配置互聯網邊界和NAT邊界訪問控制策略后,當流量經過云防火墻時,云防火墻會依次匹配流量報文的四元組、應用和域名,當云防火墻無法識別流量的應用或域名時,為了不影響業務,云防火墻會默認放行這些流量。如果您不希望直接放行這些流量,您可以開啟互聯網邊界防火墻的嚴格模式。
訪問控制引擎模式介紹
配置互聯網邊界和NAT邊界訪問控制應用策略(即應用類型非ANY)或域名策略(即目的類型為域名)后,當流量經過云防火墻時,云防火墻會匹配流量報文的四元組(訪問源地址、目的地址、目的端口、傳輸層協議)、應用或域名。
配置了域名策略,且應用類型配置為HTTP、HTTPS、SMTP、SMTPS或SSL時,云防火墻按照四元組、應用和域名順序匹配流量報文。
配置了應用策略,或者配置了域名策略但應用類型不是HTTP、HTTPS、SMTP、SMTPS和SSL時,云防火墻按照四元組、應用順序匹配流量報文。
當流量報文攜帶的不是標準應用或域名時,云防火墻可能無法識別流量的應用或域名。在匹配應用策略或域名策略的時候,云防火墻會默認放行未識別應用或域名的流量。
開啟嚴格模式后,云防火墻不會直接放行未識別應用或域名的流量,而是繼續匹配下一優先級策略,直到命中某一條訪問控制策略,然后執行命中策略的動作(放行或拒絕)。如果匹配完所有訪問控制策略后仍沒有命中,則云防火墻默認放行該流量。
開啟了嚴格模式后,如果云防火墻誤丟棄了正常的流量,建議您在請求報文中添加必要的應用協議信息,或者關閉嚴格模式。
開啟或關閉訪問控制引擎嚴格模式
當前互聯網邊界和NAT邊界支持配置訪問控制引擎模式,訪問控制引擎模式默認為寬松模式。該模式下,如果出現未識別應用或域名的業務流量時,為了不影響業務,云防火墻默認放行這部分流量。您可以根據實際業務需要切換為嚴格模式。
切換互聯網邊界訪問控制引擎模式,請參見配置互聯網邊界ACL引擎模式。
切換NAT邊界訪問控制引擎模式,請參見配置NAT邊界ACL引擎模式。
常見問題
如何查看未識別的流量日志?
登錄云防火墻控制臺。
在左側導航欄,選擇。
在,設置規則來源為訪問控制,在全部ACL預匹配狀態搜索框中選擇應用未識別或域名未識別進行查詢。
查看嚴格模式的流量記錄,例如時間、源IP、目的IP、目的端口等。
相關文檔
訪問控制策略的工作原理,請參見訪問控制策略概述。
互聯網邊界訪問控制策略的詳細配置指導,請參見配置互聯網邊界訪問控制策略。
查詢更多流量日志及流量日志字段說明,請參見日志審計。