文档

配置访问控制严格和宽松引擎模式

更新时间:

配置互联网边界访问控制策略后,当流量经过云防火墙时,云防火墙会依次匹配流量报文的四元组、应用和域名,当云防火墙无法识别流量的应用或域名时,为了不影响业务,云防火墙会默认放行这些流量。如果您不希望直接放行这些流量,您可以开启互联网边界防火墙的严格模式。

功能概述

配置互联网边界访问控制应用策略(即应用类型非ANY)或域名策略(即目的类型为域名)后,当流量经过云防火墙时,云防火墙会匹配流量报文的四元组(访问源地址、目的地址、目的端口、传输层协议)、应用或域名。

  • 配置了域名策略,且应用类型配置为HTTP、HTTPS、SMTP、SMTPS或SSL时,云防火墙按照四元组、应用和域名顺序匹配流量报文。

  • 配置了应用策略,或者配置了域名策略但应用类型不是HTTP、HTTPS、SMTP、SMTPS和SSL时,云防火墙按照四元组、应用顺序匹配流量报文。

当流量报文携带的不是标准应用或域名时,云防火墙可能无法识别流量的应用或域名。在匹配应用策略或域名策略的时候,云防火墙会默认放行未识别应用或域名的流量。

开启严格模式后,云防火墙不会直接放行未识别应用或域名的流量,而是继续匹配下一优先级策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。

image

开启或关闭严格模式

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择系统设置 > 工具箱 > 工具箱

  3. 严格模式区域,开启或关闭互联网边界防火墙的严格模式开关。

    开启严格模式后,命中互联网边界防火墙访问控制策略且应用类型未被识别的流量,将会继续向下匹配其他规则。

查看未识别的流量日志

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择日志监控 > 日志审计

  3. 流量日志 > 互联网边界,设置规则来源访问控制,在全部ACL预匹配状态搜索框中选择应用未识别域名未识别进行查询。

    image.png

  4. 查看严格模式的流量记录,例如时间、源IP、目的IP、目的端口等。

    重要

    开启了严格模式后,如果云防火墙误丢弃了正常的流量,建议您在请求报文中添加必要的应用协议信息,或者关闭严格模式。

相关文档