配置了互联网边界访问控制策略，为什么没有生效？

必须先在防火墙开关 > 互联网边界页面开启资产防护开关，相关资产的流量才会经过云防火墙，访问控制策略才能生效。

配置了域名访问控制为什么不生效？

域名访问控制依赖于以下两个数据源：

• HTTP协议中的Host信息
• HTTPS协议数据包Client Hello中的Server Name信息

如果业务流量数据包中缺少这些信息，域名策略将无法生效。

已经配置域名阻断策略，为什么该域名可以telnet通，curl不通？

域名访问控制策略原理是根据HTTP协议数据中Host信息，以及HTTPS协议数据包Client Hello中的Server Name信息中获取域名数据进行匹配控制，只有当三次握手完成后才会发送带有域名信息的报文。Telnet本身不是HTTP协议，只提供远程终端访问，而curl协议发送HTTP请求，因此会出现Telnet能通，curl不通的情况。

未配置任何策略时，云防火墙默认规则是放行还是拦截？

云防火墙默认放行所有流量。

配置访问控制规则后，需要多长时间生效？

云防火墙配置策略后，需要1分钟左右生效。

防火墙策略数量可以拓展到多少？

互联网边界防火墙、VPC边界防火墙、NAT边界防火墙访问控制策略最多可拓展到30万条。

策略规格支持自定义升配和降级？

支持，详情请参见规格变更说明。