华为云用户手册

数据规划 表1 数据规划 项目 数据 说明 租户内网资产IP地址 192.168.41.0-192.168.41.255 请向租户获取，此处仅为示例。 天关1 转发业务流量接口（Bypass接口对） USG6502E-C/USG6503E-C：GE0/0/21和GE0/0/20 USG6603F-C：10GE0/0/0、10GE0/0/1 - 云端管理接口 GE0/0/3：192.168.55.1/24 - 漏洞扫描 和 云日志 审计业务接口 GE0/0/2：192.168.56.1/24 - 天关2 镜像流量接收口（旁路检测模式） USG6502E-C/USG6503E-C：GE0/0/20 USG6603F-C：GE0/0/10 此处请使用偶数端口，USG6603F-C缺省无GE0/0/20接口，可使用GE0/0/10。 云端管理接口 GE0/0/3：192.168.55.2/24 - 交换机 端口规划 观察端口：GigabitEthernet0/0/1 镜像端口：GigabitEthernet0/0/2 - 父主题： 企业内部存在DNS服务器场景

配置交换机 配置接口。 配置接口GigabitEthernet 1/0/21。 [HUAWEI] interface gigabitethernet 1/0/21[HUAWEI-GigabitEthernet1/0/21] undo portswitch[HUAWEI-GigabitEthernet1/0/21] ip address 10.1.10.2 24[HUAWEI-GigabitEthernet1/0/21] quit 配置接口GigabitEthernet 1/0/20。 [HUAWEI] interface gigabitethernet 1/0/20[HUAWEI-GigabitEthernet1/0/20] undo portswitch[HUAWEI-GigabitEthernet1/0/20] ip address 10.2.10.2 24[HUAWEI-GigabitEthernet1/0/20] quit 配置GigabitEthernet 0/0/21 [HUAWEI] interface gigabitethernet 0/0/21[HUAWEI-GigabitEthernet0/0/21] undo portswitch[HUAWEI-GigabitEthernet0/0/21] ip address 10.6.10.2 24[HUAWEI-GigabitEthernet0/0/21] quit 配置GigabitEthernet 0/0/20 [HUAWEI] interface gigabitethernet 0/0/20[HUAWEI-GigabitEthernet0/0/20] undo portswitch[HUAWEI-GigabitEthernet0/0/20] ip address 10.7.10.2 24[HUAWEI-GigabitEthernet0/0/20] quit 配置下行口eth-trunk。 [HUAWEI] interface eth-trunk 1[HUAWEI-eth-trunk1] trunkport gigabitethernet 0/0/12[HUAWEI-eth-trunk1] trunkport gigabitethernet 1/0/12[HUAWEI-eth-trunk1] ip address 10.5.0.1 24[HUAWEI-eth-trunk1] quit 配置上行口Vlanif10。 [HUAWEI] vlan 10[HUAWEI-vlan10] quit[HUAWEI] interface gigabitethernet 1/0/16[HUAWEI-GigabitEthernet1/0/6] port link-type access[HUAWEI-GigabitEthernet1/0/6] port default vlan 10[HUAWEI-GigabitEthernet1/0/6] quit[HUAWEI] interface gigabitethernet 0/0/16[HUAWEI-GigabitEthernet0/0/6] port link-type access[HUAWEI-GigabitEthernet0/0/6] port default vlan 10[HUAWEI-GigabitEthernet0/0/6] quit[HUAWEI] interface vlanif 10[HUAWEI-vlanif10] ip address 10.3.0.4 24[HUAWEI-vlanif10] quit 配置上行口策略路由。 配置ACL规则3000、 流分类c10_up_to_down、 流行为b10_up_to_down。 [HUAWEI] acl number 3000[HUAWEI-acl-adv-3000] rule 10 permit ip[HUAWEI-acl-adv-3000] quit[HUAWE] traffic classifier c10_up_to_down[HUAWEI-classifier-c10_up_to_down] if-match acl 3000[HUAWEI-classifier-c10_up_to_down] quit[HUAWEI] traffic behavior b10_up_to_down[HUAWEI-behavior-b10_up_to_down] redirect ip-nexthop 10.1.10.21 10.6.10.21[HUAWEI-behavior-b10_up_to_down] quit 配置ACL规则3003、 流分类tianguan1、 流行为tianguan1。 [HUAWEI] acl number 3003[HUAWEI-acl-adv-3003] rule 10 permit ip destination 10.1.10.21 0[HUAWEI-acl-adv-3003] quit[HUAWE] traffic classifier tianguan1[HUAWEI-classifier-tianguan1] if-match acl 3003[HUAWEI-classifier-tianguan1] quit[HUAWEI] traffic behavior tianguan1[HUAWEI-behavior-tianguan1] redirect ip-nexthop 10.1.10.21[HUAWEI-behavior-tianguan1] quit 配置ACL规则3004、 流分类tianguan2、 流行为tianguan2。 [HUAWEI] acl number 3004[HUAWEI-acl-adv-3004] rule 10 permit ip destination 10.6.10.21 0[HUAWEI-acl-adv-3004] quit[HUAWE] traffic classifier tianguan2[HUAWEI-classifier-tianguan2] if-match acl 3004[HUAWEI-classifier-tianguan2] quit[HUAWEI] traffic behavior tianguan2[HUAWEI-behavior-tianguan2] redirect ip-nexthop 10.6.10.21[HUAWEI-behavior-tianguan2] quit 配置流策略，将流分类和流行为进行绑定。 [HUAWEI] traffic policy p10_up_to_down[HUAWEI-trafficpolicy-p10_up_to_down1] classifier tianguan1 behavior tianguan1[HUAWEI-trafficpolicy-p10_up_to_down1] classifier tianguan2 behavior tianguan2[HUAWEI-trafficpolicy-p10_up_to_down1] classifier c10_up_to_down behavior b10_up_to_down[HUAWEI-trafficpolicy--p10_up_to_down1] quit 在上行口vlanif10应用流策略。 [HUAWEI] interface vlanif10[HUAWEI-vlanif10] traffic-policy p10_up_to_down inbound[HUAWEI-vlanif10] quit 配置下行口策略路由。 配置ACL规则3010。 [HUAWEI] acl number 3010[HUAWEI-acl-adv-3010] rule 10 permit ip[HUAWEI-acl-adv-3010] quit 配置流分类c20_down_to_up。 [HUAWE] traffic classifier c20_down_to_up[HUAWEI-classifier-c20_down_to_up] if-match acl 3010[HUAWEI-classifier-c20_down_to_up] quit 配置流行为b20_down_to_up。 [HUAWEI] traffic behavior b20_down_to_up[HUAWEI-behavior-b20_down_to_up] redirect ip-nexthop 10.2.10.20 10.7.10.20[HUAWEI-behavior--b20_down_to_up] quit 配置流策略，将流分类和流行为进行绑定。 [HUAWEI] traffic policy p20_down_to_up[HUAWEI-trafficpolicy-p20_down_to_up] classifier c20_down_to_up behavior b20_down_to_up[HUAWEI-trafficpolicy--p20_down_to_up] quit 将流策略应用到下行接口上。 [HUAWEI] interface eth-trunk 1[HUAWEI-eth-trunk1] traffic-policy p20_down_to_up inbound[HUAWEI-eth-trunk1] quit 父主题： 企业边界双链路组网—天关双机热备

组网需求说明 本方案适用于客户内网中存在NAT设备的场景。 如果客户内网中存在NAT设备，内网资产使用NAT后地址访问外部区域，导致天关检测到威胁事件的源地址都是NAT后地址，进而无法识别失陷主机的真实地址。 为解决上述问题，采用如下图所示方案。 在NAT设备前部署天关2，用于检测区域2的威胁事件，云端通过天关2的威胁日志识别区域2的失陷主机。 在出口网关前部署天关1，用于检测非NAT区域（区域1）的威胁事件。 在天关1上将区域2NAT后的地址配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁，同时缓解天关1的检测性能压力。 下图以USG6502E-C的GE0/0/21和GE0/0/20为例，组成二层Bypass接口对，用于转发内外网的业务流量，同时使用三层接口GE0/0/3与云端对接。 使用三层接口GE0/0/2作为 漏洞扫描服务 和云日志审计服务的通道，并使用GE0/0/3上报云端。 区域1的资产将日志发送到天关1的GE0/0/2，区域2的资产将日志发送到天关2的GE0/0/2。 图1 方案组网

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 请按照本章介绍的步骤配置，在天关1开启安全检测前，必须先在天关1上将区域2NAT后的地址192.168.55.100配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁。 USG6501E-C不支持电Bypass口，此方案不使用该型号设备。 USG6502E-C、USG6503E-C接口使用限制： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，组成一条电链路Bypass。推荐使用这两对接口作为业务口，用于转发内外网的业务流量，当天关故障时流量直接通过天关，保证业务不中断。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。 USG6603F-C接口使用限制： 为了提高业务可靠性，可以配置光Bypass卡，连接光Bypass卡的方式请参见《USG6000F-C天关上线》中“安装并连接光Bypass插卡”章节。 默认情况下，接口编号相邻的接口两两组成二层接口对。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

可能原因 设备默认开启硬件快转，对不需要安全检测的流量做快速转发（首包检测后未命中安全策略的流量）提升设备性能，减少CPU负担。开启硬件快转后，走硬件快转的流量不会统计在内，所以远小于客户下载流量，设备统计无误。 设备关闭硬件快转（会影响设备性能）关闭后设备上统计的流量大小远大于实时下载速度，因为统计纬度不一样。设备上的流量统计是到网络层的，浏览器下载是到应用层，设备统计流量会更大。设备统计无误。 源ip流量实时排名本身设备不开启，开启也会占用一部分设备性能，而且只要切换设备标签页就会自动关闭源ip流量统计，这个功能设备本身不提倡开启。

适用产品和版本 设备 版本 备注 防火墙USG65xxF： USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 边界防护与响应服务：V600R023C00SPC100及之后版本 - 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 漏洞扫描服务：V600R023C00SPC100及之后版本 - 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 云日志审计服务：V600R023C00SPC100及之后版本 -

租户基础操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 更多操作

MSP基础操作 表1 MSP基础操作 操作任务 使用场景 操作入口 详细参考链接 登录控制台 当您使用服务时，需要使用MSP帐号登录控制台。 访问华为乾坤商城，单击右上角“登录”进行登录。 注册并登录控制台 个人中心设置 当您需要对个人帐号信息进行个性化设置，包括用户名、密码、邮箱、头像等修改。 单击控制台右上角个人帐号，选择“个人中心”。 个人中心设置 分权分域 支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建MSP帐号。 单击控制台右上角个人帐号，选择“权限管理”。 帐号管理 管理租户 支持MSP创建、查询、修改、导出租户信息。 单击控制台右上角“租户”。 租户管理 创建工单 当您使用服务时，一旦发现问题可立即创建工单。随后，华为乾坤工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 查看日志 日志主要包括操作日志和安全日志。 单击控制台右上角个人帐号，选择“日志”。 日志查看 查看公告 当您需要了解服务最新消息，如产品公告、安全公告、升级公告等，可以查看。 单击控制台右上角个人帐号，选择“公告”。 查看公告 父主题： 更多操作

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

套餐扣减方式说明 将购买的套餐转化成资产月进行扣减计算。 资产月=资产数*月数，如：客户购买了“20个资产，1年”，那么资产月=240。 每个资产一个月扣减1个资产月。月底清空记录，下一月重新计算。 同一个资产同一个月内可以任意扫描多次（不区分定时扫描或手动扫描），只扣减1个资产月。 租户首个订单首月按照比例（当月使用天数/当月总天数）扣减资产月。 假设首个订单在15号开通并使用，之后为20个不同的资产提供了扫描，那么首月需要扣减的资产月：15（当月使用天数）/30（当月总天数）*20（扫描的资产数）=10资产月 通过上述扣减方式，可能会出现以下情况： 在订单到期前，因每月扫描的资产数多，导致资产月不足。此情况下，系统将会提醒客户追加购买新套餐。 在订单到期时，因每月扫描的资产数少，导致资产月未使用完。此情况下，因订单到期，该服务也无法使用，需要客户追加购买新套餐后再使用。

套餐扣减举例 场景1：某客户购买了“20个资产，1年”，共有240个资产月。订单期限1年（12个月）。资产月扣减方式如下： 表1 资产月扣减方式举例（假设：首月月初即开始使用） 月份 第一个月 第二个月 第三个月 第xx个月 当月扫描的资产数 20个不同资产 10个不同资产 30个不同资产 依次类推，直到订单到期或者订单未到期资产月不足，您可以通过追加套餐获取更多资产月，延长订单时间。 月底扣减的资产月 20 10 30 月底剩余的资产月 240-20=220 220-10=210 210-30=180 说明 漏洞扫描服务根据“资产IP地址+绑定的天关”判断是否为同一个资产。 每个月扫描的资产可以跟前面几个月的相同，也可以不同。如：第一个月扫描了资产A和资产B；第二个月可以扫描资产A、资产B和资产C，也可以扫描资产C和资产D等。 同一个资产在一个月内可以多次扫描，只扣减1个资产月。 同一个资产在不同的月份里面都进行扫描，每个月都会扣除资产月。如：第一个月扫描了资产A，第二个月也扫描了资产A。第一个月会扣除1个资产月。第二个月也会扣除1个资产月。 场景2：某客户先购买了“20个资产，1年”。后来因使用效果好，3个月后追加了“20个资产，1年”。订单期限为最后一次续费的到期时间。资产月扣减方式如下： 表2 资产月扣减方式举例（假设首月月初即开始使用，前3个月中每月都扫描了20个资产） 月份 第一个月 第二个月 第三个月 第四个月 第五个月 第xx个月 当月扫描的资产数 20个不同资产 20个不同资产 20个不同资产 40个不同资产 40个不同资产 依次类推，直到订单到期或者订单未到期资产月不足，您可以通过追加套餐获取更多资产月，延长订单时间。 月底扣减的资产月 20 20 20 40 40 月底剩余的资产月 240-20=220 220-20=200 200-20=180 180+240（追加资产月）-40=380 380-40=340 说明 漏洞扫描服务根据“资产IP地址+绑定的天关”判断是否为同一个资产。 每个月扫描的资产可以跟前面几个月的相同，也可以不同。如：第一个月扫描了资产A和资产B；第二个月可以扫描资产A、资产B和资产C，也可以扫描资产C和资产D等。 同一个资产在一个月内可以多次扫描，只扣减1个资产月。 同一个资产在不同的月份里面都进行扫描，每个月都会扣除资产月。如：第一个月扫描了资产A，第二个月也扫描了资产A。第一个月会扣除1个资产月。第二个月也会扣除1个资产月。

操作步骤 在Web界面的最上方单击“立即激活”，进入“设备激活向导”页面。 配置互联网接入相关参数，单击“下一步”。 设备会自动添加连接互联网需要的安全策略，选择“我已阅读并同意”，单击“下一步”。 单击“点击开始检测”，检测设备与License激活中心的网络连通性。 检测成功，系统会提示“获取License激活中心服务器信息成功”。单击“下一步”。 配置“ License授权编码”和“客户名称”，单击“激活”，待设备激活基础License后，单击“下一步”。 您购买的license中必须包括软件基础License，激活设备后功能才可用。 License授权编码是License授权证书中的 Entitlement ID (LAC)，如下图所示。 设备激活成功后，单击“开始使用”。

背景信息 表1 设备说明 设备型号 说明 USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

服务器/终端（Linux操作系统） 以root用户登录服务器/终端。 开启审计功能。 systemctl start auditd 编辑配置文件/etc/rsyslog.conf。 vi /etc/rsyslog.conf 按“I”键，进入编辑模式，在配置文件/etc/rsyslog.conf的最后追加如下信息。 该配置将设备产生的错误日志、内核和后台进程日志（级别为notice）、认证日志（类型为auth，级别为info）、审计日志发送到天关。 #### 采集audit日志 #### $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor ###################### *.err;kern.notice;daemon.notice;auth.info;local6.info @10.1.1.1 #此处需要修改 “@”前为一个Tab键，请勿遗漏。 10.1.1.1为天关侧与资产通信的内网IP地址，根据实际修改。 按“Esc”键，退出编辑模式。 输入:wq!，保存并退出文件。 重启rsyslog服务。 systemctl restart rsyslog 父主题： 配置资产

安装光Bypass插卡 请按照图1所示安装光Bypass插卡。 a.拧松插槽上假面板的螺钉，并取下假面板。 b.将光Bypass插卡上的扳手打开，沿插槽的导轨水平推入光Bypass插卡，直至扳手接触前面板为止。 c.将扳手往里压紧，直至光Bypass插卡完全进入插槽，拧紧光Bypass插卡两侧的螺钉。 图1 安装光Bypass插卡 设备上电后检查光Bypass插卡上指示灯的运行状态。如果指示灯显示绿色，表示光Bypass插卡已经上电；如果指示灯显示红色，表示光Bypass插卡有影响业务且无法自动恢复的故障（硬件类紧急告警）。

操作步骤 选择“面板”，在界面右上方单击“当前设备未激活，功能不可用。点击跳转到设备激活向导页面进行激活”，进入“设备激活向导”界面。 单击“开始一键检测”，然后在“确认”界面，单击“确定”。待连通性检测完成通过，单击“下一步”。 配置License授权编码、客户名称后单击“激活”。待激活设备成功后，单击“下一步”。 您购买的license中必须包括软件基础License，激活设备后功能才可用。 License授权编码是License授权证书中的 Entitlement ID (LAC)，如下图所示。 配置用户体验计划，此处直接单击“下一步”。

通过光Bypass插卡连接设备 前提条件 请确保天关及上下游设备光接口上已安装光模块。 请确保光Bypass插卡已经安装完好。 注意事项 光Bypass卡只支持LC接头单模光纤。 操作步骤 取下光Bypass插卡接口上的保护橡胶塞。 按照下图所示完成连线。 图2 通过光Bypass插卡连接设备 表1 接口使用说明 接口丝印 接口编号 说明 EXTERNAL接口0 - 用于连接上行设备的光接口（如：出口路由器）。 INTERNAL接口2 - 用于连接天关的奇数编号接口，此处以10GE0/0/1为例。 EXTERNAL接口0与INTERNAL接口2组成一条链路，保证天关与上行设备连接正常。 EXTERNAL接口1 - 用于连接下行设备的光接口（如：内网交换机）。 INTERNAL接口3 - 用于连接天关的偶数编号接口，此处以10GE0/0/0为例。 EXTERNAL接口1和INTERNAL接口3组成一条链路，保证天关与下行设备连接正常。 0 10GE0/0/0（光接口） 用于跟INTERNAL接口3连接。 使用上下相邻的一对光接口分别连接。 1 10GE0/0/1（光接口） 用于跟INTERNAL接口2连接。 说明： 请使用上下相邻的一对光接口分别连接INTERNAL接口2、INTERNAL接口3，此处以10GE0/0/1、10GE0/0/0为例。 1 GE0/0/1（电接口） 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 光Bypass插卡提供四个接口，包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时，EXTERNAL接口0和INTERNAL接口2组成一条链路，EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时，两个EXTERNAL口直接相连组成一条链路。 天关上电后检查光纤连接后对应光接口的指示灯状态。如果指示灯常亮或闪烁，表示链路已连通或有数据转发；如果指示灯常灭，表示链路未连通。

背景信息 对于USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B、USG6000E-E03/USG6000E-E07、USG6303E，需要激活设备后才能使用其功能。 V600R007C20SPC601及之后版本，整机部件编码带“-003”的USG6325E/6335E/6355E/6365E/6385E，需要激活设备后才能使用其功能。

大型企业集团的多分支场景 大型企业集团的分支机构漏洞检测能力薄弱，主要依赖于集团公司的技术力量。但受限于人力成本，集团公司无法派驻安全运维人员到每个分支机构，因此需要一个整体化的漏洞检测服务实现对各分支机构的安全检测。 华为乾坤漏洞扫描服务能够实现对分支机构网络的统一漏洞检测，并借助云端对资产漏洞的统一分析、在事前精准识别分支资产存在的风险，防止分支资产的漏洞被利用，导致风险横向扩散。 图2 大型企业集团的多分支场景

中小型企业联网场景 随着企业海量资产不断接入互联网，数字化资产的安全已经成为企业安全建设的重要考虑因素。因此，企业客户希望有一款产品或服务提供事前检测能力，实现事前检测资产的安全状态，高效精准度地识别潜在漏洞，避免潜在漏洞被恶意利用导致威胁攻击。 华为乾坤漏洞扫描服务通过实时漏洞检测，能够帮助企业发现资产中存在的潜在漏洞，并提供漏洞修复优先级和修复建议。客户根据建议及时修补漏洞，降低漏洞被利用的风险。 图1 中小型企业联网场景

约束与限制 服务配套的天关和防火墙型号，请参见《华为乾坤安全云服务天关和防火墙上云清单》（该文档获取需要权限，请联系华为产品经理或渠道获取），服务涉及其他约束与限制，如表1所示。 表1 约束与限制 类别 约束与限制描述 漏洞扫描 针对非网站类型的资产：只支持对IP地址格式为IPv4的资产进行漏洞扫描。 针对网站类型的资产：只支持对“URL”格式为“http(s)://IP地址:端口号”的资产进行漏洞扫描。 可扫描资产的IP地址需为非云上保留IP。 云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 单个扫描任务最多支持添加20个资产。 资产发现 目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。 可发现资产的IP地址需为非云上保留IP。 云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。 规格类 所有租户最多支持200个资产同时扫描。 对于款型为USG66xxF-C、USG65xxF、USG66xxF、USG67xxF的设备，如需正常使用漏洞扫描服务，设备上线后、服务启用前请执行以下配置代码：install feature-software WEAKEA 父主题： 产品介绍

场景说明 防火墙存在传统模式和云管模式两种工作模式，默认情况下，防火墙处于传统模式。当防火墙使用在云管理网络中时，需要将防火墙切换到云管模式。 本文介绍在传统模式下，防火墙的上线操作，以及边界防护与响应服务、漏洞扫描服务、云日志审计服务所需的配置。 传统模式下，各服务配套的USG6000E系列防火墙所包含的机型，请参见《华为乾坤安全云服务天关和防火墙上云清单》（该文档获取需要权限，请联系华为产品经理或渠道获取）。 父主题： USG6000E防火墙上线（传统模式）

数据规划 项目 数据 说明 FW1 HRP接口 GE0/0/7 :10.1.0.1 用于建立HRP心跳链路。 FW2 HRP接口 GE0/0/7 :10.1.0.2 用于建立HRP心跳链路。 FW1上下行接口 GE0/0/5 : 10.2.0.1 GE0/0/4 : 10.3.0.1 - FW2上下行接口 GE0/0/5 : 10.2.1.1 GE0/0/4 : 10.3.0.2 - 父主题： 企业边界防火墙双机组网（三层）--上行路由器（ospf）下行交换机

配置思路 登录防火墙，主要配置以下内容。 配置公网地址和内网地址。 （可选）配置静态路由。在配置公网地址时采用了静态IP的方式，且没有配置默认网关，此场景下需要配置静态路由。 配置NAT策略（easy-ip方式），以便内网用户可以直接使用防火墙的公网IP地址来访问Internet。 （可选）配置DHCP参数，如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址。 加载云服务组件包。加载云服务组件包后才支持华为乾坤。 配置防火墙与云平台对接。 配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

租户基础操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 更多操作

解决方法 在管理PC上登录标准页面：https://192.168.0.1:8443/default.html。 在任意界面的右上角，单击“CLI控制台”。 图1 进入控制台 输入system-view，进入系统视图。 输入以下命令行配置认证方式。 配置后就可以使用密码password登录串口。 user-interface console 0 authentication-mode password set authentication password cipher password

数据规划 项目 数据 说明 FW1 HRP接口 GE0/0/7 :10.1.0.1/24 用于建立HRP心跳链路。 FW2 HRP接口 GE0/0/7 :10.1.0.2/24 用于建立HRP心跳链路。 FW1上下行接口 GE0/0/5 : 10.2.0.1/24 GE0/0/4 : 10.3.0.1/24 - FW2上下行接口 GE0/0/5: 10.2.0.2/24 GE0/0/4 : 10.3.0.2/24 - 父主题： 企业边界防火墙双机组网（三层）--vrrp

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 交换机 GigabitEthernet0/0/2 观察端口。 GigabitEthernet0/0/1 镜像端口。 GigabitEthernet0/0/3：192.168.56.20/24 与天关上漏扫和云日志审计业务接口直连的三层端口，IP地址请向租户获取，此处为示例。 天关 GE0/0/1 流量检测端口。 GE0/0/3：172.16.10.10/24 云端管理接口，IP地址请向租户获取，此处为示例。 GE0/0/2：192.168.56.10/24 漏洞扫描和云日志审计接口，IP地址请向租户获取，此处为示例。 父主题： 企业边界天关旁路镜像流状态检测（USG6502E-C天关、USG6503E-C天关、USG6603F-C天关）