培训内容 培训内容 说明 物联网的前世今生 物联网概念，发展趋势，AIoT的概念与发展，物联网对政府和企业的重要性 物联网技术与架构 物联网分层架构，物联网与5G，物联网平台及操作系统 物联网应用案例 智慧家庭，智慧园区，智慧城市 华为物联网解决方案 物联网-云平台，物联网-管道，物联网-终端 物联网分享与研讨 生活中的物联网应用，研讨 本培训为线下面授形式，培训标准时长为1天，每班人数不超过20人。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置，负责连接到物联网云平台的设备的自身安全。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和云数据库RDS实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用云数据库RDS实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行通过psql连接实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组，但一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

开启主机安全防护 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 您在使用企业主机安全服务前，需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器，我们提供了不同的安装方式： 场景一：新创建云服务器 购买弹性云服务器，选择部分操作系统的公共镜像时，系统推荐您配套使用企业主机安全服务（Host Security Service, HSS）。 开启“主机安全”需要设置“安全防护”参数： 免费开启主机安全基础防护：开启后，为您的主机提供四大安全防御能力，包括主机安全基础版防御（免费赠送一个月）、账号破解防护、弱口令检测、恶意程序检测等功能。 主机安全基础版免费使用期限结束后，该防护配额将自动释放，停止相应的实时防护能力。 如您需要保留或升级原有安全能力，建议您购买主机安全。详细情况，请参见主机安全的版本功能特性。 购买弹性云服务器时，默认设置该选项。 购买高阶防护：高阶防护属于企业版，需付费使用，支持漏洞修复、病毒查杀、等保必备。 不使用安全防护：若您不需要进行安全防护，可选择此选项。 选择主机安全后系统自动安装主机安全Agent，开启帐号防御，启用主机安全服务的功能。 企业主机安全支持基础版、企业版、旗舰版和网页防篡改版 ，请参考企业主机安全服务版本差异。 若基础版或企业版不满足要求，您可以购买其他版本配额，在企业主机安全控制台切换不同版本，获取更高级的防护，且不需要重新安装Agent。 图1 开通主机安全 场景二：未配置主机安全的云服务器 对于已经创建完成的弹性云服务器，可能由于创建时尚未支持主机安全服务、或未勾选“主机安全基础版”，如需使用主机安全，您需要手动安装Agent。 具体操作请参见手动安装Agent、手动开启防护。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和GaussDB(for MySQL)数据库实例提供访问策略。为了保障数据库的安全性和稳定性，在使用GaussDB(for MySQL)数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接GaussDB(for MySQL)实例时，设置安全组分为以下两种情况： ECS与GaussDB(for MySQL)实例在相同安全组时，默认ECS与GaussDB(for MySQL)实例互通，无需设置安全组规则，执行通过内网连接GaussDB(for MySQL)实例。 ECS和GaussDB(for MySQL)实例必须处于同一VPC内。 ECS与GaussDB(for MySQL)实例在不同安全组时，需要为GaussDB(for MySQL)和ECS分别设置安全组规则。 设置GaussDB(for MySQL)安全组规则：为GaussDB(for MySQL)所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为GaussDB(for MySQL)实例设置相应的入方向规则。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

使用须知 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 目前一个GaussDB(for Cassandra)实例仅允许绑定一个安全组。 内网和公网连接实例时，需要配置的安全组规则请参见表1。 表1 安全组规则说明 场景 配置的安全组规则说明 内网连接实例 使用内网连接GaussDB(for Cassandra)实例时，设置安全组规则分为以下两种情况： ECS与GaussDB(for Cassandra)实例在相同安全组时，默认ECS与GaussDB(for Cassandra)实例互通，无需设置安全组规则。 ECS与GaussDB(for Cassandra)实例在不同安全组时，需要为GaussDB(for Cassandra)和ECS分别设置安全组规则。 设置GaussDB(for Cassandra)安全组规则：为GaussDB(for Cassandra)所在安全组配置相应的入方向规则，具体操作请参见操作步骤。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。具体操作请参见《弹性云服务器用户指南》中“设置安全组规则”章节。 公网连接实例 使用公网连接GaussDB(for Cassandra)实例时，需要为GaussDB(for Cassandra)所在安全组配置相应的入方向规则。具体操作请参见操作步骤。

使用须知 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 目前一个GaussDB(for Influx)实例仅允许绑定一个安全组。 连接实例时，需要配置的安全组规则请参见表1。 表1 安全组规则说明 场景 配置的安全组规则说明 内网连接实例 使用内网连接GaussDB(for Influx)实例时，设置安全组规则分为以下两种情况： ECS与GaussDB(for Influx)实例在相同安全组时，默认ECS与GaussDB(for Influx)实例互通，无需设置安全组规则。 ECS与GaussDB(for Influx)实例在不同安全组时，需要为GaussDB(for Influx)和ECS分别设置安全组规则。 设置GaussDB(for Influx)安全组规则：为GaussDB(for Influx)所在安全组配置相应的入方向规则，具体操作请参见操作步骤。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。具体操作请参见《弹性云服务器用户指南》中“设置安全组规则”章节。 公网连接实例 使用公网连接GaussDB(for Influx)实例时，需要为GaussDB(for Influx)所在安全组配置相应的入方向规则。具体操作请参见操作步骤。

访问GaussDB(for MySQL)实例应该如何配置安全组 通过内网访问GaussDB(for MySQL)实例时，设置安全组分为以下两种情况： ECS与GaussDB(for MySQL)实例在相同安全组时，默认ECS与GaussDB(for MySQL)实例互通，无需设置安全组规则。 ECS与GaussDB(for MySQL)实例在不同安全组时，需要为GaussDB(for MySQL)和ECS分别设置安全组规则。 设置GaussDB(for MySQL)安全组规则：为GaussDB(for MySQL)所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性公网IP访问GaussDB(for MySQL)实例时，需要为GaussDB(for MySQL)所在安全组配置相应的入方向规则。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 选择“网络 > 接口”。 单击GE0/0/1对应的，按照下图所示配置接口，注意“模式”需要选择“旁路检测”。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置旁路检测所需要的安全策略。 选择“网络 > 安全区域”。将GE0/0/1和对应VLAN都加入trust安全区域。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，配置名称为“trust-trust”的安全策略，源安全区域为trust，目的安全区域为trust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

删除安全组有何约束？ 删除安全组前，需要确认安全组未被云资源（云服务器、云容器、云数据库等）使用。如果安全组被云资源使用，请先释放对应云资源或者修改云资源使用的安全组，然后再尝试删除安全组。 删除安全组时，若该安全组被另一个安全组规则关联（“源地址”选择为该安全组），需先删除或修改关联的安全组规则，然后再尝试删除该安全组。 系统自带的默认安全组不能删除。 当安全组被除服务器和扩展网卡之外的资源关联时，此安全组无法删除。 当安全组无法删除时，需要排查安全组关联的实例，详细内容请参见如何排查安全组关联的实例？。

操作步骤 创建SAP 安全组。 在网络控制台，选择“访问控制 > 安全组”，然后单击“创建安全组”。 根据界面提示，创建安全组。 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“sg_sap_”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目，例如：SAP。 单击“确定”，完成安全组的创建。在刚创建的安全组“操作列”，单击“配置规则”，然后添加入方向规则，需要添加的端口请参见创建安全组

背景介绍 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。 云堡垒机实例创建成功后，安全组不能更改，但相应安全组规则可以修改。 为确保云堡垒机正常连接资源，ECS主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问，资源安全组配置可参考ECS安全组配置。 云堡垒机正常使用，实例和资源安全组端口配置可参考使用云堡垒机时需要配置哪些端口？。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

修订记录 发布日期 修改说明 2022-05-12 第四十五次正式发布。 新增数据库安全审计和RDS SQL审计有什么区别？。 新增同一区域可以购买多少个数据库安全审计实例？。 优化部分常见问题描述。 2022-03-18 第四十四次正式发布。 新增购买实例时为何要选择VPC？。 新增云服务首页提示DBSS服务预测容量不足如何处理？。 2021-11-03 第四十三次正式发布。 修改部分常见问题的问答描述。 数据库安全服务支持哪些性能规格？，更新支持的硬盘规格。 2021-10-20 第四十二次正式发布。 修改部分常见问题的问答描述。 新增数据库安全审计可以审计不同VPC的数据库吗？。 数据库安全审计的Agent可以安装在哪些Linux操作系统上？，新增Agent支持以下版本的操作系统： Fedora 29 (64bit) Fedora 30 (64bit) SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) Euler 2.5 (64bit) OpenEuler 20.03 (64bit) Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin 7.0 (64bit) Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Server 20 Enterprise (64bit) 2021-08-20 第四十一次正式发布。 修改部分常见问题的问答描述。 新增章节如下： DBSS服务能否对第三方工具执行的SQL语句进行捕捉？ DBSS服务是否支持线下部署？ 数据库安全服务实例所属VPC是否可以更改？ 如何对接DBSS服务审计的数据？ 2021-07-15 第四十次正式发布。 修改服务入口导航，将“安全”修改为“安全与合规”。 2021-06-29 第三十九次正式发布。 新增章节如下： 数据库安全服务是否支持数据实时脱敏？ 购买DBSS服务后添加的数据库不在同一子网有什么影响？ Agent安装失败如何处理？ Agent安装报错“unsupport this Linux version, please check your Linux version with install document!”如何解决？ 2021-04-19 第三十八次正式发布。 数据库安全审计的Agent可以安装在哪些Linux操作系统上？，新增Agent支持CentOS 7.9、CentOS 8.1、CentOS 8.2和Debian 10.0.0版本。 2021-04-01 第三十七次正式发布。 “数据库安全防护”相关内容下线。 2021-03-22 第三十六次正式发布。 新增Agent运行时会消耗安装节点多少资源？ 如何配置数据库安全审计？，优化相关内容描述。 数据库安全审计运行正常但无审计记录，新增关闭SQL SERVER协议的强行加密Section。 2021-02-25 第三十五次正式发布。 如何获取数据库安全服务销售许可证？，新增解除浏览器拦截。 2021-01-19 第三十四次正式发布。 新增数据库安全审计的审计日志支持直接转存OBS吗？。 2020-12-18 第三十三次正式发布。 如何处理Agent与数据库安全审计实例之间通信异常？，优化添加入方向安全组规则。 无法使用数据库安全审计，优化添加入方向安全组规则。 2020-08-31 第三十二次正式发布。 如何获取数据库安全服务销售许可证？，新增销售许可证下载链接。 2020-07-20 第三十一次正式发布。 数据库安全审计的审计日志是否支持备份？，新增备份日志说明。 2020-06-29 第三十次正式发布。 如何为数据库安全服务续费？，优化相关内容描述。 如何退订数据库安全服务？，优化相关内容描述。 2020-06-08 第二十九次正式发布。 在业务侧使用中间件会影响数据库安全审计功能吗？，优化相关内容描述。 2020-05-20 第二十八次正式发布。 新增在业务侧使用中间件会影响数据库安全审计功能吗？ 2020-04-22 第二十七次正式发布。 数据库安全审计的Agent可以安装在哪些Linux操作系统上？，新增Agent支持CentOS 7.6（64bit）版本。 2020-04-21 第二十六次正式发布。 新增“如何获取数据库安全服务销售许可证？” 2020-03-16 第二十五次正式发布。 调整了文档大纲，并新增以下章节： 如何修改Agent的CPU和内存的阈值？ 如何安装Agent（Linux操作系统）？ 如何安装Agent（Windows操作系统）？ 如何处理Agent与数据库安全审计实例之间通信异常？ 2020-03-03 第二十四次正式发布。 修改“在专属云上购买数据库安全服务会消耗专属云上的资源吗？”，调整审计消耗资源说明。 2020-02-21 第二十三次正式发布。 新增数据库安全审计的Agent可以安装在哪些Windows操作系统上？ 修改以下数据库安全审计Windows相关描述： 6.1.7-数据库安全服务的直路和旁路模式审计支持哪些操作系统？ 数据库安全审计Agent的进程名称是什么？ 如何下载数据库安全审计的Agent？ 如何查看数据库安全审计Agent的运行状态？ 如何卸载数据库安全审计Agent程序？ 2020-01-06 第二十二次正式发布。 新增以下常见问题： 活动监控策略的“修改”受监控动作，可以审计新增和修改动作吗？ 提示“远程日志数据库连接断开，数据不可用”，如何处理？ 数据库安全审计可以跨可用区使用吗？ “待审计的RDS如果连接了多台ECS，如何部署Agent？” 2019-12-23 第二十一次正式发布。 更新Console界面截图。 2019-11-30 第二十次正式发布。 新增以下常见问题： 数据库安全审计的Agent提供哪些功能？ 数据库安全审计的Agent可以安装在哪些Windows操作系统上？ 数据库安全审计的Agent可以安装在哪些Linux操作系统上？ 2019-11-12 第十九次正式发布。 新增以下常见问题。 什么是数据库安全防护？ 数据库安全审计的日志处理机制是什么？ 数据库安全审计支持多个账号共享使用吗？ 如何配置数据库安全审计？ 如何下载数据库安全审计的Agent？ 数据库安全审计支持TLS连接的应用吗？ 当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ 如何验证已完成数据库安全审计配置？ 如何查看数据库安全审计的用户操作日志？ 数据库安全防护会自动添加5000端口到安全组吗？ 如果PC通过内网访问RDS（即应用端在云下），如何使用数据库安全审计？ 如何处理界面提示“IP地址、端口号或实例名称无效”？ 如何为RDS购买数据库安全服务？ 2019-11-05 第十八次正式发布。 新增以下常见问题。 数据库安全服务的直路和旁路模式审计支持哪些操作系统？ 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？ 数据库安全审计（旁路模式）是否会影响业务？ 为什么不能在线预览数据库安全审计报表？ 数据库安全防护是否支持一键查询所有DDL语句或者DML语句？ 是否可以更改数据库安全防护实例的网段？ 是否需要配置多个日志存储位置？ 数据库安全防护可以跨区域使用吗？ 使用HexaTier访问被保护的数据库时，使用的是哪个IP地址？ 如何对所有数据库设置数据库安全审计规则？ 如何设置数据库安全审计的INSERT审计策略？ 购买实例时如何选择“子网”？ 2019-10-24 第十七次正式发布。 新增如何选择数据库安全审计的Agent安装节点？。 新增如何关闭数据库SSL？。 新增添加Agent时，在什么场景下需要选择“选择已有Agent”添加方式？。 2019-10-16 第十六次正式发布。 新增数据库安全审计可以跨区域使用吗？。 2019-09-06 第十五次正式发布。 新增在专属云上购买数据库安全服务会消耗专属云上的资源吗？。 新增“数据库安全防护的审计和数据库安全审计功能有哪些区别？”。 2019-08-29 第十四次正式发布。 新增“如何修改数据库安全防护实例的安全组？”。 新增“如何登录HexaTier?”。 2019-08-26 第十三次正式发布。 新增什么是区域、可用区？。 2019-08-21 第十二次正式发布。 修改“常见问题”章节，优化操作入口描述。 2019-08-01 第十一次正式发布。 修改如何为数据库安全服务续费？，更新界面截图以及优化相关内容描述。 2019-07-30 第十次正式发布。 新增数据库安全服务支持哪些性能规格？。 2019-07-22 第九次正式发布。 新增“如何购买定制版数据库安全服务？”。 新增如何为数据库安全服务续费？。 新增如何退订数据库安全服务？。 2019-06-14 第八次正式发布。 修改“忘记HexaTier初始登录密码时如何处理？”，修改相关内容描述。 2019-05-16 第七次正式发布。 修改哪些区域可以使用数据库安全服务？，优化相关内容描述。 2019-01-15 第六次正式发布。 调整文档大纲，优化内容描述。 2018-12-25 第五次正式发布。 新增以下常见问题： 什么是数据库安全审计？ 数据库安全审计可以应用于哪些场景？ 数据库安全审计支持哪些数据库？ 数据库安全审计支持数据库部署在哪些操作系统上？ 数据库安全审计支持双向审计吗？ 数据库安全审计Agent客户端的进程名称是什么？ 数据库安全审计Agent客户端日志的保存在哪里？ 数据库安全审计的操作日志默认保存多久？ 数据库安全审计的审计数据默认保存多久？ 数据库安全审计的审计日志是否支持备份？ 数据库安全审计的操作日志是否可以迁移？ 数据库安全审计发生异常，多长时间用户可以收到告警信息？ 每天发送告警总条数与每天收到的邮件数是相同的吗？ 如何查看数据库的Agent程序的运行状态？ 如何查看数据库安全审计的版本信息？ 如何查看数据库安全审计所有的告警信息？ 2018-10-15 第四次正式发布。 优化部分内容描述。 2018-07-19 第三次正式发布。 新增哪些区域可以使用数据库安全服务？。 2017-11-02 第二次正式发布。 新增“数据库安全服务可以提供哪些关键的精细化功能？” 新增“数据库安全服务的配置流程是什么？” 新增“数据库安全服务是否需要MySQL的root用户权限？” 新增“数据库安全服务产生的日志是否可以导入用户自己的日志分析平台？” 新增“使用数据库安全服务需要对业务侧进行哪些配置？” 新增“数据库安全服务防护与Web应用防火墙的SQL注入防护有哪些区别？” 新增“动态数据脱敏功能是否会修改数据库的原始数据？” 新增“数据库安全服务是否对用户业务有延时影响？” 2017-09-15 第一次正式发布。

等保2.0三级要求—安全管理制度 表18 安全管理制度风险项检查项目 检查子项目 检查项目 安全策略 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。 管理制度 应对安全管理活动中的各类管理内容建立安全管理制度。 应对管理人员或操作人员执行的日常管理操作建立操作规程。 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 制定和发布 应指定或授权专门的部门或人员负责安全管理制度的制定。 安全管理制度应通过正式、有效的方式发布，并进行版本控制。 评审和修订 应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

安全组简介 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则保护。安全组默认出方向放行，并且安全组内的云服务器可以相互访问。 安全组使用流程： 创建安全组 华为云提供默认安全组。系统提供默认安全组，默认出方向全部放通，入方向访问受限。如果默认安全组不能满足您的实际需求，您可以创建新的安全组。 了解默认安全组？ 如何创建安全组？ 添加安全组规则 您可根据业务需求为安全组添加出、入方向规则。如何添加安全组规则？ 入方向：指从外网访问安全组规则下的实例。 出方向：指安全组规则下的实例访问外网。 如需远程登录弹性云服务器，请放通SSH(22)和RDP(3389)协议端口。 关联实例 将云服务、扩展弹性网卡等实例加入到安全组中，使实例受到安全组的保护。 如何关联实例？

主机安全 等保合规 主机安全是等保合规的关键项，主机安全服务提供的入侵检测功能，能协助各企业保护企业云服务器账户、系统的安全。 申请等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 统一安全管理 主机安全服务提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 安全风险评估 对主机系统进行安全评估，将系统存在的各种风险（账户、端口、软件漏洞、弱口令等）进行展示，提示用户及时加固，消除安全隐患。 账户安全保护 提供覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录，防止用户云服务器上的账户遭受暴力破解攻击，提高云服务器的安全性。 主动安全防御 通过清点主机安全资产，管理主机漏洞与不安全配置，预防安全风险；通过网络、应用、文件主动防护引擎主动防御安全风险。 黑客入侵检测 提供主机全攻击路径检测能力，能够实时、准确地感黑客知入侵事件，并提供入侵事件的响应手段，对业务系统“零”影响，有效应对APT攻击等高级威胁。

数据库安全服务-成长地图 | 华为云 数据库安全服务 数据库安全服务（Database Security Service，DBSS）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 产品介绍 图说DBSS 图说ECS 立即使用 成长地图 由浅入深，带您玩转DBSS 01 了解 在使用DBSS前，您可以先了解数据库安全服务的功能特性和使用场景。 产品介绍 什么是DBSS 功能特性 产品优势 03 入门 购买数据库安全服务后，您可以参照配置流程，快速使用数据库安全审计。 数据库安全审计 数据库安全审计配置流程 快速使用数据库安全审计 05 实践 您可以根据业务需求，使用数据库安全审计，保障您的云上数据库安全。 保障数据库安全 ECS自建数据库审计 RDS关系型数据库审计 容器化部署数据库安全审计Agent 06 API 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 API文档 什么是ECS 创建容器应用基本流程 快速创建一个kubernetes集群 3分钟创建一个游戏类容器应用 3分钟创建一个游戏类容器应用 02 购买 您可以根据业务需求，灵活选择购买数据库安全服务的服务版本。 服务版本 服务版本规格 购买方式 价格详情 如何续费 快速购买 购买数据库安全审计 04 使用 在开启数据库安全审计后，您可以根据业务需求配置数据库审计规则。除此之外，您还可以通过查看数据库的审计报表，及时了解云上数据库的安全状况。 数据库安全审计常用操作 添加数据库并开启审计 添加Agent 安装Agent 查看审计结果 数据库安全审计规则 添加审计范围 启用或禁用SQL注入检测 添加风险操作 配置隐私数据保护规则 常见问题 了解更多常见问题、案例和解决方案 热门案例 数据库安全服务支持哪些类型的数据库？ 如何选择数据库安全审计的Agent安装节点？ 数据库安全服务可以对华为云上的哪些数据库提供保护？ 数据库安全审计可以跨区域使用吗？ 哪些区域可以使用数据库安全服务？ 数据库安全审计运行正常但无审计记录 如何验证已完成数据库安全审计配置？ 更多 数据库安全审计功能 数据库安全审计是否会影响业务？ 数据库安全审计支持多个账号共享使用吗？ 数据库安全审计支持哪些数据库？ 数据库安全审计支持双向审计吗？ 数据库安全审计支持TLS连接的应用吗？ 更多 数据库安全审计日志 数据库安全审计的操作日志默认保存多久？ 数据库安全审计的审计数据可以保存多久？ 数据库安全审计的审计日志是否支持备份？ 如何查看数据库安全审计的用户操作日志？ 更多 数据库安全审计Agent 数据库安全审计Agent客户端日志的保存在哪里？ 数据库安全审计Agent客户端的进程名称是什么？ 如何下载数据库安全审计的Agent？ 添加Agent时，在什么场景下需要选择“选择已有Agent”添加方式？ 当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ 如何卸载数据库安全审计Agent程序？ 更多 故障排查 Agent与数据库安全审计实例之间通信异常 数据库安全审计运行正常但无审计记录 无法使用数据库安全审计 更多 技术专题 技术、观点、课程专题呈现 数据库安全服务技术分享会 了解数据库安全服务的架构、使用场景和功能特性 云安全的可信之路 如果未来可以预见，我们一起预见云安全的可信之路 一门课入门DBSS 学习了解华为云数据库安全服务技术原理和应用场景等，并掌握其使用方法 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

安全架构 全栈专属服务架构是根据业界最佳实践，并结合华为自身多年来的项目积累，提取经验中的精华进行设计的。安全架构的设计目标是全面满足用户业务的安全、可靠以及数据完整等安全需求，向客户提供全栈立体安全防御。 可靠性：全栈专属服务整体架构中的安全设备、安全系统的核心部件均采用高可靠性的设计方案，即采用双机热备的方式进行部署，以满足数据中心业务长期运作的安全保障需求。 模块化：全栈专属服务架构从物理层安全、网络安全、主机安全、应用安全、虚拟化安全、用户安全六大块内容进行设计。安全架构可以根据客户实际的需求，快速组合，形成满足用户实际需求的安全体系，更具针对性。 易扩展：全栈专属服务架构是为满足用户的安全需求而提出的一个指导性框架。用户可以根据该指导性框架，结合其不同时期的安全需求进行相应的安全建设，在满足用户安全需求的同时保护了用户的投资。 图1 全栈专属服务安全架构 全栈专属服务的主要安全测评及认证包括：CSA STAR 金牌认证、CSA C-STAR、ISO/IEC 27001、ISO/IEC 27017、CC EAL3+ 、PCI DSS、公安部等保三级、中国DC联盟可信云服务认证。

数据库安全审计Agent相关 数据库安全审计的Agent提供哪些功能？ 数据库安全审计的Agent可以安装在哪些Windows操作系统上？ 数据库安全审计的Agent可以安装在哪些Linux操作系统上？ 数据库安全审计Agent的进程名称是什么？ （Linux操作系统）安装Agent时没有安装脚本执行权限，如何处理？ （Linux操作系统）数据库安全审计Agent客户端日志保存在哪里？ 添加Agent时，在什么场景下需要选择“选择已有Agent”添加方式？ 当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ 待审计的RDS如果连接了多台ECS，如何部署Agent？ 如何选择数据库安全审计的Agent安装节点？ 如何运行数据库安全审计Agent程序？ 如何查看数据库安全审计Agent的运行状态？ 如何下载数据库安全审计的Agent？ 如何卸载数据库安全审计Agent程序？ 如何修改Agent的CPU和内存的阈值？ 如何安装Agent（Linux操作系统）？ 如何安装Agent（Windows操作系统）？ 如何处理Agent与数据库安全审计实例之间通信异常？ Agent运行时会消耗安装节点多少资源？ Agent安装失败如何处理？ Agent安装报错“unsupport this Linux version, please check your Linux version with install document!”如何解决？

常见问题 产品咨询类 如何获取数据库安全服务销售许可证？ 数据库安全审计是否支持审计云下数据库和非华为云数据库？ 数据库安全服务是否支持数据实时脱敏？ 数据库安全审计支持双向审计吗？ 购买DBSS服务后添加的数据库不在同一子网有什么影响？ 数据库安全审计可以审计不同VPC的数据库吗？ 数据库安全服务实例所属VPC是否可以更改？ 购买实例时提示配额不足时如何处理？ 如何为数据库安全审计续费？ 如何退订数据库安全服务？ Agent相关问题 数据库安全审计Agent的进程名称是什么？ 当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ Agent安装失败如何处理？ 如何修改Agent的CPU和内存的阈值？ 如何卸载数据库安全审计Agent程序？ 如何查看数据库安全审计Agent的运行状态？ （Linux操作系统）安装Agent时没有安装脚本执行权限，如何处理？ 日志相关问题 数据库安全审计的日志处理机制是什么？ （Linux操作系统）数据库安全审计Agent客户端日志保存在哪里？ 备份的数据库安全审计日志可以下载到本地吗？ 数据库安全审计的操作日志是否可以迁移？ 数据库安全审计的审计日志支持直接转存OBS吗？ 操作与故障排查 如何关闭数据库SSL？ PC通过内网访问RDS（即应用端在云下）时，如何使用数据库安全审计？ 数据库安全审计运行正常但无审计记录如何处理？ 如何对接DBSS服务审计的数据？

操作步骤 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入“数据库列表”界面。 在“选择实例”下拉列表框中，选择需要添加安全组规则的数据库所属的实例。单击数据库左侧的展开Agent的详细信息，记录Agent安装节点IP信息。 在数据库列表的上方，单击“添加安全组”。在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default）。 单击“前往处理”，进入“安全组”列表界面。在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“基本信息”页面。选择“入方向规则”，检查安全组的入方向规则。 请检查该安全组的入方向规则是否已为2的安装节点IP配置了TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 如果该安全组已配置安装节点的入方向规则，请执行下载并安装Agent。 如果该安全组未配置安装节点的入方向规则，请执行6。 为安装节点添加入方向安全规则。 在入方向规则页面，单击“添加规则”。 在“添加入方向规则”对话框中，为安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 单击“确定”，完成添加入方向规则。 安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能开启数据库安全审计功能。

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和云数据库RDS实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用云数据库RDS实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行通过内网连接RDS for MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

配置云堡垒机安全组 登录云堡垒机实例管理控制台。 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。 也可在“安全组”选项框内选择合理配置的安全组。 单击“创建安全组”，创建一个新的安全组，详细指导请参见创建安全组。 单击“操作”列中的“配置规则”，为安全组添加安全组规则，详细指导请参见添加安全组规则。 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。 根据云堡垒机使用组网场景配置安全规则，参考表1配置。 完成安全组规则配置，返回“购买云堡垒机服务”页面，选择指定安全组，合理配置其他参数后创建实例。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表 企业版服务说明。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和云数据库RDS实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用云数据库RDS实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

安全组规划 网段信息与IP地址信息均为示例，请根据实际规划。下面的安全组规则仅是推荐的最佳实践，用户根据自己的特殊要求，可设置自己的安全组规则。 下表中，##表示SAP HANA的实例编号，例如“00”。此处需要与安装SAP HANA软件时指定的实例编号保持一致。 更多有关于SAP需要访问的特定端口和相应安全组规则，请参见 SAP 官方文档。 表6 安全组规则（SAP B1） 源地址/目的地址 协议 端口范围 说明 入方向 10.0.2.0/24 TCP 139 安装应用时获取文件所使用的端口。 10.0.2.0/24 TCP 3##15 业务平面所使用的端口。 10.0.2.0/24 TCP 4##00 业务平面所使用的端口。 10.0.2.0/24 TCP 5##00 业务平面所使用的端口。 系统自动指定。 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 出方向 全部 全部 全部 系统默认创建的安全组规则。 允许SAP HANA访问全部对端。 表7 安全组规则（SAP B1 Client） 源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定。 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 出方向 全部 全部 全部 系统默认创建的安全组规则。 允许SAP HANA访问全部对端。

如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙） 如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙） 请按照如下步骤配置。 新建反病毒配置文件AV_default、入侵防御配置文件IPS_default，在配置业务需要的安全策略时需要引用此处新建的配置文件。 选择“对象 > 安全配置文件 > 反病毒”，按照下图所示新建反病毒配置文件AV_default，并单击“确定”。 在提示界面按照下图所示操作，并单击“确定”。 选择“对象 > 安全配置文件 > 入侵防御”，按照下图所示新建入侵防御配置文件IPS_default。 继续单击上图中的“新建”，按照下图所示为IPS_default配置签名过滤器，并单击“确定”。 在提示界面按照下图所示操作，并单击“确定”。 单击界面右上角的“提交”，提交安全配置文件进行激活，激活后才能生效。 配置业务需要的安全策略。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，按照如下顺序依次配置名称为“untrust-trust”、“trust-untrust”、“local-cloud”、“rule_iss_dns”的安全策略。 配置名称为“untrust-trust”的安全策略，源安全区域为untrust，目的安全区域为trust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置名称为“trust-untrust”的安全策略，源安全区域为trust，目的安全区域为untrust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置名称为“local-cloud”的安全策略，源安全区域为local，目的安全区域为untrust，服务选择any，动作为“允许”。 配置名称为“rule_iss_dns”的安全策略，源安全区域为local，目的安全区域为trust、untrust，服务选择dns，动作为“允许”。

操作步骤 登录管理控制台。 选择“计算 > 云耀云服务器”。 在云耀云服务器列表，单击待变更安全组规则的云耀云服务器名称。 系统跳转至该云耀云服务器详情页面。 选择“安全组”页签，并单击“更改安全组”。 系统弹窗显示“更改安全组”页面。 图1 更改安全组 根据界面提示，在下拉列表中选择待更改安全组的网卡，并重新选择安全组。 您可以同时勾选多个安全组，此时，云耀云服务器的访问规则遵循几个安全组规则的并集。如需创建新的安全组，请单击“新建安全组”。 使用多个安全组可能会影响云耀云服务器的网络性能，建议您选择安全组的数量不多于5个。 单击“确定”。

主机安全 主机安全是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 主机安全的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

安全组规则修改 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

大型企业集团多分支互联场景 大型企业集团业务一般遍及全国，在全国多省市设有分支，且分支之间业务来往频繁。此类型企业一般在集团总部设有小型的网络安全部门，安全投资主要依赖安全厂商或集成商进行建设，从厂商或服务商购买驻场服务。由于驻场服务人员的能力有限、分支基本没有专门的安全运维人力、分支之间互联网数据传输频繁等原因，导致集团整体的安全状况堪忧，可能轻易就被普通水平的黑客攻陷。 此类型企业安全建设的主要诉求包括： 简化本地运维：受限于安全运维人力成本，无法为每个分支派驻安全运维人力或购买驻场服务，即使为分支购买了驻场服务，由于驻场服务人员的能力有限，也难以达成安全效果。 实现统一防护：能够对分支机构网络防护全部覆盖，可以统筹分析全集团的安全事件，并统一响应、及时阻断威胁，同时集团总部能够及时了解每个分支的安全状况。 图2 大型企业集团多分支互联场景 采用边界防护与响应服务可以实现： 利用云端的智能分析和处置能力提升自动运维效率，自动拦截威胁，云端安全专家资源7*24小时在线服务，解决复杂网络安全问题，有效简化本地运维。 通过在每个分支的互联网边界处部署一台天关作为安全防御节点，结合云端的安全服务实现对所有分支网络的统一防护。 借助云端对安全事件的统筹分析，及时自动响应阻断威胁，并将安全告警通过邮件发送至总部安全管理员，总部安全管理员可针对性进行应急响应，解决严重的失陷主机事件。总部安全管理员借助全局安全服务周报、月报了解整体的网络安全态势，把握全集团的网络安全动态。

操作步骤 申请子网。 登录公有云管理控制台。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 在左侧导航栏，单击“子网” 在页面右上角，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 虚拟私有云：选择SAP HANA所在的VPC。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络平面规划~安全组规划配置子网网段。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.a～1.f，按照网络平面规划~安全组规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP S/4HANA、NAT Server和SAP HANA创建安全组。 在左侧导航栏，单击“访问控制 > 安全组”，并在右上角单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目， 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“访问控制 > 安全组”，在安全组列表中，单击待添加访问规则的安全组名称。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照安全组规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

可以修改GaussDB(DWS) 集群的安全组吗？ 可以修改当前安全组。GaussDB(DWS) 集群一旦创建成功，其安全组将不能更改为其他安全组，但是您可以编辑和修改当前的安全组，在当前的安全组中添加、删除或修改安全组规则。 您可以通过如下步骤编辑集群的安全组： 登录GaussDB(DWS) 管理控制台。 在左侧导航树，单击“集群管理”。 在集群列表中找到所需要的集群，然后单击集群名称。 在“集群详情”页面中，找到“安全组”参数，单击安全组名称进入安全组详情页面，您可以对安全组进行设置。

操作步骤 创建SAP 安全组。 在网络控制台，选择“访问控制 > 安全组”，然后单击“创建安全组”。 图1 创建安全组 根据界面提示，创建安全组。 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“sg_sap_”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目，例如：SAP。 图2 创建安全组 单击“确定”，完成安全组的创建。 在刚创建的安全组“操作列”，单击“配置规则”，然后添加入方向规则，需要添加的端口请参见表 2.1.2 安全组规划。 图3 配置规则

帮助面板二级页面 数据库安全服务简介 功能特性 使用约束 购买数据库安全审计 添加数据库 添加Agent 添加安全组规则 下载并安装Agent 开启数据库安全审计 配置审计规则 设置告警通知 查看监控信息 备份和恢复数据库审计日志 如何获取数据库安全服务销售许可证？ 数据库安全审计是否支持审计云下数据库和非华为云数据库？ 数据库安全服务是否支持数据实时脱敏？ 数据库安全审计支持双向审计吗？ 购买DBSS服务后添加的数据库不在同一子网有什么影响？ 数据库安全审计可以审计不同VPC的数据库吗？ 数据库安全服务实例所属VPC是否可以更改？ 购买实例时提示配额不足时如何处理？ 如何为数据库安全审计续费？ 如何退订数据库安全服务？ 数据库安全审计Agent的进程名称是什么？ 当数据库安全审计Agent的运行状态为“休眠中”时，如何处理？ Agent安装失败如何处理？ 如何修改Agent的CPU和内存的阈值？ 如何卸载数据库安全审计Agent程序？ 如何查看数据库安全审计Agent的运行状态？ （Linux操作系统）安装Agent时没有安装脚本执行权限，如何处理？ （Linux操作系统）数据库安全审计Agent客户端日志保存在哪里？ 数据库安全审计的日志处理机制是什么？ 备份的数据库安全审计日志可以下载到本地吗？ 数据库安全审计的操作日志是否可以迁移？ 数据库安全审计的审计日志支持直接转存OBS吗？ 如何关闭数据库SSL？ PC通过内网访问RDS（即应用端在云下）时，如何使用数据库安全审计？ 数据库安全审计运行正常但无审计记录如何处理？ 如何对接DBSS服务审计的数据？

态势感知-成长地图 | 华为云 安全云脑 安全云脑（Cloud Security Brain，CSB）是华为云安全运营管理中心，通过收集全网的资产漏洞信息、安全合规信息、安全日志和事件告警等综合评估，提供云安全态势感知，发现高级安全事件，通过安全响应剧本实现安全事件及时闭环，助您提升云安全运营处置的效率。 免费体验 图说CSB 图说ECS 立即使用 成长地图 由浅入深，带您玩转CSB 01 了解 了解安全云脑功能特性、工作原理和应用场景，助您快速熟悉安全云脑业务范围，准确获悉全局安全攻击态势。 产品介绍 功能介绍 应用场景 工作原理 产品介绍 功能介绍 应用场景 工作原理 03 入门 为可视化全局安全态势，您需配置“授权设置”和“扫描任务”获取主机安全数据，同时还可以配置告警发送威胁通知。 授权设置 主机授权 扫描任务 设置基线扫描时间 启动扫描任务 告警设置 通知告警 告警监控设置 05 实践 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 部署web环境 什么是ECS 06 API 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 API文档 什么是ECS 02 购买 针对不同安全威胁检测需求，您可以选择购买安全云脑标准版、态势大屏、智能分析、安全响应，呈现资产安全状态，评估全局威胁风险。 快速购买 购买CSB标准版 续订CSB标准版 计费详情 CSB价格详情 自定义购买 什么是ECS 04 使用 安全云脑检测云上安全风险，还原攻击历史，感知攻击现状，预测攻击态势，您可以通过查询和查看可视化安全态势数据，并获取强大的安全威胁发生事前、事中、事后的处理建议。 总览 CSB总览 威胁告警 查看告警 威胁分析 漏洞管理 主机漏洞扫描 网站漏洞扫描 应急漏洞扫描 基线检查 云服务基线 常见问题 了解更多常见问题、案例和解决方案 热门案例 为什么没有看到攻击数据或者看到的攻击数据很少？ 安全云脑生成威胁告警的数据来源是什么？ 如何获取风险程度最高的资产信息? 安全云脑可以为我提供什么服务？ 安全云脑如何收费？ 安全云脑支持续费吗？ 安全云脑支持退订吗？ 安全云脑与其他安全服务之间的关系与区别？ 更多 云服务器卡顿 应用容器化改造介绍 更多 磁盘相关 应用容器化改造介绍 更多 技术专题 技术、观点、课程专题呈现 云安全助你甩掉90%安全烦恼 介绍重点安全服务，关键特性和应用实践 华为云安全发展之路 介绍华为云安全可信发展之路和未来展望 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

安全检测 物联网平台提供安全检测能力，可持续检测设备的安全威胁。本文介绍具体的安全检测项，及如何查看并处理检测出的安全风险。 检测项说明 检测项 说明 设备侧使用非加密方式接入 设备与物联网平台之间，未使用加密协议建立安全连接，可能导致中间人劫持、重放攻击，会对业务造成影响。 使用不安全的TLS版本协议 不安全的TLS协议版本（TLS v1.0、v1.1）存在可被利用的安全漏洞，可能会造成设备数据泄露等安全风险。 使用不安全的加密算法套件 当前主要检测包含以下几种不安全的加密算法套件： TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA, TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA, TLS_PSK_WITH_AES_128_CBC_SHA, TLS_PSK_WITH_AES_256_CBC_SHA 不安全的加密算法套件存在可被利用的安全漏洞，可能会造成设备数据泄露等安全风险。 设备侧单位时间内多次建链 设备侧在1秒内与物联网平台进行多次建链，存在设备被暴力破解，导致身份信息泄露的可能，会造成正常设备被迫下线、业务数据被窃取等安全风险。 设备鉴权失败 设备身份认证信息错误，导致设备无法上线，可能会对业务造成影响。

步骤四：添加安全组规则 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。 安全组规则也可以在成功安装Agent后进行添加。 获取安装节点IP地址。 在数据库列表的上方，单击“添加安全组”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图5所示。 图5 添加安全组规则 单击“前往处理”，进入“安全组”界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“基本信息”页面。 选择“入方向规则”页签，单击“添加规则”，如图6所示。 图6 添加规则 在“添加入方向规则”对话框中，为安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图7所示。 图7 “添加入方向规则”对话框（ECS） 单击“确定”，完成添加入方向规则。

态势感知与其他安全服务之间的关系与区别？ 华为云提供多种安全防护和管理服务，其中态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台，通过从Anti-DDoS流量清洗（Anti-DDoS）、DDoS高防（Advanced Anti-DDoS，AAD）、企业主机安全（Host Security Service，HSS）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）、数据库安全服务（Database Security Service，DBSS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知作为安全管理服务，依赖于安全防护服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议，但是态势感知不实施具体安全防护动作，需与其他安全服务搭配使用。 SA与其他安全防护服务区别，详细内容如表1。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能差异 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业重要业务连续性。 AAD产品介绍 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给SA。 保障主机整体安全性。 HSS功能特性 漏洞扫描服务（VSS） 应用安全 VSS通过启动扫描Web类、应用类安全漏洞，发现网站或服务器的风险，并修复漏洞。相关历史漏洞和修复记录同步给SA。 保障网站整体安全性。 VSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍

如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙） 请按照如下步骤配置。 新建反病毒配置文件AV_default、入侵防御配置文件IPS_default，在配置业务需要的安全策略时需要引用此处新建的配置文件。 选择“对象 > 安全配置文件 > 反病毒”，按照下图所示新建反病毒配置文件AV_default，并单击“确定”。 在提示界面按照下图所示操作，并单击“确定”。 选择“对象 > 安全配置文件 > 入侵防御”，按照下图所示新建入侵防御配置文件IPS_default。 继续单击上图中的“新建”，按照下图所示为IPS_default配置签名过滤器，并单击“确定”。 在提示界面按照下图所示操作，并单击“确定”。 单击界面右上角的“提交”，提交安全配置文件进行激活，激活后才能生效。 配置业务需要的安全策略。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，按照如下顺序依次配置名称为“untrust-trust”、“trust-untrust”、“local-cloud”、“rule_iss_dns”的安全策略。 配置名称为“untrust-trust”的安全策略，源安全区域为untrust，目的安全区域为trust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置名称为“trust-untrust”的安全策略，源安全区域为trust，目的安全区域为untrust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置名称为“local-cloud”的安全策略，源安全区域为local，目的安全区域为untrust，服务选择any，动作为“允许”。 配置名称为“rule_iss_dns”的安全策略，源安全区域为local，目的安全区域为trust、untrust，服务选择dns，动作为“允许”。

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见默认安全组和规则。 安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，则此安全组不生效，您可以使用对等连接等产品建立VPC连接互通。VPC连接请参见VPC连接。

等保2.0三级要求—安全管理机构 表19 安全管理机构风险项检查项目 检查子项目 检查项目 岗位设置 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。 应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。 应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。 人员配备 应配备一定数量的系统管理员、审计管理员和安全管理员等。 应配备专职安全管理员，不可兼任。 授权和审批 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。 沟通和合作 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题。 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。 审核和检查 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。 应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

简化运维 网络安全实效的达成离不开专业人员的运维，华为乾坤通过“智能分析+安全专家”降低本地运维难度，同时租户可以多维度快速感知安全态势。 智能分析：利用智能分析能力提升自动运维效率，自动拦截攻击，响应效率由小时级提升到分钟级。 安全专家：云端共享安全专家资源7*24小时在线服务，解决复杂网络安全问题。 安全态势感知：按周、月提供安全报告，全面掌握网络安全态势；重要事件邮件短信告警，及时感知紧急安全事件，并指导用户及时安全处置；登录华为乾坤APP随时查看安全态势、防护状态、安全报表，针对安全事件及时执行封禁动作。

操作步骤 创建SAP 安全组。 在网络控制台，选择“访问控制 > 安全组”，然后单击“创建安全组”。 根据界面提示，创建安全组。 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“sg_sap_”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目，例如：SAP。 单击“确定”，完成安全组的创建。 在刚创建的安全组“操作列”，单击“配置规则”，然后添加入方向规则，需要添加的端口请参见表 安全组规划。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和华为云关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当华为云关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的华为云关系型数据库实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（1433），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的华为云关系型数据库实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

如何配置边界防护与响应服务需要的安全策略（USG6000F防火墙） 请按照如下步骤配置，未提及配置项请保持默认。 新建反病毒配置文件AV_default、入侵防御配置文件IPS_default，在配置业务需要的安全策略时需要引用此处新建的配置文件。 选择“对象 > 安全配置文件 > 反病毒”，按照下图所示新建反病毒配置文件AV_default，并单击“确定”。 在提示界面按照下图所示操作，并单击“确定”。 选择“对象 > 安全配置文件 > 入侵防御”，按照下图所示新建入侵防御配置文件IPS_default。 继续单击上图中的“新建”，按照下图所示为IPS_default配置签名过滤器，并单击“确定”。 在提示界面按照下图所示操作，并单击“确定”。 单击界面右上角的“提交”，提交安全配置文件进行激活，激活后才能生效。 配置业务需要的安全策略。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，按照如下顺序依次配置名称为“untrust-trust”、“trust-untrust”、“local-cloud”、“rule_iss_dns”的安全策略。 配置名称为“untrust-trust”的安全策略，源安全区域为untrust，目的安全区域为trust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置名称为“trust-untrust”的安全策略，源安全区域为trust，目的安全区域为untrust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置名称为“local-cloud”的安全策略，源安全区域为local，目的安全区域为untrust，服务选择any，动作为“允许”。 配置名称为“rule_iss_dns”的安全策略，源安全区域为local，目的安全区域为trust、untrust，服务选择dns，动作为“允许”。

等保2.0三级要求—安全管理制度 表18 安全管理制度风险项检查项目 检查子项目 检查项目 安全策略 应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。 管理制度 应对安全管理活动中的各类管理内容建立安全管理制度。 应对管理人员或操作人员执行的日常管理操作建立操作规程。 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 制定和发布 应指定或授权专门的部门或人员负责安全管理制度的制定。 安全管理制度应通过正式、有效的方式发布，并进行版本控制。 评审和修订 应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云耀云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云耀云服务器无需添加规则即可互相访问。 默认安全组规则如默认安全组规则所示。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

操作步骤 创建SAP HANA安全组。 在网络控制台，选择“访问控制 > 安全组”，然后单击“创建安全组”。 根据界面提示，创建安全组。 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“sg_sap_hana”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目，例如：SAP。 单击“确定”，完成安全组的创建。 在刚创建的安全组sg-sap-hana的“操作列”，单击“配置规则”，然后添加入方向规则，需要添加的端口请参见表1。 创建SAP S/4HANA安全组。 在网络控制台，选择“访问控制 > 安全组”，然后单击“创建安全组”。 根据界面提示，创建SAP S/4HANA安全组。 在刚创建的安全组sg-sap-s4的“操作列”，单击“配置规则”，然后添加入方向规则，需要添加的端口请参见表2。

操作步骤 创建SAP 安全组。 在网络控制台，选择“访问控制 > 安全组”，然后单击“创建安全组”。 根据界面提示，创建安全组。 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“sg_sap_”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目，例如：SAP。 单击“确定”，完成安全组的创建。 在刚创建的安全组“操作列”，单击“配置规则”，然后添加入方向规则，需要添加的端口请参见表 创建安全组。

安全组规划 SAP安全组规划 安全组规划要根据SAP的主机间通信要求制定，主要需要考虑管理平面，内部通信平面要求，并与网络部门合作完成安全组设置，具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。 安全组规划要根据SAP的主机间通信要求制定，主要安全组规则请参考下表进行设定。 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳实践，用户可根据自身的特殊要求，设置安全组规则。 下表中，##表示SAP的实例编号，此处需要与安装SAP软件时指定的实例编号保持一致,如有多个实例编号，依次填写 表1 SAP 节点安全组规则 源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 10.10.1.0/24 TCP 32## 允许SAP GUI访问SAP。 10.10.1.0/24 TCP 36## Message Port with profile parameter rdisp/msserv。 10.10.1.0/24 TCP 5##13 ~ 5##14 允许ASCS访问SAP Application Server。 10.10.1.0/24 TCP 33##，38##，48## CPIC和RFC所使用的端口。 10.10.1.0/24 TCP 22 允许以SSH协议访问SAP。 10.10.1.0/24 TCP 123 允许其他服务器向SAP 进行时间同步。 出方向 全部 全部 全部 系统默认创建的安全组规则。 允许SAP访问全部对端

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组，但一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（5432），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

安全概览 安全概览呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。 表1 安全概览功能介绍 功能模块 功能详情 安全评分 根据版本威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控 集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势 呈现最近7天整体资产安全健康得分的趋势图。 威胁检测 集中呈现最近7天检测到的告警数量及类型。

添加安全组规则 登录管理控制台。 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入“数据库列表”界面。 在“选择实例”下拉列表框中，选择需要添加安全组规则的数据库所属的实例。 记录Agent安装节点IP信息。 单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”，如图1所示。 图1 安装节点IP 在数据库列表的上方，单击“添加安全组”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图2所示。 图2 添加安全组规则 单击“前往处理”，进入“安全组”列表界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“基本信息”页面。 选择“入方向规则”，检查安全组的入方向规则。 请检查该安全组的入方向规则是否已为5的安装节点IP配置了TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 如果该安全组已配置安装节点的入方向规则，请执行下载Agent。 如果该安全组未配置安装节点的入方向规则，请执行12。 为安装节点添加入方向安全规则。 在入方向规则页面，单击“添加规则”，如图3所示。 图3 添加规则 在“添加入方向规则”对话框中，为图1中的安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图4所示。 源地址可以是单个IP地址、IP地址段或安全组： 单个IP地址：例如192.168.10.10/32。 IP地址段：例如192.168.52.0/24。 所有IP地址：0.0.0.0/0。 安全组：例如sg-abc。 图4 “添加入方向规则”对话框 单击“确定”，完成添加入方向规则。 安全组规则添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能开启数据库安全审计功能。

安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况，如图1。 图1 安全评分 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见安全评分。 分值环形图不同色块表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤检测结果页面的数据总数。 示例： 处理安全风险： 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 在“安全风险处理”页面中，单击“前往处理”，进入检测结果页面。 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

安全组规划 安全组规划要根据SAP的主机间通信要求制定，主要需要考虑管理平面，内部通信平面要求，并与网络部门合作完成安全组设置，具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。 安全组规划要根据SAP的主机间通信要求制定，主要安全组规则请参考表1，表2，表3进行设定。 网段信息与IP地址信息均为示例，请根据实际规划。下面的安全组规则仅是推荐的最佳实践，用户根据自身的特殊要求，设置安全组规则。 下表中，##表示SAP NetWeaver的实例编号。此处需要与安装SAP NetWeaver软件时指定的实例编号保持一致。 表1 安全组规则（SAP Application Server节点） 原地址/目的地址 协议 端口范围 说明 入方向 10.0.3.0/24 TCP 32## 允许SAP GUI访问SAP NetWeaver。 10.0.3.0/24 TCP 5##13～5##14 允许ASCS访问SAP Application Server。 10.0.3.0/24 TCP 33##、48## CPIC和RFC所使用的端口。 10.0.3.0/24 TCP 22 允许以SSH协议访问SAP NetWeaver。 10.0.3.0/24 UDP 123 允许其他服务器向SAP NetWeaver进行时间同步。 公有云自动指定。 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 出方向 0.0.0.0/0 全部 全部 系统默认创建的安全组规则。 允许SAP NetWeaver访问全部对端。 表2 安全组规则（SAP ASCS节点） 原地址/目的地址 协议 端口范围 说明 入方向 10.0.3.0/24 TCP 36## Message服务端口。 10.0.3.0/24 TCP 5##13～5##14 允许ASCS访问SAP Application Server。 10.0.3.0/24 TCP 33##、38## CPIC和RFC所使用的端口。 10.0.3.0/24 TCP 22 允许以SSH协议访问SAP NetWeaver。 10.0.3.0/24 UDP 123 允许其他服务器向SAP NetWeaver进行时间同步。 公有云自动指定。 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 出方向 0.0.0.0/0 全部 全部 系统默认创建的安全组规则。 允许SAP NetWeaver访问全部对端。 表3 安全组规则（NAT Server节点） 原地址/目的地址 协议 端口范围 说明 入方向 0.0.0.0/0 TCP 22 允许租户侧网络以SSH协议，访问NAT Server。 公有云自动指定。 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 出方向 0.0.0.0/0 全部 全部 系统默认创建的安全组规则。 允许NAT Server访问全部对端。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

2020年7月 序号 功能名称 功能描述 阶段 相关文档 1 企业版下线 安全专家服务企业版下线。 商用 / 2 等保套餐 等保2.0产品优惠套餐，为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。提供等保二级方案、等保三级方案基础版、等保三级方案高级版及多云安全方案套餐。 商用 等保套餐 3 《安全专家服务》更名为《管理检测与响应》 管理检测与响应（Managed Detection Response，MDR）结合华为30年安全经验积累，以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险并消除安全事件带来的损失。 适用场景： 企业缺少安全运维人员 等保2.0 商用 什么是管理检测与响应

安全分析 支持云服务安全日志数据采集、数据检索、数据消费功能，提供专业级的安全分析能力，实现对云负载、各类应用及数据的安全保护。 表12 数据接入功能说明 功能模块 功能详情 安全分析 目前，安全分析主要功能如下： 数据采集 支持扩展至每日PB级数据采集接入能力。 预集成云上关键安全日志，降低云化环境安全日志采集复杂性。 丰富安全生态产品南向集成，集中安全管理。 数据存储 支持扩展至PB级海量数据存储。 支持180天安全审计日志存储。

安全&数据保护 已获国家安全等保2.0四级认证，通过ISO27001/ISO27017/ ISO27018/CSA STAR国际安全认证，数据隐私保护遵从中国《个人信息保护法》、欧盟GDPR数据隐私保护要求，建立端到端可信的安全体系。 设备安全：提供一机一密的设备安全认证机制，防止设备非法接入，支持设备的安全检测。 信息传输安全：基于TLS、DTLS、DTLS+加密协议，提供安全的传输通道。 平台安全：基于华为云整体进行威胁防御，充分利用华为云安全服务/组件和华为的安全研究部门，建立安全分析、设计、编码、测试、安全攻防等一整套安全防御体系。 数据保护：满足中国《个人信息保护法》、欧盟GDPR数据隐私保护要求。

配置天关2 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证区域2中上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 172.16.11.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

等保2.0三级要求—安全管理机构 表19 安全管理机构风险项检查项目 检查子项目 检查项目 岗位设置 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。 应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。 应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。 人员配备 应配备一定数量的系统管理员、审计管理员和安全管理员等。 应配备专职安全管理员，不可兼任。 授权和审批 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。 沟通和合作 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题。 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。 审核和检查 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。 应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

安全组的限制 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云服务器或扩展网卡选择安全组的数量不多于5个。 云服务器或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。 安全组添加实例时，一次最多可添加20个实例。 一个安全组关联的实例数量不应超过6000个，否则会引起安全组性能下降。 当您配置安全组规则时，请留意部分安全组规则对安全组关联的云服务器规格类型有要求。安全组规则及其不支持的云服务规格清单请参见表1。 表1 安全组规则限制 安全组规则 云服务器类型 添加安全组规则时，“策略”可选择“拒绝” 添加安全组规则时，“源地址”和“目的地址”可选择“IP地址组” 不支持的X86云服务器规格如下： 内存优化型（M1型） 高性能计算型（H1型） 磁盘增强型（ D1型） GPU加速型（G1型、G2型） 超大内存型（E1型、E2型、ET2型） 添加安全组规则时，“协议端口”可配置为不连续端口号 不支持的X86云服务器规格如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） 磁盘增强型（ D1型） GPU加速型（G1型、G2型） 超大内存型（E1型、E2型、ET2型） 所有鲲鹏云服务器规格均不支持 X86云服务器规格详情，请参见规格清单（X86）。 鲲鹏云服务器规格详情，请参见规格清单（鲲鹏）。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机态势感知 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

操作步骤 登录管理控制台。 单击管理控制台左上方的，选择区域和项目。 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 在“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 在“基本信息 > 网络信息 > 安全组”处，单击安全组名称，进入安全组页面。 图3 安全组 您也可以在左侧导航栏，单击“连接管理”，在“内网连接 > 安全组”处，单击安全组名称，进入安全组页面。 图4 安全组 在安全组页面，单击操作列“配置规则”，进入安全组详情页面。 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 根据界面提示配置安全组规则。 图5 添加入方向规则 表1 入方向参数说明 参数 说明 示例 优先级 安全组规则优先级。 优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问文档数据库服务指定端口。默认为8635，取值范围为：2100~9500，27017，27018，27019。 8635 类型 IP地址类型。目前仅支持IPv4。 IPv4 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32 IP地址段：192.168.1.0/24 所有IP地址：0.0.0.0/0 安全组：sg-abc IP地址组：ipGroup-test 若源地址为安全组，则选定安全组内的云服务器都遵从当前所创建的规则。 更多IP地址组信息，请参见IP地址组。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 - 单击“确定”。

操作步骤 登录管理控制台。 单击管理控制台左上方的，选择区域和项目。 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 在“实例管理”页面，选择指定的集群实例，单击实例名称，进入“基本信息”页面。 在“基本信息 > 网络信息 > 安全组”处，单击安全组名称，进入安全组页面。 图1 安全组 您也可以在左侧导航栏，单击“连接管理”，在“公网连接 > 安全组”处，单击安全组名称，进入安全组页面。 图2 安全组 在安全组页面，单击操作列“配置规则”，进入安全组详情页面。 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 根据界面提示配置安全组规则。 图3 添加入方向规则 表1 入方向参数说明 参数 说明 示例 优先级 安全组规则优先级。 优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问文档数据库服务指定端口。默认为8635，取值范围为：2100~9500，27017，27018，27019。 8635 类型 IP地址类型。目前仅支持IPv4。 IPv4 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32 IP地址段：192.168.1.0/24 所有IP地址：0.0.0.0/0 安全组：sg-abc IP地址组：ipGroup-test 若源地址为安全组，则选定安全组内的云服务器都遵从当前所创建的规则。 更多IP地址组信息，请参见IP地址组。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 - 单击“确定”。

操作步骤 登录管理控制台。 单击管理控制台左上方的，选择区域和项目。 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 在“实例管理”页面，选择指定的集群实例，单击实例名称，进入“基本信息”页面。 在“基本信息 > 网络信息 > 安全组”处，单击安全组名称，进入安全组页面。 图1 安全组 您也可以在左侧导航栏，单击“连接管理”，在“公网连接 > 安全组”处，单击安全组名称，进入安全组页面。 图2 安全组 在安全组页面，单击操作列“配置规则”，进入安全组详情页面。 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 根据界面提示配置安全组规则。 图3 添加入方向规则 表1 入方向参数说明 参数 说明 示例 优先级 安全组规则优先级。 优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问文档数据库服务指定端口。默认为8635，取值范围为：2100~9500，27017，27018，27019。 8635 类型 IP地址类型。目前仅支持IPv4。 IPv4 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32 IP地址段：192.168.1.0/24 所有IP地址：0.0.0.0/0 安全组：sg-abc IP地址组：ipGroup-test 若源地址为安全组，则选定安全组内的云服务器都遵从当前所创建的规则。 更多IP地址组信息，请参见IP地址组。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 - 单击“确定”。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和华为云关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当华为云关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的华为云关系型数据库实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（1433），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的华为云关系型数据库实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

操作步骤 申请子网。 登录管理控制台。 在管理控制台左上角单击，选择区域和项目。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 单击SAP HANA系统所在的VPC名称。 在“子网”页签，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络规划配置。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.e～1.g，按照网络规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏，单击“访问控制 > 安全组”，并在右上角单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目， 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“访问控制 > 安全组”，在安全组列表中，单击待添加访问规则的安全组名称。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

操作步骤 申请子网。 登录管理控制台。 在管理控制台左上角单击，选择区域和项目。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 在左侧导航栏，单击“子网” 在页面右上角，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 虚拟私有云：选择创建VPC所创建的VPC名称。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络信息规划配置。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.e～1.g，按照网络信息规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏，单击“访问控制 > 安全组”，并在右上角单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目。 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“访问控制 > 安全组”，在安全组列表中，单击待添加访问规则的安全组名称。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络信息规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

操作步骤 申请子网。 登录管理控制台。 在管理控制台左上角单击，选择区域和项目。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 在左侧导航栏，单击“子网” 在页面右上角，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 虚拟私有云：选择创建VPC所创建的VPC名称。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络信息规划配置。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.e～1.g，按照网络信息规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏，单击“访问控制 > 安全组”，并在右上角单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目。 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“访问控制 > 安全组”，在安全组列表中，单击待添加访问规则的安全组名称。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络信息规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

操作步骤 申请子网。 登录管理控制台。 在管理控制台左上角单击，选择区域和项目。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 在左侧导航栏，单击“子网” 在页面右上角，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 虚拟私有云：选择创建VPC所创建的VPC名称。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络信息规划配置。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.e～1.g，按照网络信息规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏，单击“访问控制 > 安全组”，并在右上角单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目。 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“访问控制 > 安全组”，在安全组列表中，单击待添加访问规则的安全组名称。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络信息规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

应用场景 在政府、医疗、教育等行业，上级行政主管部门要求下级单位按照等保2.0要求完成安全建设，但下级单位由于技术能力储备不足、安全预算有限等问题较难实现完善的网络安全建设，安全防护效果不理想，同时上级主管部门无法有效监管网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，完成等保2.0安全建设以满足上级主管部门的网络安全要求。 完成等保2.0网络安全建设后，部署的安全产品能够准确识别威胁并及时处置，提升企业整体安全防护效果。 上级主管部门能够对下级单位进行有效监管，对不满足项可以及时督促整改。 采用如图1所示的等保合规解决方案即可满足上述诉求。 图1 行业安全监管建设场景 采用华为乾坤的等保合规解决方案可以实现： 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力。 借助云端对威胁事件进行统一分析，统一响应及时阻断，同时借助云端专家解决疑难问题，提升防护效果，弥补下级单位技术能力储备不足的问题。 云端向下级单位发送安全告警和邮件报告的同时，也向上级主管部门发送全局安全检测报告，全面展示下级单位的安全状况，安全事件处置是否及时等，实现对下级单位的有效监管、及时督促。

2022年1月 序号 功能名称 功能描述 阶段 相关文档 1 SA服务升级安全概览功能，实时呈现云上整体安全评估状况 安全概览功能全新升级。修改原“安全看板”为“安全概览”。 升级后，“安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 影响版本： 基础版、标准版、专业版 商用 安全看板 2 SA服务上线资源管理功能，同步当前帐号中所有资源的安全状态统计信息 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 影响版本： 基础版、标准版、专业版 商用 资源管理

云容器引擎-成长地图 | 华为云 容器安全服务 容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 产品介绍 立即使用 成长地图 由浅入深，带您玩转CGS 01 了解 容器安全服务（Container Guard Service，CGS）能够扫描容器镜像中的漏洞，以及提供容器安全策略设置和防逃逸功能。 产品介绍 什么是CGS 功能介绍 03 入门 购买容器安全配额后，您可以参照开启集群防护和添加策略，快速防护节点上运行的容器和镜像安全。 开启集群防护 服务授权 开启集群防护 容器防逃逸 安全配置 查看容器异常监控结果 02 购买 根据业务的实际情况，您可灵活购买容器安全配额，对云容器引擎（CCE）中创建的集群进行防护。 快速购买 购买容器安全配额 购买方式 如何续费 如何退订 按需计费 04 使用 开启集群防护和配置安全策略后，您可以根据业务需求配置镜像的策略、根据漏洞修复紧急度修复报告。您还可以查看容器是否违反了安全策略或存在逃逸行为，并根据结果调整安全策略。 常用操作 开启集群防护 关闭集群防护 查看容器异常监控结果 查看防护列表 安全配置 镜像安全 管理本地镜像漏洞 管理私有镜像仓库漏洞 管理官方镜像仓库漏洞 查看恶意文件检测详情 查看基线检查详情 管理镜像策略 管理本地镜像的策略 管理私有镜像的策略 管理官方镜像的策略 常见问题 了解更多常见问题、案例和解决方案 热门案例 什么是容器安全服务？ 什么是容器安全的服务授权？ 哪些区域可以使用容器安全服务？ CGS创建委托失败的原因？ 镜像、容器、应用的关系是什么？ 容器集群节点的Shield状态离线如何处理？ 添加策略 如何为容器安全配额续费？ 如何退订容器安全配额？ 如何查看私有镜像的恶意文件？ 更多 镜像安全 查看本地镜像漏洞 查看私有镜像仓库漏洞 查看官方镜像仓库漏洞 查看私有镜像仓库恶意文件 更多 计费类 如何为容器安全配额续费？ 如何退订容器安全配额？ 什么是容器安全服务的按需计费？ 更多 技术专题 技术、观点、课程专题呈现 runc逃逸漏洞 面对runc逃逸漏洞，华为云容器为您保驾护航 上榜全球权威报告！华为云容器安全是这样做到的 了解容器安全服务架构、功能特性。 云容器引擎新手学堂 从基础理论入手，到实际上手操作，用6节课的时间助力学习云容器引擎CCE。 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和GaussDB(for MySQL)数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当GaussDB(for MySQL)数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的GaussDB(for MySQL)数据库实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的GaussDB(for MySQL)数据库实例。

响应参数 状态码： 201 表5 响应Body参数 参数 参数类型 描述 security_policy SecurityPolicy object 安全策略列表返回对象。 request_id String 请求ID。 注：自动生成 。 表6 SecurityPolicy 参数 参数类型 描述 id String 自定义安全安全策略的id。 project_id String 自定义安全策略的项目id。 name String 自定义安全策略的名称 description String 自定义安全策略的描述。 listeners Array of ListenerRef objects 自定义安全策略关联的监听器。 protocols Array of strings 自定义安全策略的TLS协议列表。 ciphers Array of strings 自定义安全策略的加密套件列表。 created_at String 自定义安全策略的创建时间。 updated_at String 自定义安全策略的更新时间。 表7 ListenerRef 参数 参数类型 描述 id String 监听器ID。

检查数据库安全审计实例的安全组规则 单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”，如图3所示。 图3 记录安装节点IP信息 在数据库列表的上方，单击“添加安全组”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图4所示。 图4 添加安全组规则 单击“前往处理”，进入“安全组”列表界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“入方向规则”页面。 检查“default”安全组的入方向规则。 请检查该安全组的入方向规则是否已为1中的安装节点IP配置了TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 如果该安全组已配置入方向规则，请执行检查安装节点的Agent程序运行状态。 如果该安全组未配置入方向规则，请执行8。 添加数据库安全审计实例安全组的入方向规则。 单击“添加规则”，如图5所示。 图5 添加规则 在“添加入方向规则”对话框中，为1中安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图6所示。 图6 “添加入方向规则”对话框 单击“确定”。 如果问题已解决，结束操作。 如果问题仍存在，请执行检查安装节点的Agent程序运行状态。

None 快速使用数据库安全审计 数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如Sarbanes-Oxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计在不影响用户业务的前提下，支持对华为云上的关系型数据库（RDS）、弹性云服务器（ECS）/裸金属服务器（BMS）的自建数据库进行灵活的审计。 本指南以审计ECS的自建数据库为例，指导您快速上手数据库安全审计。 Step1 购买数据库安全审计 步骤 ① 登录华为云控制台。 ② 进入数据库安全审计购买页面。 ③ 设置数据库安全审计实例参数后，购买实例。 说明 购买数据库安全审计前，请确保区域的虚拟私有云的安全组和子网资源可用。 配置VPC参数时，需与待安装Agent节点的VPC保持一致。 了解详细步骤 1 设置数据库安全审计实例参数 单击图片可查看原图 Step2.1 添加数据库 步骤 ① 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，单击“添加数据库”。 ② 配置待添加的数据库信息。 ③ 单击“确定”，完成添加数据库。 说明 新增数据库的“审计状态”默认为“已关闭”。 了解详细步骤 1 添加数据库 2 配置数据库信息 单击图片可查看原图 Step2.2 添加Agent 步骤 ① 在成功添加的数据库页面，单击“添加Agent”，为ECS的自建数据库添加Agent。 说明 添加Agent时，ECS/BMS的自建数据库可以选择“数据库端”或“应用端”，RDS选择“应用端”。 了解详细步骤 1 添加Agent 单击图片可查看原图 Step2.3 添加安全组规则 步骤 添加Agent成功后，您必须为数据库安全审计实例所在的安全组开放入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），以防Agent与审计实例之间的网络不通。 如果安全组已开放入方向规则，请跳过本步骤；如果没有开放入方向规则，请执行以下操作： ① 获取Agent安装节点IP信息。 ② 单击列表上方的“添加安全组规则”，获取安全组名称。 ③ 根据弹框中的操作详情，为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口）。 说明 若安全组规则已添加，您可以直接下载Agent并安装Agent。 了解详细步骤 1 记录Agent安装节点IP信息 2 获取安全组名称 3 添加入方向规则 单击图片可查看原图 Step3 下载并安装Agent 步骤 ① 在成功添加的数据库页面，下载Agent安装包。 ② 登录ECS的自建数据库，安装Agent。 说明 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent。 了解详细步骤 1 下载Agent安装包 2 安装Agent 单击图片可查看原图 Step4 开启数据库安全审计功能 步骤 ① Agent安装成功后，在需要开启审计功能所在行的操作列，单击“开启”。 说明 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启审计功能后，您可以查看待审计的数据库的审计结果。 了解详细步骤 1 开启审计功能 单击图片可查看原图 Step5 查看审计结果 步骤 ① 在左侧导航树中，选择“数据库安全审计 > 总览”。 ② 在“总览”界面，查看数据库审计的总体情况。 说明 数据库安全审计支持使用Google Chrome或Mozilla FireFox浏览器预览报表结果。 了解详细步骤 1 进入总览界面 2 查看审计总体情况 单击图片可查看原图 相关操作指导 视频小图标 Created with Sketch. 数据库安全审计快速入门

基于公网NAT网关的用户网络，可以配置哪些安全策略实现访问限制？ 基于公网NAT网关的用户网络，可以通过配置安全组和网络ACL实现访问限制。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。 安全组对弹性云服务器进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 安全组与网络ACL的详情，请参见《VPC用户指南》安全性章节。

SAP安全组规划 安全组规划要根据SAP的主机间通信要求制定，主要需要考虑管理平面，内部通信平面要求，并与网络部门合作完成安全组设置，具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。 安全组规划要根据SAP的主机间通信要求制定，主要安全组规则请参考下表进行设定。 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳实践，用户可根据自身的特殊要求，设置安全组规则。 下表中，##表示SAP的实例编号，此处需要与安装SAP软件时指定的实例编号保持一致,如有多个实例编号，依次填写。 表1 SAP 节点安全组规则 源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 10.10.1.0/24 TCP 32## 允许SAP GUI访问SAP。 10.10.1.0/24 TCP 36## Message Port with profile parameter rdisp/msserv。 10.10.1.0/24 TCP 5##13 ~ 5##14 允许ASCS访问SAP Application Server。 10.10.1.0/24 TCP 33##，38##，48## CPIC和RFC所使用的端口。 10.10.1.0/24 TCP 22 允许以SSH协议访问SAP。 10.10.1.0/24 TCP 123 允许其他服务器向SAP 进行时间同步。 出方向 全部 全部 全部 系统默认创建的安全组规则。 允许SAP访问全部对端

SAP安全组规划 安全组规划要根据SAP的主机间通信要求制定，主要需要考虑管理平面，内部通信平面要求，并与网络部门合作完成安全组设置，具体的SAP对安全组规则的要求请参考TCP/IP ports used by SAP Applications。 安全组规划要根据SAP的主机间通信要求制定，主要安全组规则请参考下表进行设定。 网段信息与IP地址信息请根据实际部署规划。下面的安全组规则仅是推荐的最佳实践，用户可根据自身的特殊要求，设置安全组规则。 下表中，##表示SAP的实例编号，此处需要与安装SAP软件时指定的实例编号保持一致。 表1 SAP 节点安全组规则 源地址/目的地址 协议 端口范围 说明 入方向 系统自动指定 全部 全部 系统默认创建的安全组规则。 允许属于同一个安全组的云服务器互相通信。 10.10.0.0/24 TCP 32## 允许SAP GUI访问SAP。 10.10.0.0/24 TCP 36## Message Port with profile parameter rdisp/msserv。 10.10.0.0/24 TCP 5##13 ~ 5##14 允许ASCS访问SAP Application Server。 10.10.0.0/24 TCP 33##，38##，48## CPIC和RFC所使用的端口。 10.10.0.0/24 TCP 22 允许以SSH协议访问SAP。 10.10.0.0/24 TCP 123 允许其他服务器向SAP 进行时间同步。 出方向 全部 全部 全部 系统默认创建的安全组规则。 允许SAP访问全部对端

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要新开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

操作步骤 通过数据管理服务（DAS）连接并管理实例 购买实例。根据业务需求，确认GaussDB(for MySQL)实例的规格、网络配置、数据库帐户配置信息等。 通过DAS连接GaussDB(for MySQL)实例（推荐）。 通过内网连接GaussDB(for MySQL)实例 购买实例。根据业务需求，确认GaussDB(for MySQL)实例的规格、存储、网络配置、数据库帐户配置信息等。 设置安全组规则。 ECS与GaussDB(for MySQL)实例在相同安全组时，默认ECS与GaussDB(for MySQL)实例互通，无需设置安全组规则，执行通过内网连接GaussDB(for MySQL)实例。 ECS和GaussDB(for MySQL)实例必须处于同一VPC。 ECS与GaussDB(for MySQL)实例在不同安全组时，需要为GaussDB(for MySQL)和ECS分别设置安全组规则。 设置GaussDB(for MySQL)安全组规则：为GaussDB(for MySQL)所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 通过内网连接GaussDB(for MySQL)实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 通过公网连接GaussDB(for MySQL)实例 购买实例。根据业务需求，确认GaussDB(for MySQL)实例的规格、存储、网络配置、数据库帐户配置信息等。 绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至GaussDB(for MySQL) 实例。 设置安全组规则。从安全组外访问安全组内的GaussDB(for MySQL)实例时，需要为GaussDB(for MySQL) 实例所在安全组配置相应的入方向规则。 通过公网连接GaussDB(for MySQL)实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时，用户可以将两台弹性云服务器设置为内网互通后再拷贝资源。 安全组配置方法： 同一个VPC内，在同一个安全组内的弹性云服务器默认互通。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云服务器内网互通。 在两台弹性云服务器所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 方向 协议/应用 端口 源地址 入方向 设置内网互通时使用的协议类型 设置端口范围 另一个安全组的ID 如果同一个安全组内的云服务器也无法互相通信，请您检查是否已删除对应的规则。 如下所示，以安全组sg-demo为例，“源地址”为sg-demo的规则可以实现同一个安全组内云服务通信。

前提条件 登录弹性云服务器。 创建并登录弹性云服务器，请参见《弹性云服务器快速入门》中“购买弹性云服务器”和“登录弹性云服务器”。 通过弹性云服务器连接云数据库RDS实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 请参见如何安装PostgreSQL客户端。

怎样使用主机安全服务 您在使用企业主机安全服务前，需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器，我们提供了不同的安装方式： 场景一：新创建云服务器 购买弹性云服务器，选择部分操作系统的公共镜像时，系统推荐您配套使用企业主机安全服务（Host Security Service, HSS）。 开启“主机安全”需要设置“安全防护”参数： 免费开启主机安全基础防护：开启后，为您的主机提供四大安全防御能力，包括主机安全基础版防御（免费赠送一个月）、账号破解防护、弱口令检测、恶意程序检测等功能。 主机安全基础版免费使用期限结束后，该防护配额将自动释放，停止相应的实时防护能力。 如您需要保留或升级原有安全能力，建议您购买主机安全。详细情况，请参见主机安全的版本功能特性。 购买弹性云服务器时，默认设置该选项。 购买高阶防护：高阶防护属于企业版，需付费使用，支持漏洞修复、病毒查杀、等保必备。 不使用安全防护：若您不需要进行安全防护，可选择此选项。 选择主机安全后系统自动安装主机安全Agent，开启帐号防御，启用主机安全服务的功能。 企业主机安全支持基础版、企业版、旗舰版和网页防篡改版 ，请参考企业主机安全服务版本差异。 若基础版或企业版不满足要求，您可以购买其他版本配额，在企业主机安全控制台切换不同版本，获取更高级的防护，且不需要重新安装Agent。 图1 开通主机安全 场景二：未配置主机安全的云服务器 对于已经创建完成的弹性云服务器，可能由于创建时尚未支持主机安全服务、或未勾选“主机安全基础版”，如需使用主机安全，您需要手动安装Agent。 具体操作请参见手动安装Agent、手动开启防护。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置业务接口。 选择“网络 > 接口”。 单击GE0/0/20，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/21接口。 安全区域 untrust 模式 接口对 配置业务接口对。 选择“网络 > 接口”。 单击“新建”，按如下参数配置，单击“确定”。 名称 interface_bypass1 工作模式 不同口进出 成员 接口一 GE0/0/20 接口二 GE0/0/21 允许的VLAN 1-4094 接口对状态同步 不开启 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

操作步骤 申请子网。 登录公有云管理控制台。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 在左侧导航栏，单击“子网” 在页面右上角，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 虚拟私有云：选择申请VPC所创建的VPC名称。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络平面规划~安全组规划。 网关：使用系统默认值。 单击“确定”，完成子网的配置。 重复执行1.a～1.f，按照网络平面规划~安全组规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP NetWeaver、NAT Server和SAP HANA创建安全组。 “网络 > 虚拟私有云”，单击左侧的“访问控制 > 安全组”，并在右侧界面，单击“创建安全组”，弹出“创建安全组”界面。 输入安全组名称后，若已创建企业项目，可在下拉框中选择企业项目，单击“确定”，完成安全组的创建。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 在左侧导航栏单击“访问控制 > 安全组”，然后单击进入安全组列表中待添加访问规则的安全组。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络平面规划~安全组规划的要求，增加访问规则。 默认创建的安全组规则示例如图1所示。 图1 默认安全组规则示例 重复执行2.a～2.e，完成所有安全组的配置。

企业主机安全-成长地图 | 华为云 企业主机安全 企业主机安全（Host Security Service）是提升主机整体安全性的服务，包括账户破解防护、弱口令检测、恶意程序检测、双因子认证、漏洞管理，网页防篡改等功能，帮助企业构建服务器安全防护体系，降低当前服务器面临的主要安全风险。 产品介绍 图说HSS 立即使用 成长地图 由浅入深，带您玩转HSS 01 了解 了解企业主机安全的功能特性和应用场景，有助于您更准确地选择所需版本，让您的云上业务安全无忧。 产品介绍 什么是企业主机安全 功能特性 产品优势 应用场景 03 入门 购买企业主机安全后，您需要根据服务器的操作系统版本安装客户端、根据您选择的防护类型设置告警通知，操作完成后您可以对服务器开启防护。 安装客户端 安装Linux版本客户端 安装Windows版本客户端 设置告警通知 开启告警通知 开启防护 开启主机安全防护 开启网页防篡改版 05 实践 使用HSS进行日常的安全管理，帮助您能轻松发现并处理主机上存在的安全风险。 主机防护最佳实践 告警事件处理方法 快速掌握主机安全态势 02 购买 根据业务的实际情况，您可以灵活选择HSS的服务版本。 服务规格 服务版本 如何计费 价格体系 如何购买 购买防护配额 04 使用 根据业务发展需要，您可以随时切换版本、修改安全防护配置。此外，HSS还提供风险报告和风险修复建议，以便您及时了解服务器的安全状态并尽快修复安全风险。 主机安全防护 安全配置 漏洞修复与验证 基线检查风险项修复建议 资产管理 订阅主机安全报告 网页防篡改 添加防护目录/文件系统 添加特权进程 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何处理告警安全事件？ 如何处理漏洞？ Agent状态异常如何处理？ 如何开启HSS防护？ 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 如何购买防护配额、调节购买数量？ 如何续费？ 如何退订？ 更多 产品咨询 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 什么是企业主机安全？ 哪些区域提供HSS服务？ HSS到期后不续费，对主机和业务有影响吗？ 企业主机安全支持版本升级吗？ 更多 告警事件处理 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 如何处理弱口令为安全的口令？ 如何处理配置风险？ 更多 开通与配置 Agent状态异常如何处理？ 如何开启HSS防护？ 如何购买防护配额？ 如何安装Agent？ 如何设置告警通知？ Agent安装失败如何处理？ 如何使用双因子认证？ 更多 漏洞管理 如何处理漏洞？ 为什么漏洞修复未生效？ 漏洞修复与验证 更多 技术专题 技术、观点、课程专题呈现 华为云助你甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 隐藏型恶意挖矿程序的分析 针对隐藏性恶意挖矿程序进行分析 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

操作步骤 配置接口对。 选择“网络 > 接口”。 单击上行接口GE0/0/21对应的，按照下图所示配置接口。 单击下行接口GE0/0/20对应的，按照下图所示配置接口。 选择“系统 > 高可靠性 > Link-Group”。 配置Link-Group，添加GE0/0/21、GE0/0/20。 配置路由。 选择“网络 > 路由 > 静态路由”。 配置数据流量出场景的静态路由。 配置数据流量入场景的静态路由。 目的地址/掩码需要覆盖租户内网资产IP地址所在网段，如果涉及多个网段，则需要配置多条入场景的静态路由。本示例以配置区域1网段静态路由为例。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

操作步骤 申请子网。 登录公有云管理控制台。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 在左侧导航栏，单击“子网” 在页面右上角，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 虚拟私有云：选择创建VPC所创建的VPC名称。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络信息规划配置。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.c～1.f，按照网络信息规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏单击“访问控制 > 安全组”，并在右上角，单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目， 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“安全组”，然后单击进入安全组列表中待添加访问规则的安全组。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络信息规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

操作步骤 申请子网。 登录管理控制台。 在管理控制台左上角单击，选择区域和项目。 在左侧导航栏，单击，选择“网络 > 虚拟私有云”。 单击SAP HANA系统所在的VPC名称。 在“子网”页签，单击“创建子网”，弹出“创建子网”界面。 在“创建子网”区域，根据界面提示配置参数。 可用区：子网的可用分区。 名称：子网名称，请配置成方便识别的名称，例如“service_subnet”。 子网网段：请根据网络规划配置。 高级配置：使用“默认配置”。 单击“确定”，完成子网的配置。 重复执行1.e～1.g，按照网络规划中的要求，完成全部的子网创建。 设置安全组。 需要分别为SAP HANA系统中各类节点创建安全组。 在左侧导航栏，单击“访问控制 > 安全组”，并在右上角单击“创建安全组”，弹出“创建安全组”界面。 根据界面提示配置参数： 模板：模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 名称：安全组的名称。安全组名称请配置成方便识别的名称，例如“studio_security_group”。 企业项目：可以将安全组加入已启用的企业项目，可在下拉框中选择企业项目， 单击“确定”，完成安全组的配置。 重复2.a～2.c，完成其他安全组的创建。 在左侧导航栏单击“访问控制 > 安全组”，在安全组列表中，单击待添加访问规则的安全组名称。 根据实际规划，在“入方向规则”和“出方向规则”页签，单击“添加规则”，弹出创建安全组规则界面。 按照网络规划的要求，增加访问规则。 需要指出的是，完成安全组规则的配置后，对于系统默认创建的安全组规则，不允许删除。 重复执行2.e～2.g，完成所有安全组的配置。

版本功能差异 不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 综合大屏 综合态势感知 大屏集中展示云上资产综合安全态势，动态呈现资产风险状况。 × × √+ 主机安全态势 大屏集中呈现华为云主机安全态势，动态呈现主机安全状况。 × × √+ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 × × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

查看安全组信息 创建安全组后，您可以查看安全组的基本信息，包括名称、添加的规则个数、关联的实例个数、描述信息等。 您可以在“边缘网络 > 安全组 ”页面查看已创建的安全组信息。 表1 安全组信息 参数 说明 名称 安全组的名称，由您在创建安全组时自定义生成。 您可以单击安全组的名称进入详情页面查看安全组基本信息、配置的出入方向规则信息及关联的实例信息。 规则个数 配置的出入方向规则的数量。 关联实例个数 安全组关联的实例数量。 创建边缘业务时，可以选择将实例关联到指定的安全组。 您可以单击对应数字进入详情页面查看关联实例的详细信息。 描述 安全组的描述信息。

当前等保2.0建设面临的挑战 等保是等级保护的简称，2017年《中华人民共和国网络安全法》的实施，标志着等级保护2.0的正式启动，网络安全法明确“国家实行网络安全等级保护制度”、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。当前企业等保2.0建设主要面临如下挑战。 为了满足等保2.0建设需求，企业采用传统方案时需要购买防火墙、IPS、日志审计、漏扫等多种安全设备，造成安全投资成本大幅提升，而现实情况是，大部分企业客户的安全预算往往比较有限，导致无法满足等保2.0要求。 即使企业进行了高昂的网络安全投资，但当前安全设备的防护策略是静态的，威胁特征变化后，需要人工重新配置防护策略，且安全设备从不同的维度进行安全防护，各自单点防御，缺乏全局统筹分析，难以准确识别威胁并进行全局防御，无法满足等保2.0对主动防护、动态防御、整体防御、精准防御的相关要求。 采用传统方案时，需要专业的运维人员才能较好的发挥安全设备的防护能力，但我国网络安全从业人员十分紧缺，且专业安全人才的人力成本过高，这就造成了大部分企业安全运维缺失、面对安全事件束手无策的局面。 企业存在多个分支机构时，网络覆盖面大、业务系统种类多，因漏洞导致的安全事件频发，企业已有安全措施很难达到等保2.0要求的风险漏洞管理要求。 随着企业业务场景不断变化，业务系统种类也不断增多，且使用人员身份复杂，导致日志收集、分析、管理困难，无法应对日益增加的海量日志数据。

什么是主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

什么是主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云服务器。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云服务器访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。

行业安全监管建设场景 在政府、医疗、教育等行业，上级行政主管部门对下级单位提出了较高的网络安全要求，但下级单位由于安全预算有限、技术能力储备不足等问题较难实现完善的网络安全建设。同时，上级主管部门无法有效监管网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，满足上级主管部门的网络安全要求。 上级主管部门能够对下级单位进行有效监管，对不满足项可以及时督促整改。 图3 行业安全监管建设场景 采用边界防护与响应服务可以实现： 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力。 借助云端对威胁事件进行统一分析，统一响应及时阻断，同时借助云端专家解决疑难问题，弥补下级单位技术能力储备不足的问题。 云端向下级单位发送安全告警和邮件报告的同时，也向上级主管部门发送全局安全检测报告，全面展示下级单位的安全状况，安全事件处置是否及时等，实现对下级单位的有效监管、及时督促。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

添加安全区 使用Ranger管理员登录Ranger管理界面。 单击“Security Zone”，在区域列表页面中单击，添加安全区。 表1 安全区配置参数 参数名称 描述 示例 Zone Name 配置安全区的名称。 test Zone Description 配置安全区的描述信息。 - Admin Users/Admin Usergroups 配置安全区的管理用户/用户组，可在安全区中添加及修改相关资源的权限策略。 必须至少配置一个用户或用户组。 zone_admin Auditor Users/ Auditor Usergroups 添加审计用户/用户组，可在安全区中查看相关资源权限策略内容。 必须至少配置一个用户或用户组。 zone_user Select Tag Services 选择服务的标签信息。 - Select Resource Services 选择安全区内包含的服务及具体资源。 在“Select Resource Services”中选择服务后，需要在“Resource”列中添加具体的资源对象，例如HDFS服务器的文件目录、Yarn的队列、Hive的数据库及表、HBase的表及列等。 /testzone 例如针对HDFS中的“/testzone”目录创建一个安全区，配置如下： 单击“Save”，等待安全区添加成功。 Ranger管理员可在“Security Zone”页面查看当前的所有安全区并单击“Edit”修改安全区的属性信息，当相关资源不需要在安全区中进行管理时，可单击“Delete”删除对应安全区。

操作步骤 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GaussDB(for Cassandra)”。 图1 登录云数据库GaussDB(for Cassandra)控制台 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 设置安全组规则。 方法一： 在“基本信息”页面，单击“网络信息 > 内网安全组”后面的安全组名称，进入安全组页面。 图2 内网安全组 方法二： 在“基本信息”页面，单击左侧导航栏中的“连接管理”，在右侧“内网安全组”区域，单击内网安全组名称，进入安全组页面。 图3 内网安全组 添加入方向规则。 在安全组详情页面，选择“入方向规则”页签。 图4 入方向规则 单击“添加规则”，弹出添加入方向规则窗口。 图5 添加规则 根据界面提示配置安全组规则。 表2 入方向安全组规则参数说明 参数 说明 取值示例 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 端口：允许远端地址访问弹性云服务器指定端口，取值范围为：1～65535。常用端口请参见弹性云服务器常用端口。 TCP 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sg-abc（安全组） 更多IP地址组信息，请参见IP地址组。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 - 单击“确定”。

防护类型简介 提升云服务器的安全性，分为云服务器“外部安全防护”和“内部安全防护”两方面。 表1 提升云服务器安全的方法 类型 说明 防护方法 外部安全防护 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案，例如开启主机安全防护、DDoS原生基础防护您可以根据您的实际业务选择合适的防护方案。 开启主机安全防护 监控云服务器 开启防DDoS攻击 定期备份数据 内部安全防护 弱密码、开放错误的端口都可能引起内部安全防护问题，不提升云服务器的内部安全防护，外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 增加登录密码的强度 提升云服务器的端口安全 定期升级操作系统

单服务页面 单服务包括两类：安全云服务和专家咨询服务，其中，安全云服务包括移动应用安全、代码检查和漏洞扫描，专家咨询服务包括研发安全SDL培训、隐私合规咨询和移动应用安全专家服务。 表5 单服务页面列表 服务类别 服务名称 说明 安全云服务 移动应用安全 添加移动应用安全任务，上传.apk或.hap文件，扫描其中的漏洞、隐私等问题，了解更多。 代码检查 页面建设中。 漏洞扫描 单击菜单名，跳转到漏洞扫描服务控制台总览页，了解更多。 专家咨询服务 研发安全SDL培训 SDL（Security Development Lifecycle，安全开发生命周期）是为了应对愈发严峻的网络安全挑战而建立、发展的一系列方法论与最佳实践。华为SDL更是与IPD紧密结合，从公司政策、组织、流程、供应链、服务等方面建立和完善可持续、可信赖的覆盖产品研发全流程的安全保障体系。华为研发安全SDL实践高研班已上线云商店，面向研发高管，提供华为研发安全SDL概述、R&D安全保障体系、网络安全技术能力建设等培训课程。 隐私合规咨询 隐私合规咨询，针对于欧盟GDPR、中国隐私保护法、数据安全法的法律法规咨询，以及如何落地研发流程的咨询服务能力。 移动应用安全专家服务 移动应用安全咨询，针对于安卓、鸿蒙应用的移动应用安全检测咨询服务，提供人工检测、修复指导和复测服务，可满足中国四部委针对于移动应用隐私合规的强制性标准要求。 全面覆盖安全合规业务范畴，包含各个环节的指导、落实、督查、整改。 确保合规落实有效，囊括所有安全合规要求，以及落实这些要求对应的实施措施、检查方法。 快速准确直观地展示安全合规问题，并寻找对应解决方案，使安全合规工作标准化、专业化。

响应参数 状态码为 200 时: 表4 响应Body参数 参数 参数类型 描述 request_id String 请求ID security_group SecurityGroupInfo object 更新安全组的响应体 表5 SecurityGroupInfo 参数 参数类型 描述 id String 功能描述：安全组对应的唯一标识 取值范围：带“-”的标准UUID格式 name String 功能说明：安全组名称 取值范围：1-64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点） description String 功能说明：安全组的描述信息 取值范围：0-255个字符，不能包含“<”和“>” project_id String 功能说明：安全组所属的项目ID created_at String 功能说明：安全组创建时间 取值范围：UTC时间格式，yyyy-MM-ddTHH:mm:ss updated_at String 功能说明：安全组更新时间 取值范围：UTC时间格式，yyyy-MM-ddTHH:mm:ss enterprise_project_id String 功能说明：安全组所属的企业项目ID。 取值范围：最大长度36字节，带“-”连字符的UUID格式，或者是字符串“0”。“0”表示默认企业项目。 security_group_rules Array of SecurityGroupRule objects 安全组规则 表6 SecurityGroupRule 参数 参数类型 描述 id String 功能描述：安全组规则对应的唯一标识 取值范围：带“-”的标准UUID格式 description String 功能说明：安全组规则的描述信息 取值范围：0-255个字符，不能包含“<”和“>” security_group_id String 功能说明：安全组规则所属的安全组ID direction String 功能说明：安全组规则的出入控制方向 取值范围： ingress 表示入方向 egress 表示出方向 protocol String 功能说明：协议类型 取值范围：icmp、tcp、udp、icmpv6或IP协议号 约束：为空表示支持所有协议。协议为icmpv6时，网络类型应该为IPv6；协议为icmp时，网络类型应该为IPv4 ethertype String 功能说明：IP地址协议类型 取值范围：IPv4，IPv6 约束：不填默认值为IPv4 multiport String 功能说明：端口取值范围 取值范围：支持和单端口(80)，连续端口(1-30)以及不连续端口(22,3389,80) action String 功能说明：安全组规则生效策略 取值范围： allow表示允许 deny表示拒绝 约束：默认值为deny priority Integer 功能说明：优先级 取值范围：1~100，1代表最高优先级 remote_group_id String 功能说明：远端安全组ID，表示该安全组内的流量允许或拒绝 取值范围：租户下存在的安全组ID 约束：与remote_ip_prefix，remote_address_group_id功能互斥 remote_ip_prefix String 功能说明：远端IP地址， 当direction是egress时，为虚拟机访问端的地址 当direction是ingress时，为访问虚拟机的地址 取值范围：IP地址，或者cidr格式 约束：与remote_group_id、remote_address_group_id互斥 remote_address_group_id String 功能说明：远端地址组ID 取值范围：租户下存在的地址组ID 约束：与remote_ip_prefix，remote_group_id功能互斥 created_at String 功能说明：安全组规则创建时间 取值范围：UTC时间格式，yyyy-MM-ddTHH:mm:ss updated_at String 功能说明：安全组规则更新时间 取值范围：UTC时间格式，yyyy-MM-ddTHH:mm:ss project_id String 功能说明：安全组规则所属项目ID

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组，但一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例仅允许绑定一个安全组。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（5432），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

检查数据库安全审计实例安全组规则是否开放 进入数据库安全服务管理界面。 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表页面。 在“实例列表”下拉列表框中选择数据库所在的实例。 记录Agent安装节点IP信息。 单击数据库左侧的展开Agent的详细信息，并记录“安装节点IP”，如图5所示。 图5 安装节点IP 在数据库列表的上方，单击“添加安全组”。 在弹出的弹框中，记录数据库审计实例的“安全组名称”（例如default），如图6所示。 图6 添加安全组规则 单击“前往处理”，进入“安全组”列表界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“入方向规则”页面。 检查安全组的入方向规则。 请检查该安全组的入方向规则是否已为4中的安装节点IP配置了TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则。 如果该安全组已配置安装节点的入方向规则，请执行效果验证。 如果该安全组未配置安装节点的入方向规则，请执行11。 为安装节点添加入方向安全规则。 在入方向规则页面，单击“添加规则”，如图7所示。 图7 添加规则-0 在“添加入方向规则”对话框中，为图5中的安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图8所示。 图8 添加入方向规则 单击“确定”，完成添加入方向规则。

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见默认安全组和规则。 云上一分钟，了解什么是安全组。 安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，则此安全组不生效，您可以使用对等连接等产品建立VPC连接互通。VPC连接请参见VPC连接。

默认安全组 在一个区域创建BMS实例时，如果当前帐号在这个区域尚未创建安全组，系统会为您创建一个默认安全组。 安全组的默认规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的裸金属服务器无需添加规则即可互相访问，如图1所示。 图1 默认安全组 默认安全组规则如表1所示。 表1 默认安全组规则 方向 协议 端口范围 目的地址/源地址 说明 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组ID（例如：sg-xxxxx） 仅允许安全组内的裸金属服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux裸金属服务器。 入方向 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows裸金属服务器。 了解更多信息，请参阅“安全组简介”。

安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况，如图1。 图1 安全评分 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见安全评分。 分值环形图不同色块表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤检测结果页面的数据总数。 示例： 处理安全风险： 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 在“安全风险处理”页面中，单击“前往处理”，进入检测结果页面。 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

等保2.0三级要求—安全通信网络 表24 安全通信网络风险项检查项目 检查子项目 检查项目 网络架构 应保证云计算平台不承载高于其安全保护等级的业务应用系统。 应实现不同云服务客户虚拟网络之间的隔离。 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略。 应提供开放接口或开放安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。

访问RDS实例应该如何配置安全组 通过内网访问RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性公网IP访问RDS实例时，需要为RDS所在安全组配置相应的入方向规则。

数据库安全审计功能类 数据库安全审计可以跨区域使用吗？ 数据库安全审计可以跨可用区使用吗？ 数据库安全审计（旁路模式）是否会影响业务？ 数据库安全审计支持多个帐号共享使用吗？ 数据库安全审计可以应用于哪些场景？ 数据库安全审计支持哪些数据库？ 数据库安全审计支持数据库部署在哪些操作系统上？ 数据库安全审计支持双向审计吗？ 数据库安全审计可以审计不同VPC的数据库吗？ 数据库安全审计支持TLS连接的应用吗？ 数据库安全审计的审计数据可以保存多久？ 数据库安全审计发生异常，多长时间用户可以收到告警通知？ 每天发送告警总条数与每天收到的邮件数是相同的吗？ 为什么不能在线预览数据库安全审计报表？ 在业务侧使用中间件会影响数据库安全审计功能吗？ DBSS服务能否对第三方工具执行的SQL语句进行捕捉？ DBSS服务是否支持线下部署？ 数据库安全服务实例所属VPC是否可以更改？ 如何对接DBSS服务审计的数据？ 云服务首页提示DBSS服务预测容量不足如何处理？

不同安全组内的云耀云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台云耀云服务器上的资源拷贝到另一个安全组内的云耀云服务器上时， 用户可以将两台云耀云服务器设置为内网互通后再拷贝资源。 安全组配置方法： 同一个VPC内，在同一个安全组内的云耀云服务器默认互通。但是，在不同安全组内的云耀云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的云耀云服务器内网互通。 在两台云耀云服务器所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如表1所示。 表1 设置内网互通时使用的协议类型 方向 协议/应用 端口 源地址 入方向 设置内网互通时使用的协议类型 设置端口范围 另一个安全组的ID