功能定位：为什么 SafeW 需要“安全域”

SafeW 把“安全域”定义为「允许发起敏感操作的源网络范围」。开启后，凡超出限定 IP 段的钱包解锁、私钥恢复、Social-Recovery 拆片下载、零知识 2FA 绑定等请求，一律在 TEE 层直接拒绝，客户端仅收到 403 静默日志。相比传统「登录后二次验证」，安全域把防御提前到 TCP 握手阶段，天然免疫撞库与钓鱼链接。

该功能随 v5.2 首次上线，最初只覆盖「私钥恢复」接口；v5.4 把范围扩展到「所有写私钥操作」并支持 IPv6 /56 前缀；v5.4.2 进一步把「观察钱包→离线签名机」的二维码同步也纳入域内校验，形成端到端闭环。

版本演进与兼容性速览

v5.2 → v5.4：从单接口到全写密钥操作

早期版本仅对「Social-Recovery 拆片下载」做 IP 白名单，其他接口仍走账号密码。若你在 v5.2 已启用旧白名单，升级后系统会提示「规则合并」，默认把旧条目同步到「全接口」分组，无需重配，但建议手动检查网段是否过宽。

v5.4.2：二维码同步也受域约束

离线签名机场景下，手机与电脑常处于不同子网。v5.4.2 把二维码同步视为「敏感操作」，若电脑 IP 不在白名单，即使手机端已解锁，也无法推送待签名数据。官方给出的缓解方案是：临时把电脑子网加入「仅本次生效」列表，24 h 后自动过期，兼顾安全与便利。

前置条件与权限模型

1. 你必须是钱包的「Owner」角色；Viewer 与 Auditor 只能读日志，不能改规则。
2. 钱包需处于「已备份」状态（Social-Recovery 或硬件 NFC 至少一种），否则菜单隐藏，防止把自己锁死。
3. 若启用「企业版 SaaS 控制台」，安全域由组织策略继承，个人端仅只读，需联系 IT 在后台推送。

最短操作路径（分平台）

iOS / Android

打开 SafeW → 底栏「我」→ 顶部「安全中心」→「安全域/IP 白名单」。
点击「添加网段」，输入 CIDR（如 192.168.10.0/24），备注「公司 Wi-Fi」。
选择「永久生效」或「24 h 临时」；临时规则到期自动灰置，不删除，方便再次启用。
右上角「立即下发」，等待 5–7 秒 TEE 同步完成，出现绿色对勾即生效。

桌面端（macOS/Windows）

左侧栏「安全」→「网络访问控制」→「安全域」→「+ 添加」。
支持批量粘贴，每行一条 CIDR；若格式错误，输入框实时标红并提示「x.x.x.x/y 仅允许 0–32」。
点击「保存并下发」后需二次 NFC 碰卡，确保私钥不触网。

常见分支与回退方案

分支：动态 IP 场景

家庭宽带每日更换地址，可启用「ISP 前缀白名单」：把运营商 /48 或 /32 整个加入，再打开「地理位置二次校验」（同城 IP 才放行）。经验性观察：/32 级别放行后，日均拦截量下降 87%，但同一城市异网段仍可访问，需权衡。

回退：把自己锁在门外

若因误填导致全员无法登录，使用「社交恢复紧急通道」：任意 3 位好友在 24 h 内依次扫码，即可临时清空安全域规则，并强制进入 12 h 冷却期，期间只能转出至已保存地址，无法改规则，防止社工滥用。

例外与取舍：什么时候不该用

1. 高频出差且需机场/高铁热点签名：IP 变化快，白名单会频繁失效，建议改用「生物识别+硬件卡」提高单设备安全，而非硬拦 IP。
2. 使用 Tor-over-privacy tool 双跳：出口 IP 随机，开启安全域后几乎无法通过，可把「127.0.0.0/8」加入白名单并关闭「地理位置校验」，仅保留本地回路。
3. 企业版强制策略冲突：若后台已推送「仅允许公司出口 2.2.2.0/24」，个人端再添加家庭网段会被标记为「违规」，界面提示「组织策略优先」，此时需提交 IT 工单，个人端无法覆盖。

与第三方 Bot/节点协同

SafeW-Net 节点列表每日更新，若你运行自建 WireGuard 中继，可把节点出口 IP 加入白名单，并在「高级」中勾选「跳过 Geo-IP 校验」。验证方法：切换至自建节点，尝试触发「私钥恢复」→ 应出现「IP 允许」日志；若仍 403，检查 CIDR 是否把 /32 写成 /24。

故障排查：现象→原因→验证→处置

现象	可能原因	验证步骤	处置
离线签名机扫码后空白	电脑 IP 不在白名单	电脑浏览器访问 `https://ip.safe-w.xyz` 看地址	把显示地址/24 加入临时规则
提示「ISP prefix too wide」	输入了 /16 或更大	CIDR 计算器核对掩码	拆成多条 /24，或关闭「前缀宽度检测」
社交恢复提示「好友未上线」	好友端被 IP 拦截	好友查看「安全中心」→「拦截日志」	把好友当前 IP 加入双方白名单

适用/不适用场景清单

✅ 固定办公/家庭 IP 的 DAO 金库管理
✅ 仅通过 SafeW-Net 节点出入的隐私用户
✅ 企业版统一出口，员工无需个人配置
❌ 经常移动热点、跨省直播的 KOL
❌ 需要把私钥分片托管给海外律师的信托场景（IP 跨度大）

最佳实践 6 条

最小粒度：优先 /28 而非 /24，减少攻击面。
双因素：IP 白名单 + 生物识别限额，缺一不可。
临时规则：出差前提前 24 h 添加，结束即删。
命名规范：「地点-运营商-掩码」方便审计。
每月审计：导出 CSV 与 DHCP 分配表比对，回收废弃网段。
冷备份：把白名单截图存加密 U 盘，防社交恢复时无网可查。

FAQ（使用 FAQPage Schema）

安全域规则最多支持多少条？

截至当前最新版本，单钱包上限 200 条 CIDR；企业版控制台可扩展到 2000 条，超出需 API 分批下发。

IPv6 如何填写？

支持 /48 到 /128；移动端输入时双冒号可缩写，但需保持掩码位数，例如 240e::/48。

临时规则到期会通知吗？

会推送系统消息与邮件；若关闭通知，则仅静默灰置，需手动删除。

收尾：下一步行动

读完本文，你应已理解 SafeW 安全域的演进、配置路径与边界。立即打开「安全中心」→「IP 白名单」，把当前常用网络按 /28 粒度录入，再为出差预留 24 h 临时槽位；月底导出 CSV 做一次审计，即可在「零信任」与「可用性」之间取得平衡。若仍担心误拦，可先把「观察钱包」接口排除在外，逐步收紧，直至日志连续 7 日零异常，再切换「全接口」模式，完成最终加固。