互联网边界防火墙-严格模式针对命中了访问控制策略,但应用类型未被云防火墙识别(Unknown)的流量提供一键拦截。云防火墙根据应用报文特征识别会话流量的应用类型,在应用类型识别失败时,默认直接放行会话流量。如果您想丢弃未知应用类型的会话流量,建议您开启严格模式。

背景信息

互联网边界防火墙-严格模式仅对命中了已配置的访问控制策略(无论访问控制策略的动作是放行、拒绝、观察)的流量生效。如果流量未命中访问控制策略,即使其应用类型未被云防火墙识别,仍然会被放行。

在使用互联网边界防火墙-严格模式前,建议您先自定义互联网边界防火墙访问控制策略。更多信息请参见互联网边界防火墙(内外双向流量)

开启或关闭严格模式

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击安全策略 > 访问控制
  3. 互联网边界防火墙页签单击右上角的高级设置高级设置
  4. 高级设置对话框开启或关闭互联网边界防火墙-严格模式,并单击提交互联网边界防火墙-严格模式
    开启严格模式后,命中互联网边界防火墙访问控制策略且应用类型未被识别的流量均被丢弃。您可以通过日志审计查看严格模式丢弃的流量记录。

查看严格模式丢弃的流量记录

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击日志 > 日志审计
  3. 流量日志 > 互联网边界防火墙页签,展开高级搜索,将应用设置为Unknown规则来源设置为访问控制,并单击搜索unknown应用日志
  4. 查看严格模式丢弃的流量记录(规则名unknown_app_deny_all),例如时间、源IP、目的IP、目的端口等。日志审计中的Uknown流量
    如果您发现严格模式误丢弃了正常的流量,建议您在请求报文中添加必要的应用协议信息,或者关闭严格模式。