互联网服务
功能概述
互联网服务用于按应用维度识别和匹配互联网流量,例如 Office365、Windows Update、TikTok 等。系统通过内置的互联网服务特征库维护应用的域名、IP、协议和端口等匹配条件。站点开启互联网服务后,可在策略路由、SNAT、应用防火墙、业务策略、域名代理解析和流量标签策略等功能中引用这些服务。
互联网服务库
『租户』→『网络服务』→『网络对象』→『互联网服务』
互联网服务开关
『租户』→『站点』→『全局配置』→『功能开关』→『互联网服务』
使用位置
开启互联网服务后,可在以下配置中引用互联网服务:
| 功能 | 用途 | 配置入口 |
|---|---|---|
| 策略路由 | 按互联网服务匹配流量,并指定下一跳或出接口。 | 站点 → VRF配置 → LAN → 策略路由 |
| 流量标签策略 | 按互联网服务匹配流量并打流量标签。 | 站点 → VRF配置 → 业务策略 → 流量标签策略 |
| 业务策略 | 按互联网服务配置 QoS 限速策略。 | 站点 → VRF配置 → 业务策略 → 策略规则 |
| SNAT | 按互联网服务匹配流量,并配置动态 NAT、静态 NAT 或不转换。 | 站点 → VRF配置 → NAT → SNAT |
| 应用防火墙 | 按互联网服务配置访问控制规则。 | 站点 → VRF配置 → 防火墙 → 应用防火墙 |
| 域名代理解析 | 按具体互联网服务指定 DNS 代理上游。 | 站点 → VRF配置 → DNS |
监控信息
互联网服务特征库版本信息
『租户』→『监控』→『站点』→『系统』
流量监控
『租户』→『监控』→『站点』→『流量』→『互联网服务』
配置前提
| 检查项 | 要求 | 说明 |
|---|---|---|
| 设备版本 | 6.6.0 及以上 | 版本不满足时,页面会出现配置异常提示。 |
| 站点开关 | 已开启互联网服务 | 未开启时,设备不会下载互联网服务特征库,策略中也不能引用互联网服务。 |
| 服务平台可达性 | 设备可访问阿里云服务平台 | 不可达时,设备无法下载或更新互联网服务特征库。 |
| DNS | 开启dns劫持或者客户终端将cpe作为dns解析器 | 互联网服务依赖 DNS 识别链路,否则不能保证所有流的首包能被正确匹配。 |
如果已有策略引用了互联网服务,不能直接关闭站点互联网服务开关。需要先删除相关策略引用,再关闭能力。
配置场景
场景1:按互联网服务分流到指定出口
客户有多个海外出口,例如:默认出口为 HK,另一个出口为 JP,希望 Microsoft 相关流量走 JP 出口。
开启站点互联网服务
『租户』→『配置』→『站点』→『编辑站点』→『全局配置』→『功能开关』
开启 互联网服务。开启后,符合版本要求的设备会下载互联网服务特征库。
配置互联网服务的域名代理解析策略
『租户』→『配置』→『站点』→『编辑站点』→『VRF配置』→『DNS』→『域名代理解析策略』
新建域名代理解析策略,选择需要代理的互联网服务,例如 选择 Microsoft.365common、Microsoft.copilot等服务,并配置代理的DNS服务器。
配置策略路由引用互联网服务
『租户』→『配置』→『站点』→『编辑站点』→『VRF配置』→『LAN』→『策略路由』
新建策略路由,匹配条件中选择需要分流的互联网服务,例如 选择 Microsoft.365common、Microsoft.copilot 等服务,下一跳或接口选择目标出口。
策略路由匹配互联网服务后,设备会根据互联网服务特征库识别对应流量,并按策略指定的路径转发。
验证分流结果
保存并下发配置后,建议使用真实业务访问验证。不要只使用 ping 判断是否命中,因为互联网服务规则通常同时依赖域名、IP、协议和端口。
场景2:业务策略按互联网服务限速
客户希望限制非关键应用占用出口带宽,例如限制 Windows Update 流量,避免影响办公系统。
配置业务策略引用互联网服务
『租户』→『配置』→『站点』→『编辑站点』→『VRF配置』→『业务策略』→『策略规则』
新建 QoS 限速规则,匹配条件选择互联网服务:Windows Update,然后配置带宽上限、优先级或限速参数。
场景3:应用防火墙按互联网服务放行或阻断
客户希望按 SaaS 应用维度做安全控制,例如阻断 TikTok 或限制 AI 工具访问。
配置应用防火墙策略
『租户』→『配置』→『站点』→『编辑站点』→『VRF配置』→『防火墙』→『应用防火墙』
新建应用防火墙规则,匹配条件选择具体互联网服务,动作根据业务诉求拒绝。
注意事项
互联网服务更新、改名和废弃
互联网服务库会随着应用厂商域名、IP、端口和协议变化而更新。用户侧需要关注服务新增、规则更新、应用改名和应用废弃四类变化。
| 变更类型 | 用户可见行为 | 操作建议 |
|---|---|---|
| 新增应用 | 服务列表出现新应用,新策略可选择。 | 上传资源包后等待设备同步,再配置策略。 |
| 更新域名或 IP | 引用该应用的策略自动使用新规则。 | 验证特征库版本和目标业务流量是否重新命中。 |
| 应用改名 | 老名称的互联网服务会被废弃;已有策略引用老名称时仍能够匹配。 | 新建策略使用新名称,维护窗口内逐步迁移老策略。 |
| 应用废弃 | 前端不再允许新建配置引用该服务,废弃的互联网服务将不再被匹配。 | 编辑已有策略时,先解除废弃服务引用后再保存。 |
- 互联网服务基于站点开启,网络模板中不再维护互联网服务相关配置,请在站点配置中开启和引用互联网服务。
- 互联网服务主要基于域名、IP、协议和端口识别流量。对于多个应用共用同一 CDN 或必须依赖 SNI 才能区分的场景,可能无法仅通过互联网服务精确区分。