华为云用户手册

解决办法 DHCP配置有误，三层网关部署，如果设备自身要作为内网终端的DNS服务器，那么配置的时候必须选指定DNS，如果选系统的DNS设置，需要额外配置一条trust-local的安全策略做放行，否则内网终端获取到IP也无法上网。 注：使用系统的DNS设置，需要手动创建一条trust到local的安全策略并放通dns服务。 三层网关部署，设备本身给下联交换机做dhcp服务器，这种情况下联PC能不能通外网，要看一下自己本机是不是用的dhcp方式，如果是之前自己配置的静态ip，那肯定是不通外网的。确认一下当前测试PC的网段对不对。 内网终端获取不到IP的话要看下内网接口的配置，虚拟系统必须是public，不能是default. （默认public）。

硬件类危险操作 操作大类 操作小类 可能引发的后果 单板操作 严禁在线拔出主用主控板 当备用主控板工作正常时，由于主备主控板之间的数据同步需要一定的周期，在线拔出主用主控板后，系统虽然会自动进行倒换，但主用主控板上的最新数据不能完全自动备份到备用主控板上，导致系统统计出错或数据丢失。 当备用主控板工作不正常时，在线拔出主用主控板后，将导致相应模块的业务处理全部中断，使系统出现局部或全局业务阻塞 严禁随意按下主控板面板上的Reset按钮 当按下单板面板上的Reset按钮时，单板将被强行执行硬件复位，该操作仅能由有资质的维护人员在系统出现严重故障的情况下执行。 如果由于误操作按下主控板面板上的Reset按钮，将导致主控板复位，其后果与“在线拔出主用主控板”一样。 严禁随意按下OFL单板离线按钮 将使单板下电，业务中断。 严禁在不戴防静电腕带的情况下拔插单板 人体静电对单板上的电子器件具有很大的危害，维护人员在不戴防静电腕带的情况下拔插单板，很容易使单板遭受静电危害，从而损坏单板或使单板运行不稳定。 严禁使用串口线连接单板的调试串口进行调试 单板的调试串口仅能由集成商或华为公司的专业工程师使用。普通维护人员使用调试串口可能会导致单板程序运行异常、单板复位等后果。 CF卡操作 严禁对CF卡进行热插拔操作 在对CF卡进行读写操作的过程中（尤其是写操作），将CF卡拔出再插入，可能使操作系统异常，出现死循环复位，或使CF卡所在的主控板复位。 线缆类操作 严禁随意拔插机柜内部的网线 机柜内部的网线连接主要用于实现主机与维护终端之间的通信等功能，随意拔插网线将可能导致维护终端无法登录设备等。 电源类操作 严禁随意操作机柜配电框内的电源开关 只有在升级、扩容、更换部件或系统发生重大故障的情况下，维护人员才能按照操作规程操作各类电源开关，随意操作电源开关将导致设备停止运行、业务中断等重大事故。

命令类危险操作 功能分类 命令 命令功能 可能引发的后果 重启操作 reboot 重启系统 该命令仅在开局或升级时由专业工程师使用，否则将导致整个设备业务中断。 reset slot 重启单板 执行该命令，将重启指定的单板，相关业务中断。 关闭操作 power off slot 单板下电 执行该命令，将使指定单板下电，相关业务中断。 shutdown 关闭端口 执行该命令，对应的端口将不可用，相关的链路和业务中断。 删除操作 format 格式化存储设备 执行该命令进行格式化操作，将导致指定的存储设备上所有目录和文件丢失，并且不可恢复。 delete 删除设备存储设备中的指定文件 该命令用来删除存储设备中的指定文件，如果使用了参数unreserved，会彻底删除指定文件，删除的文件将不可恢复。 复位操作 reset 复位各类协议 请勿随意使用reset命令复位各类协议，否则会造成业务中断。 不要通过命令行在设备上修改华为乾坤云平台下发的配置，例如删除广播域BD、解除VNI与BD的绑定关系、修改VTEP的IP地址、修改VBDIF接口的IP地址等，否则可能会导致VXLAN业务不能正常运行。

故障处理原则 在遇到网络或业务异常时，请遵循以下原则对故障进行定界和恢复： 网络发生重大事故时，需依照快速定界故障、隔离故障的原则来尽快恢复业务。 定界故障：根据不同的故障现象匹配不同的故障定界思路流程，快速确定故障点。 快速恢复：通过隔离端口、隔离设备等手段，将故障目标暂时隔离，隔离的前提是网络有可靠性冗余备份，业务由其他正常节点承载，从而快速恢复业务。 在定位故障时，应及时获取并保存故障数据信息，不能随意删除数据。这些数据信息包括但不局限于网络拓扑、故障业务涉及的IP地址范围、故障接入点位置等。 在确定故障处理方案时，应先评估故障影响大小。 第三方硬件出现故障，可查看第三方相关资料或拨打第三方公司的服务电话求助。 维护人员在上岗前必须接受必要的应急维护培训，应熟练使用数据中心各个产品的运维功能，学习判断紧急事故的基本方法、掌握处理紧急事故的基本技能。 父主题： 维护工程师必读

解决方法 在管理PC上登录标准页面：https://192.168.0.1:8443/default.html。 在任意界面的右上角，单击“CLI控制台”。 图1 进入控制台 输入system-view，进入系统视图。 输入以下命令行配置认证方式。 配置后就可以使用密码password登录串口。 user-interface console 0 authentication-mode password set authentication password cipher password

防勒索场景 勒索软件是不法分子通过加密文件等方式劫持用户文件，借此索要钱财的一种恶意软件。勒索软件变种多，更新快，难以防范，攻击目标一般是终端上的文件，会在企业内部的终端上进行横向扩散，给企业的终端安全带来很大的风险和挑战。 勒索软件对企业可造成如下危害： 企业遭遇勒索，直接导致大额经济损失。 企业重要文件被加密，业务被迫中断，生产力遭遇冲击，间接影响企业经济。 企业重要数据遭遇篡改或公开，声誉受损，大众对企业信任度降低。 智能终端安全服务针对勒索软件，可以实现： 对全磁盘目录进行实时防护，阻止勒索软件以浏览器下载、U盘转移等方式入侵。 提供诱饵捕获功能，针对勒索病毒特征设置诱饵文件，及时捕获异常事件。 针对勒索病毒特征，提供文件防篡改功能，支持重点文件访问权限控制，及时上报加密行为。 围绕勒索攻击过程，检测各个攻击场景的威胁事件，自动下发威胁处置策略。 针对勒索病毒文件，提供病毒查杀功能，隔离相关文件。

防挖矿场景 挖矿木马是指非法入侵终端并持续驻留，利用终端计算能力挖矿来为攻击者谋取利益的一种恶意软件。挖矿木马潜伏时间长，隐蔽性高，挟持大量计算资源，对企业终端安全造成巨大威胁。 挖矿木马对企业可造成如下危害： 企业消耗大量电力资源，遭受重大经济损失。 企业终端CPU被持续占用，系统业务响应变慢，设备寿命减短。 企业终端存在恶意连接，重要信息面临泄露风险。 智能终端安全服务针对挖矿木马，可以实现： 对全磁盘目录进行实时防护，阻止挖矿木马以浏览器下载、U盘转移等方式入侵。 通过HiSec Endpoint Agent上报的DNS请求数据，与威胁信息矿池库做对比，检测是否存在向挖矿矿池请求的恶意连接，及时发现威胁事件。 针对挖矿木马，提供病毒查杀功能，检出挖矿文件并将其隔离。

防无文件攻击场景 无文件攻击是一种不向磁盘写入可执行文件的攻击方法，难以被基于文件扫描的传统防病毒方案检测到，隐蔽性强，入侵成功率高。 无文件攻击可对企业造成如下危害： 企业终端CPU被持续占用，系统业务响应变慢，设备寿命减短。 企业终端存在恶意连接，重要信息面临泄露风险。 智能终端安全服务针对无文件攻击，可以实现： 提供威胁检测功能，识别无文件攻击产生的恶意进程，并进行自动阻断。 针对使用不可执行文件进行攻击的场景，提供病毒查杀功能，隔离相应文件。 自动关闭无文件攻击的计划任务，防止其定期攻击终端。

什么是智能终端安全服务 随着数字化的不断深入，企业越来越依赖网络通信技术以满足其业务需求，与此同时，企业面临的网络安全风险也越来越大。由于人的行为具有不确定性，电脑、服务器等终端作为直接与人交互的装置，面临更多的安全风险，往往是整个网络安全防护流程中最薄弱的环节。近年来，针对终端的攻击行为层出不穷，攻击者不仅可以从外部入侵，还可以直接从企业内部发起攻击，导致终端感染甚至威胁扩散，造成企业重大经济损失。 企业终端安全面临着严峻的挑战，是网络安全建设的重点关注对象。 终端信息无法统筹，管理难 传统终端安全产品主要着眼于单点终端上的病毒查杀，因为缺乏对终端信息的集中收集和分析，管理员无法统筹管理企业终端资产，全面识别系统漏洞。对于终端数量庞大的企业来说，此弊端尤为明显，容易导致企业终端被黑客或恶意竞争者攻击，造成企业关键数据泄露或业务中断。 未知威胁不断涌现，应对难 随着威胁手段和攻击技术的不断提高，企业频频遭受未知威胁攻击，例如无文件攻击、勒索变种、高级持续性威胁等。然而传统安全产品仅采用威胁特征库匹配技术，只能识别已知威胁，无法有效应对不断涌现的新型威胁。 威胁事件无法溯源，分析难 传统终端安全产品忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此，管理员无法根据威胁发生原因制定对应的防御策略，不能从根本上阻断威胁，导致同类威胁事件重复发生。 传统终端安全产品无法解决终端管理难、未知威胁应对难、溯源分析难等问题，华为乾坤在深入分析终端安全建设困境后，推出了智能终端安全服务。 智能终端安全服务是针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构，由云端和安装在终端侧的HiSec Endpoint Agent组成，如图1所示。 图1 智能终端安全服务架构图 云端提供资产管理、威胁检测和溯源处置功能，具体内容如下。 资产管理：提供自动化终端资产清点能力，统筹管理终端信息并进行多维资产风险评估，实时感知资产状态。 威胁检测：提供终端全攻击路径威胁检测能力，对检出的风险进行自动阻断。 溯源处置：提供攻击可视化能力，对威胁事件进行精确的溯源分析，支撑威胁事件深度清理。 HiSec Endpoint Agent需要安装到企业内网的每一台终端上，主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS（Domain Name System， 域名 系统）请求信息，并执行云端下发的指令和预置的主动防御策略。 父主题： 产品介绍

防病毒场景 计算机病毒是指会破坏终端功能或数据的一组指令或代码，通常附着在文件上以病毒文件的形式出现。近年来，网络病毒攻击日趋频繁，终端安全面临着前所未有的挑战。 计算机病毒可对企业造成如下危害： 企业系统瘫痪，生产线控制紊乱，无法开展正常业务。 企业数据遭遇破坏或丢失，蒙受巨大损失。 智能终端安全服务针对计算机病毒，可以实现： 对全磁盘目录进行实时防护，阻止病毒文件以浏览器下载、U盘转移等方式入侵。 检测病毒文件运行产生的恶意进程，进行自动化处置。 针对病毒文件，提供病毒查杀功能，进行隔离操作。

解决方法 本地授权版本，确认相应特征库已授权。 云端授权版本，确定乾坤云上该设备已经绑定边界防护与响应套餐，并且套餐状态为已部署。 排查上游设备做了安全限制导致网络不通，需要放通如下域名： 1、华为安全智能中心目前调度服务器域名：sec.huawei.com。 2、华为安全智能中心目前的下载服务器信息： 域名 优先支持的下载区域 fds-europe-1.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-europe-2.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-asia-2.sec.huawei.com 亚洲区域 fds-cn-1.sec.huawei.com 中国区域 fds-cn-3.sec.huawei.com 中国区域 fds-cn-6.sec.huawei.com 中国区域 fds-hongkong.sec.huawei.com 中国区域、亚洲区域 fds-beijing.sec.hauwei.com 中国区域、亚洲区域 fds-guiyang.sec.huawei.com 中国区域、亚洲区域 fds-shanghai.sec.huawei.com 中国区域、亚洲区域 fds-singaporean.sec.huawei.com 亚洲区域 fds-mexico-2.sec.huawei.com 南美区域、北美区域 fds-mexico-3.sec.huawei.com 南美区域、北美区域 fds-mexico-1.sec.huawei.com 南美区域、北美区域 fds-cairo.sec.huawei.com 非洲区域、俄罗斯区域 文件下载协议与端口之间的关系为：H TTS -443，HTTP-80，FTP-22，32119。

DHCP服务器规划（可选） 如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址。那么请参考如下内容完成数据规划。 表2 DHCP服务器规划 作为DHCP服务器的接口 可分配IP地址范围 子网掩码 默认网关 DNS服务器 GE0/0/6 10.1.1.1-10.1.1.253 255.255.255.0 10.1.1.254 首选DNS：2.2.2.2 （可选）备用DNS：2.2.3.3

IP地址规划 表1 IP地址规划 接口 IP地址获取方式 IP地址示例 备注 上行接口GE0/0/7 静态IP地址 IP地址：1.1.1.1 IP地址的获取方式支持静态IP、DHCP和PPPoE。请根据实际情况进行选择。 IP地址、DNS和PPPoE的拨号信息等需要向租户获取。 子网掩码：255.255.255.0 默认网关：1.1.1.254 首选DNS：2.2.2.2 （可选）备用DNS：2.2.3.3 DHCP方式 防火墙作为DHCP客户端，由DHCP服务器为防火墙分配IP地址和 DNS地址 。 PPPoE方式 通过拨号向PPPoE Server（运营商设备）拨号获得IP地址、DNS地址。 下行接口GE0/0/6 静态IP地址 IP地址：10.1.1.1 业务接口。 漏洞扫描服务 和 云日志 审计服务共用此接口。 子网掩码：255.255.255.0

租户基础操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 更多操作

数据规划 表1 数据规划 项目 数据 说明 租户内网资产IP地址 192.168.41.0-192.168.41.255 请向租户获取，此处仅为示例。 天关1 转发业务流量接口（Bypass接口对） USG6502E-C/USG6503E-C：GE0/0/21和GE0/0/20 USG6603F-C：10GE0/0/0、10GE0/0/1 - 云端管理接口 GE0/0/3：192.168.55.1/24 - 漏洞扫描 和云日志审计业务接口 GE0/0/2：192.168.56.1/24 - 天关2 镜像流量接收口（旁路检测模式） USG6502E-C/USG6503E-C：GE0/0/20 USG6603F-C：GE0/0/10 此处请使用偶数端口，USG6603F-C缺省无GE0/0/20接口，可使用GE0/0/10。 云端管理接口 GE0/0/3：192.168.55.2/24 - 交换机 端口规划 观察端口：GigabitEthernet0/0/1 镜像端口：GigabitEthernet0/0/2 - 父主题： 企业内部存在DNS服务器场景

配置交换机 配置接口。 配置接口GigabitEthernet 1/0/21。 [HUAWEI] interface gigabitethernet 1/0/21[HUAWEI-GigabitEthernet1/0/21] undo portswitch[HUAWEI-GigabitEthernet1/0/21] ip address 10.1.10.2 24[HUAWEI-GigabitEthernet1/0/21] quit 配置接口GigabitEthernet 1/0/20。 [HUAWEI] interface gigabitethernet 1/0/20[HUAWEI-GigabitEthernet1/0/20] undo portswitch[HUAWEI-GigabitEthernet1/0/20] ip address 10.2.10.2 24[HUAWEI-GigabitEthernet1/0/20] quit 配置GigabitEthernet 0/0/21 [HUAWEI] interface gigabitethernet 0/0/21[HUAWEI-GigabitEthernet0/0/21] undo portswitch[HUAWEI-GigabitEthernet0/0/21] ip address 10.6.10.2 24[HUAWEI-GigabitEthernet0/0/21] quit 配置GigabitEthernet 0/0/20 [HUAWEI] interface gigabitethernet 0/0/20[HUAWEI-GigabitEthernet0/0/20] undo portswitch[HUAWEI-GigabitEthernet0/0/20] ip address 10.7.10.2 24[HUAWEI-GigabitEthernet0/0/20] quit 配置下行口eth-trunk。 [HUAWEI] interface eth-trunk 1[HUAWEI-eth-trunk1] trunkport gigabitethernet 0/0/12[HUAWEI-eth-trunk1] trunkport gigabitethernet 1/0/12[HUAWEI-eth-trunk1] ip address 10.5.0.1 24[HUAWEI-eth-trunk1] quit 配置上行口Vlanif10。 [HUAWEI] vlan 10[HUAWEI-vlan10] quit[HUAWEI] interface gigabitethernet 1/0/16[HUAWEI-GigabitEthernet1/0/6] port link-type access[HUAWEI-GigabitEthernet1/0/6] port default vlan 10[HUAWEI-GigabitEthernet1/0/6] quit[HUAWEI] interface gigabitethernet 0/0/16[HUAWEI-GigabitEthernet0/0/6] port link-type access[HUAWEI-GigabitEthernet0/0/6] port default vlan 10[HUAWEI-GigabitEthernet0/0/6] quit[HUAWEI] interface vlanif 10[HUAWEI-vlanif10] ip address 10.3.0.4 24[HUAWEI-vlanif10] quit 配置上行口策略路由。 配置ACL规则3000、 流分类c10_up_to_down、 流行为b10_up_to_down。 [HUAWEI] acl number 3000[HUAWEI-acl-adv-3000] rule 10 permit ip[HUAWEI-acl-adv-3000] quit[HUAWE] traffic classifier c10_up_to_down[HUAWEI-classifier-c10_up_to_down] if-match acl 3000[HUAWEI-classifier-c10_up_to_down] quit[HUAWEI] traffic behavior b10_up_to_down[HUAWEI-behavior-b10_up_to_down] redirect ip-nexthop 10.1.10.21 10.6.10.21[HUAWEI-behavior-b10_up_to_down] quit 配置ACL规则3003、 流分类tianguan1、 流行为tianguan1。 [HUAWEI] acl number 3003[HUAWEI-acl-adv-3003] rule 10 permit ip destination 10.1.10.21 0[HUAWEI-acl-adv-3003] quit[HUAWE] traffic classifier tianguan1[HUAWEI-classifier-tianguan1] if-match acl 3003[HUAWEI-classifier-tianguan1] quit[HUAWEI] traffic behavior tianguan1[HUAWEI-behavior-tianguan1] redirect ip-nexthop 10.1.10.21[HUAWEI-behavior-tianguan1] quit 配置ACL规则3004、 流分类tianguan2、 流行为tianguan2。 [HUAWEI] acl number 3004[HUAWEI-acl-adv-3004] rule 10 permit ip destination 10.6.10.21 0[HUAWEI-acl-adv-3004] quit[HUAWE] traffic classifier tianguan2[HUAWEI-classifier-tianguan2] if-match acl 3004[HUAWEI-classifier-tianguan2] quit[HUAWEI] traffic behavior tianguan2[HUAWEI-behavior-tianguan2] redirect ip-nexthop 10.6.10.21[HUAWEI-behavior-tianguan2] quit 配置流策略，将流分类和流行为进行绑定。 [HUAWEI] traffic policy p10_up_to_down[HUAWEI-trafficpolicy-p10_up_to_down1] classifier tianguan1 behavior tianguan1[HUAWEI-trafficpolicy-p10_up_to_down1] classifier tianguan2 behavior tianguan2[HUAWEI-trafficpolicy-p10_up_to_down1] classifier c10_up_to_down behavior b10_up_to_down[HUAWEI-trafficpolicy--p10_up_to_down1] quit 在上行口vlanif10应用流策略。 [HUAWEI] interface vlanif10[HUAWEI-vlanif10] traffic-policy p10_up_to_down inbound[HUAWEI-vlanif10] quit 配置下行口策略路由。 配置ACL规则3010。 [HUAWEI] acl number 3010[HUAWEI-acl-adv-3010] rule 10 permit ip[HUAWEI-acl-adv-3010] quit 配置流分类c20_down_to_up。 [HUAWE] traffic classifier c20_down_to_up[HUAWEI-classifier-c20_down_to_up] if-match acl 3010[HUAWEI-classifier-c20_down_to_up] quit 配置流行为b20_down_to_up。 [HUAWEI] traffic behavior b20_down_to_up[HUAWEI-behavior-b20_down_to_up] redirect ip-nexthop 10.2.10.20 10.7.10.20[HUAWEI-behavior--b20_down_to_up] quit 配置流策略，将流分类和流行为进行绑定。 [HUAWEI] traffic policy p20_down_to_up[HUAWEI-trafficpolicy-p20_down_to_up] classifier c20_down_to_up behavior b20_down_to_up[HUAWEI-trafficpolicy--p20_down_to_up] quit 将流策略应用到下行接口上。 [HUAWEI] interface eth-trunk 1[HUAWEI-eth-trunk1] traffic-policy p20_down_to_up inbound[HUAWEI-eth-trunk1] quit 父主题： 企业边界双链路组网—天关双机热备

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 请按照本章介绍的步骤配置，在天关1开启安全检测前，必须先在天关1上将区域2NAT后的地址192.168.55.100配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁。 USG6501E-C不支持电Bypass口，此方案不使用该型号设备。 USG6502E-C、USG6503E-C接口使用限制： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，组成一条电链路Bypass。推荐使用这两对接口作为业务口，用于转发内外网的业务流量，当天关故障时流量直接通过天关，保证业务不中断。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。 USG6603F-C接口使用限制： 为了提高业务可靠性，可以配置光Bypass卡，连接光Bypass卡的方式请参见《USG6000F-C天关上线》中“安装并连接光Bypass插卡”章节。 默认情况下，接口编号相邻的接口两两组成二层接口对。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。

组网需求说明 本方案适用于客户内网中存在NAT设备的场景。 如果客户内网中存在NAT设备，内网资产使用NAT后地址访问外部区域，导致天关检测到威胁事件的源地址都是NAT后地址，进而无法识别失陷主机的真实地址。 为解决上述问题，采用如下图所示方案。 在NAT设备前部署天关2，用于检测区域2的威胁事件，云端通过天关2的威胁日志识别区域2的失陷主机。 在出口网关前部署天关1，用于检测非NAT区域（区域1）的威胁事件。 在天关1上将区域2NAT后的地址配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁，同时缓解天关1的检测性能压力。 下图以USG6502E-C的GE0/0/21和GE0/0/20为例，组成二层Bypass接口对，用于转发内外网的业务流量，同时使用三层接口GE0/0/3与云端对接。 使用三层接口GE0/0/2作为漏洞扫描服务和云日志审计服务的通道，并使用GE0/0/3上报云端。 区域1的资产将日志发送到天关1的GE0/0/2，区域2的资产将日志发送到天关2的GE0/0/2。 图1 方案组网

可能原因 设备默认开启硬件快转，对不需要安全检测的流量做快速转发（首包检测后未命中安全策略的流量）提升设备性能，减少CPU负担。开启硬件快转后，走硬件快转的流量不会统计在内，所以远小于客户下载流量，设备统计无误。 设备关闭硬件快转（会影响设备性能）关闭后设备上统计的流量大小远大于实时下载速度，因为统计纬度不一样。设备上的流量统计是到网络层的，浏览器下载是到应用层，设备统计流量会更大。设备统计无误。 源ip流量实时排名本身设备不开启，开启也会占用一部分设备性能，而且只要切换设备标签页就会自动关闭源ip流量统计，这个功能设备本身不提倡开启。

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

适用产品和版本 设备 版本 备注 防火墙USG65xxF： USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 边界防护与响应服务：V600R023C00SPC100及之后版本 - 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 漏洞扫描服务：V600R023C00SPC100及之后版本 - 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 云日志审计服务：V600R023C00SPC100及之后版本 -

租户基础操作 表1 租户基础操作 操作任务 使用场景 操作入口 详细参考链接 委托MSP管理 当您需要委托MSP（服务渠道商）进行日常运维时，需要执行委托操作。 单击控制台右上角个人帐号，选择“委托”。 委托MSP管理 创建工单 当您在使用服务时，一旦发现问题即可创建问题工单。随后，华为工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 新建用户 华为乾坤支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建用户。 单击控制台右上角个人帐号，选择“权限管理”。 创建用户 订阅 华为乾坤支持订阅功能。订阅之后，华为乾坤会向订阅接受者发送订阅主题相关的信息。 单击控制台右上角个人帐号，选择“订阅”。 订阅管理 查看日志 日志主要包括操作日志和安全日志。当您需要了解相关信息的时候，可以查看。 单击控制台右上角个人帐号，选择“日志”。 日志查看 父主题： 更多操作

MSP基础操作 表1 MSP基础操作 操作任务 使用场景 操作入口 详细参考链接 登录控制台 当您使用服务时，需要使用MSP帐号登录控制台。 访问华为乾坤商城，单击右上角“登录”进行登录。 注册并登录控制台 个人中心设置 当您需要对个人帐号信息进行个性化设置，包括用户名、密码、邮箱、头像等修改。 单击控制台右上角个人帐号，选择“个人中心”。 个人中心设置 分权分域 支持分权分域管理。您可以根据组织结构划分不同的工作组，并为不同的工作组创建MSP帐号。 单击控制台右上角个人帐号，选择“权限管理”。 帐号管理 管理租户 支持MSP创建、查询、修改、导出租户信息。 单击控制台右上角“租户”。 租户管理 创建工单 当您使用服务时，一旦发现问题可立即创建工单。随后，华为乾坤工程师根据工单记录进行问题分析和处理。 单击控制台右上角个人帐号，选择“我的工单”。 工单管理 查看日志 日志主要包括操作日志和安全日志。 单击控制台右上角个人帐号，选择“日志”。 日志查看 查看公告 当您需要了解服务最新消息，如产品公告、安全公告、升级公告等，可以查看。 单击控制台右上角个人帐号，选择“公告”。 查看公告 父主题： 更多操作

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

套餐扣减举例 场景1：某客户购买了“20个资产，1年”，共有240个资产月。订单期限1年（12个月）。资产月扣减方式如下： 表1 资产月扣减方式举例（假设：首月月初即开始使用） 月份 第一个月 第二个月 第三个月 第xx个月 当月扫描的资产数 20个不同资产 10个不同资产 30个不同资产 依次类推，直到订单到期或者订单未到期资产月不足，您可以通过追加套餐获取更多资产月，延长订单时间。 月底扣减的资产月 20 10 30 月底剩余的资产月 240-20=220 220-10=210 210-30=180 说明 漏洞扫描服务根据“资产IP地址+绑定的天关”判断是否为同一个资产。 每个月扫描的资产可以跟前面几个月的相同，也可以不同。如：第一个月扫描了资产A和资产B；第二个月可以扫描资产A、资产B和资产C，也可以扫描资产C和资产D等。 同一个资产在一个月内可以多次扫描，只扣减1个资产月。 同一个资产在不同的月份里面都进行扫描，每个月都会扣除资产月。如：第一个月扫描了资产A，第二个月也扫描了资产A。第一个月会扣除1个资产月。第二个月也会扣除1个资产月。 场景2：某客户先购买了“20个资产，1年”。后来因使用效果好，3个月后追加了“20个资产，1年”。订单期限为最后一次续费的到期时间。资产月扣减方式如下： 表2 资产月扣减方式举例（假设首月月初即开始使用，前3个月中每月都扫描了20个资产） 月份 第一个月 第二个月 第三个月 第四个月 第五个月 第xx个月 当月扫描的资产数 20个不同资产 20个不同资产 20个不同资产 40个不同资产 40个不同资产 依次类推，直到订单到期或者订单未到期资产月不足，您可以通过追加套餐获取更多资产月，延长订单时间。 月底扣减的资产月 20 20 20 40 40 月底剩余的资产月 240-20=220 220-20=200 200-20=180 180+240（追加资产月）-40=380 380-40=340 说明 漏洞扫描服务根据“资产IP地址+绑定的天关”判断是否为同一个资产。 每个月扫描的资产可以跟前面几个月的相同，也可以不同。如：第一个月扫描了资产A和资产B；第二个月可以扫描资产A、资产B和资产C，也可以扫描资产C和资产D等。 同一个资产在一个月内可以多次扫描，只扣减1个资产月。 同一个资产在不同的月份里面都进行扫描，每个月都会扣除资产月。如：第一个月扫描了资产A，第二个月也扫描了资产A。第一个月会扣除1个资产月。第二个月也会扣除1个资产月。

套餐扣减方式说明 将购买的套餐转化成资产月进行扣减计算。 资产月=资产数*月数，如：客户购买了“20个资产，1年”，那么资产月=240。 每个资产一个月扣减1个资产月。月底清空记录，下一月重新计算。 同一个资产同一个月内可以任意扫描多次（不区分定时扫描或手动扫描），只扣减1个资产月。 租户首个订单首月按照比例（当月使用天数/当月总天数）扣减资产月。 假设首个订单在15号开通并使用，之后为20个不同的资产提供了扫描，那么首月需要扣减的资产月：15（当月使用天数）/30（当月总天数）*20（扫描的资产数）=10资产月 通过上述扣减方式，可能会出现以下情况： 在订单到期前，因每月扫描的资产数多，导致资产月不足。此情况下，系统将会提醒客户追加购买新套餐。 在订单到期时，因每月扫描的资产数少，导致资产月未使用完。此情况下，因订单到期，该服务也无法使用，需要客户追加购买新套餐后再使用。

背景信息 表1 设备说明 设备型号 说明 USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

操作步骤 在Web界面的最上方单击“立即激活”，进入“设备激活向导”页面。 配置互联网接入相关参数，单击“下一步”。 设备会自动添加连接互联网需要的安全策略，选择“我已阅读并同意”，单击“下一步”。 单击“点击开始检测”，检测设备与License激活中心的网络连通性。 检测成功，系统会提示“获取License激活中心服务器信息成功”。单击“下一步”。 配置“ License授权编码”和“客户名称”，单击“激活”，待设备激活基础License后，单击“下一步”。 您购买的license中必须包括软件基础License，激活设备后功能才可用。 License授权编码是License授权证书中的 Entitlement ID (LAC)，如下图所示。 设备激活成功后，单击“开始使用”。

服务器/终端（Linux操作系统） 以root用户登录服务器/终端。 开启审计功能。 systemctl start auditd 编辑配置文件/etc/rsyslog.conf。 vi /etc/rsyslog.conf 按“I”键，进入编辑模式，在配置文件/etc/rsyslog.conf的最后追加如下信息。 该配置将设备产生的错误日志、内核和后台进程日志（级别为notice）、认证日志（类型为auth，级别为info）、审计日志发送到天关。 #### 采集audit日志 #### $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor ###################### *.err;kern.notice;daemon.notice;auth.info;local6.info @10.1.1.1 #此处需要修改 “@”前为一个Tab键，请勿遗漏。 10.1.1.1为天关侧与资产通信的内网IP地址，根据实际修改。 按“Esc”键，退出编辑模式。 输入:wq!，保存并退出文件。 重启rsyslog服务。 systemctl restart rsyslog 父主题： 配置资产