华为云用户手册

数据规划 项目 数据 说明 FW1 HRP接口 GE0/0/7 :10.1.0.1/24 用于建立HRP心跳链路。 FW2 HRP接口 GE0/0/7 :10.1.0.2/24 用于建立HRP心跳链路。 FW1上下行接口 GE0/0/5 : 10.2.0.1/24 GE0/0/4 : 10.3.0.1/24 - FW2上下行接口 GE0/0/5: 10.2.0.2/24 GE0/0/4 : 10.3.0.2/24 - 父主题： 企业边界防火墙双机组网（三层）--vrrp

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 交换机 GigabitEthernet0/0/2 观察端口。 GigabitEthernet0/0/1 镜像端口。 GigabitEthernet0/0/3：192.168.56.20/24 与天关上漏扫和 云日志 审计业务接口直连的三层端口，IP地址请向租户获取，此处为示例。 天关 GE0/0/1 流量检测端口。 GE0/0/3：172.16.10.10/24 云端管理接口，IP地址请向租户获取，此处为示例。 GE0/0/2：192.168.56.10/24 漏洞扫描 和云日志审计接口，IP地址请向租户获取，此处为示例。 父主题： 企业边界天关旁路镜像流状态检测（USG6502E-C天关、USG6503E-C天关、USG6603F-C天关）

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许。 图1 安全策略 在任意界面的右下角，单击“CLI控制台”。 图2 安全策略 参考如下操作，进入系统视图。 图3 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

连接以太网线 本文主要是介绍防火墙上线，因此主要关注上行口的连线和配置。 图1 USG6525E连接以太网线 表1 接口使用说明 接口丝印 接口编号 说明 3 GE0/0/3 业务上行口，为三层口，连接互联网，此处以GE0/0/3为例。 6 GE0/0/6 业务下行口，为三层口，连接局域网交换机，此处以GE0/0/6为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

功能特性 云日志审计服务支持的功能如下： 日志接收：支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。 日志解析：支持解析多种格式及多种来源的日志，将其标准化。 日志存储：支持180天的日志留存时长。 日志查询： 支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 支持多关键字组合精确查询日志。 审计资产管理： 支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为客户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计 数据可视化 ： 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势，如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。 父主题： 产品介绍

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许。 图2 安全策略 在任意界面的右下角，单击“CLI控制台”。 图3 安全策略 参考如下操作，进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

接口 图3 SIC-2SM-BF接口 光Bypass插卡提供四个接口，包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时，EXTERNAL接口0和INTERNAL接口2组成一条链路，EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时，两个EXTERNAL口直接相连组成一条链路。 1、EXTERNAL 2、INTERNAL 接口说明如表2所示。 表2 SIC-2SM-BF接口说明 接口名称 连接器类型 描述 可使用的部件 EXTERNAL LC 2个光纤接口，Port 0~Port 1 单模光纤 INTERNAL LC 2个光纤接口，Port 2~Port 3 单模光纤

指示灯 图2 SIC-2SM-BF指示灯 1、STAT指示灯 2、BYPASS指示灯 指示灯说明如表1所示。 表1 SIC-2SM-BF指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 STAT 运行状态指示灯 绿色 常亮 表示单板已经上电，但是软件未运行。 绿色 每2秒闪1次（0.5Hz） 表示单板处于正常运行状态。 绿色 每秒闪4次（4Hz） 表示单板处于上电加载或者复位启动状态。 红色 常亮 表示单板有影响业务且无法自动恢复的故障（硬件类紧急告警）。 - 常灭 表示该单板处于未上电状态。 BYPASS BYPASS功能指示灯 绿色 常亮 设备已上电，单板处于Bypass的保护状态。 绿色 每2秒闪1次（0.5Hz） 设备已上电，单板处于非Bypass的工作状态。 - 常灭 设备已下电，单板处于Bypass的保护状态。

租户基础操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 更多操作

产品架构 云日志审计服务由云端日志管理中心和用户本地网络的天关组成。用户资产将日志以syslog协议通过天关/防火墙代理发送到云端，云端服务对日志进行解析、存储。 云日志审计服务的产品架构如图1所示。 图1 产品架构图 表1 主要设备/模块介绍 部署位置 设备/模块名称 功能介绍 云端 资产管理 负责用户资产的录入和管理。 负责为 数据治理 服务提供资产数据下发的功能。 数据治理 负责提供日志数据接收和存储服务。 负责提供日志查询和统计功能。 负责集群和数据管理功能。 云日志审计 负责对日志数据的接收、解析，及时发现各种安全威胁和异常行为事件。 企业内部网络 天关/防火墙 云日志审计服务与企业内部网络的通信桥梁，用户资产的日志数据通过天关/防火墙上传到云端。 资产日志实时发送到天关/防火墙，天关/防火墙最大间隔10s会将日志上传云端。

应用场景 云日志审计服务的应用场景如下： 等保合规场景 国家法律法规逐步健全完善，对日志审计提出明确要求。日志审计作为网络安全基础建设的关键一环，国家高度重视。 2017年6月1日起施行的《中华人民共和国网络安全法》中规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。 《网络安全等级保护基本要求》（GB∕T 22239-2019）中规定：二到四级需要对网络、主机、应用安全三部分进行日志审计，留存日志需符合法律法规规定。 满足系统安全管理需求 当前信息安全形势日益严峻，信息安全防护工作面临前所未有的困难和挑战。云日志审计服务能够帮助用户更好地保障信息系统运行，及时识别针对信息系统的入侵攻击、内部违规等信息，能够为安全事件的事后分析、调查取证提供必要的信息。 父主题： 产品介绍

当前企业面临的挑战 随着互联网规模的扩大，网络安全事件越来越多，企业需要部署越来越多的安全设备，不同设备每天产生数以千万计的日志信息，导致日志收集、分析、管理困难。 不同设备的日志格式不一样，各有各的描述规则，需要安全管理人员了解每种设备类型的日志格式，海量设备对安全管理人员的专业能力要求高。 随着企业网络持续扩张，需要审计系统具备平滑的扩容能力，以应对日益增加的海量日志数据。传统静态扩容会造成日志接收中断，重大紧急安全事件无法溯源，安全隐患大。

套餐扣减方式 云日志审计服务的套餐扣减方式为每天凌晨2:00定时在当前套餐余额的基础上扣减前一天的日志量。 具体扣减方式如下： 计算前一天所有资产上报的平均日志量。平均日志量不足0.6GB/天，按0.6GB扣减，超过0.6GB/天，按实际扣减。 公式：前一天的平均日志量=前一天总日志量/前一天上报日志的资产数 计算剩余套餐余额。 公式：剩余套餐余额 = 当前剩余的套餐余额 - 前一天上报日志的资产数*平均日志量 举例说明： 以线下购买“20个资产，1年”套餐为例，介绍详细扣减方式。 假设第5天时，剩余套餐余额为4320GB，当天有20个资产上报日志，日志总量为20GB，则平均日志量为1GB/天（超过0.6GB/天，按实际进行扣减），扣减量为20*1GB=20GB。第6天凌晨2:00，系统会对第5天的套餐余额进行扣减，则扣减后，第6天剩余套餐余额 =第5天的总套餐余额-第5天的扣减量=4320GB-20GB=4300GB。 当剩余套餐余额不足时，系统会发送告警，提醒用户追加购买套餐。 当剩余套餐余额为0时，将不再接收审计日志。 若套餐达到服务期限，但剩余套餐余额仍大于0的情况下，如果到期前未续购套餐，系统将不再接收审计日志，并清空剩余套餐余额。如果到期前及时续购套餐，则可以继续使用剩余套餐余额。 当一段时间内每天的平均日志上报量超过资产数*0.6G，则可能出现归档日志剩余存储容量为0，但剩余套餐余额大于0的情况，此时新的日志将会覆盖最早的日志。此情况下，客户的归档日志存储时间将达不到180天。

更多操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 用户指南

单独物理网口上网（推荐） 适用场景：客户网络已有出口路由器（出口网关）。业务链路所在网段没有可分配的IP地址，或者该网段不能访问互联网，需要单独物理口接入可访问互联网网段。 方案特点：需要额外连一根网线上网，并配置该物理接口的“工作模式”为“路由”模式。云端管理口和业务上行口不共用一个物理接口。 图2 单独物理网口上网 更多其他部署场景，比如天关旁挂，或者您的企业内部存在NAT转换/DNS服务器，请参见《典型配置案例》完成天关部署和上线配置。

USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530） 图2 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）外观和辅料 早期发货机型的两个USB接口标准分别为USB 3.0和USB 2.0，后期发货机型的两个USB接口标准均为USB 2.0。本文中以两个USB接口标准均为USB 2.0的机型举例说明。 表3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）业务口说明 接口名称 描述 GE以太网电接口（0～15） 接口编号为GE0/0/0～GE0/0/15，均已加入VLAN1。 光电互斥接口（Combo接口，16～23） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/16～GE0/0/23，均已加入VLAN1。 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，可组成一条电链路Bypass。推荐使用这两对接口，当天关故障时流量直接通过天关，保证业务不中断。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable { copper | fiber }选择使用电接口或光接口。 说明： 仅当GE0/0/20～GE0/0/23接口工作在电接口状态下，才能形成Bypass链路。 10GE光接口（0～1） 接口编号为XGE0/0/0～XGE0/0/1。 说明： V600R007C20SPC601之前版本，XGE0/0/0~XGE0/0/1接口缺省状态为三层接口模式，均未加入VLAN1。 V600R007C20SPC601及之后版本，XGE0/0/0~XGE0/0/1接口缺省状态为二层接口模式，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510） 图1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）外观和辅料 早期发货机型的两个USB接口标准分别为USB 3.0和USB 2.0，后期发货机型的两个USB接口标准均为USB 2.0。本文中以两个USB接口标准均为USB 2.0的机型举例说明。 表1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable { copper | fiber }选择使用电接口或光接口。 10GE光接口（0～1） 接口编号为XGE0/0/0～XGE0/0/1。 说明： V600R007C20SPC601之前版本，XGE0/0/0~XGE0/0/1接口缺省状态为三层接口模式，均未加入VLAN1。 V600R007C20SPC601及之后版本，XGE0/0/0~XGE0/0/1接口缺省状态为二层接口模式，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

连接以太网线 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN接口上网） 图1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN接口上网） 表1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网） 图2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网） 表2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/7为例。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 0 GE0/0/0 只有购买了 漏洞扫描服务 或云日志审计服务时，需要连接此网线。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（VLAN接口上网） 图3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）VLAN接口上网 表3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 20 GE0/0/20 业务下行口，为透明二层接口，连接局域网设备。请选取GE0/0/22或GE0/0/20作为业务下行口，此处以GE0/0/20为例。 21 GE0/0/21 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。请选取GE0/0/23或GE0/0/21作为业务上行口，此处以GE0/0/21为例。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对，所以上述两对接口必须严格配对使用。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（单独物理网口上网） 图4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）单独物理网口上网 表4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 20 GE0/0/20 业务下行口，为透明二层接口，连接局域网设备。请选取GE0/0/22或GE0/0/20作为业务下行口，此处以GE0/0/20为例。 21 GE0/0/21 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。请选取GE0/0/23或GE0/0/21作为业务上行口，此处以GE0/0/21为例。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对，所以上述两对接口必须严格配对使用。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 0 GE0/0/0 只有购买了漏洞扫描服务或云日志审计服务时，需要连接此网线。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

连接以太网线 图1 USG6525E连接以太网线 表1 接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为三层口，连接局域网交换机，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为三层口，连接互联网，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 更多其他部署场景，比如防火墙双机部署，请参见《典型配置案例》。

约束与限制 服务配套的天关和防火墙型号，请参见《华为乾坤安全云服务天关和防火墙上云清单》（该文档获取需要权限，请联系华为产品经理或渠道获取）。 天关/防火墙的相关约束如下： 天关/防火墙接收日志的速率默认为3000条/秒，当企业内所有资产每秒上报的日志数量总和超过3000条后，天关/防火墙就会丢弃超过阈值的日志。 天关/防火墙最大支持的单条日志长度为1024字节，对长度超过1024字节的日志会进行截断。 天关/防火墙与资产之间不允许存在NAT设备，否则可能导致无法解析出资产的实际IP地址。如果企业内部网络存在NAT设备，需要在资产和NAT设备之间部署独立的天关/防火墙，并开启日志审计服务。 父主题： 产品介绍

场景说明 防火墙存在传统模式和云管模式两种工作模式，默认情况下，防火墙处于传统模式。当防火墙使用在云管理网络中时，需要将防火墙切换到云管模式。 本文介绍在云管模式下如何开通边界防护与响应服务。 各服务配套的USG6000E系列防火墙所包含的机型，请参见《华为乾坤安全云服务天关和防火墙上云清单》（该文档获取需要权限，请联系华为产品经理或渠道获取）。其中具体机型是否支持云管模式，可查询《华为乾坤云管理网络配套款型表》（若无权限访问，请联系华为渠道获取）。 父主题： USG6000E防火墙上线（云管模式）

背景信息 表1 设备说明 设备型号 说明 USG65xxF USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

连接线缆 图1以USG12004，使用型号为LPUA-2CQ-24XS的LPU板，且LPUA-2CQ-24XS的LPU板位于3号槽位为例。USG12000系列配套的LPU板、具体设备型号的槽位介绍请参见《HiSecEngine USG12000系列 硬件指南》。 图1 连接业务线缆 表1 接口使用说明 接口编号 说明 10GE3/0/7 业务下行口，为三层口，连接局域网交换机，此处以10GE3/0/7为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的7号口连接局域网交换机，且LPU板位于3号槽位，因此接口编号为10GE3/0/7。 10GE3/0/6 业务上行口，为三层口，连接互联网，此处以10GE3/0/6为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的6号口连接互联网，且LPU板位于3号槽位，因此接口编号为10GE3/0/6。 MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 父主题： USG12000防火墙上线

USG6000F-Exx USG6000F-Exx的介绍以USG6000F-E01为例，其他机型与USG6000F-E01存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图4 USG6000F-E01外观和辅料 表7 USG6000F-E01业务口说明 接口名称 描述 GE电接口（0～15） 接口编号为GE0/0/0～GE0/0/15。 GE光接口（16～27） 接口编号为GE0/0/16～GE0/0/27。 10GE光接口（0～3） 接口编号为10GE0/0/0～10GE0/0/3。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表8 USG6000F-E01指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6000F-Sxx USG6000F-Sxx的介绍以USG6000F-S150为例，其他机型与USG6000F-S150存在少许差异，具体请参见《HiSecEngine USG6000F-S系列 硬件指南》。 图5 USG6000F-S150外观和辅料 表9 USG6000F-S150业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 接口编号为GE0/0/0～GE0/0/7。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表10 USG6000F-S150指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG66xxF USG66xxF的介绍以USG6615F为例，其他机型与USG6615F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图2 USG6615F外观和辅料 表3 USG6615F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～11） 接口编号为GE0/0/8～GE0/0/11。 GE光接口（12～15） 接口编号为GE0/0/12～GE0/0/15。 10GE光接口（0～5） 接口编号为10GE0/0/0～10GE0/0/5。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6615F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG67xxF USG67xxF的介绍以USG6710F为例，其他机型与USG6710F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图3 USG6710F外观和辅料 表5 USG6710F业务口说明 接口名称 描述 100GE/40GE光接口（0～1） 接口编号为100GE0/0/0～100GE0/0/1。 100GE/40GE接口默认工作在100Gbit/s速率模式，在插入40GE光模块时兼容40Gbit/s速率。 25GE/10GE光接口（0～7） 25GE/10GE光接口和100GE/40GE光接口为复用接口，4个25GE/10GE接口与1个100GE/40GE接口对应(25GE/10GE的0～3口，4～7口分别对应100GE/40GE的0口，1口)。 25GE/10GE接口默认工作在10Gbit/s速率模式，接口编号为10GE0/0/0～10GE0/0/7。 40GE光接口（2～3） 接口编号为40GE0/0/2～40GE0/0/3。 10GE光接口（8～15） 接口编号为10GE0/0/8～10GE0/0/15。 10GE/GE光接口（16～27） 接口编号为10GE0/0/16～10GE0/0/27。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表6 USG6710F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG65xxF USG65xxF的介绍以USG6555F为例，其他机型与USG6555F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图1 USG6555F外观和辅料 表1 USG6525F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6525F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

硬件介绍 USG12000的介绍以USG12004为例，其他机型与USG12004存在差异，具体请参见《HiSecEngine USG12000系列 硬件指南》。 图1 USG12004外观 表1 USG12004组成结构说明 1、机箱眉头 2、正面的ESD插孔 3、电源模块PM 4、电源开关 5、 主控板MPU 6、 接口板LPU/业务处理板SPU槽位 7、走线齿 8、托盘（不再随整机发货） 9、PEM模块（Power Entry Module） 10、风扇模块位置示意图 11、双OT端子接地点 有黄色的接地标签。 12、风扇模块 13、总装机箱条码 14、序列号标签 15、MAC地址标签 16、背面的ESD插孔 - - - - 图2 USG12004指示灯 1、电源模块状态指示灯 2、主控板状态指示灯 3、接口板/业务处理板状态指示灯 4、交换网板状态指示灯 5、风扇模块状态指示灯 6、设备开关 - - - - 表2 USG12004指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源模块状态指示灯 绿色 常亮 表示所有的电源模块工作正常。 红色 常亮 表示可能有： 一个或多个电源模块工作异常，包括在位不输出。 一个或多个电源模块已经下电。 MPU 主控板状态指示灯 绿色 常亮 表示在位的主控板都工作正常。 红色 常亮 表示可能有： 至少有一块主控板已经故障。 LPU/SPU 接口板/业务处理板状态指示灯 绿色 常亮 表示在位的接口板、业务处理板都工作正常。 红色 常亮 表示可能有： 在位的接口板、业务处理板任意一块单板工作异常。 接口板、业务处理板全不在位。 SFU 交换网板状态指示灯 - - 功能预留，暂未启用。 FAN 风扇模块状态指示灯 绿色 常亮 表示所有的风扇模块在位且工作正常。 红色 常亮 表示可能有： 一个或多个风扇模块工作异常。 一个或多个风扇模块不在位或者被拔出。 父主题： USG12000防火墙上线

产品概述 威胁信息服务提供一种基于证据的知识，它通过云端对威胁来源进行实时自动化采集、分析、分类与关联，描述了已经存在或即将出现的针对企业资产的威胁信息。 威胁信息服务中的威胁信息数据主要对IP、 域名 、文件、漏洞、URL等威胁载体进行全方位威胁描述，对攻击者进行精准画像。同时威胁信息数据会进行实时更新，保证威胁信息数据的鲜活性和有效性。 威胁信息服务主要为客户提供便捷高效威胁信息检索能力，辅助客户、安全运维人员进行调查取证分析和处置，高置信度的威胁信息数据可以辅助客户进行自动化分析和处置，提升客户运维效率。