华为云用户手册

解除“/etc/hosts.deny”文件限制 管理员登录Linux主机。 执行以下命令，查看“/var/log/secure”日志，确认主机拒绝 云堡垒机 IP记录。 cat /var/log/secure 执行以下命令，编辑“/etc/hosts.deny”文件，删除云 堡垒机 的IP。 vim /etc/hosts.deny （可选）将CBH的IP加入白名单。 执行以下命令，编辑Linux主机的“/etc/hosts.allow”文件，允许所有IP地址登录，避免影响云堡垒机正常使用。 vim /etc/hosts.allow

可能原因 原因一：密码输入错误次数超过Linux主机登录安全防护次数上限，导CBH的IP被加入“/etc/hosts.deny”文件名单。 原因二：Linux主机开启了 企业主机安全 服务（Host Security Service，HSS），多次输入错误密码尝试登录，CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。 原因三：堡垒机不支持操作系统的SSH算法。（仅针对V3.3.38版本以下堡垒机）

DN实例使用限制 在使用DDM过程中，对于DN实例存在一些使用限制。 目前支持5.7及8.0系列版本的RDS for MySQL实例和 GaussDB （for MySQL）实例。 DDM暂不支持MySQL实例配置SSL连接。 禁止MySQL实例开启区分大小写。 如果您使用的MySQL版本为5.7，请您在MySQL实例创建完成后在“参数修改”页面将实例的“lower_case_table_names”参数的值设为1，也可以在创建实例时“表名大小写”这一项选择“不区分大小写”。 如果您使用的MySQL版本为8.0，请您在创建实例时“表名大小写”这一项选择“不区分大小写”。 对已经被DDM关联的DN实例进行修改配置等操作时，可能导致使用异常。修改后需要在DDM的DN管理页面，单击“同步DN信息”，将修改的配置进行同步，保证功能可用性。 禁止DN实例使用gbk字符集。 父主题： 使用限制

DDM权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDM部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDM时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDM服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。 表1 DDM系统策略 策略名称 描述 类别 依赖关系 DDM FullAccess 分布式数据库 中间件服务所有权限。 系统策略 无。 DDM CommonOperations 分布式数据库中间件服务普通权限(除创建实例、删除实例、分片变更、分片变更回滚、规格变更、节点扩容外的所有权限)。 系统策略 无。 DDM ReadOnlyAccess 分布式数据库中间件服务只读权限。 系统策略 无。 DDM系统策略具体权限配置如下： DDM FullAccess { "Version": "1.1", "Statement": [{ "Action": ["ddm:*:*", "rds:instance:list", "rds:instance:modify", "rds:instance:modifyParameter", "vpc:*:*", "ecs:*:get*", "ecs:*:list*", "ecs:cloudServerNics:update", "ecs:serverInterfaces:use"], "Effect": "Allow" }] } DDM CommonOperations { "Version": "1.1", "Statement": [{ "Action": [ "vpc:*:*list*", "vpc:*:*get*", "vpc:ports:update", "ecs:*:get*", "ecs:*:list*", "rds:instance:list", "rds:instance:modify", "rds:instance:modifyParameter" ], "Effect": "Allow" }, { "Condition": { "StringEqualsIgnoreCase": { "g:ServiceName": [ "ddm" ] } }, "NotAction": [ "ddm:instance:create", "ddm:instance:delete", "ddm:database:migrate*", "ddm:instance:resize", "ddm:instance:extendNode" ], "Effect": "Allow" }] } DDM ReadOnlyAccess { "Version": "1.1", "Statement": [{ "Action": [ "rds:instance:list", "vpc:*:*list*", "vpc:*:*get*", "ecs:*:get*", "ecs:*:list*", "ddm:*:list", "ddm:*:get", "ddm:instance:listParameter", "ddm:instance:listRwInfo", "ddm:instance:listSlowSqlInfo", "ddm:rds:connectivity" ], "Effect": "Allow" }] }

DDM与其他服务的关系 虚拟私有云（VPC） DDM运行于虚拟私有云，需要使用虚拟私有云创建的IP和带宽。通过虚拟私有 云安全 组的功能，可增强访问DDM服务的安全性。 弹性云服务器（E CS ） 成功购买DDM实例后，您需要通过弹性云服务器连接使用DDM实例。 云数据库服务（RDS） 购买DDM实例后，可以关联同一虚拟私有云中的RDS for MySQL实例，实现分布式数据库计算与存储。 云数据库GaussDB(for MySQL) 购买DDM实例后，可以关联同一虚拟私有云中的GaussDB(for MySQL)实例，实现分布式数据库计算与存储。 云监控服务 （ CES ） 云监控 服务（Cloud Eye）提供安全、可扩展的统一监控方案，通过云监控服务集中监控DDM的各种指标，基于云监控实现告警和事件通知。 云审计 服务（ CTS ） 云审计服务（Cloud Trace Service），提供DDM服务资源的操作记录，记录内容包括您从 云计算平台 发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 弹性负载均衡（ELB） 弹性负载均衡（ELB）将访问流量根据分配策略分发到后端多台服务器，通过流量分发扩展DDM对外的服务能力，同时通过消除单点故障提升DDM服务的可用性。 数据管理服务（DAS） 数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。

修订记录 发布日期 修订记录 2023-09-04 第十六次正式发布。 权限管理，新增如下操作的细粒度权限策略：查询标签列表、添加/修改/删除标签、查询会话、Kill会话。 2022-08-18 第十五次正式发布。 优化DN实例使用限制章节。 优化产品核心功能章节。 2022-08-09 第十四次正式发布。 优化不支持的特性和使用限制章节。 2022-03-29 第十三次正式发布。 增加DDM原理图。 2022-02-08 第十二次正式发布。 增加不支持的功能特性章节。 2022-01-27 第十一次正式发布。 优化SQL语法使用限制章节。 2022-01-21 第十次正式发布。 优化产品概述章节。 2021-12-30 第九次正式发布。 修改产品概述。 2021-12-13 第八次正式发布。 完善SQL语法使用限制。 2021-11-11 第七次正式发布。 修改DDM实现原理图。 2021-01-15 第六次正式发布。 增加常用概念。 完善MySQL实例使用限制。 2020-12-28 第五次正式发布。 刷新DDM实现原理图。 2020-10-20 第四次正式发布。 刷新产品功能、网络访问使用限制等内容。 2020-09-30 第三次正式发布。 刷新产品规格、应用场景等内容。 2020-08-07 第二次正式发布。 刷新权限管理等内容。 2020-04-30 DDM 2.0第一次正式发布。

SQL语法使用限制 SELECT 不支持DISTINCTROW。 不支持[HIGH_PRIORITY]、[STRAIGHT_JOIN]、 [SQL_SMALL_RESULT]、 [SQL_BIG_RESULT] 、[SQL_BUFFER_RESULT] 、[SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]等选项放在DDM实例下面。 不支持SELECT ... GROUP BY ... WITH ROLLUP语句。 不支持SELECT ... ORDER BY ... WITH ROLLUP语句。 不支持WITH语句。 不支持窗口函数。 SELECT FOR UPDATE仅支持简单查询，不支持join、group by、order by、limit等语句。用于修饰FOR UPDATE的[NOWAIT | SKIP LOCKED]选项对于DDM无效。 对于UNION中的每个SELECT, DDM暂不支持使用多个同名的列。 例如：如下SQL的SELECT中存在重复的列名。 SELECT id, id, name FROM t1 UNION SELECT pk, pk, name FROM t2; 排序与Limit LIMIT/OFFSET参数支持范围为0-2147483647。 聚合 不支持group by语句后添加asc或desc函数来实现排序语义。 DDM自动忽略group by后的asc或desc关键字。 MySQL 8.0.13以下版本支持group by后添加asc或desc函数来实现排序语义，8.0.13及以上版本已废弃该用法，使用时会报语法错误。推荐使用order by语句来保证排序语义。 子查询 不支持与grand parent query产生关联关系的子查询。 不支持HAVING子句中的子查询，JOIN ON 条件中的子查询。 Derived Tables 必须拥有一个别名。 Derived Tables 不可以成为 Correlated Subqueries，即不能包含子查询外部表的引用。 LOAD DATA语法限制 不支持LOW_PRIORITY。 不支持CONCURRENT。 不支持PARTITION (partition_name [, partition_name] ...)。 不支持LINES STARTING BY 'string'。 不支持用户变量。 ESCAPED BY 只支持'\\'。 如果导入数据时没有指定自增键的值，DDM不会填充自增值，自增能力使用的是底层DN的自增能力，因此自增值会重复。 如果主键或者唯一索引值经过路由后不在同一张物理表，REPLACE不生效。 如果主键或者唯一索引值经过路由后不在同一张物理表，IGNORE不生效。 不支持对含有全局二级索引的表执行LOAD DATA的操作。 INSERT 和 REPLACE 不支持INSERT DELAYED...。 不支持不包含拆分字段的INSERT。 暂不支持PARTITION语法，建议不要使用partition表。 INSERT操作不支持datetime（YYYY-MM-DD HH:MM:SS）中“YYYY”取值1582年及之前年份。 INSERT不支持ON DUPLICATE KEY UPDATE 关联子查询列。 INSERT INTO t1(a, b) SELECT * FROM(SELECT c, d FROM t2 UNION SELECT e, f FROM t3) AS dt ON DUPLICATE KEY UPDATE b = b + c; 示例ON DUPLICATE KEY UPDATE语句中引用了子查询列c。 INSERT和REPLACE不支持拆分键值为DEFAULT关键字。 UPDATE和DELETE 不支持更新拆分键值为DEFAULT的关键字。 不支持在一个语句中对同一字段重复更新。 不支持关联更新拆分键。 UPDATE tbl_1 a, tbl_2 b set a.name=b.name where a.id=b.id; 示例中“name”为tbl_1的拆分键。 不支持通过INSERT ON DUPLICATE KEY UPDATE更新拆分键。 不支持自关联更新。 UPDATE tbl_1 a, tbl_1 b set a.tinyblob_col=concat(b.tinyblob_col, 'aaabbb'); 不支持含有JSON类型字段的二级拆分表进行带子查询的拆分键更新。 不支持不带关联条件的关联更新。 不带关联条件的关联更新语句如下： UPDATE tbl_3, tbl_4 SET tbl_3.varchar_col='dsgfdg'; 关联更新不支持在目标列的赋值语句或表达式中引用其它目标列。 UPDATE tbl_1 a, tbl_2 b SET a.name=concat(b.name, 'aaaa'),b.name=concat(a.name, 'bbbb') ON a.id=b.id; 对拆分字段的更新，将转换成delete+insert两个阶段操作，操作中间不保证其它涉及到这张表中的拆分字段值的查询语句的一致性。

数据库管理语句 不支持SHOW TRIGGERS语法。 不支持SHOW PROFILES、SHOW ERRORS、show warnings等多数运维SHOW语句。 下列的SHOW指令会随机发到某个物理分片，每个物理分片如果在不同的RDS for MySQL实例上，查得的变量或者表信息可能不同。 SHOW TABLE STATUS SHOW VARIABLES Syntax SHOW WARNINGS Syntax 不支持LIMIT/COUNT的组合 SHOW ERRORS Syntax 不支持LIMIT/COUNT的组合

广播表 由于DDM的广播表机制是statement级别广播，如果使用运行结果不确定的函数，会造成广播表每个分片的数据不一致，请不要在广播表场景中使用这些函数。如果SQL中使用了这些函数，需要计算好，再以常量形式运用到广播表的操作中。运行结果不确定的函数包括但不限于以下函数： CONNECTION_ID() CURDATE() CURRENT_DATE() CURRENT_TIME() CURRENT_TIMESTAMP() CURTIME() LAST_INSERT_ID() LOCALTIME() LOCALTIMESTAMP() NOW() UNIX_TIMESTAMP() UTC_DATE() UTC_TIME() UTC_TIMESTAMP() CURRENT_ROLE() CURRENT_USER() FOUND_ROWS() GET_LOCK() IS_FREE_LOCK() IS_USED_LOCK() JSON_TABLE() LOAD_FILE() MASTER_POS_WAIT() RAND() RELEASE_ALL_LOCKS() RELEASE_LOCK() ROW_COUNT() SESSION_USER() SLEEP() SYSDATE() SYSTEM_USER() USER() UUID() UUID_SHORT()

不支持的特性 不支持存储过程。 不支持触发器。 不支持视图。 不支持事件。 不支持自定义函数。 不支持外键约束、外键关联。 不支持全文索引和空间函数。 不支持临时表。 不支持BEGIN…END、LOOP…END LOOP、REPEAT…UNTIL…END REPEAT、WHILE…DO…END WHILE 等复合语句。 不支持类似IF ，WHILE 等流程控制类语句。 不支持RESET、FLUSH语句。 不支持BIN LOG 语句。 不支持HANDLER语句。 不支持INSTALL/UNINSTALL PLUGIN语句。 不支持非 ascii/latin1/binary/utf8/utf8mb4 的字符集。 不支持SYS schema。 不支持MySQL追踪优化器。 不支持X-Protocol。 不支持CHECKSUM TABLE 语法。 不支持表维护语句，包括CHECK/CHECKSUM/OPTIMIZE/REPAIR TABLE。 不支持session变量赋值与查询。 例如： set @rowid=0; select @rowid:=@rowid+1,id from user; 不支持SQL语句中包含单行注释 ' --' 或者多行（块）注释 ' /.../'。 不完整支持系统变量查询，系统变量查询语句返回值为RDS实例相关变量值，而非DDM引擎内相关变量值。例如select @@autocommit返回的值，并不代表DDM当前事务状态。 不支持SET Syntax修改全局变量。 不支持PARTITION语法，建议不要使用partition表。 不支持LOAD XML语句。 不支持内联注释语句。 不支持CREATE TABLE AS WITH SELECT语法。 不支持ZEROFILL CREATE语法。

不支持的函数 DDM计算层暂不支持如下函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 不支持XML函数。 不支持ANY_VALUE()函数。 不支持ROW_COUNT()函数。 不支持COMPRESS()函数。 不支持SHA()函数。 不支持SHA1()函数。 不支持AES_ENCRYPT()函数。 不支持AES_DECRYPT()函数。 不支持JSON_OBJECTAGG()聚合函数。 不支持JSON_ARRAYAGG()聚合函数。 不支持STD()聚合函数。 不支持STDDEV()聚合函数。 不支持STDDEV_POP()聚合函数。 不支持STDDEV_SAMP()聚合函数。 不支持VAR_POP()聚合函数。 不支持VAR_SAMP()聚合函数。 不支持VARIANCE()聚合函数。 不支持MICROSECOND()函数。 不支持TO_DAYS()函数。 不支持TO_SECONDS()函数。 不支持UNCOMPRESS()函数。 不支持UNCOMPRESSED_LENGTH()函数。 不支持UNHEX()函数。 不支持YEARWEEK()函数。 不支持TIME_FORMAT()函数。

事务 不支持Savepoints。 不支持XA语法（DDM内部已经通过XA实现了分布式事务，不需要用户层再处理这个语义）。 不支持自定义事务隔离级别，目前DDM只支持READ COMMITTED隔离级别。考虑到兼容性因素，对于设置数据库隔离级别的语句（如SET GLOBAL TRANSACTION ISOLATION LEVEL REPEATABLE READ），DDM不会报错，但会忽略对事务隔离级别的修改。 不支持设置事务为只读（START TRANSACTION READ ONLY），考虑到兼容性因素，DDM会将只读事务的开启自动转换为开启读写事务。

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 登录标准页面：https://192.168.0.1:8443/default.html。 在界面的右上角，单击CLI控制台按钮。 图2 进入CLI控制台 参考如下操作，进入系统视图。 图3 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

购买线上套餐 使用华为帐号（或华为云帐号），进入云商店。 在搜索框，输入服务具体名称或模糊搜索“边界防护与响应服务”，进入服务购买页面。 根据线下购买设备的款型选择边界防护与响应服务版本，单击“立即购买”。 如需选购威胁防护升级服务License，“高级威胁防护库升级”请勾选“是”，反之则勾选“否”。 如需自动续费，请勾选“自动续费”。按年购买，自动续费周期为1年。 图1 边界防护与响应服务购买页面 核对订单详情，勾选“协议及授权”，单击“去支付”。 请仔细确认订单金额，并与华为云渠道商或华为云销售经理再次确认，以免纠纷。 图2 订单确认页面 确认付款并支付订单，付款成功即完成商品购买流程。

场景说明 防火墙存在传统模式和云管模式两种工作模式，默认情况下，防火墙处于传统模式。当防火墙使用在云管理网络中时，需要将防火墙切换到云管模式。 本文介绍在云管模式下如何开通边界防护与响应服务。 云管模式下服务配套的设备如表1所示。 表1 配套的设备 服务 配套的防火墙型号 边界防护与响应服务 防火墙USG61xxE：USG6106E 防火墙USG63xxE：USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 父主题： USG6000E防火墙上线（云管模式）

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

威胁分析与处置 如图2所示，威胁分析与处置中心模块获取各业务数据后，通过 威胁检测 、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。 威胁检测：针对获取的日志，直接进行格式、字段等预处理后输出异常事件。 事件分析响应：对输出的异常事件依次进行聚合分析、自动化分析、安全响应。 针对输出的异常事件根据对应的聚合策略进行聚合分析，然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件，由安全响应执行自动响应动作，在自动化分析的基础上，分析后的事件（包括命中或未命中事件）由安全专家进一步分析处置。 安全管理：为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力，日常管理能力、安全响应管理能力等。 安全专家可以通过事件管理查看自动化分析后的事件；通过模型管理及时配置和调整自动化分析模型；通过响应管理完成黑白名单的日常维护工作。 图2 威胁分析与处置

逻辑架构 如图1所示，边界防护与响应由三个部分组成。 本地网络边界防护：部署在租户网络边界的天关提供入侵防御、反病毒、DNS过滤等能力，守护本地网络边界安全。 租户数据处理：华为乾坤的数据接入中心模块对天关侧的日志进行相关处理，并将各业务数据进行持久化存储。 威胁分析与处置：华为乾坤的威胁分析与处置模块获取各业务数据后，通过威胁检测、事件分析与响应、安全管理三个子模块协同工作共同完成自动化分析和安全响应。具体分析过程请参见图2。 图1 逻辑架构

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

背景信息 表1 设备说明 设备型号 说明 USG65xxF USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

USG6603F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6603F-C支持硬件Bypass功能。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图4 USG6603F-C外观和辅料 表5 USG6603F-C业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE 0/0/0～GE 0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable fiber或undo combo enable fiber选择使用光接口或电接口。 GE电接口（8～11） 接口编号为GE 0/0/8～GE 0/0/11，均已加入VLAN1。 10GE光接口（0～9） 接口编号为10GE 0/0/0～10GE 0/0/9，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表6 USG6603F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6606F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6606F-C不支持硬件Bypass功能。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图5 USG6606F-C外观（正面） 图6 USG6606F-C外观（背面） 表7 USG6606F-C业务口说明 接口名称 描述 100GE/40GE光接口（0~1） 接口编号为100GE 0/0/0～100GE 0/0/1，均已加入VLAN1。 默认工作在100Gbit/s速率模式，在插入40GE光模块时兼容40Gbit/s速率。 40GE光接口（2～3） 接口编号为40GE 0/0/2～40GE 0/0/3，均已加入VLAN1。 25GE/10GE光接口（0~7） 25GE/10GE光接口和100GE/40GE光接口为复用接口，4个25GE/10GE接口与1个100GE/40GE接口对应（25GE/10GE的0～3口，4～7口分别对应100GE/40GE的0口，1口）。 25GE/10GE接口默认工作在10Gbit/s速率模式，接口编号为10GE 0/0/0～10GE 0/0/7，均已加入VLAN1。 当25GE/10GE接口需要工作在25Gbit/s速率时，可以执行port mode 40GE interface 100GE0/0/x 命令。 切换速率模式后的25GE/10GE接口在插入25GE光模块时工作在25Gbit/s速率，在插入10GE光模块时兼容10Gbit/s速率。同时对应的100GE/40GE接口在插入40GE光模块时正常工作，在插入100GE光模块时无法正常工作。 说明： port mode 40GE interface 100GE0/0/x命令不支持多接口操作，x指的是具体的接口号。 执行命令后的接口会生成新的接口号，接口编号10GE 0/0/x～10GE 0/0/x会变更为25GE0/0/x～25GE0/0/x，同时接口编号100GE0/0/x会变更为40GE0/0/x。 10GE光接口（8～15） 接口编号为10GE 0/0/8～10GE 0/0/15，均已加入VLAN1。 10GE/GE光接口（16~27） 接口编号为10GE0/0/16～10GE0/0/27，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表8 USG6606F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6505F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6505F-C支持硬件Bypass功能 使用固定电接口（GE0/0/12和GE0/0/13配对，GE0/0/14和GE0/0/15配对）。 使用光Bypass插卡。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图2 USG6505F-C外观（正面） 图3 USG6505F-C外观（背面） 表3 USG6505F-C业务口说明 接口名称 描述 GE电接口（0～15） 接口编号为GE 0/0/0～GE 0/0/15，均已加入VLAN1。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/12和GE0/0/13配对，组成Bypass0；GE0/0/14和GE0/0/15配对，组成Bypass1。上述两对接口必须严格配对使用。 GE光接口（16~27） 接口编号为GE 0/0/16～GE 0/0/27，均已加入VLAN1。 10GE光接口（0～3） 接口编号为10GE 0/0/0～10GE 0/0/3，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6505F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6502F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6502F-C不支持硬件Bypass功能。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图1 USG6502F-C外观和辅料 表1 USG6502F-C业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE 0/0/0～GE 0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable fiber或undo combo enable fiber选择使用光接口或电接口。 GE电接口（8～9） 接口编号为GE 0/0/8～GE 0/0/9。 10GE光接口（0～1） 接口编号为10GE 0/0/0～10GE 0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6502F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

解决方法 打开浏览器（推荐Chrome浏览器），访问标准配置页面：https://防火墙管理口IP地址:端口号/default.html。 输入管理员帐号和密码，登录防火墙Web配置界面。 选择右下角“CLI控制台”，在控制台窗口单击左上角“点击连接…” 显示“已连接”状态后，在控制台输入以下配置命令。 system-view // 进入系统视图 arp miss anti-attack rate-limit source-ip x.x.x.x maximum 1000 // 根据源IP地址设置ARP Miss消息的限速值 双斜杠前为配置命令，双斜杠后为配置命令解释说明，无需输入。 x.x.x.x为防火墙通过三层接口访问资产时的接口IP，以下图为例，即为GE0/0/2的IP。 图1 组网场景

背景信息 表1 设备说明 设备型号 说明 USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

操作步骤 在Web界面的最上方单击“立即激活”，进入“设备激活向导”页面。 配置互联网接入相关参数，单击“下一步”。 设备会自动添加连接互联网需要的安全策略，选择“我已阅读并同意”，单击“下一步”。 单击“点击开始检测”，检测设备与License激活中心的网络连通性。 检测成功，系统会提示“获取License激活中心服务器信息成功”。单击“下一步”。 配置“ License授权编码”和“客户名称”，单击“激活”，待设备激活基础License后，单击“下一步”。 您购买的license中必须包括软件基础License，激活设备后功能才可用。 License授权编码是License授权证书中的 Entitlement ID (LAC)，如下图所示。 设备激活成功后，单击“开始使用”。

解决方法 登录标准页面：https://192.168.0.1:8443/default.html。 在任意界面的右上角，单击“CLI控制台”。 图1 进入控制台 输入system-view，进入系统视图。 输入以下命令行配置认证方式。 配置后就可以使用密码password登录串口。 user-interface console 0 authentication-mode password set authentication password cipher password

数据规划 表1 数据规划 项目 数据 说明 租户内网资产IP地址 192.168.41.0-192.168.41.255 请向租户获取，此处仅为示例。 天关1 转发业务流量接口（Bypass接口对） USG6502E-C/USG6503E-C：GE0/0/21和GE0/0/20 USG6603F-C：10GE0/0/0、10GE0/0/1 - 云端管理接口 GE0/0/3：192.168.55.1/24 - 漏洞扫描 和 云日志 审计业务接口 GE0/0/2：192.168.56.1/24 - 天关2 镜像流量接收口（旁路检测模式） USG6502E-C/USG6503E-C：GE0/0/20 USG6603F-C：GE0/0/10 此处请使用偶数端口，USG6603F-C缺省无GE0/0/20接口，可使用GE0/0/10。 云端管理接口 GE0/0/3：192.168.55.2/24 - 交换机 端口规划 观察端口：GigabitEthernet0/0/1 镜像端口：GigabitEthernet0/0/2 - 父主题： 企业内部存在DNS服务器场景