配置访问控制策略后,云防火墙会依次匹配流量报文的四元组、应用和域名。若无法识别流量的应用或域名,为保障业务正常运行将放行这些流量,如需避免直接放行,可开启防火墙的严格模式。
云防火墙流量匹配规则说明
配置访问控制策略后,当流量经过云防火墙时,会匹配流量报文的四元组(访问源地址、目的地址、目的端口、传输层协议)、应用或域名。
宽松模式:当流量报文携带的不是标准应用或域名时,云防火墙可能无法识别流量的应用或域名。在匹配应用策略或域名策略的时候,云防火墙会默认放行未识别应用或域名的流量。
配置应用策略为非ANY。
配置域名,且域名匹配模式为基于FQDN(报文提取Host/SNI)或者同时基于FQDN和DNS动态解析。
严格模式:云防火墙不会直接放行未识别应用或域名的流量,而是继续匹配下一优先级策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。
开启了严格模式后,如果云防火墙误丢弃了正常的流量,建议您在请求报文中添加必要的应用协议信息,或者关闭严格模式。
新开通的VPC边界防火墙的用户默认为严格模式。
开启或关闭访问控制引擎严格模式
当前互联网边界和NAT边界支持配置访问控制引擎模式,访问控制引擎模式默认为宽松模式。该模式下,如果出现未识别应用或域名的业务流量,为了不影响业务,云防火墙默认放行这部分流量。您可以根据实际业务需要切换为严格模式。
切换互联网边界访问控制引擎模式,请参见配置互联网边界ACL引擎模式。
切换NAT边界访问控制引擎模式,请参见配置NAT边界ACL引擎模式。
常见问题
如何查看未识别的流量日志?
登录云防火墙控制台。
在左侧导航栏,选择。
在,设置规则来源为访问控制,在全部ACL预匹配状态搜索框中选择应用未识别或域名未识别进行查询。
查看严格模式的流量记录,例如时间、源IP、目的IP、目的端口等。
相关文档
访问控制策略的工作原理,请参见访问控制策略概述。
互联网边界访问控制策略的详细配置指导,请参见配置互联网边界访问控制策略。
查询更多流量日志及其字段说明,请参见日志审计。