缺省关闭。如果开启，设备会启用链路质量探测，根据链路质量切换链路。 仅防火墙设备支持此功能。 说明： 当开启“IPsec智能选路”且防火墙出接口使用静态地址时，必须在防火墙出接口配置网关地址。 使能智能选路功能后，所有Hub设备的子网配置必须完全相同。 使能智能选路功能后，只能按IP地址添加Hub节点。此情况下

查看更多 →

开启EIP的IPv6转换后，您需要在安全组的出方向和入方向中放通198.19.0.0/16网段的IP地址。因为IPv6弹性公网IP采用NAT64技术，入方向的源IP地址经过NAT64转换后，会将IPv6地址转换为198.19.0.0/16之间的某个IPv4地址，源端口随机，目的I

查看更多 →

管理Native服务配置项 在原生服务配置中，可以查看已安装原生服务的配置项并进行自定义。 前提条件 用户在线下开发应用时，需要在原生服务开发页面的运营配置中，提前配置好原生服务需要暴露的具体配置项。配置后，才会在AstroZero管理中心的“应用管理 > Native服务配置”中显示。

查看更多 →

SL证书是进行数据传输加密和身份证明的证书，支持单向认证和双向认证两种认证方式。 如果不配置SSL证书，将无法保障请求的链路安全，请谨慎配置。 单向认证：客户端与服务端连接时，客户端需要验证所连接的服务端是否正确。 双向认证：客户端与服务端连接时，除了客户端需要验证所连接的 服务器

查看更多 →

出接口GE1/0/1，下一跳为GE1/0/1的网关IP为22.22.22.1。 安全策略：Trust访问Untrust，源地址、目标地址及服务均为any，动作放行。 NAT策略：源地址为内网网段，目标地址为ANY，动作为EasyIP，即转换为接口IP。 基础配置命令行示意如下： interface

查看更多 →

eb网管配置。 配置防火墙通过PPPoE拨号方式接入运营商网络，采用Web网管配置。 配置云化设备注册上线。 配置防火墙注册上线，采用Web网管配置。 配置防火墙下挂的设备注册上线，采用DHCP Option148方式，在云管理平台上配置，配置对象是防火墙。目的是为网关下挂的设备

查看更多 →

DRS是否支持双向实时同步 DRS目前支持MySQL->MySQL的双向同步，为白名单功能，需要提交工单申请才能使用。您可以在管理控制台右上角，选择“工单 > 新建工单”，完成工单提交。 双向同步任务在创建过程对步骤是有严格要求的，请按照以下步骤进行部署，以确保双向任务顺利部署。 先创

查看更多 →

HTTPS双向认证鉴权 使用说明 HTTPS双向认证是客户端和服务端，相互验证对方证书的一种鉴权模式。在调用第三方服务时，AstroZero会携带配置的客户端证书，证书需要向第三方服务申请。目前Rest服务支持配置P12和CRT格式的证书，其他格式需要通过keytool或openssl工具转换。

查看更多 →

CFW防火墙配置防护策略 规则详情 表1 规则详情 参数 说明 规则名称 cfw-policy-not-empty 规则展示名 CFW防火墙配置防护策略 规则描述 CFW防火墙未配置防护策略，视为“不合规”。 标签 cfw 规则触发方式 配置变更 规则评估的资源类型 cfw.cfw_instance

查看更多 →

配置Coordinator定时调度作业 功能描述 周期性执行Workflow类型任务的流程定义文件。 参数解释 “coordinator.xml”中包含的各参数及其含义，请参见表1。 表1 参数含义 参数 含义 frequency 流程定时执行的时间间隔 start 定时流程任务启动时间

查看更多 →

APIG是否支持双向认证？ 专享版：支持。 前端双向认证。在绑定独立 域名 时，选择带有CA证书的SSL证书，开启客户端认证即双向认证。 后端双向认证。在创建API时，配置双向认证，在API网关和后端服务间启用双向认证。配置请参考创建API中的“TLS双向认证”参数说明。 共享版：不

查看更多 →

方向的路由，在VPN设备上的路由指向出接口下一跳公网网关IP。 NAT设置：在VPN设备上关闭本地子网访问云端子网的NAT，即本端子网访问云端子网不做NAT。最后在安全策略中双向放行本地子网和云端子网互访，双向放行云端VPN网关IP与本地VPN设备对接使用的公网IP的UDP500、UDP4500、ESP(IP

查看更多 →

0/24），其余参数可参考购买公网NAT网关。 图8 配置公网NAT网关 为公网NAT网关添加SNAT规则。 为新建的NAT网关添加SNAT规则，才能实现资源组网段下的主机与Internet互相访问。请单击新建的公网NAT网关名称进入配置界面，选择“SNAT规则”页签，单击“添加SNAT规则”。 图9

查看更多 →

配置Coordinator定时调度作业 功能描述 周期性执行Workflow类型任务的流程定义文件。 参数解释 “coordinator.xml”中包含的各参数及其含义，请参见表1。 表1 参数含义 参数 含义 frequency 流程定时执行的时间间隔 start 定时流程任务启动时间

查看更多 →

ny，动作通过。 代理上网网段配置：源接口LAN，源地址为内网网段，目的接口WAN1目标地址为All IP，转换为目的接口地址。 VPN配置过程 登录设备WEB管理界面，在控制台中选择“IPsec VPN配置 ＞ 第三方对接配置”。 安全提议：即配置二阶段提议，选择新增，弹出页签

查看更多 →

避免暴露不必要的网络地址 网络地址对外暴露时，可能会引入安全风险，需要避免暴露不必要的网络地址。 风险等级 高 关键策略 通常对外网络地址需要尽可能集中管控，避免分散暴露，如使用网络服务ELB弹性负载均衡、公网NAT网关、Web云防火墙等作为公网访问入口。 对外的IP地址需要通过安全组

查看更多 →

公网NAT网关 公网NAT网关简介 购买公网NAT网关 管理公网NAT网关 管理SNAT规则 管理DNAT规则

查看更多 →

单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 图3 保存配置 配置天关1 参照步骤1，登录天关1。 参照步骤2，配置Bypass接口对。 参照步骤3，根据数据规划配置云端管理接口。 参照步骤4，配置漏扫和日志审计业务接口，请保证区域1中上报日志的资产与此IP地址路由可达。 参照步骤5，配置设备系统时间。

查看更多 →

日志。 天关/防火墙最大支持的单条日志长度为1024字节，对长度超过1024字节的日志会进行截断。 天关/防火墙与资产之间不允许存在NAT设备，否则可能导致无法解析出资产的实际IP地址。如果企业内部网络存在NAT设备，需要在资产和NAT设备之间部署独立的天关/防火墙，并开启日志审计服务。

查看更多 →

adeCIDRs参数中，从而避免源地址转换，保持数据包的源IP地址为原始Pod地址。 配置非伪装网段的注意事项 如果云服务配置了安全组或ACL，而这些配置仅允许Pod所在节点的IP进行访问，那么在这种场景下就需要进行SNAT，将Pod IP转换成节点IP进行访问，因而服务端所在的

查看更多 →

示例四：配置SNAT的防护规则 本文提供SNAT防护的配置示例，更多参数配置请参见通过添加防护规则拦截/放行流量。 SNAT防护配置 假如您的私网IP为“10.1.1.2”， 通过NAT网关访问的外部域名为“www.example.com”，您可以参照以下参数配置NAT防护，其余参数可根据您的部署进行填写：

查看更多 →