配置访问控制策略配置不当,可能导致流量被误放行或误拦截,从而引发数据泄露、公网暴露、业务访问中断等一系列风险。为此,在制定访问控制策略时,您需要仔细评估具体业务需求,精心设计策略以确保流量管理的准确性。深入理解访问控制策略的工作原理能够为您搭建健壮的安全防护网络提供有效指导。
背景信息
如果您未配置任何访问控制策略,云防火墙在访问控制策略匹配环节,默认放行所有流量。配置访问控制策略后,云防火墙可以对流量进行筛查,仅当符合要求的流量才可被放行。
术语解释
为了帮助您更好地理解访问控制策略的工作原理,本文定义了一些关键术语。下表提供了本文涉及的关键术语的解释,以便您在阅读时能够快速查找和理解相关概念。
名称 | 解释 |
匹配项 | 云防火墙访问控制策略包含多个元素,包括访问类型、访问源、目的类型等。其中,云防火墙仅将流量的源地址、目的地址、目的端口、传输协议、应用层协议和域名作为匹配项,与经过云防火墙的流量报文进行一一匹配。 |
目的类型 | 云防火墙访问控制策略的目的地址的类型,支持IP、地址簿、域名等不同类型。 说明 不同防火墙支持配置的目的类型不同,请以控制台页面显示为准。 |
四元组 | 本文中,四元组指源IP地址、目的IP地址、目的端口和传输协议。 |
应用 | 应用层协议,云防火墙支持识别HTTP、HTTPS、SMTP、SMTPS、SSL、FTP等多种类型。配置策略时最多支持同时选择5种类型。 应用类型设置为ANY时,表示任意协议。 说明 云防火墙将SSL和TLS应用的443端口流量识别为HTTPS类型,将SSL和TLS应用的其他端口流量识别为SSL类型。 |
展开逻辑 | 配置访问控制策略时,您可以对不同的匹配项设置多个管控对象。每个匹配项的具体值都可以成为一个独立的管控对象,例如,您可以将IP地址段192.0.2.0/24、端口号段80/88、端口号22/22等作为管控对象。 策略配置完成后,云防火墙将基于一定的逻辑将策略细化为一条或多条匹配规则,并将匹配规则下发到云防火墙处理引擎。匹配规则的每个匹配项仅包含一个管控对象。 |
匹配逻辑 | 指云防火墙根据展开后的匹配规则来判断网络流量是否满足放行条件,并根据匹配结果执行相应的策略动作的过程。 |
如果访问控制策略的目的配置的是域名或者域名地址簿,您还需要了解如下两种域名识别模式:
基于FQDN(报文提取Host/SNI):应用类型为HTTP、HTTPS、SMTP、SMTPS、SSL时,云防火墙优先通过Host或SNI字段来实现域名的访问控制。
基于DNS动态解析:应用类型为HTTP、HTTPS、SSL、SMTP、SMTPS以外的其他类型时,云防火墙对域名进行DNS动态解析,云防火墙支持对解析出的IP地址进行访问控制。一个域名最多解析500个IP。
工作流程
访问控制策略工作流程如下:
创建访问控制策略后,云防火墙会按照特定的逻辑将访问控制策略展开为一条或多条匹配规则,并下发到引擎。详细介绍,请参见一、访问控制策略展开逻辑。
当流量经过云防火墙时,云防火墙按照策略的优先级,依次匹配流量报文,根据匹配结果放行或拦截流量包。详细介绍,请参见二、访问控制策略匹配逻辑。
如果流量报文命中某一条策略,云防火墙将执行该策略动作,并结束策略匹配;否则将继续匹配下一优先级策略,直至命中策略或匹配完所有配置的策略。如果流量匹配完所有访问控制策略后还是没有命中,默认放行该流量。
一、访问控制策略展开逻辑
创建访问控制策略后,云防火墙会按照特定的逻辑将访问控制策略展开为一条或多条匹配规则,并下发到引擎。互联网边界防火墙、NAT边界防火墙和VPC边界防火墙支持根据流量中携带的域名信息进行域名管控。根据云防火墙是否会对域名进行DNS解析,不同防火墙的展开逻辑不同。
创建、修改和删除访问控制策略后,云防火墙约需要3分钟将匹配规则下发到引擎。
访问控制策略拆分为多条匹配规则后,当流量匹配到该条访问控制策略时,会依次匹配对应的匹配规则。流量命中访问控制策略的任意一条匹配规则时,即命中该访问控制策略。
关于域名解析的更多内容,请参见域名解析介绍。
互联网边界
配置互联网边界访问控制策略后,云防火墙会判断访问控制策略的目的类型和应用,按照不同的目的类型和应用展开策略。互联网边界访问控制策略的展开和匹配逻辑如下图所示。
策略目的类型为IP或IP地址簿
当策略的目的类型配置为IP或IP地址簿时,云防火墙将根据配置的对象个数展开访问源、目的地址、协议类型、端口和应用。
当流量匹配到该条策略时,云防火墙按照四元组和应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
策略目的类型为域名
当策略的目的类型配置为域名时,云防火墙会判断策略的应用类型,根据不同的应用类型展开策略并下发到引擎。
应用为HTTP、HTTPS、SMTP、SMTPS、SSL中的一种或多种类型时,域名识别基于FQDN(报文提取Host/SNI)模式。云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
应用为除HTTP、HTTPS、SMTP、SMTPS、SSL、ANY外的其他类型时,域名识别基于DNS动态解析模式。云防火墙解析域名IP,将匹配规则的目的地址匹配项置为解析后的IP地址,同时将访问源、目的地址、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
应用为ANY,或者同时包含HTTP、HTTPS、SMTP、SMTPS、SSL中的任意类型以及其他类型(例如应用设置为HTTP、MySQL)时,云防火墙将该策略按照如下匹配顺序进行匹配:
当策略的应用为HTTP、HTTPS、SMTP、SMTPS、SSL,域名识别基于FQDN(报文提取Host/SNI)模式。云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
当策略的应用为ANY,域名识别基于DNS动态解析模式。云防火墙解析域名IP,将匹配规则的目的地址置为解析后的IP地址,同时将访问源、目的地址、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
策略目的类型为域名地址簿
当策略的目的类型配置为域名地址簿(即目的地址为多个域名)时,域名识别仅基于FQDN(报文提取Host/SNI)模式。应用仅支持配置为HTTP、HTTPS、SMTP、SMTPS、SSL。此时,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
NAT边界
配置NAT边界访问控制策略时,如果配置了域名访问控制策略,您可以手动设置域名识别模式,云防火墙会根据您设置的域名识别模式,判断是否对域名进行DNS解析。NAT边界访问控制策略的展开和匹配逻辑如下图所示。
策略目的类型为IP或IP地址簿
策略的目的类型配置为IP或IP地址簿时,云防火墙将根据配置的对象个数展开访问源、目的地址、协议类型、端口和应用。
当流量匹配到该条策略时,云防火墙按照四元组和应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
策略目的类型为域名
策略的目的类型配置为域名时,云防火墙根据不同的域名识别模式展开策略。
域名识别模式为基于FQDN(报文提取Host/SNI),此时应用仅支持设置为HTTP、HTTPS、SMTP、SMTPS、SSL中的一种或多种类型。该模式下,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置项对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
域名识别模式为基于DNS动态解析,云防火墙根据不同的应用类型展开策略:
应用设置为HTTP、HTTPS、SMTP、SMTPS、SSL中的一种或多种类型时,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条匹配规则时,云防火墙按四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
应用设置为HTTP、HTTPS、SMTP、SMTPS、SSL外的其他特定类型时,云防火墙解析域名IP,将匹配规则的目的地址置为解析后的IP地址,同时将访问源、目的地址、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条匹配规则时,云防火墙按四元组和应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
应用设置为ANY,或者同时包含HTTP、HTTPS、SMTP、SMTPS、SSL中的任意类型以及其他类型(例如应用设置为HTTP、MySQL)时,云防火墙按照上述两种情况,展开为两类匹配规则。
当流量匹配到该条策略时,云防火墙根据匹配规则分类,分别按四元组、应用和域名以及四元组和应用的顺序进行匹配。详细介绍,请分别参见按四元组和应用顺序匹配、按四元组、应用和域名顺序匹配。
域名识别模式为同时基于FQDN和DNS动态解析,此时应用仅支持设置为HTTP、HTTPS、SMTP、SMTPS、SSL和ANY。该模式下,云防火墙根据不同的应用类型展开策略:
应用设置为HTTP、HTTPS、SMTP、SMTPS、SSL中的一种或多种类型时,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
应用设置为ANY时,云防火墙将该策略展开为两类匹配规则:
匹配规则的应用为HTTP、HTTPS、SMTP、SMTPS、SSL,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条匹配规则时,云防火墙按四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
匹配规则的应用为ANY,云防火墙解析域名IP,将匹配规则的目的地址置为解析后的IP地址,同时将访问源、目的地址、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条匹配规则时,云防火墙按四元组和应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
策略目的类型为域名地址簿
策略的目的类型配置为域名地址簿(即目的地址为多个域名)时,域名识别模式仅支持配置为基于FQDN(报文提取Host/SNI),并且应用仅支持HTTP、HTTPS、SMTP、SMTPS、SSL。此时,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置的对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
VPC边界
云防火墙的VPC边界访问控制策略不支持对域名进行DNS解析。配置VPC边界访问控制策略后,云防火墙主要判断策略的目的类型,然后根据不同的目的类型展开策略。VPC边界访问控制策略的展开和匹配逻辑如下图所示。
策略目的类型为IP或IP地址簿
策略的目的类型配置为IP或IP地址簿时,云防火墙将根据配置的对象个数展开访问源、目的地址、协议类型、端口和应用。
当流量匹配到该条策略时,云防火墙按照四元组和应用顺序进行匹配。详细介绍,请参见按四元组和应用顺序匹配。
策略目的类型为域名或域名地址簿
策略的目的类型配置为域名或域名地址簿时,应用仅支持设置为HTTP、HTTPS、SMTP、SMTPS、SSL中的一种或多种类型。该模式下,云防火墙不解析域名IP,将匹配规则的目的地址置为0.0.0.0/0,同时将域名、访问源、协议类型、端口和应用按照配置项对象个数进行展开。
当流量匹配到该条策略时,云防火墙按照四元组、应用和域名顺序进行匹配。详细介绍,请参见按四元组、应用和域名顺序匹配。
二、访问控制策略匹配逻辑
当流量经过云防火墙时,云防火墙会根据访问控制策略、威胁情报规则、基础防御规则、智能防御规则、虚拟补丁规则对流量报文进行匹配,然后根据匹配结果执行相应的规则动作。以下为您介绍云防火墙在访问控制策略匹配阶段的逻辑。如果需要了解不同阶段的匹配顺序,请参见流量分析常见问题。
在访问控制策略匹配阶段,云防火墙的流量匹配分为两类:按四元组和应用顺序匹配、按四元组、应用和域名顺序匹配。
按四元组和应用顺序匹配
该模式下,当流量经过云防火墙时,云防火墙会依次匹配访问控制策略和流量报文的四元组(源IP地址、目的IP地址、目的端口、传输层协议)和应用。只有当流量同时命中访问控制策略的四元组和应用,才算命中该访问控制策略。
以下情况下,云防火墙会按四元组和应用顺序匹配流量:
访问控制策略的目的类型为IP或IP地址簿。
访问控制策略的目的类型为域名,并且应用为ANY和5种协议(HTTP、HTTPS、SMTP、SMTPS、SSL)之外的其他类型。
访问控制策略的目的类型为域名,应用为ANY,并且展开后的匹配规则的应用为非5种协议。
按四元组和应用顺序匹配的流程如下:
当流量经过云防火墙时,云防火墙匹配访问控制策略和流量的四元组。
云防火墙匹配访问控制策略和流量的应用。
云防火墙识别出流量应用,并且流量应用命中访问控制策略的应用,云防火墙执行该条访问控制策略动作(放行或拒绝)。
云防火墙识别出流量应用,但流量应用未命中访问控制策略的应用,云防火墙判断是否存在下一条访问控制策略。
如果存在,则继续匹配下一优先级访问控制策略和流量的四元组,直到命中某一条访问控制策略的四元组和应用。
如果匹配完所有访问控制策略后仍没有命中,则结束访问控制策略匹配阶段。
如果不存在,则结束访问控制策略匹配阶段。
云防火墙无法识别流量应用,此时云防火墙会判断当前的识别模式是严格模式或宽松模式。
宽松模式下,为了不影响业务,云防火墙默认放行该流量。
严格模式下,云防火墙不会直接放行该流量包,而是继续匹配下一优先级访问控制策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。
如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。
按四元组、应用和域名顺序匹配
该模式下,当流量经过云防火墙时,云防火墙会依次匹配访问控制策略和流量报文的四元组(源IP地址、目的IP地址、目的端口、传输层协议)和应用。只有当流量同时命中访问控制策略的四元组和应用,才算命中该访问控制策略。
以下情况下,云防火墙会按四元组、应用和域名的顺序匹配流量:
访问控制策略的目的类型为域名,并且应用为5种协议(HTTP、HTTPS、SMTP、SMTPS、SSL)。
访问控制策略的目的类型为域名,应用为ANY,并且展开后的匹配规则的应用为5种协议(HTTP、HTTPS、SMTP、SMTPS、SSL)。
访问控制策略的目的类型为域名地址簿。
按四元组、应用和域名顺序匹配的流程如下:
当流量经过云防火墙时,云防火墙匹配访问控制策略和流量的四元组。
云防火墙匹配访问控制策略和流量的应用。
云防火墙识别出流量应用,并且流量命中访问控制策略的应用,云防火墙继续匹配访问控制策略和流量的域名,跳转至步骤3。
云防火墙识别出流量应用,但流量未命中访问控制策略的应用,云防火墙判断是否存在下一条访问控制策略。
如果存在,则继续匹配下一优先级访问控制策略和流量的四元组,直到命中某一条访问控制策略的四元组和应用,然后继续往下匹配该访问控制策略和流量的域名,跳转至步骤3。
如果匹配完所有访问控制策略后仍没有命中,则结束访问控制策略匹配阶段。
如果不存在,则结束访问控制策略匹配阶段。
云防火墙无法识别流量应用,此时云防火墙会判断当前的识别模式是严格模式或宽松模式。
宽松模式下,为了不影响业务,云防火墙默认放行该流量。
严格模式下,云防火墙不会直接放行该流量包,而是继续匹配下一优先级访问控制策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。
如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。
云防火墙匹配访问控制策略和流量的域名。
云防火墙识别出流量域名,并且流量域名命中访问控制策略的域名,云防火墙执行该条访问控制策略动作(放行或拒绝)。
云防火墙识别出流量域名,但流量域名未命中访问控制策略的域名,云防火墙判断是否存在下一条访问控制策略。
如果存在,则继续匹配下一优先级访问控制策略和流量的四元组。
如果不存在,则结束访问控制策略匹配阶段。
云防火墙无法识别流量域名,此时云防火墙会判断当前的识别模式是严格模式或宽松模式。
宽松模式下,为了不影响业务,云防火墙默认放行该流量。
严格模式下,云防火墙不会直接放行该流量包,而是继续匹配下一优先级访问控制策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。
如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。
配置示例
以下以互联网边界的访问控制策略为例,为您介绍不同场景下的策略匹配情况,以便您更好地了解访问控制策略的工作原理。
场景一:访问控制策略目的类型为IP地址
您在云防火墙控制台创建了两条访问控制策略。
访问控制策略A
访问控制策略B
访问源:192.0.2.0/24
目的:198.51.100.0/24
协议类型:TCP
端口:80/88
应用:HTTP
动作:放行
优先级:1
访问源:0.0.0.0/0
目的:0.0.0.0/0
协议类型:ANY
端口:0/0
应用:ANY
动作:拒绝
优先级:2
云防火墙根据展开逻辑,将访问控制策略展开为多条匹配规则并下发到引擎。
当流量经过云防火墙时,云防火墙按照策略优先级顺序依次匹配流量。
示例
流量报文
匹配结果
示例一
(匹配一致)
访问源:192.0.2.1
目的:198.51.100.1
协议:TCP
端口:80
应用:HTTP
匹配策略A的四元组。→命中
匹配策略A的应用。→命中
执行策略A的动作:放行流量包
示例二
(源IP未匹配)
访问源:203.0.113.1
目的:198.51.100.1
协议:TCP
端口:80
应用:HTTP
匹配策略A的四元组。→未命中
匹配策略B的四元组。→命中
执行策略B的动作:拒绝流量包
示例三
(应用未识别)
访问源:192.0.2.4
目的:198.51.100.1
协议:TCP
端口:80
应用:Unknown
匹配策略A的四元组。→命中
匹配策略A的应用。→无法识别流量应用
判断当前模式。
宽松模式下:默认放行流量
严格模式下:继续匹配策略B
匹配策略B的四元组。→命中
执行策略B动作:拒绝流量包
场景二:访问控制策略目的类型为域名
您在云防火墙控制台创建了多条访问控制策略。
访问控制策略A
访问控制策略B
访问控制策略C
访问控制策略D
访问源:192.0.2.0/24
目的:www.aliyun.com
协议类型:TCP
端口:0/0
应用:HTTP, HTTPS
动作:放行
优先级:1
说明该策略目的域名以Host或者SNI字段匹配。
访问源:198.51.100.0/24
目的:www.aliyun.com
协议类型:TCP
端口:0/0
应用:SSH
动作:放行
优先级:2
说明该策略目的域名以DNS解析的IP匹配。
访问源:203.0.113.0/24
目的:www.aliyun.com
协议类型:TCP
端口:0/0
应用:SMTP
动作:放行
优先级:3
访问源:0.0.0.0/0
目的:0.0.0.0/0
协议类型:ANY
端口:0/0
应用:ANY
动作:拒绝
优先级:4
云防火墙根据展开逻辑,将访问控制策略展开为多条匹配规则并下发到引擎。
防护资产的流量经过云防火墙时,云防火墙按照策略优先级顺序依次匹配流量。
说明假设www.aliyun.com解析后的IP为106.XX.XX.5。
示例
流量报文
匹配结果
示例一
访问源:192.0.2.1
目的:106.XX.XX.5
协议类型:TCP
端口:80
应用:HTTP
域名:www.aliyun.com
匹配策略A的四元组。→命中
匹配策略A的应用。→命中
匹配策略A的域名。→命中
执行策略A的动作:放行流量包
示例二
访问源:203.0.113.3
目的:106.XX.XX.5
协议类型:TCP
端口:443
应用:HTTPS
域名:www.aliyun.com
匹配策略A的四元组。→未命中
匹配策略B的四元组。→未命中
匹配策略C的四元组。→命中
匹配策略C的应用。→未命中
匹配策略D的四元组。→命中
执行策略D的动作:拒绝流量包
示例三
访问源:198.51.100.1
目的:106.XX.XX.5
协议类型:ANY
端口:22
应用:SSH
域名:www.aliyun.com
匹配策略A的四元组。→未命中
匹配策略B的四元组。→命中
匹配策略B的应用。→命中
执行策略B的动作:放行流量包
示例四
访问源:192.0.2.2
目的:106.XX.XX.5
协议:TCP
端口:80
应用:Unknown
匹配策略A的四元组。→命中
匹配策略A的应用。→无法识别流量应用
判断当前模式。
宽松模式下:默认放行流量
严格模式下:继续匹配策略B
匹配策略B的四元组。→未命中
匹配策略C的四元组。→未命中
匹配策略D的四元组。→命中
执行策略D动作:拒绝流量包
示例五
访问源:192.0.2.3
目的:106.XX.XX.5
协议:TCP
端口:80
应用:HTTP
域名:Unknown
匹配策略A的四元组。→命中
匹配策略A的应用。→命中
匹配策略A的域名。→无法识别流量域名
判断当前模式。
宽松模式下:默认放行流量
严格模式下:继续匹配策略B
匹配策略B的四元组。→未命中
匹配策略C的四元组。→未命中
匹配策略D的四元组。→命中
执行策略D动作:拒绝流量包
场景三:访问控制策略目的类型为域名地址簿
您在云防火墙控制台创建了两条访问控制策略。
访问控制策略A
访问控制策略B
访问源:192.0.2.0/24
目的:www.aliyun.com, www.example.com
协议类型:TCP
端口:0/0
应用:HTTP、HTTPS
动作:放行
优先级:1
访问源:0.0.0.0/0
目的:0.0.0.0/0
协议类型:ANY
端口:0/0
应用:ANY
动作:拒绝
优先级:2
云防火墙分析您创建好的访问控制策略,并将访问控制策略A拆分为多条匹配规则。
当流量经过云防火墙时,云防火墙按照策略优先级顺序依次匹配流量。
说明假设www.aliyun.com解析后的IP为106.XX.XX.5,www.example.com解析后的IP为107.XX.XX.7。
示例
流量报文
匹配结果
示例一
访问源:192.0.2.1
目的:106.XX.XX.5
协议类型:TCP
端口:80
应用:HTTP
域名:www.aliyun.com
匹配策略A的四元组。→命中
匹配策略A的应用。→命中
匹配策略A的域名。→命中
执行策略A的动作:放行流量包
示例二
访问源:192.0.2.2
目的:107.XX.XX.7
协议类型:TCP
端口:22
应用:SSH
域名:www.example.com
匹配策略A的四元组。→命中
匹配策略A的应用。→未命中
匹配策略B的四元组。→命中
执行策略B的动作:拒绝流量包
示例三
访问源:192.0.2.3
目的:107.XX.XX.7
协议类型:TCP
端口:22
应用:Unknown
域名:www.example.com
匹配策略A的四元组。→命中
匹配策略A的应用。→无法识别流量应用
判断当前模式。
宽松模式下:默认放行流量
严格模式下:继续匹配策略B
匹配策略B的四元组。→命中
执行策略B动作:拒绝流量包
示例四
访问源:192.0.2.4
目的:106.XX.XX.5
协议类型:TCP
端口:80
应用:HTTP
域名:Unknown
匹配策略A的四元组。→命中
匹配策略A的应用。→命中
匹配策略A的域名。→无法识别流量域名
判断当前模式。
宽松模式下:默认放行流量
严格模式下:继续匹配策略B
匹配策略B的四元组。→命中
执行策略B动作:拒绝流量包
相关文档
更多访问控制策略介绍,请参见访问控制策略概述。
配置互联网边界访问控制策略,请参见互联网边界(出入双向流量)。
配置NAT边界访问控制策略,请参见NAT边界。
配置VPC边界访问控制策略,请参见VPC边界。