限。 为安全区域创建安全组策略 进入运维中心工作台。 在顶部导航栏单击“专项角色”，在下拉列表中选择“基础运维角色”。 单击，选择“运维 > 弹性网络服务（ENS）”。 选择左侧导航栏的“安全规划 > 安全区域配置”。 在安全区域列表中，单击，展开需创建安全组策略的安全区域。 单

查看更多 →

配置旁路检测所需要的安全策略。 选择“网络 > 安全区域”。将GE0/0/1加入trust安全区域。 图3 修改安全区域 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，配置名称为“trust-trust”的安全策略，源安全区域为trust，目的安全区域为trust，反病毒、入

查看更多 →

选择左侧导航栏的“安全规划 > 安全区域规划配置”，默认显示“按安全区域规划”页签。 该页签显示已创建的安全区域。 单击，展开需规划产品的安全区域。 单击“创建”。 配置安全区域规划参数，配置参数如表1所示，配置完成后，单击“确定”。 表1 安全区域规划参数说明 参数名称 参数说明

查看更多 →

选择左侧导航栏的“安全规划 > 安全区域规划配置”，默认显示“按安全区域规划”页签。 该页签显示已创建的安全区域。 单击，展开需规划产品的安全区域。 单击“创建”。 配置安全区域规划参数，配置参数如表1所示，配置完成后，单击“确定”。 表1 安全区域规划参数说明 参数名称 参数说明

查看更多 →

单击，选择“运维 > 弹性网络服务（ENS）”。 选择左侧导航栏的“安全规划 > 安全区域配置”。 在安全区域列表中，单击待导出安全策略的安全区域所在行“操作”列的“导出策略”。 设置需要导出的安全策略数据，单击“确定”。 父主题： 安全规划

查看更多 →

配置FW2 配置接口。 选择“网络 > 接口”。 单击GE0/0/5，按如下参数配置，单击“确定”。 安全区域 untrust 模式 路由 IPv4 IP地址 10.2.1.1/24 参考上述步骤按如下参数配置GE0/0/4接口。 安全区域 trust 模式 路由 IPv4 IP地址

查看更多 →

创建一个安全区，配置如下： 单击“Save”，等待安全区添加成功。 Ranger管理员可在“Security Zone”页面查看当前的所有安全区并单击“Edit”修改安全区的属性信息，当相关资源不需要在安全区中进行管理时，可单击“Delete”删除对应安全区。 在安全区中配置权限策略

查看更多 →

景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 ipsec-tunnel local untrust any any udp: 隧道协商 允许 表3 上行口在trust域，资产在trust域场景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务

查看更多 →

景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 ipsec-tunnel local untrust any any udp: 隧道协商 允许 表3 上行口在trust域，资产在trust域场景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务

查看更多 →

安全策略”，新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作

查看更多 →

配置旁路检测所需要的安全策略。 选择“网络 > 安全区域”。将GE0/0/6加入trust安全区域。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，配置名称为“trust-trust”的安全策略，源安全区域为trust，目的安全区域为trust，反病毒、入侵防御采用云端下发的配置文件，动作为“允许”。

查看更多 →

创建一个安全区，配置如下： 单击“Save”，等待安全区添加成功。 Ranger管理员可在“Security Zone”页面查看当前的所有安全区并单击“Edit”修改安全区的属性信息，当相关资源不需要在安全区中进行管理时，可单击“Delete”删除对应安全区。 在安全区中配置权限策略

查看更多 →

华为乾坤提供以下几种类型的安全域： 信任域：用户信任的安全区域，通常用来定义用户的内部网络，华为乾坤不会对该区域发起的“威胁流量”进行封禁。 混合域：介于信任域和非信任域之间安全区域，属于一个特殊的网络，华为乾坤不会对该区域发起的“威胁流量”进行封禁。 非信任域：属于用户不信任的安全区域，通常用来定义Inte

查看更多 →

景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 ipsec-tunnel local untrust any any udp: 隧道协商 允许 表3 上行口在trust域，资产在trust域场景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务

查看更多 →

配置FW2 配置接口。 选择“网络 > 接口”。 单击GE0/0/5，按如下参数配置，单击“确定”。 安全区域 untrust 模式 路由 IPv4 IP地址 10.2.0.2/24 参考上述步骤按如下参数配置GE0/0/4接口。 安全区域 trust 模式 路由 IPv4 IP地址

查看更多 →

观察端口直连。 选择“网络 > 接口对”。 选中GE0/0/1所在的接口对并删除。 选择“网络 > 接口”。 单击GE0/0/1对应的，按照下图所示配置接口，注意“模式”需要选择“旁路检测”。 选择“网络 > 安全区域”。将GE0/0/1加入trust安全区域。 单击右上角“保存

查看更多 →

安全策略”，新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作

查看更多 →

景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 ipsec-tunnel local untrust any any udp: 隧道协商 允许 表3 上行口在trust域，资产在trust域场景 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务

查看更多 →

规格清单 一级分类 二级分类 规格名称 规格描述 二级等保基本要求 - 安全区域边界的边界防护 天关部署在客户网络的边界，可提供跨越边界的访问和数据流的受控接口通信的能力。 安全区域边界的访问控制 根据访问控制策略在位于网络边界或区域之间的天关上设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。

查看更多 →

。 访问控制 选择访问控制类型。 安全组：使用安全组来控制网络互通策略，一般容器场景下使用。 ACL：使用ACL来控制网络互通策略，仅支持虚拟机场景下使用。 所属安全区域 选择所属安全区域，即隔离域被安全划分到哪个安全区域。 用途 选择隔离域配置用途。 APP：应用类型，用于部署微服务、SLB、D CS 、DMQ等。

查看更多 →

在右上角菜单栏选择“服务配置 > 地址安全域管理”。 在“设备安全域管理”区域，单击设备卡片右上角的，拖动安全区域所在的信任域类型。 将表示用户内网的安全区域（例如trust）拖到信任域，将表示Internet等不安全网络的安全区域（例如untrust）拖到非信任域，华为乾坤将自动对非信任域的IP下发黑名单。

查看更多 →