在已配置了应用网关的应用中，支持配置免认证访问、跨域访问、站点改写、网关请求改写等高级策略。本文主要介绍各策略提供的能力。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 > 应用管理。
3. 在 Web 应用页签内，选择需要配置高级策略的应用，进入应用详情页。
4. 在应用网关页签的高级策略区域，根据实际的安全要求，开启并配置相应策略。
   
   各策略配置说明，请参见下文高级策略配置说明。

免认证访问

开启免认证访问后，应用网关所代理的应用或者 API 无需身份认证即可直接访问目标资源。例如在以下场景中可以使用免认证访问：

• 某些特殊请求，数据量较大，不适合通过应用网关处理。
• 请求内容已经缓存在后端服务器，不适合通过应用网关转发。
• 某些应用使用特定的端口、协议，无法通过应用网关进行处理。

操作步骤

1. 开启免认证访问。
   
2. 单击配置，配置免认证访问级别为应用级别或 API 级别，默认为应用级别。

   • 应用级别：开启免认证访问后，应用内所有域名将通过应用网关代理转发直接访问，不进行身份认证。

   • API 级别：针对应用中的某些 API 开启免认证访问。 API 级别免认证的参数说明如下表所示。

     配置项	说明
     API 资源	指定当前应用中的哪些 API 需要进行免认证访问。
     源 IP 地址	配置可以免认证访问的源 IP 地址。填写单个 IP 地址或者 IP 网段。 使用场景：例如，企业内部的某个关键业务系统是基于源 IP 地址进行访问控制，只允许来自特定办公地点的 IP 访问其 API。但在特殊情况下，如远程紧急维护，可能需要绕过这个限制。通过配置特定的源 IP 地址，可以让维护人员免认证访问对应的 API。
     请求头	根据该 API 对应的合法请求头格式添加请求头，以便通过该请求头进行免认证访问。您可以配置多个请求头，多个请求头之间为且的关系。示例：Host:www.example.com。 使用场景：例如，某些 API 要求请求头中必须包含特定的令牌或密钥才能访问，在开发测试阶段，您可以在免认证请求头中添加特定的请求头，实现免认证访问对应的 API，以便更高效地进行测试。

跨域访问

跨域访问是指跨域名访问，一般应用跨域访问的原因为：访问的域名不同、访问的域名相同但端口不同、访问的子级域名不同。例如以下跨域访问场景：

• Web 应用程序需要访问不同源的 API 服务。例如从一个域名访问另一个域名下的 API 服务。
• Web 页面需要加载来自不同源的资源。例如源域名下加载另一个域名下的 CSS、JavaScript 等资源。
• Web 应用程序需要与第三方服务交互。例如社交媒体平台、支付网关、地图服务等交互。

浏览器为保护安全请求访问应用，防止跨站点攻击，只允许当前页同域名的路径访问。因此，您可以开启跨域访问策略并配置跨域访问策略的详细参数，实现应用的跨域访问。

1. 开启跨域访问策略。
   

2. 单击配置，配置跨域访问策略参数。
   配置说明：

   参数	说明
   请求域	请求域是指发起跨域请求的源网站，需要在配置中添加允许访问的请求域。可以使用通配符（*）表示允许所有请求域访问，也可以指定具体的请求域名。
   请求方式	请求方法是指跨域请求使用的 HTTP 方法，需要在配置中添加允许访问的请求方法，如 GET、POST 等。
   强制请求头	强制请求头是指需要在跨域请求中添加的 HTTP 头部信息，需要在配置中添加需要强制请求头的名称。支持单击继续添加，添加多个强制请求头。
   路径	路径是指跨域请求的访问路径，需要在配置中添加转发规则，指定跨域请求的路径和目标服务器的地址。支持单击继续添加，添加多个路径。

   在表单顶部，可单击添加，添加多个跨域配置。除了第一个跨域配置，其他新增的跨域配置均支持删除。

3. 单击确定，生效策略配置。

站点改写

该策略用于应用嵌套多个内网资源时，替换嵌套的资源地址。

1. 开启站点改写策略。
   
2. 单击配置，配置站点改写策略。
   在配置站点改写策略时，需要指定域名改写前地址，即前端请求的地址，该地址可以为域名。支持单击继续添加，设置多个改写前地址。在配置改写前地址时，需要确保地址的正确性和安全性。
3. 单击确定，生效策略配置。

网关请求改写

该策略可用于自定义请求 URL 中携带的参数，包括请求头参数和查询参数，支持配置多个不同的改写操作，可用于打通网关服务器到业务站点的访问。

1. 开启网关请求改写策略

2. 单击配置，按照界面提示信息配置网关请求改写策略参数。

   区域	字段	说明
   Headers 改写	头信息类型	可选请求头或响应头。
   	改写操作	支持选择更新、正则替换、新增或删除。
   	参数名称	指定参数名称。
   	正则表达式	如果您选择了正则替换为改写操作，则您需要指定匹配的正则表达式。
   	参数值	指定参数值。单击 Headers 改写区域下方的继续添加按钮，添加多个参数。
   Query 参数改写	改写操作	支持选择更新、正则替换、新增或删除。
   	参数名称	指定查询参数名称。
   	正则表达式	如果您选择了正则替换为改写操作，则您需要指定匹配的正则表达式。
   	参数值	指定查询参数值。单击 Query 参数改写区域下方的继续添加按钮，添加多个查询参数。

3. 单击确定，生效策略配置。

流量劫持

该策略开启后，VPN 的 DNS 服务器将自动拦截用户访问第三方应用的请求，并将其重定向至对应的应用网关。该策略允许用户通过应用网关代理的方式访问应用。默认情况下，该策略将自动开启。

自定义脚本配置

此策略为管理员提供了极高的灵活性。您可以通过注入自定义脚本（如JavaScript），对现有站点的功能进行扩展或修改，例如自定义前端样式、增强用户交互或集成第三方分析工具，而无需改动后端应用的源代码。

1. 开启 自定义脚本配置 开关。
   
2. 单击 配置，将您编写好的脚本代码粘贴到配置框中。

仅允许在飞书访问应用

这是一项增强的安全策略，用于将应用与飞书生态深度绑定。开启后，飞连应用网关会验证访问请求是否来自飞书客户端（PC 或移动端）。如果请求来自外部浏览器，将被拒绝。

1. 前提条件：配置飞书认证源
   在开启此策略前，您必须已在飞连的身份认证模块中，成功配置并启用了“飞书认证源”。
2. 在高级策略配置页面，开启 仅允许在飞书访问应用 开关。
   弹出的对话框会为您生成一个专属的重定向 URL。此 URL 是飞连应用与飞书应用之间进行安全认证握手的桥梁。
   
   1. 单击复制按钮，复制提供的完整URL地址。
   2. 登录您的飞书开放平台后台。
   3. 找到您为此次集成所创建的相应飞书应用，并进入其应用详情页。
   4. 进入“安全设置”页面，将复制的地址粘贴至“重定向 URL”配置区域输入框，并保存设置。
3. 完成并开启策略
   在飞书开放平台完成重定向 URL 的配置后，返回飞连管理后台的弹窗，单击 开启 按钮开启策略。

健康检查

此策略用于保障后端服务的高可用性。应用网关会按照您配置的规则（如频率、路径、期望的响应码），定期向后端服务器发送探测请求。如果某台服务器连续多次探测失败，网关会自动将其从负载均衡池中移除，不再向其转发流量，直到它恢复正常。这可以有效避免因单点故障导致的应用不可用。

1. 开启 健康检查 开关。
   

2. 单击 配置，设置检查规则后点击确定使其生效。

   配置项	说明
   健康检测端口	定义健康检查请求发送到后端服务器的哪个端口。 使用后端服务器默认业务端口：默认选项，健康检查将直接发送到您在“后端服务器组”中配置的业务端口上。 指定特定端口：如果您的应用有专门的健康检查端口（与业务端口分离），请选择此项并填写端口号。
   健康检测路径	指定健康检查的 URL 地址的路径。必须以/开头，长度限制为1-80个字符。支持使用英文字母、数字和特殊字符。
   检测间隔 (秒)	应用网关每隔多少秒对每台后端服务器发起一次健康检查。取值范围 1-50 秒。
   超时时间 (秒)	一次健康检查请求从发出到收到响应的最长等待时间。如果超过此时间仍未收到响应，则认为本次检查失败。取值范围 1-50 秒。
   健康检查返回码	您期望后端健康检查接口在“健康”状态下返回的 HTTP 状态码。只有当返回码匹配此配置时，才认为检查成功。 通常，200 表示服务正常。您也可以配置为 2XX (代表所有2开头的成功状态码) 或 2XX-5XX 的范围。

获取客户端 IP

应用网关内置核心特性，确保后端应用能够接收到访问者的真实来源 IP 地址。该策略默认开启且不可关闭。

可信代理配置

在复杂的网络环境中，流量可能经过多层代理（如 CDN、前置 WAF等）才到达飞连应用网关。此策略允许您定义一个“可信代理”的 IP 列表。当请求来自这些可信 IP 时，网关会智能地解析 X-Forwarded-For 头中更上游的 IP 作为真实客户端 IP，而不是将代理本身的 IP 误判为客户端 IP，确保在多层代理架构下，依然能准确获取到最初的访客来源。

1. 开启 可信代理配置 开关。
   
2. 单击 配置，将在飞连应用网关之前的其他代理服务器的 IP 地址添加到 IP 列表中。多个 IP 或 IP 段，请使用逗号或空格进行分隔。