网关可见性
网关可见性在请求到达应用映射之前按地区或 CIDR 收窄入口。它适合把网关限制在已知地区、公司出口或 VPN 网段;它不是宿主机防火墙,也不替代登录认证。
与其他规则的区别
| 机制 | 决定什么 |
|---|---|
| 网关可见性 | 请求能否接触网关入口 |
| IP 白名单 | 某个来源能否获得手动或会话关联的 IP 授权 |
| 映射访问策略 | Host 是公开还是要求登录 |
| 主机防火墙 | 原始端口的网络层暴露;仅部分部署支持 |
配置方法
在 系统设置 → 网关 → 网关可见性 启用功能,至少添加一个地区选择或自定义 CIDR。保存后,系统会将地区选择解析为 CIDR 并同步到网关。
先添加一个确认可用的 CIDR,例如自己的 VPN 或办公出口,再开启限制。地区数据库、移动网络和代理出口都有误差;只按地区收窄时,旅行、漫游和企业网络容易被误挡。
验证和回退
- 从应允许的外部网络访问认证 Host,确认能打开登录页。
- 从不允许的网络检查请求被拒绝,而不是进入上游应用。
- 通过局域网管理入口保留回退路径;不要在唯一公网管理通道中直接锁死自己。
- 如出现异常,先关闭可见性或补充 CIDR,再检查 IP 归属地服务和真实客户端 IP 头。
本地来源的认证豁免与网关可见性不是同一个概念。若前置代理错误传递内网地址,结果可能与预期不同;请先检查请求日志中的客户端 IP。
