云防火墙提供策略验证查询功能，当遇到网络异常时，您可以通过输入网络五元组信息（源 IP、目的 IP、协议、源端口、目的端口），快速确认该流量是被防火墙策略放行还是阻断，便于故障排查。

前提条件

您已完成互联网边界防火墙、NAT边界防火墙或VPC边界防火墙的访问控制策略配置。

操作步骤

1. 登录云防火墙控制台，在左侧导航栏，单击运维工具 ＞ 策略访问验证。

2. 输入需要验证的策略信息。

   参数	说明
   防火墙	选择需要验证的防火墙边界，包括互联网边界防火墙、NAT边界防火墙和VPC边界防火墙。
   方向	仅互联网边界防火墙和NAT边界防火墙有该选项，出站方向或入站方向。
   访问源	输入单个IP地址，如192.168.1.1。
   访问目的IP类型	IP或域名，出站方向可选域名。
   访问目的	IP类型，则输入单个IP地址，如192.168.1.1。 域名类型，则输入具体域名地址，如example.com。
   协议	选择TCP、UDP或ICMP协议。
   目的端口	输入单个端口信息，如22。

3. 点击查询按钮即可查询，支持清空条件重新输入策略信息。

结果查询

• 当查询条件匹配到现有策略时，系统会展示命中的访问控制策略及其优先级最高的策略动作。您可以点击查看策略，直接跳转至对应的策略详情页面。

• 当查询条件未匹配到现有策略时，策略将显示为 "未命中"状态。由于防火墙的默认策略是全放行，因此未命中策略的流量将被放行通过。