华为云用户手册

当前企业面临的挑战 随着企业数字化的推进，网络在企业运营中的重要性提升到了前所未有的高度，与此同时，网络安全形势日趋严峻，传统防御策略已无法有效应对。 攻击手法、工具等不断变化，根据经验构建的传统防御策略缺少有效的威胁信息作为决策依据。 企业面对海量的、杂乱无章的威胁信息无从下手，无法及时识别价值信息来调整传统防御策略，不能实现较为精准的动态防御。 缺少正在显露或即将出现的威胁信息作为依据，因此传统防御策略无法有效应对潜在的还未发生的威胁，无法在攻击未发生前做好防御。

场景说明 边界防护与响应服务支持配套USG12000系列防火墙。各服务配套的USG12000系列防火墙所包含的机型，请参见《华为乾坤安全云服务天关和防火墙上云清单》（该文档获取需要权限，请联系华为产品经理或渠道获取）。 本文介绍USG12000系列防火墙的上线操作，以及边界防护与响应服务所需的配置。 USG12000系列防火墙，从V600R024C00SPC100版本开始支持边界防护与响应服务。 父主题： USG12000防火墙上线

操作步骤 打开华为乾坤APP。 登录华为乾坤APP。 尚未注册华为乾坤帐号 新用户注册 输入手机号码+验证码+密码进行注册。帐号名由系统自动生成，可以登录华为乾坤APP，在“我的”页签单击头像进行查看。 验证码登录 输入手机号码+验证码进行登录，首次登录会自动注册华为乾坤帐号。 已经注册华为乾坤帐号 使用密码登录 网站控制台注册的租户帐号可以用于登录华为乾坤APP。 已使用华为乾坤APP完成新用户注册，可以输入帐户名+密码进行登录。 使用验证码登录 输入手机号码+验证码进行登录。 使用华为乾坤APP（首页） 华为乾坤APP功能持续上新中，下图为示例界面，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 首页总览 华为乾坤APP“首页”功能布局如表1所示。 表1 首页功能布局 序号 功能描述 1 点击查看地图：直观显示各站点的设备数量和安全信息。 2 我的站点：站点设备信息，可以切换站点，并展示各站点的拓扑。 3 网络体验：网络质量信息，可以切换站点，显示网络环境各评估维度的得分。 4 安全态势：安全告警趋势动态信息，单击安全告警类型（如外部攻击），可查看并处置安全告警。 5 发现：华为乾坤最新资讯。 6 工具：网络实用工具。 7 我的：用户中心，支持工单创建查询等操作。 添加设备：首次登录后请先根据提示扫码或者手动输入设备SN码添加设备，可以连续添加多台设备。首次添加设备后APP将设备添加到默认站点中。 创建站点：当您确定已录入全部设备后，请点击“下一步”选择或创建站点，默认站点名称为“我的网络”，直接点击“下一步”会创建默认站点。 设备连线：请根据指示完成设备的连线和初始配置。 当APP中已有站点时，如果需要新增其他站点，可以点击右上角的“+”或者点击“我的站点”模块内的“创建站点”新增站点（请以实际界面为准），然后根据提示在新增站点中添加设备。 如果站点中已有设备，请点击右上角的“+”，点击“扫描添加设备”添加新设备。 如果扫描后未能成功添加设备，可以使用手动输入的方式添加设备。 此处以添加AP为例，不同设备添加过程可能存在少许差异，请根据实际界面操作。 只有添加AP时，才提示编辑WiFi。 查看网络体验： 点击APP“首页”的“网络体验”进入网络体验的“概览”界面。点击“全部站点”可以切换站点，上方根据您选择的站点显示网络环境各评估维度的得分，下方显示设备信息和接入用户的信息。 点击“网络体验”中的“设备”或“接入用户”分别进入网络体验对应的界面。 “设备”界面：点击“全部站点”可以切换站点，您也可以筛选设备的状态以及设备类型，下方显示您筛选设备的相关信息。 “接入用户”界面：点击“全部站点”可以切换站点，下方显示接入用户的相关信息。 查看安全态势：点击APP“首页”的“安全态势”进入安全态势的“总览”界面。“总览”界面显示全部事件的数量，最多可以查看近30天内的威胁事件信息、资产风险等级、威胁事件类型。 安全态势的“总览”界面可以展示近30天或近7天或近24小时的安全态势，此处以近30天为例，点击“近7天”也可切换至近7天的安全态势信息。 处置威胁事件：点击下方“事件”可切换至“威胁事件”界面。“威胁事件”界面根据事件的状态、时间、级别显示相应的信息，点击“威胁事件”名称可以对其处置。 此处以处置“外部攻击源”为例，“失陷主机”和“恶意文件”处置方法与处置“外部攻击源”一致，可以参考处置“外部攻击源”。 查看资产：点击下方“资产”可切换至“资产”界面。“资产”界面根据资产的等级和状态显示相应的信息，点击具体的资产名称可查看资产具体信息。 查看站点拓扑：在首页进入站点后，点击右上角“查看拓扑”进入设备的“真实拓扑”界面，可以直观的体现设备之间的连接情况。手指滑动可以放大和缩小界面，点击右侧“还原”按钮可还原至初始大小。 WIFI管理：您可以在AP上创建Wi-Fi，创建完成后即可连接此Wi-Fi接入网络。 Wi-Fi调优：优化Wi-Fi的网络速度。 视频测速：分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 您也可以在“工具”界面使用此功能。 升级管理：对当前在线的设备进行版本升级。 黑白名单：可以为天关创建和编辑IP黑名单、 域名 黑名单和白名单。 此处以创建“IP黑名单”为例，“域名黑名单”和“白名单”操作方法与创建“IP黑名单”相近，可以参考创建“IP黑名单”。 漫游测试：测试Wi-Fi覆盖率，比如在A房间已安装一个AP，在B房间测试Wi-Fi的信号强度、时延等，以决定在B房间是否也要安装一个AP。 您也可以在“工具”界面使用此功能。 Wi-Fi测速：测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 您也可以在“工具”界面使用此功能。 Wi-Fi体检：从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验，并提示用户当前Wi-Fi可优化项。 您也可以在“工具”界面使用此功能。 设备密码：修改当前站点所有设备的admin账户的密码，忘记设备admin账户密码时，可以使用此功能重置密码。 AP指示灯：打开或者关闭AP指示灯，通过打开或者关闭AP指示灯可以快速找到AP所在的位置 。 AP计算器：快速计算网络覆盖需要的AP数量。 您也可以在“工具”界面使用此功能。 AP诊断：对未上云AP进行诊断，如果诊断结果是设备正常，您可以扫描设备上云，如果异常请根据提示修复。 下图示例中AP的模式为云管理模式，如果AP为非云管理模式，APP会提示用户切换云管理模式。 您也可以在“工具”界面使用此功能。 终端拨测：测试某个地点的Wi-Fi综合性能指标，包括信号强度、时延、网页连通性，互联网性能（上传/下载的速度）、Wi-Fi干扰等。 iobox：快速搜索和连接附近的蓝牙信号。 您也可以在“工具”界面使用此功能。 使用华为乾坤APP（工具）。 华为乾坤APP功能持续上新中，下图为示例界面，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 工具总览 表2 功能布局 序号 功能名称 功能描述 1 Wi-Fi测速 测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 2 Wi-Fi体检 从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验，并提示用户当前Wi-Fi可优化项。 3 AP计算器 快速计算网络覆盖需要的AP数量。 4 AP诊断 对未上云AP进行诊断，如果诊断结果是设备正常，您可以扫描设备上云，如果异常请根据提示修复。 5 漫游测试 测试Wi-Fi覆盖率，比如在A房间已安装一个AP，在B房间测试Wi-Fi的信号强度、时延等，以决定在B房间是否也要安装一个AP。 6 视频测速 分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 7 IOBOX 快速搜索和连接附近的蓝牙信号。 8 安全报表 查看乾坤云服务月报的相关信息。 9 扫码查看端口 可以通过扫码或手动输入SN码的方式添加设备。 10 Ping 输入IP地址检测网络的连通情况。 11 Tracert 网络诊断工具，探测数据包从源地址到目的地址经过的路由器IP地址

操作步骤 打开华为乾坤APP。 使用MSP帐号登录华为乾坤APP。 使用华为乾坤APP。 华为乾坤APP功能持续上新中，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 华为乾坤APP功能布局如表1所示。 表1 功能布局 序号 功能描述 1 所有代维租户的安全设备和网络设备统计信息。 单击安全设备图标，可以查看安全设备详细信息；暂不支持查看网络设备详细信息。 2 所有代维租户的待办事件，默认显示待办事件数最多的5个租户信息；单击全部，可以查看所有代维租户，单击代维租户，查看该代维租户下的所有代办事件。 单击“处理”快速查看代维租户的威胁事件、设备离线告警和套餐过期提醒信息。 可以通过电话/邮件/微信和租户进行沟通；也可以通过“进入代维模式”进入华为乾坤APP租户界面。 3 代维租户的套餐状态。 单击“全部”快速查看所有代维租户的套餐信息。 可以通过电话/邮件和租户进行套餐续费知会；也可以通过“进入代维模式”进入华为乾坤APP租户界面。 4 华为乾坤的待办事件，包含代维租户的威胁事件、设备离线告警和委托申请信息。 5 华为乾坤最新资讯。 6 用户中心，支持工单创建查询等操作。

线下购买 背景信息 线下购买可以通过华为乾坤运营人员协助购买。 边界防护与响应服务：通过代理商协助购买时，可以通过代理商激活服务授权，后续直接使用SN激活订单开通服务；若未通过代理商激活云服务授权，后续订单激活需要使用到云服务授权ID和威胁防护库授权ID等开通服务。 其他云服务：通过华为乾坤运营人员协助购买服务，后续订单开通需要使用授权ID激活订单信息。 此处仅简要介绍线下购买服务过程，不同服务的售卖形式不同，具体购买步骤可以参考对应服务的用户文档。 如何联系华为乾坤运营人员：请单击联系我们，留下您的联系方式，华为乾坤运营人员会联系您。 父主题： 服务购买

日志查看 前提条件 成功登录华为乾坤控制台，并拥有“审计日志服务”相关权限。 背景信息 日志系统是华为乾坤提供的能够帮助用户快速了解服务运行状态、操作等信息的系统。 目前系统支持查看操作日志和安全日志，可查看6个月内的日志，超过6个月但不超过1年的日志仅支持下载到本地查看。 操作日志记录用户进行失陷主机处置、威胁事件处置、设备管理等相关操作。 安全日志记录用户登录、创建下级工作组帐号等安全相关操作。 操作步骤 单击控制台页面右上角帐号，选择“日志”进入日志详情页面。 支持查看操作日志和安全日志，其操作流程基本一致，以操作日志为例： 选择“操作日志”页签，查看日志列表，包含当前帐号的操作名称、对象、结果等信息。 图1 日志列表 单击日志列表的“详细信息”栏中任意一项，可以查看日志的详细记录。 图2 日志详情 单击日志列表上方“高级搜索”，根据表1设置筛选条件，单击“搜索”即可。 表1 筛选条件参数表 参数 说明 时间 设置起始时间，筛选该时间段内的日志。 操作名称 操作行为。 级别 日志级别分为紧急、报警、严重、错误、警告、通知、提示、调试，程度递减。 操作用户 操作行为对应的帐号。 详细信息 操作行为的具体描述。 操作对象 操作行为的具体对象，如套餐、设备、站点等。 操作结果 日志操作结果分为成功、失败、部分成功。 来源 日志来源模块。 如果单击“重置”，日志筛选条件恢复成默认条件： 最近48小时内的记录。 所有日志级别类型。 所有操作结果类型。 下载日志。 日志界面可查看6个月内的日志，超过6个月但不超过1年的日志可单击右上方“点击此处”下载。 父主题： 服务使用

智能助手小坤是什么 为提高业务操作效率、降低运维难度，华为乾坤控制台提供了智能助手小坤，又称小坤机器人。 它可以实时感知业务健康状态，自动监测并处理业务中的突发或异常事件。 在使用服务时遇到任何问题，都可以咨询小坤： 登录华为乾坤控制台。 单击界面右上角智能助手图标，进入智能助手界面。 系统健康状态：显示当前系统健康状态得分，包括网络得分和安全得分。 待您处理：显示已自动处理事件数和待处理事件，您可以直接单击文字链接进入到待处理事件页面。 待您关注：提供消息统一管理功能。 快捷入口：单击页面上进入智能助手对话页面，还包括创建站点、创建安全设备、创建工单的快捷入口。 图1 智能助手界面 父主题： 常见问题

站点首页布局介绍 当前站点首页支持设备拓扑、空间视图、安全态势等视图。可单击首页左下角图标可选择视图。 设备拓扑视图：进入站点首页后，默认展示设备拓扑视图。支持查看当前站点的设备拓扑、设备详情以及链路信息等。详细介绍请参见云管理网络服务的《网络部署》中“站点首页介绍”章节。 图1 设备拓扑视图 空间视图：在设备拓扑视图下，单击拓扑页面右下角“设备拓扑”，选择“空间视图”进入空间视图。由设备拓扑切换至空间视图时，依据当前资源树选中的层级显示该层级的空间视图，由空间视图切换至设备拓扑时，将从当前资源树选中层级切换回设备拓扑。非设备节点支持通过双击当前图标进入下一节点层级，设备节点层级可双击打开设备详情窗口。 安全态势视图：在设备拓扑视图下，单击拓扑页面右下角“设备拓扑”，选择“安全态势”进入安全态势视图，直观显示某一周期内攻击源信息和失陷主机信息。（仅包含天关/FW站点含有该页面）若用户购买并开通了边界防护与响应服务，则会在页面显示外部攻击源和失陷主机数据。若未购买开通边界防护与响应服务，则页面不会有相关数据。 图2 安全态势视图 选择站点。单击站点名称后，可以切换当前站点。 目前站点支持状态显示，绿色站点图标表示当前站点没有待办事件；红色站点图标表示当前站点存在待办事件。 资产信息。单击页面上“资产”查看当前资产详细信息。 搜索资产。在资产统计页面输入资产名称，单击图标或回车键进行搜索。 资产详情。单击资产列表中资产名称，可以查看当前资产详情。包括资产信息概览、溯源定位、处置记录和历史关联IP等信息。 其中“溯源定位”功能需要配置准入认证后才能正常定位失陷主机的MAC地址、IP地址和使用人信息。 图3 资产详情页面 资产管理。单击页面上“进入资产管理”，可以进入资产管理页面，详细信息请参见资产管理。 拓扑管理菜单。 搜索。在安全态势页面输入攻击源IP/主机IP/名称，单击图标或回车键进行搜索。 定时刷新。开启定时刷新功能后，页面将持续保持登录状态，达到页面超时时间也不会自动登出。 个性化设置。单击，可根据个人习惯设置是否在页面显示地址信息。 时间设置。单击，可选择查看近24小时、近3天、近7天或近30天的安全态势信息。 图例。单击查看图例说明。

后续操作 接收人管理： 搜索：在列表左上方搜索框内输入接收人名称，单击左侧或者按回车键直接搜索。 消息接收配置：单击接收人列表中“消息接收配置”，可以为当前接收人设置接受的消息类型等。 修改接收人信息：单击接收人列表中“修改”，可以修改接收人相关信息，包括名称、手机号、邮箱等。 删除接收人： 单个删除：单击接收人列表中“删除”，可以删除当前接收人。 批量删除：选中需要删除的接收人，单击列表右上方“删除”。

访问控制 CBH支持安全组、 Web应用防火墙 、ACL、VPC对 堡垒机 实例的访问进行权限控制。 表1 CBH支持的访问控制方式 访问控制方式 简要说明 详细介绍 权限控制 VPC 虚拟私有云（Virtual Private Cloud）是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮助打造可靠、稳定、高效的专属云上网络 VPC介绍 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组介绍 Web应用防火墙 华为云Web应用防火墙WAF对网站业务流量进行多维度监测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 WAF介绍

第三方软件 云堡垒机 使用了以下第三方软件： 云堡垒机系统Web浏览器登录方式，建议使用浏览器和版本请参见表1。 表1 建议使用浏览器及版本 浏览器 版本 说明 Edge 44及以上版本 上传大文件限制：H5运维界面，文件上传到主机，支持单个文件最大4G。 Chrome 52.0及以上版本 - Safari 10及以上版本 - Firefox 50.0及以上版本 - 软件下载方式包含： 管理员用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。 运维用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。

身份认证 用户访问CBH实例的方式有Web Console和SSH两种方式，其中，Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能，而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令，此外，Web Console同样支持手机短信、手机令牌、USBKey、动态令牌的方式进行登录。详细登录步骤请参见云堡垒机系统登录方式。

功能详情及版本差异 标准版和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计，主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异，请参见表2 不同版本功能差异说明。 表2 功能详情及版本差异 功能模块 功能项 功能描述 标准版 专业版 个人中心 账户基本信息 查看当前登录用户的详细信息，同时支持对姓名、手机、邮箱以及密码的修改操作。 √ √ 手机令牌 提供手机令牌绑定和生成动态密码的指导。 √ √ SSH公钥管理 查看所有公钥信息，可添加并管理SSH公钥。 √ √ 权限管理 查看当前用户所拥有的权限。 √ √ 操作日志 当前登录用户的登录、操作以及资源登录的所有操作记录。 √ √ 系统基本信息 系统桌面 按照不同维度呈现了堡垒机的运行情况，包括会话、工单、登录情况、运维情况、主机类型、应用类型、系统状态等多维度的数据图表统计。 √ √ 下载中心 提供部分远端登录工具和本地播放工具的下载。 √ √ 消息中心 配置告警后，触发告警后会生成告警信息。 √ √ 系统基本信息 呈现系统的ID、凭证、版本、发行日期等信息，支持凭证、HA Key的更新，服务码的获取。 √ √ 认证管理 账户多因子登录认证 登录堡垒机支持账户密码、手机令牌、手机短信、USBKey、动态令牌的方式。 账户密码：申请堡垒机时生成的账户和密码，首次登录堡垒机只能使用该方式登录。 手机令牌：在堡垒机配置手机号码后，在移动端或小程序注册后使用生成的动态密码进行登录。 手机短信：在堡垒机配置手机号码后，登录时可使用随机验证码进行登录。 USBKey：需提前获取到正确的USBKey及密令，在堡垒机配置关联账户后可使用该方式登录。 动态令牌：需提前获取到正确的令牌和密钥，在堡垒机配置关联账户后可使用该方式登录。 √ √ 账户远程认证配置 可通过远程认证，将局域的账户与堡垒机进行对接，在堡垒机实现对局域账户的统一管理。 支持AD域、RADIUS、LDAP、Azure AD、SAML远程认证。 √ √ 系统账户 用户管理 对登录堡垒机的账户进行管理，包括账户的创建、导入、导出、删除、用户组配置以及对账户登录限制的管理。 √ √ 用户组管理 将用户进行分组管理，通过对用户组授权实现对用户的批量授权，支持新建、删除、修改编辑用户组信息。 √ √ 角色管理 将用户关联角色，赋予用户对应角色的操作访问权限，包含部门管理员、策略管理员、审计管理员、运维员，但仅admin账户可自定义新增角色和修改角色所属权限。 √ √ 资源账户管理 资源账户在堡垒机实例中用来登录资源进行运维，一个资源可以创建多个资源账户，资源账户的账户和密码须与资源的原账户密码保持一致，否则可能登录资源失败，无法在堡垒机运维。 √ √ 资源账户组管理 将资源账户进行分组管理，通过对账户组授权实现对资源账户的批量授权、批量验证，支持新建、删除、维护账户组资源以及账户组信息管理。 √ √ 系统资源 主机资源管理 通过新建、自动发现、导入或克隆实现对主机资源的纳管，纳管后可对主机资源所有信息进行查看，实现对资源的运维。 √ √ 应用资源管理 先创建应用服务器后，再通过文件导入、新建实现对应用资源的纳管，纳管后可对应用资源所有信息进行查看，以实现对资源的运维。 √ √ 云服务资源管理 先创建Kubernetes服务器后，再通过新建实现对容器节点资源的纳管，纳管后可对容器资源所有信息进行查看，以实现对资源的运维。 × √ 资源系统类型管理 系统类型可通过标签形式区分被纳管的资源，实现对资源的管理，同时可用于服务器改密，存放改密参数，执行改密策略时，会以系统类型执行脚本。 √ √ 系统策略 访问控制策略 用于控制用户或用户组访问资源的权限，将用户或用户组与策略绑定，用户或用户组就受限于策略的约束限制，包括传输、文件管理、登录时间段限制等，同时也可绑定资源账户。 √ √ 命令控制策略 用于控制用户或用户组执行命令或命令集的机制，将指定命令或命令集按照预设的执行机制绑定用户或用户组，用户在执行策略内的命令时将直接触发绑定的策略机制，同时也可绑定资源账户。 支持自定义命令集。 √ √ 数据库控制策略 用于控制用户或用户组执行规则或规则集的机制，将指定规则或规则集按照预设的执行机制绑定用户或用户组，用户在执行策略内的规则或规则集时将直接触发绑定的策略机制，同时也可绑定资源账户。 支持自定义规则集。 × √ 改密策略 用于为服务器资源的改密预设改密机制，通过将资源账户与策略绑定，在执行改密时，将为资源账户绑定的所有资源执行改密策略机制。 √ √ 账户同步策略 用于相对于主机资源账户信息的拉取或推送预设执行机制，通过将资源账户与策略绑定，在执行资源账户同步时，将为资源账户绑定的所有资源执行策略的机制。 × √ 资源运维 主机资源运维 可通过浏览器、客户端登录主机资源，进行协同分享、文件传输、文件管理和预制命令的运维操作。 √ √ 应用资源维护 仅支持通过浏览器登录应用资源，进行协同分享、文件传输和文件管理的运维操作。 √ √ 云服务资源运维 仅支持通过浏览器登录容器资源，进行协同分享的运维操作。 × √ 运维脚本管理 在堡垒机导入和编辑需要执行的脚本，完成一些复杂或重复性的任务，提升运维效率。 × √ 快速运维 在堡垒机直接执行预设的命令、脚本以及文件传输、执行日志操作可实现对资源快速运维。 × √ 运维任务管理 可按照手动、定时、定期的执行方式自定义命令、脚本、文件传输的运维任务，同时可对所有操作进行记录。 × √ 系统审计 实时会话审计 针对当前正在运行中的所有会话进行记录，可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 历史会话审计 针对已关闭的所有历史会话进行记录，可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 系统日志审计 对堡垒机系统的登录和操作进行详细记录，包括时间、账户、来源IP、涉及模块及操作详情。 √ √ 运维报表审计 对运维操作的时间、资源访问次数、会话时长、来源IP访问情况、会话协同、双人授权、命令拦截、字符命令数、传输文件数按照时间、用户、资源的维度进行全量统计。 √ √ 系统报表审计 对用户的系统操作控制、资源操作、源IP、登录方式、异常登录、会话、状态维度分别进行数据统计。 √ √ 系统工单 访问授权工单管理 无权限访问目标资源时，可通过工单申请绑定资源账户在固定运维时间周期内对目标资源进行文件传输、管理、键盘审计等操作权限。 √ √ 命令控制工单管理 无权限执行命令运维资源时，可通过工单申请绑定资源账户在固定运维时间周期内执行预设的命令。 √ √ 数据库授权工单管理 无权限执行数据库资源操作时，可通过工单申请绑定资源账户在固定运维时间周期内对目标数据库执行预设的指定命令。 × √ 工单审批管理 呈现所有发起的工单信息，并在该页面执行工单的审批操作。 √ √ 工单配置 可对工单的申请范围、提交方式、生效时间以及审批流程进行自定义设置。 √ √ 系统配置 安全配置 对密码错误次数、僵尸用户、密码修改周期、登录超时、证书、代理安全层、手机令牌信息、USBKey信息、国密、巡检、到期提醒、会话限制等进行配置。 √ √ 网络配置 可查看堡垒机的网络接口列表、DNS以及默认网关详情，可对静态路由进行配置操作。 √ √ HA配置 如果堡垒机为主备实例，可通过HA设置启用或禁用的状态。 √ √ 端口配置 呈现运维和控制台的端口默认信息，如有自定义需求可进行修改，通常不建议修改。 √ √ 外发配置 可配置不同的外发方式，包括邮件、短信和LTS方式，邮件和短信配置后可推送告警信息，LTS在安装Agent后可将堡垒机日志发送至服务器。 √ √ 告警配置 支持对不同维度的消息类型的告警方式、告警等级的配置，包括登录情况、用户的操作、资源操作事件、运维操作等。 √ √ 系统风格管理 支持对堡垒机默认的图标和logo进行自定义修改。 √ √ 堡垒机维护 数据存储维护 可查看系统和数据磁盘的使用情况，可对网盘空间进行修改，可自定义日志的保存周期，进行自动或手动删除。 √ √ 日志备份维护 可自定义配置将日志备份至本地、syslog服务器、FTP/SFTP服务器或OBS服务器。 √ √ 系统维护 可查看系统当前的运行状态，对系统地址、时间等信息进行自定义设置，可操作系统备份及还原，查看授权许可信息，以及网络和系统的诊断操作。 √ √

规格差异 云堡垒机支持10、20、50、100、200、500、1000、2000、5000、10000资产规格配置，不同规格云堡垒机配置差异，请参见表1 不同规格配置说明。 表1 不同规格配置说明 资产数 最大并发数 CPU 内存 系统盘 数据盘 10 10 4核 8GB 100GB 200GB 20 20 4核 8GB 100GB 200GB 50 50 4核 8GB 100GB 500GB 100 100 4核 8GB 100GB 1000GB 200 200 4核 8GB 100GB 1000GB 500 500 8核 16GB 100GB 2000GB 1000 1000 8核 16GB 100GB 2000GB 2000 1500 8核 16GB 100GB 2000GB 5000 2000 16核 32GB 100GB 3000GB 10000 2000 16核 32GB 100GB 4000GB 表 不同规格配置说明中的“并发数”是基于字符协议客户端运维（如SSH客户端、MySQL客户端）的并发数，基于图形协议运维（如H5 Web运维、RDP客户端运维）的并发数只有该值的1/3。

服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

资产识别与管理 CBH服务已对接 RMS 服务，在华为云控制台右上角单击资源-我的资源便可查看用户所拥有的资源，例如弹性云服务器（E CS ）、虚拟私有云（VPC）、 对象存储服务 （OBS）以及云堡垒机服务（CBH）等服务，通过RMS，可以查看各资源的详情，例如ECS的状态、规格等等。 云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源，包括Linux主机、Windows主机和数据库等，支持通过单个添加和批量导入的方式添加主机资源。此外，CBH支持纳管用户的应用服务器，支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。 推荐的安全配置：在操作CBH服务前，请仔细阅读安全声明，避免出现网络安全事件。 父主题： 安全

收集范围 云堡垒机收集及产生的个人数据如表1所示： 表1 个人数据范围列表 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 手机 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码

数据保护技术 云堡垒机实例不直接采集用户个人数据。实例创建成功后，登录云堡垒机系统需创建用户账号，创建登录系统用户账号涉及个人数据采集。 为了确保您的个人数据（例如云堡垒机系统登录名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，云堡垒机通过加密传输、加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 收集范围： 云堡垒机收集及产生的个人数据如下表所示： 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 手机号 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码 传输方式： CBH支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 存储方式： 云堡垒机通过安全的加密算法对用户个人敏感 数据加密 后进行存储。 登录名：不属于敏感数据，明文存储 密码、邮箱、手机：加密存储 访问权限控制： 云堡垒机系统用户个人数据通过加密存储，系统管理员及上级管理员需通过安全码才能查看用户的手机、邮箱。但用户密码对所有人（包括本人）都不明文可见。 二次认证： 云堡垒机系统用户账号配置用户登录限制“多因子认证”后，用户在登录系统时开启登录验证功能，需要二次认证（二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”），有效保护用户敏感信息。 父主题： 安全

大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增长。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

HSS到期后不续费，对主机和业务有影响吗？ 不会产生直接影响。 停止续费说明 企业主机安全 是提升主机整体安全性的服务，到期后不续费会自动停止防护。 停止续费风险 不续费会降低服务器的防护能力，遭受破解、入侵的风险会增加，会有很大的安全隐患，例如一般数据、程序都是运行在云服务器上，一旦系统被入侵成功，数据将面临被窃取或被篡改的风险，企业的业务将面临中断，造成重大损失。 企业主机安全提供事前预防、事中防护、实时/每日告警的全方位保护措施，提高主机的安全性，保护企业的业务安全。更多详细信息请参见产品介绍。 父主题： 计费FAQ

约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。

示例流程 图1 给用户授予ESW权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予VPC只读权限“VPC ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择企业交换机，进入ESW主界面，单击右上角“购买”，尝试购买企业交换机，如果无法购买企业交换机（假设当前权限仅包含VPC ReadOnlyAccess），表示“VPC ReadOnlyAccess”已生效。 在“服务列表”中选择弹性云服务器（假设当前策略仅包含VPC ReadOnlyAccess），如果提示权限不足，表示“VPC ReadOnlyAccess”已生效。

操作步骤（锐捷RG-S6250交换机） 远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，以便将云下主机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行二层子接口配置VXLAN与VLAN封装规则，用来识别用户网络中的报文所属的VXLAN。 配置前进入全局配置模式。 配置示例： Ruijie#configure 创建VXLAN。 配置示 Ruijie(config)#vxlan 5010 本步骤VXLAN ID 5010，必须和表1创建二层连接时，远端接入信息的隧道号保持一致。 进入loopback接口视图，配置隧道IP。 配置示例： Ruijie(config)#interface loopback 0 Ruijie(config-if-Loopback 0)#ip address 2.2.2.2 255.255.255.255 Ruijie(config-if-Loopback 0)# exi 对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。 创建VXLAN隧道。 创建OverlayTunnel1接口，该接口用于静态创建Overlay隧道。 配置示例： Ruijie(config)#interface overlayTunnel 1 指定Overlay隧道的源IP，即为用于建隧道的loopback口IP地址。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel source 2.2.2.2 指定Overlay隧道的目的IP，即为企业交换机隧道子网IP。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel destination 10.0.6.3 Ruijie(config-if-OverlayTunnel 1)#exit 配置VXLAN实例关联OverlayTunnel接口。 配置示例： Ruijie(config)#vxlan 5010 Ruijie(config-vxlan)#tunnel-interface OverlayTunnel 1 Ruijie(config-vxlan)#exit 同一企业交换机上创建多个（最多6个）二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN实例和同一个OverlayTunnel接口关联。如：OverlayTunnel1。 同一VXLAN交换机和多个企业交换机连接场景，此场景比较少用，可以创建多个OverlayTunnel接口与同一个VXLAN关联。如：OverlayTunnel1、OverlayTunnel2。 由于芯片限制，S6250产品VXLAN不支持多条隧道出口为同一个物理出口，并且还需要封装出不同的DMAC+VID信息。详情可咨询锐捷交换机技术支持。 创建二层子接口配置VXLAN与vlan封装规则。 在链路聚合口AggregatePort1创建AggregatePort 1.100子接口，接收vlan为100的数据报文，并封装为VXLAN 5010通过隧道转发。 配置示例： Ruijie(config)#interface AggregatePort 1.100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation dot1q s-vid 100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation vxlan 5010 Ruijie(config-subif-AggregatePort 1.100)#exit 在交换机物理以太接口上创建以太网服务实例，方法类似。 在系统视图下，执行如下命令查看VXLAN的配置状态。 show vxlan 5010 VXLAN配置状态 VXLAN 5010Symmetric property : FALSERouter Interface : -Extend VLAN : -VTEP Adjacency Count: 1VTEP Adjacency List :Interface Source IP Destination IP Type---------------------- --------------- --------------- -------OverlayTunnel 1 2.2.2.2 10.0.6.3 static

操作场景 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、锐捷RG-S6250交换机、H3C S6520交换机为例，如需更多配置排查，相关命令可参考实际交换机型号的产品文档。 操作步骤（华为CE6850交换机） 操作步骤（锐捷RG-S6250交换机） 操作步骤（H3C S6520交换机）

操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 登录隧道交换机，执行命令system-view，进入系统视图。 进入loopback 0接口视图，配置隧道IP。 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 执行命令quit，退出接口视图，返回到系统视图。 执行命令bridge-domain，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridge-domain 10 vxlan vni 5010 执行命令quit，退出BD视图，返回到系统视图。 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridge-domain 10 执行命令interface nve，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 在NVE接口视图下，执行命令vni，配置VNI的头端复制列表。 配置示例： vni 5010 head-end peer-list 10.0.6.3 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose 图2 VXLAN配置状态 up表示隧道状态正常。

约束与限制 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，建议您新购VXLAN交换机与ESW对接。如果有高可靠性要求，建议VXLAN交换机组进行容灾部署。 以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。

入门指引 企业交换机基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络。企业交换机的配置流程如图1所示。 图1 企业交换机配置流程图 表1 构建同区域VPC互通组网流程说明 序号 步骤 说明 1 步骤一：使用云专线或VPN连通三层网络 企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本章节指导用户使用云专线或者VPN，建立本端隧道子网和远端隧道子网之间的三层网络通信。 2 步骤二：购买企业交换机 本章节指导用户购买企业交换机，企业交换机可以基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络通信。 3 步骤三：创建二层连接 企业交换机购买完成后，您还需要创建二层连接，建立本端二层连接子网和远端VXLAN交换机之间的二层网络通信。本章节指导用户创建二层连接。 4 步骤四：配置远端隧道网关 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。

日志 出于分析或审计等目的，用户可以开启实例的日志记录功能。当用户开启日志记录功能后，TaurusDB可以通过管理控制台查看。 错误日志 TaurusDB支持查看数据库级别的日志，包括数据库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 慢日志 慢日志用来记录执行时间超过当前慢日志阈值“long_query_time”（默认是10秒）的语句，您可以通过查询慢日志的日志明细、统计分析情况，查找出执行效率低的语句，进行优化。 全量SQL 当您开启全量SQL功能，系统会将所有的SQL文本内容进行存储，以便进行分析。 TaurusDB默认关闭全量SQL功能。 全量SQL打开后，可以通过数据库管理服务（Data Admin Service ，DAS）查看SQL语句耗时信息，例如平均执行耗时、总耗时、 平均锁等待耗时、平均扫描行数等。

TaurusDB与RDS for MySQL的区别 TaurusDB拥有较好的性能、扩展性和易用性，详情请参见表1。 表1 TaurusDB与RDS for MySQL的差异 类别 RDS for MySQL TaurusDB 架构 传统主备架构，主备通过binlog同步数据。 存算分离架构，计算节点共享一份数据，无需通过binlog同步数据。 性能 十万级QPS，高并发场景下性能提升3倍。 支持百万级QPS；对于某些业务负载，吞吐量最高可提升至开源MySQL7倍；复杂查询场景，支持将提取列、条件过滤、聚合运算等操作向下推给存储层处理，性能相比传统架构提升数十倍。 扩展性 最多添加5个只读节点，添加只读所需时间与数据量大小相关，并且需要增加一份存储。 存储自动扩容，最大支持4TB。 最多添加15只读，由于共享存储，添加只读节点所需时间与数据量大小无关，且无需增加一份存储。 存储自动扩容，最大支持128TB。 可用性 故障自动倒换，RTO通常小于30秒。 主节点和只读节点无需通过binlog进行数据同步，延时更低，故障自动切换，RTO通常小于10秒。 备份恢复 通过全量备份+binlog回放实现任意时间点回滚。 通过全量备份（快照）+redo回放实现任意时间点回滚，备份恢复速度更快。 数据库版本 MySQL 5.6、5.7和8.0。 MySQL 8.0。

审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 通过云审计服务，您可以记录与TaurusDB实例相关的操作事件，便于日后的查询、审计和回溯。 数据库安全服务（Database Security Service，DBSS） DBSS是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 建议使用DBSS来提供扩展的数据安全能力，详情请参考数据库安全服务。 优势： 助力企业满足等保合规要求。 满足等保测评数据库审计需求。 满足国内外安全法案合规需求，提供满足数据安全标准（例如Sarbanes-Oxley）的合规报告。 支持备份和恢复数据库审计日志，满足审计数据保存期限要求。 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力。 提供风险行为和攻击行为实时告警能力，及时响应数据库攻击。 帮助您对内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的前提下，可以对数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。