表1 IP地址组关联资源说明 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如图1所示，安全组sg-A的的入方向规则的源地址使用IP地址组ipGroup-A。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如图

查看更多 →

默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。 操作步骤 进入 弹性云服务器 列表页面。 单击管理控制台左上角的，选择区域和项目。 在待配置安全组规则的弹性 云服务器 的“操作”列，单击“网络/安全组 > 安全组规则配置”。 在“安全组规则配置”页面的安全组列表中，单击待

查看更多 →

开启弹性公网IP的IPv6转换后，请务必在安全组的出方向和入方向中放通198.19.0.0/16网段的IP地址，如表3所示。因为IPv6 弹性公网IP采用NAT64技术，入方向的源IP地址经过NAT64转换后，会将IPv6地址转换为198.19.0.0/16之间的某个IPv4地址，源端口随机，目

查看更多 →

企业内部存在NAT转换场景 组网需求 配置思路 数据规划 配置全局白名单 配置天关（USG6502E-C/USG6503E-C） 配置天关（USG6603F-C） 结果验证 父主题： 典型配置案例

查看更多 →

企业项目id，用户支持企业项目后，由企业项目生成的id。 fw_instance_id 是 String 防火墙实例id，创建云防火墙后用于标志防火墙由系统自动生成的标志id，可通过调用查询防火墙实例接口，默认情况下，fw_instance_Id为空时，返回账号下第一个墙的信息；fw_instance

查看更多 →

过与子网关联的出方向/入方向规则控制出入子网的数据流。网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。但是默认网络ACL规则会拒绝所有入站和出站流量，如果此网络ACL和负载均衡所属同一个子网，或者此网络ACL和负载均衡相关联的后端服务

查看更多 →

私网NAT和公网NAT有什么区别？ 私网NAT是实现私网IP与私网IP之间的地址转换。 私网NAT的作用有： 通过私网IP地址转换，解决私网IP地址冲突的问题。 通过私网IP地址转换，满足指定地址接入的需求。 公网NAT是实现私网IP与公网IP之间的地址转换。 公网NAT的作用有：

查看更多 →

参数 说明 目的地址类型 选择“IP地址”。 目的地址 目的地址网段，填写VPC1的IP地址。 说明： 不能与已有路由和VPC下子网网段冲突。 下一跳类型 在下拉列表中，选择类型“企业路由器”。 下一跳 选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。 描述 路由的描述信息，非必填项。

查看更多 →

同一个筛选条件内，入方向规则的优先级不能重复。 一个筛选条件中可以包含多个规则，此时根据规则的优先级，遵循从小到大的顺序匹配。 筛选条件的匹配规则请参见筛选条件的匹配规则。 1 协议类型 此处选择网络协议，支持以下协议： TCP：选择TCP协议，可以自定义源端口范围和目的端口范围。 UDP

查看更多 →

针对全部IPv6协议，允许本安全组内实例的请求进入，即该条规则确保安全组内的实例网络互通。 出方向规则 允许 IPv4 全部 目的地址：0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部IP的所有端口。 出方向规则 允许 IPv6 全部 目的地址：::/0 针对全部IPv6

查看更多 →

安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表5中的源安全区域和目的安全区域为举例说明，请根据资产实际所处的区域配置。 表5 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust

查看更多 →

0/0 对于同一个方向的安全组规则，当类型、协议端口、源地址/目的地址均相同时，不允许这两条规则的策略相反，即不能规则A设置为允许，规则B设置为拒绝，示例如表2所示。 当表格中的规则与安全组内已有规则的策略冲突时，安全组会导入失败，请根据界面提示排查修改。 当表格中的规则策略冲突时，安

查看更多 →

IP），租户网络中的设备可以直接借用AR公网接口的IP地址访问Internet。 DNS 通过AR接入网络的设备能通过DNS 服务器 识别某些 域名 ，自动将其解析为对应的IP地址。 DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。 DNS客

查看更多 →

HANA安全组规则如表1所示。 网段信息与IP地址信息均为示例，请根据实际规划。下面的安全组规则仅是推荐的最佳实践，租户根据自己的特殊要求，可设置自己的安全组规则。 下表中，##表示SAP HANA的实例编号，例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致，SAP HANA实例编号规划请参考SAP

查看更多 →

安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表5中的源安全区域和目的安全区域为举例说明，请根据资产实际所处的区域配置。 表5 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust

查看更多 →

0/24），下一跳选择为接口，接口选择为VPN使用的tunnel口。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 代理ID（待加密数据流的网段）请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多

查看更多 →

安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表5中的源安全区域和目的安全区域为举例说明，请根据资产实际所处的区域配置。 表5 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust

查看更多 →

功能说明：ACL规则的源端口 取值范围：支持端口号，一段端口范围，多个以逗号分隔 约束：支持的端口组的数量默认为20 destination_port 否 String 功能说明：ACL规则的目的端口 取值范围：支持端口号，一段端口范围，多个以逗号分隔 约束：支持的端口组的数量默认为20

查看更多 →

安全组实际是网络流量访问策略，由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则，用来控制流入/流出安全组内实例（如E CS ）的流量。 常见的安全组规则应用场景包括：允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置服务器的特定访问权限等。 使用须知

查看更多 →

HANA安全组规划 网段信息与IP地址信息均为示例，请根据实际规划。下面的安全组规则仅是推荐的最佳实践，租户根据自己的特殊要求，可设置自己的安全组规则。 下表中，##表示SAP HANA的实例编号，例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致，SAP HANA实例编号规划请参考2

查看更多 →

天关2的威胁日志识别区域2的失陷主机。 在出口网关前部署天关1，用于检测非NAT区域（区域1）的威胁事件。 在天关1上将区域2NAT后的地址配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁，同时缓解天关1的检测性能压力。 下图以USG6502E-C的GE0

查看更多 →