互联网边界防火墙-严格模式针对命中了访问控制策略,但应用类型未被云防火墙识别(Unknown)的流量提供一键拦截。云防火墙根据应用报文特征识别会话流量的应用类型,在应用类型识别失败时,默认直接放行会话流量。如果您想丢弃未知应用类型的会话流量,建议您开启严格模式。

前提条件

已创建了互联网边界防火墙的访问控制策略。具体请参见互联网边界防火墙(内外双向流量)

背景信息

互联网边界防火墙-严格模式仅对命中了已配置访问控制策略(无论访问控制策略的动作是放行、拒绝、观察)的流量生效。如果流量未命中访问控制策略,即使其应用类型未被云防火墙识别,仍然会被放行。

开启或关闭严格模式

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击工具箱
  3. 工具箱页面,开启或关闭互联网边界防火墙-严格模式
    下述步骤以关闭状态下的互联网边界防火墙-严格模式为例进行说明:
    1. 严格模式区域,单击严格模式开关。严格模式开关
    2. 高级设置对话框中,再次单击严格模式开关。高级设置
    3. 单击提交,确认后开启互联网边界防火墙-严格模式
    开启严格模式后,命中互联网边界防火墙访问控制策略且应用类型未被识别的流量均被丢弃。您可以通过日志审计查看严格模式丢弃的流量记录。

查看严格模式丢弃的流量记录

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击日志 > 日志审计
  3. 流量日志 > 互联网边界防火墙页签,展开高级搜索,将应用设置为Unknown规则来源设置为访问控制,并单击搜索unknown应用日志
  4. 查看严格模式丢弃的流量记录(规则名unknown_app_deny_all),例如时间、源IP、目的IP、目的端口等。日志审计中的Uknown流量
    如果您发现严格模式误丢弃了正常的流量,建议您在请求报文中添加必要的应用协议信息,或者关闭严格模式。