配置存取控制策略後,Cloud Firewall會依次匹配流量報文的四元組、應用和網域名稱。若無法識別流量的應用或網域名稱,為保障業務正常運行將允許存取這些流量,如需避免直接允許存取,可開啟防火牆的strict 模式。
Cloud Firewall流量匹配規則說明
配置存取控制策略後,當流量經過Cloud Firewall時,會匹配流量報文的四元組(訪問源地址、目的地址、目的連接埠、傳輸層協議)、應用或網域名稱。
寬鬆模式:當流量報文攜帶的不是標準應用程式或網域名稱時,Cloud Firewall可能無法識別流量的應用或網域名稱。在匹配應用策略或網域名稱策略的時候,Cloud Firewall會預設允許存取未識別應用或網域名稱的流量。
配置應用策略為非ANY。
佈建網域名,且網域名稱匹配模式為基於FQDN(報文提取Host/SNI)或者同時基於FQDN和DNS動態解析。
strict 模式:Cloud Firewall不會直接允許存取未識別應用或網域名稱的流量,而是繼續匹配下一優先順序策略,直到命中某一條存取控制策略,然後執行命中策略的動作(允許存取或拒絕)。如果匹配完所有存取控制策略後仍沒有命中,則Cloud Firewall預設允許存取該流量。
開啟了strict 模式後,如果Cloud Firewall誤丟棄了正常的流量,建議您在請求報文中添加必要的應用協議資訊,或者關閉strict 模式。
新開通的VPC邊界防火牆的使用者預設為strict 模式。
開啟或關閉存取控制引擎strict 模式
當前互連網邊界和NAT邊界支援配置存取控制引擎模式,存取控制引擎模式預設為寬鬆模式。該模式下,如果出現未識別應用或網域名稱的業務流量,為了不影響業務,Cloud Firewall預設允許存取這部分流量。您可以根據實際業務需要切換為strict 模式。
切換互連網邊界存取控制引擎模式,請參見配置互連網邊界ACL引擎模式。
切換NAT邊界存取控制引擎模式,請參見配置NAT邊界ACL引擎模式。
常見問題
如何查看未識別的流量日誌?
在左側導覽列,選擇。
在,設定規則來源為存取控制,在全部ACL预匹配状态搜尋方塊中選擇应用未识别或域名未识别進行查詢。
查看strict 模式的流量記錄,例如時間、源IP、目的IP、目的連接埠等。
相關文檔
存取控制策略的工作原理,請參見存取控制策略概述。
互連網邊界存取控制策略的詳細配置指導,請參見配置互連網邊界存取控制策略。
查詢更多流量日誌及其欄位說明,請參見日誌審計。