互联网边界防火墙-严格模式
配置互联网边界访问控制策略后,当流量经过云防火墙时,云防火墙会依次匹配流量报文的四元组、应用和域名,当云防火墙无法识别流量的应用或域名时,为了不影响业务,云防火墙会默认放行这些流量。如果您不希望直接放行这些流量,您可以开启互联网边界防火墙的严格模式。
功能概述
配置互联网边界访问控制应用策略(即应用类型非ANY)或域名策略(即目的类型为域名)后,当流量经过云防火墙时,云防火墙会匹配流量报文的四元组(访问源地址、目的地址、目的端口、传输层协议)、应用或域名。
配置了域名策略,且应用类型配置为HTTP、HTTPS、SMTP、SMTPS或SSL时,云防火墙按照四元组、应用和域名顺序匹配流量报文。
配置了应用策略,或者配置了域名策略但应用类型不是HTTP、HTTPS、SMTP、SMTPS和SSL时,云防火墙按照四元组、应用顺序匹配流量报文。
当流量报文携带的不是标准应用或域名时,云防火墙可能无法识别流量的应用或域名。在匹配应用策略或域名策略的时候,云防火墙会默认放行未识别应用或域名的流量。
开启严格模式后,云防火墙不会直接放行未识别应用或域名的流量,而是继续匹配下一优先级策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。
开启或关闭严格模式
登录云防火墙控制台。
在左侧导航栏,选择
在严格模式区域,开启或关闭互联网边界防火墙-严格模式。
开启严格模式后,命中互联网边界防火墙访问控制策略且应用类型未被识别的流量,将会继续向下匹配其他规则。
查看未识别的流量日志
登录云防火墙控制台。
在左侧导航栏,选择。
在,设置规则来源为访问控制,在全部ACL预匹配状态搜索框中选择应用未识别或域名未识别,然后单击搜索。
查看严格模式的流量记录,例如时间、源IP、目的IP、目的端口等。
重要开启了严格模式后,如果云防火墙误丢弃了正常的流量,建议您在请求报文中添加必要的应用协议信息,或者关闭严格模式。
相关文档
访问控制策略的工作原理,请参见访问控制策略概述。
互联网边界访问控制策略的详细配置指导,请参见互联网边界(出入双向流量)。
查询更多流量日志及流量日志字段说明,请参见日志审计。
