全部产品
Search
文档中心

云防火墙:配置访问控制严格和宽松引擎模式

更新时间:Jul 24, 2024

配置互联网边界和NAT边界访问控制策略后,当流量经过云防火墙时,云防火墙会依次匹配流量报文的四元组、应用和域名,当云防火墙无法识别流量的应用或域名时,为了不影响业务,云防火墙会默认放行这些流量。如果您不希望直接放行这些流量,您可以开启互联网边界防火墙的严格模式。

访问控制引擎模式介绍

配置互联网边界和NAT边界访问控制应用策略(即应用类型非ANY)或域名策略(即目的类型为域名)后,当流量经过云防火墙时,云防火墙会匹配流量报文的四元组(访问源地址、目的地址、目的端口、传输层协议)、应用或域名。

  • 配置了域名策略,且应用类型配置为HTTP、HTTPS、SMTP、SMTPS或SSL时,云防火墙按照四元组、应用和域名顺序匹配流量报文。

  • 配置了应用策略,或者配置了域名策略但应用类型不是HTTP、HTTPS、SMTP、SMTPS和SSL时,云防火墙按照四元组、应用顺序匹配流量报文。

当流量报文携带的不是标准应用或域名时,云防火墙可能无法识别流量的应用或域名。在匹配应用策略或域名策略的时候,云防火墙会默认放行未识别应用或域名的流量。

开启严格模式后,云防火墙不会直接放行未识别应用或域名的流量,而是继续匹配下一优先级策略,直到命中某一条访问控制策略,然后执行命中策略的动作(放行或拒绝)。如果匹配完所有访问控制策略后仍没有命中,则云防火墙默认放行该流量。

image
重要

开启了严格模式后,如果云防火墙误丢弃了正常的流量,建议您在请求报文中添加必要的应用协议信息,或者关闭严格模式。

开启或关闭访问控制引擎严格模式

当前互联网边界和NAT边界支持配置访问控制引擎模式,访问控制引擎模式默认为宽松模式。该模式下,如果出现未识别应用或域名的业务流量时,为了不影响业务,云防火墙默认放行这部分流量。您可以根据实际业务需要切换为严格模式

常见问题

如何查看未识别的流量日志?

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择日志监控 > 日志审计

  3. 流量日志 > 互联网边界,设置规则来源访问控制,在全部ACL预匹配状态搜索框中选择应用未识别域名未识别进行查询。

    image.png

  4. 查看严格模式的流量记录,例如时间、源IP、目的IP、目的端口等。

相关文档