四層字段(Layer 4 Fields)：

可以申明一個TCP 的源端口、目的端口或者都申明

可以申明一個UDP 的源端口、目的端口或者都申明

2. 過濾域，指的就是在生成一條ACE 時，根據報文中的哪些字段用以對報文進行識別、分類;

3. 過濾域模板，就是這些字段組合的定義，對應于字段解析器中預先設置到的匹配域，比如，在生成某一條ACE時希望根據報文的目的IP 字段對報文進行識別、分類，而在生成另一條ACE 時，希望根據的是報文的源IP 地址字段和UDP 的源端口字段，這樣，這兩條ACE 就使用了不同的過濾域模板。

4. 規則(Rules)，指的是ACE 過濾域模板對應的值，對應于查找匹配引擎中預先申明的匹配規則。

5. 行為(Action)，指的是ACE中指定的動作，對應于動作策略引擎中預先申明的動作策略。

6. 比如有一條ACE 內容如下：

permit tcp host 192.168.12.2 any eq telnet

在這條ACE 中，匹配域為以下字段的集合：源IP地址字段、IP 協議字段、目的TCP 端口字段;

匹配規則為：源IP 地址=Host 192.168.12.2;IP 協議=TCP;TCP 目的端口= Telnet;

動作策略為：允許通過(permit)，即do_not_drop。

在實現上，為每個應用創建一個或者多個ACL并關聯，然后根據各種應用的優先級，將各應用關聯的ACL按照硬件表項的優先級關系設置硬件，從而達到高優先級表項優先生效的目的。

在不同產品上，支持的過濾域模板數量存在較大差異，實現原理及含義也不近一樣。

默認行為

在目前已經實現的各種FFP相關應用中，有些應用存在默認的行為，隱含“拒絕所有數據流”規則表項，目的是為了將不匹配的非法報文全部丟棄，對于這些存在默認行為的應用，存在默認添加的表項，占用了一定數量的硬件表項。

同時，在起機后空配置的情況下，會有一些CPP及信任模式的默認表項，這些隱含的表項也占用了一定數量的硬件表項，但是在統計硬件容量的過程中，又容易被忽略。

優先級沖突處理

應用優先級是指多種應用同時存在時，根據應用的優先級關系，將高優先級應用的ACE裝在高優先級的硬件表項上，以保證高優先級的應用先生效，只有高優先級的應用沒有表項匹配時，低優先級應用的表項才能生效。

某些應用由于隱含“拒絕所有數據流”規則，會存在一條deny any的表項，這導致在同一個端口下多種應用同時打開時產生優先級沖突，低優先級的應用表項完全不生效，例如：當一個端口同時打開DOT1X IP授權綁定、DHCP SNP綁定，這時候由于DOT1X IP授權綁定默認會添加一個denyip any的表項，導致而DHCP SNP綁定的所有表項不生效，因此，我們判斷一個端口的某個應用配置是否生效是，需要考慮兩個方面：

1. 端口下是否存在高優先級應用被匹配，或者存在影響這個端口的高優先級全局應用被匹配;

2. 端口下是否存在隱含“拒絕所有數據流”規則的高優先級應用。

3. 對于不同端口下的多種應用，則不存在優先級沖突。在交換機上嵌入各種功能強大FFP引擎后，使得交換機能夠提供強大的數據流過濾功能，能很方便根據網絡具體情況進行安全部署，對數據流進行控制，提高交換機在安全接入、匯聚等各方面的性能，在發展迅速的網絡市場中將得到廣泛應用。