华为云用户手册

数据规划 表1 数据规划 项目 数据 说明 租户内网资产IP地址 192.168.41.0-192.168.41.255 请向租户获取，此处仅为示例。 天关1 转发业务流量接口（Bypass接口对） USG6502E-C/USG6503E-C：GE0/0/21和GE0/0/20 USG6603F-C：10GE0/0/0、10GE0/0/1 - 云端管理接口 GE0/0/3：192.168.55.1/24 - 漏洞扫描 和 云日志 审计业务接口 GE0/0/2：192.168.56.1/24 - 天关2 镜像流量接收口（旁路检测模式） USG6502E-C/USG6503E-C：GE0/0/20 USG6603F-C：GE0/0/10 此处请使用偶数端口，USG6603F-C缺省无GE0/0/20接口，可使用GE0/0/10。 云端管理接口 GE0/0/3：192.168.55.2/24 - 交换机 端口规划 观察端口：GigabitEthernet0/0/1 镜像端口：GigabitEthernet0/0/2 - 父主题： 企业内部存在DNS服务器场景

指示灯 图2 SIC-2SM-BF指示灯 1、STAT指示灯 2、BYPASS指示灯 指示灯说明如表1所示。 表1 SIC-2SM-BF指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 STAT 运行状态指示灯 绿色 常亮 表示单板已经上电，但是软件未运行。 绿色 每2秒闪1次（0.5Hz） 表示单板处于正常运行状态。 绿色 每秒闪4次（4Hz） 表示单板处于上电加载或者复位启动状态。 红色 常亮 表示单板有影响业务且无法自动恢复的故障（硬件类紧急告警）。 - 常灭 表示该单板处于未上电状态。 BYPASS BYPASS功能指示灯 绿色 常亮 设备已上电，单板处于Bypass的保护状态。 绿色 每2秒闪1次（0.5Hz） 设备已上电，单板处于非Bypass的工作状态。 - 常灭 设备已下电，单板处于Bypass的保护状态。

接口 图3 SIC-2SM-BF接口 光Bypass插卡提供四个接口，包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时，EXTERNAL接口0和INTERNAL接口2组成一条链路，EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时，两个EXTERNAL口直接相连组成一条链路。 1、EXTERNAL 2、INTERNAL 接口说明如表2所示。 表2 SIC-2SM-BF接口说明 接口名称 连接器类型 描述 可使用的部件 EXTERNAL LC 2个光纤接口，Port 0~Port 1 单模光纤 INTERNAL LC 2个光纤接口，Port 2~Port 3 单模光纤

解决方法 本地授权版本，确认相应特征库已授权 云端授权版本，确定乾坤云上该设备已经绑定边界防护与响应套餐，并且套餐状态为已部署 排查上游设备做了安全限制导致网络不通，需要放通如下地址和端口 安全中心平台目前的调度服务器&下载服务器信息 1、安全中心平台目前调度服务器信息。 域名 IP sec.huawei.com 45.249.212.170 2、安全中心平台目前的下载服务器信息： 域名 IP 优先支持的下载区域 备注 fds-canada-5.sec.huawei.com 49.51.9.205 北美区域 - fds-canada-4.sec.huawei.com 49.51.9.168 北美区域 - fds-canada-2.sec.huawei.com 49.51.11.237 北美区域 - fds-canada-1.sec.huawei.com 45.113.71.37 北美区域 - fds-europe-2.sec.huawei.com 49.51.159.11 欧洲区域、非洲区域、俄罗斯区域 - fds-asia-2.sec.huawei.com 124.156.212.142 亚洲区域 - 121.37.30.248 121.37.30.248 中国区域 - 121.37.19.177 121.37.19.177 中国区域 - 121.37.31.181 121.37.31.181 中国区域 - 文件下载协议与端口之间的关系为：H TTS -443，HTTP-80，FTP-22，32119

配置天关/防火墙上线 本服务需要在客户侧部署天关或防火墙才能正常使用，具体操作请参见《天关和防火墙上线指南》。服务支持的天关或防火墙型号如表1所示。 表1 天关或防火墙的型号 设备类型 设备型号 支持版本 天关 USG6xxxE-C：USG6501E-C/6502E-C/6503E-C USG6xxxF-C：USG6603F-C/USG6606F-C USG6xxxE-C：V600R007C20SPC500及其后续版本。 USG6xxxF-C：V600R023C00及后续版本。 防火墙 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K USG6530E：V600R007C20SPC600及其后续版本。 USG66xxE、USG67xxE：V600R007C20SPC603及其后续版本 USG65xxF、USG66xxF、USG67xxF：V600R023C00及其后续版本。 其他型号：V600R007C20SPC500及其后续版本。 父主题： 部署指南

行业安全管理建设场景 在政府、医疗、教育等行业，上级行政主管部门对下级单位提出了较高的网络安全要求，但下级单位由于安全预算有限、技术能力储备不足等问题较难实现完善的网络安全建设。同时，上级主管部门无法有效管理网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，满足上级主管部门的网络安全要求。 上级主管部门能够对下级单位进行有效管理，对不满足项可以及时督促整改。 图3 行业安全管理建设场景 采用边界防护与响应服务可以实现： 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力。 借助华为乾坤对威胁事件进行统一分析，统一响应及时阻断，同时借助华为乾坤安全专家解决疑难问题，弥补下级单位技术能力储备不足的问题。 华为乾坤向下级单位发送安全告警和邮件报告的同时，也向上级主管部门发送全局安全检测报告，全面展示下级单位的安全状况，安全事件处置是否及时等，实现对下级单位的有效管理、及时督促。

中小型企业互联网出口场景 中小型企业只有很少或者没有安全投资，没有专门的网络安全负责人，也买不起驻场服务。即使购买了最基本的安全设备，通常也会因为没有专业安全运维人员而无法发挥作用。此类型企业的安全防护能力几乎是一片空白，只要一个普通的病毒就可能导致整个信息系统不可用。随着网络安全形势日趋严峻，已严重影响到日常业务运营，因此网络安全建设也成为此类型企业必须面对的课题。 此类型企业安全建设的主要诉求包括： 由于没有人力投入安全运维，因此不想购买多种安全设备。 安全预算非常有限，买不起驻场服务，希望将“网络安全建设”外包出去，获得基本的安全能力，在保证内网与外网能够互通的同时，不影响日常业务运营。 图1 中小型企业互联网出口场景 采用边界防护与响应服务可以实现： 仅需在企业互联网出口部署一台天关，通过华为乾坤自动向天关下发入侵防御、反病毒基本防御能力，能够有效拦截外网威胁和避免病毒文件感染，在保证内网与外网能够互通的同时，不影响日常业务运营。 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力，将“网络安全建设”外包给华为乾坤，大幅减少本地运维工作量。

大型企业集团多分支互联场景 大型企业集团业务一般遍及全国，在全国多省市设有分支，且分支之间业务来往频繁。此类型企业一般在集团总部设有小型的网络安全部门，安全投资主要依赖安全厂商或集成商进行建设，从厂商或服务商购买驻场服务。由于驻场服务人员的能力有限、分支基本没有专门的安全运维人力、分支之间互联网数据传输频繁等原因，导致集团整体的安全状况堪忧，可能轻易就被普通水平的黑客攻陷。 此类型企业安全建设的主要诉求包括： 简化本地运维：受限于安全运维人力成本，无法为每个分支派驻安全运维人力或购买驻场服务，即使为分支购买了驻场服务，由于驻场服务人员的能力有限，也难以达成安全效果。 实现统一防护：能够对分支机构网络防护全部覆盖，可以统筹分析全集团的安全事件，并统一响应、及时阻断威胁，同时集团总部能够及时了解每个分支的安全状况。 图2 大型企业集团多分支互联场景 采用边界防护与响应服务可以实现： 利用华为乾坤的智能分析和处置能力提升自动运维效率，自动拦截威胁，华为乾坤安全专家资源7*24小时在线服务，解决复杂网络安全问题，有效简化本地运维。 通过在每个分支的互联网边界处部署一台天关作为安全防御节点，结合华为乾坤的安全服务实现对所有分支网络的统一防护。 借助华为乾坤对安全事件的统筹分析，及时自动响应阻断威胁，并将安全告警通过邮件发送至总部安全管理员，总部安全管理员可针对性进行应急响应，解决严重的失陷主机事件。总部安全管理员借助全局安全服务周报、月报了解整体的网络安全态势，把握全集团的网络安全动态。

约束与限制 云日志审计服务支持的天关/防火墙型号如下： 表1 天关或防火墙的型号 设备类型 设备型号 支持版本 天关 USG6xxxE-C：USG6501E-C/6502E-C/6503E-C USG6xxxF-C：USG6603F-C/USG6606F-C USG6xxxE-C：V600R007C20SPC500及其后续版本。 USG6xxxF-C：V600R023C00及后续版本。 防火墙 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K USG6530E：V600R007C20SPC600及其后续版本。 USG66xxE、USG67xxE：V600R007C20SPC603及其后续版本 USG65xxF、USG66xxF、USG67xxF：V600R023C00及其后续版本。 其他型号：V600R007C20SPC500及其后续版本。 天关/防火墙的相关约束如下： 天关/防火墙接收日志的速率默认为3000条/秒，当企业内所有资产每秒上报的日志数量总和超过3000条后，天关/防火墙就会丢弃超过阈值的日志。 天关/防火墙最大支持的单条日志长度为1024字节，对长度超过1024字节的日志会进行截断。 天关/防火墙与资产之间不允许存在NAT设备，否则可能导致无法解析出资产的实际IP地址。如果企业内部网络存在NAT设备，需要在资产和NAT设备之间部署独立的天关/防火墙，并开启日志审计服务。 父主题： 产品介绍

场景描述 客户首次购买华为乾坤为线下场景，即：客户通过华为乾坤运营人员协助购买云服务License，此场景下： 请单击联系我们，留下您的联系方式，华为乾坤运营人员会联系您。 若客户未注册华为帐号，需要注册华为帐号并将华为乾坤帐号与其绑定。 若客户已注册华为帐号，可直接将华为乾坤帐号与其绑定。 客户首次购买华为乾坤为线上场景，即：客户通过华为云商店购买线上套餐，此场景下，客户已完成华为乾坤与华为云帐号绑定，可跳过本节内容。

服务器/终端（Linux操作系统） 以root用户登录服务器/终端。 开启审计功能。 systemctl start auditd 编辑配置文件/etc/rsyslog.conf。 vi /etc/rsyslog.conf 按“I”键，进入编辑模式，在配置文件/etc/rsyslog.conf的最后追加如下信息。 该配置将设备产生的错误日志、内核和后台进程日志（级别为notice）、认证日志（类型为auth，级别为info）、审计日志发送到天关。 #### 采集audit日志 #### $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor ###################### *.err;kern.notice;daemon.notice;auth.info;local6.info @10.1.1.1 #此处需要修改 “@”前为一个Tab键，请勿遗漏。 10.1.1.1为天关侧与资产通信的内网IP地址，根据实际修改。 按“Esc”键，退出编辑模式。 输入:wq!，保存并退出文件。 重启rsyslog服务。 systemctl restart rsyslog 父主题： 配置资产

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

操作步骤 登录华为乾坤控制台。 单击华为乾坤云服务菜单栏左上角的按钮，单击云管理网络进入服务首页。 在服务首页单击右上角的“旧版云管理网络”，进入旧版云管理网络界面。 配置安全策略。 请开通云管理网络套餐以保证配置正常下发，具体请参见云管理网络的《服务开通》中“开通云管理网络套餐”章节。 表1中的源安全区域和目的安全区域为举例说明，请根据资产实际所处的区域配置。 表1 安全策略 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许

USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530） 图2 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）外观和辅料 早期发货机型的两个USB接口标准分别为USB 3.0和USB 2.0，后期发货机型的两个USB接口标准均为USB 2.0。本文中以两个USB接口标准均为USB 2.0的机型举例说明。 表3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）业务口说明 接口名称 描述 GE以太网电接口（0～15） 接口编号为GE0/0/0～GE0/0/15，均已加入VLAN1。 光电互斥接口（Combo接口，16～23） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/16～GE0/0/23，均已加入VLAN1。 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，可组成一条电链路Bypass。推荐使用这两对接口，当天关故障时流量直接通过天关，保证业务不中断。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable { copper | fiber }选择使用电接口或光接口。 说明： 仅当GE0/0/20～GE0/0/23接口工作在电接口状态下，才能形成Bypass链路。 10GE光接口（0～1） 接口编号为XGE0/0/0～XGE0/0/1。 说明： V600R007C20SPC601之前版本，XGE0/0/0~XGE0/0/1接口缺省状态为三层接口模式，均未加入VLAN1。 V600R007C20SPC601及之后版本，XGE0/0/0~XGE0/0/1接口缺省状态为二层接口模式，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510） 图1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）外观和辅料 早期发货机型的两个USB接口标准分别为USB 3.0和USB 2.0，后期发货机型的两个USB接口标准均为USB 2.0。本文中以两个USB接口标准均为USB 2.0的机型举例说明。 表1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable { copper | fiber }选择使用电接口或光接口。 10GE光接口（0～1） 接口编号为XGE0/0/0～XGE0/0/1。 说明： V600R007C20SPC601之前版本，XGE0/0/0~XGE0/0/1接口缺省状态为三层接口模式，均未加入VLAN1。 V600R007C20SPC601及之后版本，XGE0/0/0~XGE0/0/1接口缺省状态为二层接口模式，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 表1 漏洞扫描能力 类型 功能描述 全量扫描 对服务器、终端设备等多种资产类型进行全量漏洞扫描，包括系统漏洞扫描、Web应用漏洞扫描、数据库漏洞扫描。 专项扫描 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 热点漏洞扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描，并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。

漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是 漏洞扫描服务 基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。

边界漏洞免疫（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以利用天关/防火墙的入侵防御（IPS）能力，设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来，显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的，请不要随意修改。如果一定要修改，请在右上角的帐号下，单击“我的工单”，提交工单寻求解决方法。 使用本功能时，天关/防火墙需要联网，且可以自动升级特征库，以便保持特征库为最新版本。

连接以太网线 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN接口上网） 图1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN接口上网） 表1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网） 图2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网） 表2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/7为例。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 0 GE0/0/0 只有购买了漏洞扫描服务或云日志审计服务时，需要连接此网线。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（VLAN接口上网） 图3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）VLAN接口上网 表3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 20 GE0/0/20 业务下行口，为透明二层接口，连接局域网设备。请选取GE0/0/22或GE0/0/20作为业务下行口，此处以GE0/0/20为例。 21 GE0/0/21 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。请选取GE0/0/23或GE0/0/21作为业务上行口，此处以GE0/0/21为例。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对，所以上述两对接口必须严格配对使用。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（单独物理网口上网） 图4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）单独物理网口上网 表4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 20 GE0/0/20 业务下行口，为透明二层接口，连接局域网设备。请选取GE0/0/22或GE0/0/20作为业务下行口，此处以GE0/0/20为例。 21 GE0/0/21 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。请选取GE0/0/23或GE0/0/21作为业务上行口，此处以GE0/0/21为例。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对，所以上述两对接口必须严格配对使用。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 0 GE0/0/0 只有购买了漏洞扫描服务或云日志审计服务时，需要连接此网线。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

单独物理网口上网（推荐） 适用场景：客户网络已有出口路由器（出口网关）。业务链路所在网段没有可分配的IP地址，或者该网段不能访问互联网，需要单独物理口接入可访问互联网网段。 方案特点：需要额外连一根网线上网，并配置该物理接口的“工作模式”为“路由”模式。云端管理口和业务上行口不共用一个物理接口。 图2 单独物理网口上网 更多其他部署场景，比如天关旁挂，或者您的企业内部存在NAT转换/DNS服务器，请参见《典型配置案例》完成天关部署和上线配置。

安全设备 以华为防火墙为例，说明安全设备的配置方法。 输入管理员帐号和密码，登录防火墙设备。 进入系统视图。 system-view 执行以下命令。 [Huawei] info-center enable // 启用日志服务 [Huawei] info-center loghost 10.1.1.1 port 514 // 配置日志发送到天关，10.1.1.1为天关侧与资产通信的内网IP地址 父主题： 配置资产

通过光Bypass插卡连接设备 前提条件 请确保天关及上下游设备光接口上已安装光模块。 请确保光Bypass插卡已经安装完好。 注意事项 光Bypass卡只支持LC接头单模光纤。 操作步骤 取下光Bypass插卡接口上的保护橡胶塞。 按照下图所示完成连线。 图2 通过光Bypass插卡连接设备 表1 接口使用说明 接口丝印 接口编号 说明 EXTERNAL接口0 - 用于连接上行设备的光接口（如：出口路由器）。 INTERNAL接口2 - 用于连接天关的奇数编号接口，此处以10GE0/0/1为例。 EXTERNAL接口0与INTERNAL接口2组成一条链路，保证天关与上行设备连接正常。 EXTERNAL接口1 - 用于连接下行设备的光接口（如：内网交换机）。 INTERNAL接口3 - 用于连接天关的偶数编号接口，此处以10GE0/0/0为例。 EXTERNAL接口1和INTERNAL接口3组成一条链路，保证天关与下行设备连接正常。 0 10GE0/0/0（光接口） 用于跟INTERNAL接口3连接。 使用上下相邻的一对光接口分别连接。 1 10GE0/0/1（光接口） 用于跟INTERNAL接口2连接。 说明： 请使用上下相邻的一对光接口分别连接INTERNAL接口2、INTERNAL接口3，此处以10GE0/0/1、10GE0/0/0为例。 1 GE0/0/1（电接口） 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 光Bypass插卡提供四个接口，包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时，EXTERNAL接口0和INTERNAL接口2组成一条链路，EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时，两个EXTERNAL口直接相连组成一条链路。 天关上电后检查光纤连接后对应光接口的指示灯状态。如果指示灯常亮或闪烁，表示链路已连通或有数据转发；如果指示灯常灭，表示链路未连通。

安装光Bypass插卡 请按照图1 安装光Bypass插卡所示安装光Bypass插卡。 a.拧松插槽上假面板的螺钉，并取下假面板。 b.将光Bypass插卡上的扳手打开，沿插槽的导轨水平推入光Bypass插卡，直至扳手接触前面板为止。 c.将扳手往里压紧，直至光Bypass插卡完全进入插槽，拧紧光Bypass插卡两侧的螺钉。 图1 安装光Bypass插卡 设备上电后检查光Bypass插卡上指示灯的运行状态。如果指示灯显示绿色，表示光Bypass插卡已经上电；如果指示灯显示红色，表示光Bypass插卡有影响业务且无法自动恢复的故障（硬件类紧急告警）。

连接以太网线 USG6603F-C（VLAN接口上网） 下图以USG6603F-C作为示例。 图1 USG6603F-CVLAN接口上网 表1 USG6603F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 10 GE0/0/10 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/10为例。 11 GE0/0/11 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/11为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6603F-C（单独物理网口上网） 图2 USG6603F-C单独物理网口上网 表2 USG6603F-C（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 10 GE0/0/10 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/10为例。 11 GE0/0/11 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/11为例。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 接口编号相邻的业务接口两两组成二层接口对，奇数编号接口用于连接上行设备，偶数编号接口用于连接局域网设备。 本节中业务上下行口都是以电接口为例进行介绍的，如需使用Bypass功能，请参见如何使用光Bypass插卡（SIC-2SM-BF-单模光bypass插卡）。 USG6606F-C（VLAN接口上网） 图3 USG6606F-C（VLAN接口上网） 表3 USG6606F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以100GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6606F-C（单独物理网口上网） 图4 USG6606F-C（单独物理口上网）接口使用说明 表4 USG6606F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以100GE0/0/1为例。 7 10GE0/0/7 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以10GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

硬件介绍 USG12000的介绍以USG12004为例，其他机型与USG12004存在差异，具体请参见《HiSecEngine USG12000系列 硬件指南》。 图1 USG12004外观 表1 USG12004组成结构说明 1、机箱眉头 2、正面的ESD插孔 3、电源模块PM 4、电源开关 5、 主控板MPU 6、 接口板LPU/业务处理板SPU槽位 7、走线齿 8、托盘（不再随整机发货） 9、PEM模块（Power Entry Module） 10、风扇模块位置示意图 11、双OT端子接地点 有黄色的接地标签。 12、风扇模块 13、总装机箱条码 14、序列号标签 15、MAC地址标签 16、背面的ESD插孔 - - - - 图2 USG12004指示灯 1、电源模块状态指示灯 2、主控板状态指示灯 3、接口板/业务处理板状态指示灯 4、交换网板状态指示灯 5、风扇模块状态指示灯 6、设备开关 - - - - 表2 USG12004指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源模块状态指示灯 绿色 常亮 表示所有的电源模块工作正常。 红色 常亮 表示可能有： 一个或多个电源模块工作异常，包括在位不输出。 一个或多个电源模块已经下电。 MPU 主控板状态指示灯 绿色 常亮 表示在位的主控板都工作正常。 红色 常亮 表示可能有： 至少有一块主控板已经故障。 LPU/SPU 接口板/业务处理板状态指示灯 绿色 常亮 表示在位的接口板、业务处理板都工作正常。 红色 常亮 表示可能有： 在位的接口板、业务处理板任意一块单板工作异常。 接口板、业务处理板全不在位。 SFU 交换网板状态指示灯 - - 功能预留，暂未启用。 FAN 风扇模块状态指示灯 绿色 常亮 表示所有的风扇模块在位且工作正常。 红色 常亮 表示可能有： 一个或多个风扇模块工作异常。 一个或多个风扇模块不在位或者被拔出。 父主题： USG12000防火墙上线

连接线缆 图1以USG12004，使用型号为LPUA-2CQ-24XS的LPU板，且LPUA-2CQ-24XS的LPU板位于3号槽位为例。USG12000系列配套的LPU板、具体设备型号的槽位介绍请参见《HiSecEngine USG12000系列 硬件指南》。 图1 连接业务线缆 表1 接口使用说明 接口编号 说明 10GE3/0/7 业务下行口，为三层口，连接局域网交换机，此处以10GE3/0/7为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的7号口连接局域网交换机，且LPU板位于3号槽位，因此接口编号为10GE3/0/7。 10GE3/0/6 业务上行口，为三层口，连接互联网，此处以10GE3/0/6为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的6号口连接互联网，且LPU板位于3号槽位，因此接口编号为10GE3/0/6。 MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 父主题： USG12000防火墙上线

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 quotas QuotasResourcesDto object 组织配额的响应体。 表3 QuotasResourcesDto 参数 参数类型 描述 resources Array of QuotaDto objects 配额信息。 表4 QuotaDto 参数 参数类型 描述 type String 配额类型，account账户，organizational_unit组织单元，policy策略。 最小长度：1 最大长度：64 quota Integer 配额数量。 min Integer 最小配额。 max Integer 最大配额。 used Integer 已使用数量。

监控指标 表1 公网NAT网关支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） snat_connection SNAT连接数 该指标用于统计测量对象的SNAT连接数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟 inbound_bandwidth 入方向带宽 该指标用于统计入方向带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 outbound_bandwidth 出方向带宽 该指标用于统计SNAT出方向带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 inbound_pps 入方向PPS 该指标用于统计SNAT入方向PPS。 单位：个 ≥0个 公网NAT网关实例 1分钟 outbound_pps 出方向PPS 该指标用于统计SNAT出方向PPS。 单位：个 ≥0个 公网NAT网关实例 1分钟 inbound_traffic 入方向流量 该指标用于统计SNAT入方向流量。 单位：字节 ≥0 bytes 公网NAT网关实例 1分钟 outbound_traffic 出方向流量 该指标用于统计SNAT出方向流量。 单位：字节 ≥0 bytes 公网NAT网关实例 1分钟 snat_connection_ratio SNAT连接数使用率 该指标用于统计测量对象的SNAT连接数使用率。连接数最大为规格限制的连接数。详情可查看产品规格。 单位：百分比 ≥0 公网NAT网关实例 1分钟 inbound_bandwidth_ratio 入方向带宽使用率 该指标用于统计SNAT入方向带宽使用率。 公网NAT实例最大带宽20Gbit/s，则入方向带宽使用率为：实际使用带宽/公网NAT实例最大带宽*100%。 单位：百分比 说明： 该监控项为针对公网NAT实例性能的监控而不是针对EIP带宽的监控。 ≥0 公网NAT网关实例 1分钟 outbound_bandwidth_ratio 出方向带宽使用率 该指标用于统计SNAT出方向带宽使用率。 公网NAT实例最大带宽为20Gbit/s，则出方向带宽使用率为：实际使用带宽/公网NAT实例最大带宽*100%。 单位：百分比 说明： 该监控项为针对公网NAT实例性能的监控而不是针对EIP带宽的监控。 ≥0 公网NAT网关实例 1分钟 total_inbound_bandwidth (UDP) 入方向UDP总带宽 该指标用于统计从公网引到当前公网NAT网关实例的UDP总带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 total_outbound_bandwidth (UDP) 出方向UDP总带宽 该指标用于统计虚拟私有云(VPC)内引到当前公网NAT网关实例的UDP总带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 total_inbound_bandwidth (ТСР) 入方向TCP总带宽 该指标用于统计从公网引到当前公网NAT网关实例的TCP总带宽 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 total_outbound_bandwidth(ТСР) 出方向TCP总带宽 该指标用于统计虚拟私有云(VPC)内引到当前公网NAT网关实例的TCP总带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 packets_dropped (excessive snat connections) 丢包数（SNAT连接数超限） 该指标用于统计当前公网NAT网关实例由于SNAT连接数超限导致的丢包数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟 packets_dropped (excessive pps) 丢包数（PPS超限） 该指标用于统计当前公网NAT网关实例由于PPS超限导致的丢包数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟 packets_dropped (all EIP ports allocated) 丢包数（EIP端口分配超限） 该指标用于统计当前公网NAT网关实例由于EIP端口分配超限导致的丢包数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟

约束与限制 表1 变更云硬盘类型约束与限制 变更云硬盘类型的阶段 限制说明 变更前 只有当云硬盘处于“可用”、“正在使用”状态时，支持变更云硬盘类型。 云硬盘快照在删除过程中，不支持变更云硬盘类型。 变更云硬盘类型可能会影响云硬盘的性能，请避开业务高峰期。 变更中 云硬盘类型变更过程中，无法对云硬盘进行其他操作，如创建快照、创建备份、云硬盘扩容、从快照回滚数据、挂载和卸载云硬盘、虚拟机制作镜像、删除云硬盘、从备份恢复数据、云硬盘过户。 云硬盘类型变更可能需要数小时才能成功，且过程中无法中断操作。 同一时间段内，最多支持10个云硬盘同时变更。 如果云硬盘为系统盘，那么在变更类型的过程中，不支持更换操作系统。 变更后 在极少数情况下，可能会由于后台资源问题导致变更云硬盘类型失败，如此问题发生，请稍后重试。 云硬盘类型变配详情参考表2。 表2 云硬盘变配列表 原云硬盘类型 变配说明 极速型SSD V2 可以变配为极速型SSD V2（变更IOPS） 极速型SSD 可以变配为超高IO、通用型SSD 通用型SSD V2 可以变配为通用型SSD V2（变更IOPS、吞吐量） 超高IO 可以变配为极速型SSD、通用型SSD 通用型SSD 可以变配为极速型SSD、超高IO 高IO 可以变配为极速型SSD、超高IO、通用型SSD 普通IO（上一代产品） 可以变配为极速型SSD、超高IO、通用型SSD、高IO

DDoS原生专业防护+WAF独享模式如何配置？ 当您的网站类业务部署在华为云E CS 上时，您可以为网站业务配置“DDoS原生专业防护+WAF”联动防护，即网站业务接入WAF独享模式后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生专业防护实例进行防护，实现DDoS原生专业防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 有关“DDoS原生专业防护+WAF”联动防护的详细介绍，请参见华为云“DDoS原生专业防护+WAF”联动防护。 父主题： WAF与其他华为云服务同时部署