, accept-continues semantics, staging, and rule-list handling
- [BIG-IP Network Firewall: Policies and Implementations - Firewall Rules and Rule Lists (the four actions; the Redundant and Conflicting rule states, including accept vs accept-decisively counting as conflicting)](https://techdocs.f5.com/kb/en-us/products/big-ip-afm/manuals/product/network-firewall-policies-implementations-13-1-0/2.html) - the audit mode's conflict and redundancy findings
- [BIG-IP Network Firewall 14.1 - Applying Policies (the ICMP restriction verbatim: ICMP/ICMPv6 rules cannot be created on a self IP or virtual server context, and one arriving via a rule list will be ignored; management port takes inline rules only)](https://techdocs.f5.com/kb/en-us/products/big-ip-afm/manuals/product/big-ip-network-firewall-policies-and-implementations-14-1-0/06.html) - the ICMP-ignored enforcement at edge contexts
- [F5 DevCentral: Introduction to BIG-IP Advanced Firewall Manager (accept-decisively: the packet is permitted and no further context processing is performed; reject sends a TCP RST or an ICMP unreachable)](https://community.f5.com/kb/technicalarticles/introduction-to-f5-big-ip-advanced-firewall-manager-afm/341719) - the terminal-action semantics on every walk

## Related reading

- [Contextos do AFM: Accept É um Bilhete para o Próximo Posto de Controle](https://ronutz.com/pt-BR/learn/bigip-afm-contexts-and-rule-processing.md): O Network Firewall caminha pacotes pelos contextos em ordem fixa: global, route domain, depois virtual server ou self IP, com a porta de gerenciamento à parte. A ação de um casamento é aplicada e o tráfego é processado de novo no próximo contexto, então accept continua, só accept-decisively encerra a caminhada, regras de ICMP em contextos de borda são ignoradas, e staging registra sem aplicar.
