1、做了一条针对应用的防护策略，该应用发布了all协议。检测条件是当系统存在feiq.exe这个进程时，就执行处置动作禁止访问

2、当用户首先登录不存在feiq.exe时，此时正常的web业务和icmp都不通，应用防护策略正常。然后手动运行feiq.exe，重新上报环境之后，网页可以访问，也可以ping通。但此时手动退出feiq.exe之后，网页不能访问 ping还是可以通。

3、这个时候业务端代理网关抓包，确认是上游服务器返回的ping包。说明没有被防护策略拦截掉。

4、研发内部确认代码，由于应用配置的是隧道应用的ALL协议，未勾选TCP优先使用长隧道时，那么ICMP协议（ping）会默认使用长隧道，使用长隧道只在应用鉴权时会触发ACL策略，当鉴权通过后2小时内，无论终端环境是否变化，都不会再触发ACL策略，短隧道不仅在应用鉴权时会触发ACL策略，终端环境变化也会再触发ACL策略

5、综上，所以表现上就是终端环境由符合变成不符合策略的情况下能ping通，但是应用访问能正常拦截