华为云用户手册

USG65xxF USG65xxF的介绍以USG6555F为例，其他机型与USG6555F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图1 USG6555F外观和辅料 表1 USG6525F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6525F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG67xxF USG67xxF的介绍以USG6710F为例，其他机型与USG6710F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图3 USG6710F外观和辅料 表5 USG6710F业务口说明 接口名称 描述 100GE/40GE光接口（0～1） 接口编号为100GE0/0/0～100GE0/0/1。 100GE/40GE接口默认工作在100Gbit/s速率模式，在插入40GE光模块时兼容40Gbit/s速率。 25GE/10GE光接口（0～7） 25GE/10GE光接口和100GE/40GE光接口为复用接口，4个25GE/10GE接口与1个100GE/40GE接口对应(25GE/10GE的0～3口，4～7口分别对应100GE/40GE的0口，1口)。 25GE/10GE接口默认工作在10Gbit/s速率模式，接口编号为10GE0/0/0～10GE0/0/7。 40GE光接口（2～3） 接口编号为40GE0/0/2～40GE0/0/3。 10GE光接口（8～15） 接口编号为10GE0/0/8～10GE0/0/15。 10GE/GE光接口（16～27） 接口编号为10GE0/0/16～10GE0/0/27。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表6 USG6710F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

硬件介绍 USG12000的介绍以USG12004为例，其他机型与USG12004存在差异，具体请参见《HiSecEngine USG12000系列 硬件指南》。 图1 USG12004外观 表1 USG12004组成结构说明 1、机箱眉头 2、正面的ESD插孔 3、电源模块PM 4、电源开关 5、 主控板MPU 6、 接口板LPU/业务处理板SPU槽位 7、走线齿 8、托盘（不再随整机发货） 9、PEM模块（Power Entry Module） 10、风扇模块位置示意图 11、双OT端子接地点 有黄色的接地标签。 12、风扇模块 13、总装机箱条码 14、序列号标签 15、MAC地址标签 16、背面的ESD插孔 - - - - 图2 USG12004指示灯 1、电源模块状态指示灯 2、主控板状态指示灯 3、接口板/业务处理板状态指示灯 4、交换网板状态指示灯 5、风扇模块状态指示灯 6、设备开关 - - - - 表2 USG12004指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源模块状态指示灯 绿色 常亮 表示所有的电源模块工作正常。 红色 常亮 表示可能有： 一个或多个电源模块工作异常，包括在位不输出。 一个或多个电源模块已经下电。 MPU 主控板状态指示灯 绿色 常亮 表示在位的主控板都工作正常。 红色 常亮 表示可能有： 至少有一块主控板已经故障。 LPU/SPU 接口板/业务处理板状态指示灯 绿色 常亮 表示在位的接口板、业务处理板都工作正常。 红色 常亮 表示可能有： 在位的接口板、业务处理板任意一块单板工作异常。 接口板、业务处理板全不在位。 SFU 交换网板状态指示灯 - - 功能预留，暂未启用。 FAN 风扇模块状态指示灯 绿色 常亮 表示所有的风扇模块在位且工作正常。 红色 常亮 表示可能有： 一个或多个风扇模块工作异常。 一个或多个风扇模块不在位或者被拔出。 父主题： USG12000防火墙上线

当前企业面临的挑战 随着企业数字化的推进，网络在企业运营中的重要性提升到了前所未有的高度，与此同时，网络安全形势日趋严峻，传统防御策略已无法有效应对。 攻击手法、工具等不断变化，根据经验构建的传统防御策略缺少有效的威胁信息作为决策依据。 企业面对海量的、杂乱无章的威胁信息无从下手，无法及时识别价值信息来调整传统防御策略，不能实现较为精准的动态防御。 缺少正在显露或即将出现的威胁信息作为依据，因此传统防御策略无法有效应对潜在的还未发生的威胁，无法在攻击未发生前做好防御。

产品概述 威胁信息服务提供一种基于证据的知识，它通过云端对威胁来源进行实时自动化采集、分析、分类与关联，描述了已经存在或即将出现的针对企业资产的威胁信息。 威胁信息服务中的威胁信息数据主要对IP、 域名 、文件、漏洞、URL等威胁载体进行全方位威胁描述，对攻击者进行精准画像。同时威胁信息数据会进行实时更新，保证威胁信息数据的鲜活性和有效性。 威胁信息服务主要为客户提供便捷高效威胁信息检索能力，辅助客户、安全运维人员进行调查取证分析和处置，高置信度的威胁信息数据可以辅助客户进行自动化分析和处置，提升客户运维效率。

场景说明 边界防护与响应服务支持配套USG12000系列防火墙。各服务配套的USG12000系列防火墙所包含的机型，请参见《华为乾坤安全云服务天关和防火墙上云清单》（该文档获取需要权限，请联系华为产品经理或渠道获取）。 本文介绍USG12000系列防火墙的上线操作，以及边界防护与响应服务所需的配置。 USG12000系列防火墙，从V600R024C00SPC100版本开始支持边界防护与响应服务。 父主题： USG12000防火墙上线

线下购买 背景信息 线下购买可以通过华为乾坤运营人员协助购买。 边界防护与响应服务：通过代理商协助购买时，可以通过代理商激活服务授权，后续直接使用SN激活订单开通服务；若未通过代理商激活云服务授权，后续订单激活需要使用到云服务授权ID和威胁防护库授权ID等开通服务。 其他云服务：通过华为乾坤运营人员协助购买服务，后续订单开通需要使用授权ID激活订单信息。 此处仅简要介绍线下购买服务过程，不同服务的售卖形式不同，具体购买步骤可以参考对应服务的用户文档。 如何联系华为乾坤运营人员：请单击联系我们，留下您的联系方式，华为乾坤运营人员会联系您。 父主题： 服务购买

日志查看 前提条件 成功登录华为乾坤控制台，并拥有“审计日志服务”相关权限。 背景信息 日志系统是华为乾坤提供的能够帮助用户快速了解服务运行状态、操作等信息的系统。 目前系统支持查看操作日志和安全日志，可查看6个月内的日志，超过6个月但不超过1年的日志仅支持下载到本地查看。 操作日志记录用户进行失陷主机处置、威胁事件处置、设备管理等相关操作。 安全日志记录用户登录、创建下级工作组帐号等安全相关操作。 操作步骤 单击控制台页面右上角帐号，选择“日志”进入日志详情页面。 支持查看操作日志和安全日志，其操作流程基本一致，以操作日志为例： 选择“操作日志”页签，查看日志列表，包含当前帐号的操作名称、对象、结果等信息。 图1 日志列表 单击日志列表的“详细信息”栏中任意一项，可以查看日志的详细记录。 图2 日志详情 单击日志列表上方“高级搜索”，根据表1设置筛选条件，单击“搜索”即可。 表1 筛选条件参数表 参数 说明 时间 设置起始时间，筛选该时间段内的日志。 操作名称 操作行为。 级别 日志级别分为紧急、报警、严重、错误、警告、通知、提示、调试，程度递减。 操作用户 操作行为对应的帐号。 详细信息 操作行为的具体描述。 操作对象 操作行为的具体对象，如套餐、设备、站点等。 操作结果 日志操作结果分为成功、失败、部分成功。 来源 日志来源模块。 如果单击“重置”，日志筛选条件恢复成默认条件： 最近48小时内的记录。 所有日志级别类型。 所有操作结果类型。 下载日志。 日志界面可查看6个月内的日志，超过6个月但不超过1年的日志可单击右上方“点击此处”下载。 父主题： 服务使用

智能助手小坤是什么 为提高业务操作效率、降低运维难度，华为乾坤控制台提供了智能助手小坤，又称小坤机器人。 它可以实时感知业务健康状态，自动监测并处理业务中的突发或异常事件。 在使用服务时遇到任何问题，都可以咨询小坤： 登录华为乾坤控制台。 单击界面右上角智能助手图标，进入智能助手界面。 系统健康状态：显示当前系统健康状态得分，包括网络得分和安全得分。 待您处理：显示已自动处理事件数和待处理事件，您可以直接单击文字链接进入到待处理事件页面。 待您关注：提供消息统一管理功能。 快捷入口：单击页面上进入智能助手对话页面，还包括创建站点、创建安全设备、创建工单的快捷入口。 图1 智能助手界面 父主题： 常见问题

站点首页布局介绍 当前站点首页支持设备拓扑、空间视图、安全态势等视图。可单击首页左下角图标可选择视图。 设备拓扑视图：进入站点首页后，默认展示设备拓扑视图。支持查看当前站点的设备拓扑、设备详情以及链路信息等。详细介绍请参见云管理网络服务的《网络部署》中“站点首页介绍”章节。 图1 设备拓扑视图 空间视图：在设备拓扑视图下，单击拓扑页面右下角“设备拓扑”，选择“空间视图”进入空间视图。由设备拓扑切换至空间视图时，依据当前资源树选中的层级显示该层级的空间视图，由空间视图切换至设备拓扑时，将从当前资源树选中层级切换回设备拓扑。非设备节点支持通过双击当前图标进入下一节点层级，设备节点层级可双击打开设备详情窗口。 安全态势视图：在设备拓扑视图下，单击拓扑页面右下角“设备拓扑”，选择“安全态势”进入安全态势视图，直观显示某一周期内攻击源信息和失陷主机信息。（仅包含天关/FW站点含有该页面）若用户购买并开通了边界防护与响应服务，则会在页面显示外部攻击源和失陷主机数据。若未购买开通边界防护与响应服务，则页面不会有相关数据。 图2 安全态势视图 选择站点。单击站点名称后，可以切换当前站点。 目前站点支持状态显示，绿色站点图标表示当前站点没有待办事件；红色站点图标表示当前站点存在待办事件。 资产信息。单击页面上“资产”查看当前资产详细信息。 搜索资产。在资产统计页面输入资产名称，单击图标或回车键进行搜索。 资产详情。单击资产列表中资产名称，可以查看当前资产详情。包括资产信息概览、溯源定位、处置记录和历史关联IP等信息。 其中“溯源定位”功能需要配置准入认证后才能正常定位失陷主机的MAC地址、IP地址和使用人信息。 图3 资产详情页面 资产管理。单击页面上“进入资产管理”，可以进入资产管理页面，详细信息请参见资产管理。 拓扑管理菜单。 搜索。在安全态势页面输入攻击源IP/主机IP/名称，单击图标或回车键进行搜索。 定时刷新。开启定时刷新功能后，页面将持续保持登录状态，达到页面超时时间也不会自动登出。 个性化设置。单击，可根据个人习惯设置是否在页面显示地址信息。 时间设置。单击，可选择查看近24小时、近3天、近7天或近30天的安全态势信息。 图例。单击查看图例说明。

后续操作 接收人管理： 搜索：在列表左上方搜索框内输入接收人名称，单击左侧或者按回车键直接搜索。 消息接收配置：单击接收人列表中“消息接收配置”，可以为当前接收人设置接受的消息类型等。 修改接收人信息：单击接收人列表中“修改”，可以修改接收人相关信息，包括名称、手机号、邮箱等。 删除接收人： 单个删除：单击接收人列表中“删除”，可以删除当前接收人。 批量删除：选中需要删除的接收人，单击列表右上方“删除”。

访问控制 CBH支持安全组、 Web应用防火墙 、ACL、VPC对 堡垒机 实例的访问进行权限控制。 表1 CBH支持的访问控制方式 访问控制方式 简要说明 详细介绍 权限控制 VPC 虚拟私有云（Virtual Private Cloud）是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮助打造可靠、稳定、高效的专属云上网络 VPC介绍 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组介绍 Web应用防火墙 华为云Web应用防火墙WAF对网站业务流量进行多维度监测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 WAF介绍

第三方软件 云堡垒机 使用了以下第三方软件： 云堡垒机系统Web浏览器登录方式，建议使用浏览器和版本请参见表1。 表1 建议使用浏览器及版本 浏览器 版本 说明 Edge 44及以上版本 上传大文件限制：H5运维界面，文件上传到主机，支持单个文件最大4G。 Chrome 52.0及以上版本 - Safari 10及以上版本 - Firefox 50.0及以上版本 - 软件下载方式包含： 管理员用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。 运维用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。

身份认证 用户访问CBH实例的方式有Web Console和SSH两种方式，其中，Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能，而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令，此外，Web Console同样支持手机短信、手机令牌、USBKey、动态令牌的方式进行登录。详细登录步骤请参见云堡垒机系统登录方式。

规格差异 云堡垒机支持10、20、50、100、200、500、1000、2000、5000、10000资产规格配置，不同规格云堡垒机配置差异，请参见表1 不同规格配置说明。 表1 不同规格配置说明 资产数 最大并发数 CPU 内存 系统盘 数据盘 10 10 4核 8GB 100GB 200GB 20 20 4核 8GB 100GB 200GB 50 50 4核 8GB 100GB 500GB 100 100 4核 8GB 100GB 1000GB 200 200 4核 8GB 100GB 1000GB 500 500 8核 16GB 100GB 2000GB 1000 1000 8核 16GB 100GB 2000GB 2000 1500 8核 16GB 100GB 2000GB 5000 2000 16核 32GB 100GB 3000GB 10000 2000 16核 32GB 100GB 4000GB 表 不同规格配置说明中的“并发数”是基于字符协议客户端运维（如SSH客户端、MySQL客户端）的并发数，基于图形协议运维（如H5 Web运维、RDP客户端运维）的并发数只有该值的1/3。

功能详情及版本差异 标准版和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计，主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异，请参见表2 不同版本功能差异说明。 表2 功能详情及版本差异 功能模块 功能项 功能描述 标准版 专业版 个人中心 账户基本信息 查看当前登录用户的详细信息，同时支持对姓名、手机、邮箱以及密码的修改操作。 √ √ 手机令牌 提供手机令牌绑定和生成动态密码的指导。 √ √ SSH公钥管理 查看所有公钥信息，可添加并管理SSH公钥。 √ √ 权限管理 查看当前用户所拥有的权限。 √ √ 操作日志 当前登录用户的登录、操作以及资源登录的所有操作记录。 √ √ 系统基本信息 系统桌面 按照不同维度呈现了堡垒机的运行情况，包括会话、工单、登录情况、运维情况、主机类型、应用类型、系统状态等多维度的数据图表统计。 √ √ 下载中心 提供部分远端登录工具和本地播放工具的下载。 √ √ 消息中心 配置告警后，触发告警后会生成告警信息。 √ √ 系统基本信息 呈现系统的ID、凭证、版本、发行日期等信息，支持凭证、HA Key的更新，服务码的获取。 √ √ 认证管理 账户多因子登录认证 登录堡垒机支持账户密码、手机令牌、手机短信、USBKey、动态令牌的方式。 账户密码：申请堡垒机时生成的账户和密码，首次登录堡垒机只能使用该方式登录。 手机令牌：在堡垒机配置手机号码后，在移动端或小程序注册后使用生成的动态密码进行登录。 手机短信：在堡垒机配置手机号码后，登录时可使用随机验证码进行登录。 USBKey：需提前获取到正确的USBKey及密令，在堡垒机配置关联账户后可使用该方式登录。 动态令牌：需提前获取到正确的令牌和密钥，在堡垒机配置关联账户后可使用该方式登录。 √ √ 账户远程认证配置 可通过远程认证，将局域的账户与堡垒机进行对接，在堡垒机实现对局域账户的统一管理。 支持AD域、RADIUS、LDAP、Azure AD、SAML远程认证。 √ √ 系统账户 用户管理 对登录堡垒机的账户进行管理，包括账户的创建、导入、导出、删除、用户组配置以及对账户登录限制的管理。 √ √ 用户组管理 将用户进行分组管理，通过对用户组授权实现对用户的批量授权，支持新建、删除、修改编辑用户组信息。 √ √ 角色管理 将用户关联角色，赋予用户对应角色的操作访问权限，包含部门管理员、策略管理员、审计管理员、运维员，但仅admin账户可自定义新增角色和修改角色所属权限。 √ √ 资源账户管理 资源账户在堡垒机实例中用来登录资源进行运维，一个资源可以创建多个资源账户，资源账户的账户和密码须与资源的原账户密码保持一致，否则可能登录资源失败，无法在堡垒机运维。 √ √ 资源账户组管理 将资源账户进行分组管理，通过对账户组授权实现对资源账户的批量授权、批量验证，支持新建、删除、维护账户组资源以及账户组信息管理。 √ √ 系统资源 主机资源管理 通过新建、自动发现、导入或克隆实现对主机资源的纳管，纳管后可对主机资源所有信息进行查看，实现对资源的运维。 √ √ 应用资源管理 先创建应用服务器后，再通过文件导入、新建实现对应用资源的纳管，纳管后可对应用资源所有信息进行查看，以实现对资源的运维。 √ √ 云服务资源管理 先创建Kubernetes服务器后，再通过新建实现对容器节点资源的纳管，纳管后可对容器资源所有信息进行查看，以实现对资源的运维。 × √ 资源系统类型管理 系统类型可通过标签形式区分被纳管的资源，实现对资源的管理，同时可用于服务器改密，存放改密参数，执行改密策略时，会以系统类型执行脚本。 √ √ 系统策略 访问控制策略 用于控制用户或用户组访问资源的权限，将用户或用户组与策略绑定，用户或用户组就受限于策略的约束限制，包括传输、文件管理、登录时间段限制等，同时也可绑定资源账户。 √ √ 命令控制策略 用于控制用户或用户组执行命令或命令集的机制，将指定命令或命令集按照预设的执行机制绑定用户或用户组，用户在执行策略内的命令时将直接触发绑定的策略机制，同时也可绑定资源账户。 支持自定义命令集。 √ √ 数据库控制策略 用于控制用户或用户组执行规则或规则集的机制，将指定规则或规则集按照预设的执行机制绑定用户或用户组，用户在执行策略内的规则或规则集时将直接触发绑定的策略机制，同时也可绑定资源账户。 支持自定义规则集。 × √ 改密策略 用于为服务器资源的改密预设改密机制，通过将资源账户与策略绑定，在执行改密时，将为资源账户绑定的所有资源执行改密策略机制。 √ √ 账户同步策略 用于相对于主机资源账户信息的拉取或推送预设执行机制，通过将资源账户与策略绑定，在执行资源账户同步时，将为资源账户绑定的所有资源执行策略的机制。 × √ 资源运维 主机资源运维 可通过浏览器、客户端登录主机资源，进行协同分享、文件传输、文件管理和预制命令的运维操作。 √ √ 应用资源维护 仅支持通过浏览器登录应用资源，进行协同分享、文件传输和文件管理的运维操作。 √ √ 云服务资源运维 仅支持通过浏览器登录容器资源，进行协同分享的运维操作。 × √ 运维脚本管理 在堡垒机导入和编辑需要执行的脚本，完成一些复杂或重复性的任务，提升运维效率。 × √ 快速运维 在堡垒机直接执行预设的命令、脚本以及文件传输、执行日志操作可实现对资源快速运维。 × √ 运维任务管理 可按照手动、定时、定期的执行方式自定义命令、脚本、文件传输的运维任务，同时可对所有操作进行记录。 × √ 系统审计 实时会话审计 针对当前正在运行中的所有会话进行记录，可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 历史会话审计 针对已关闭的所有历史会话进行记录，可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 系统日志审计 对堡垒机系统的登录和操作进行详细记录，包括时间、账户、来源IP、涉及模块及操作详情。 √ √ 运维报表审计 对运维操作的时间、资源访问次数、会话时长、来源IP访问情况、会话协同、双人授权、命令拦截、字符命令数、传输文件数按照时间、用户、资源的维度进行全量统计。 √ √ 系统报表审计 对用户的系统操作控制、资源操作、源IP、登录方式、异常登录、会话、状态维度分别进行数据统计。 √ √ 系统工单 访问授权工单管理 无权限访问目标资源时，可通过工单申请绑定资源账户在固定运维时间周期内对目标资源进行文件传输、管理、键盘审计等操作权限。 √ √ 命令控制工单管理 无权限执行命令运维资源时，可通过工单申请绑定资源账户在固定运维时间周期内执行预设的命令。 √ √ 数据库授权工单管理 无权限执行数据库资源操作时，可通过工单申请绑定资源账户在固定运维时间周期内对目标数据库执行预设的指定命令。 × √ 工单审批管理 呈现所有发起的工单信息，并在该页面执行工单的审批操作。 √ √ 工单配置 可对工单的申请范围、提交方式、生效时间以及审批流程进行自定义设置。 √ √ 系统配置 安全配置 对密码错误次数、僵尸用户、密码修改周期、登录超时、证书、代理安全层、手机令牌信息、USBKey信息、国密、巡检、到期提醒、会话限制等进行配置。 √ √ 网络配置 可查看堡垒机的网络接口列表、DNS以及默认网关详情，可对静态路由进行配置操作。 √ √ HA配置 如果堡垒机为主备实例，可通过HA设置启用或禁用的状态。 √ √ 端口配置 呈现运维和控制台的端口默认信息，如有自定义需求可进行修改，通常不建议修改。 √ √ 外发配置 可配置不同的外发方式，包括邮件、短信和LTS方式，邮件和短信配置后可推送告警信息，LTS在安装Agent后可将堡垒机日志发送至服务器。 √ √ 告警配置 支持对不同维度的消息类型的告警方式、告警等级的配置，包括登录情况、用户的操作、资源操作事件、运维操作等。 √ √ 系统风格管理 支持对堡垒机默认的图标和logo进行自定义修改。 √ √ 堡垒机维护 数据存储维护 可查看系统和数据磁盘的使用情况，可对网盘空间进行修改，可自定义日志的保存周期，进行自动或手动删除。 √ √ 日志备份维护 可自定义配置将日志备份至本地、syslog服务器、FTP/SFTP服务器或OBS服务器。 √ √ 系统维护 可查看系统当前的运行状态，对系统地址、时间等信息进行自定义设置，可操作系统备份及还原，查看授权许可信息，以及网络和系统的诊断操作。 √ √

服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

资产识别与管理 CBH服务已对接 RMS 服务，在华为云控制台右上角单击资源-我的资源便可查看用户所拥有的资源，例如弹性云服务器（E CS ）、虚拟私有云（VPC）、 对象存储服务 （OBS）以及云堡垒机服务（CBH）等服务，通过RMS，可以查看各资源的详情，例如ECS的状态、规格等等。 云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源，包括Linux主机、Windows主机和数据库等，支持通过单个添加和批量导入的方式添加主机资源。此外，CBH支持纳管用户的应用服务器，支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。 推荐的安全配置：在操作CBH服务前，请仔细阅读安全声明，避免出现网络安全事件。 父主题： 安全

收集范围 云堡垒机收集及产生的个人数据如表1所示： 表1 个人数据范围列表 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 手机 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码

数据保护技术 云堡垒机实例不直接采集用户个人数据。实例创建成功后，登录云堡垒机系统需创建用户账号，创建登录系统用户账号涉及个人数据采集。 为了确保您的个人数据（例如云堡垒机系统登录名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，云堡垒机通过加密传输、加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 收集范围： 云堡垒机收集及产生的个人数据如下表所示： 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 手机号 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码 传输方式： CBH支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 存储方式： 云堡垒机通过安全的加密算法对用户个人敏感 数据加密 后进行存储。 登录名：不属于敏感数据，明文存储 密码、邮箱、手机：加密存储 访问权限控制： 云堡垒机系统用户个人数据通过加密存储，系统管理员及上级管理员需通过安全码才能查看用户的手机、邮箱。但用户密码对所有人（包括本人）都不明文可见。 二次认证： 云堡垒机系统用户账号配置用户登录限制“多因子认证”后，用户在登录系统时开启登录验证功能，需要二次认证（二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”），有效保护用户敏感信息。 父主题： 安全

大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增长。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

HSS到期后不续费，对主机和业务有影响吗？ 不会产生直接影响。 停止续费说明 企业主机安全 是提升主机整体安全性的服务，到期后不续费会自动停止防护。 停止续费风险 不续费会降低服务器的防护能力，遭受破解、入侵的风险会增加，会有很大的安全隐患，例如一般数据、程序都是运行在云服务器上，一旦系统被入侵成功，数据将面临被窃取或被篡改的风险，企业的业务将面临中断，造成重大损失。 企业主机安全提供事前预防、事中防护、实时/每日告警的全方位保护措施，提高主机的安全性，保护企业的业务安全。更多详细信息请参见产品介绍。 父主题： 计费FAQ

约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。

示例流程 图1 给用户授予ESW权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予VPC只读权限“VPC ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择企业交换机，进入ESW主界面，单击右上角“购买”，尝试购买企业交换机，如果无法购买企业交换机（假设当前权限仅包含VPC ReadOnlyAccess），表示“VPC ReadOnlyAccess”已生效。 在“服务列表”中选择弹性云服务器（假设当前策略仅包含VPC ReadOnlyAccess），如果提示权限不足，表示“VPC ReadOnlyAccess”已生效。

约束与限制 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，建议您新购VXLAN交换机与ESW对接。如果有高可靠性要求，建议VXLAN交换机组进行容灾部署。 以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。

操作场景 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、锐捷RG-S6250交换机、H3C S6520交换机为例，如需更多配置排查，相关命令可参考实际交换机型号的产品文档。 操作步骤（华为CE6850交换机） 操作步骤（锐捷RG-S6250交换机） 操作步骤（H3C S6520交换机）

操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 登录隧道交换机，执行命令system-view，进入系统视图。 进入loopback 0接口视图，配置隧道IP。 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 执行命令quit，退出接口视图，返回到系统视图。 执行命令bridge-domain，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridge-domain 10 vxlan vni 5010 执行命令quit，退出BD视图，返回到系统视图。 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridge-domain 10 执行命令interface nve，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 在NVE接口视图下，执行命令vni，配置VNI的头端复制列表。 配置示例： vni 5010 head-end peer-list 10.0.6.3 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose 图2 VXLAN配置状态 up表示隧道状态正常。

操作步骤（锐捷RG-S6250交换机） 远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，以便将云下主机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行二层子接口配置VXLAN与VLAN封装规则，用来识别用户网络中的报文所属的VXLAN。 配置前进入全局配置模式。 配置示例： Ruijie#configure 创建VXLAN。 配置示 Ruijie(config)#vxlan 5010 本步骤VXLAN ID 5010，必须和表1创建二层连接时，远端接入信息的隧道号保持一致。 进入loopback接口视图，配置隧道IP。 配置示例： Ruijie(config)#interface loopback 0 Ruijie(config-if-Loopback 0)#ip address 2.2.2.2 255.255.255.255 Ruijie(config-if-Loopback 0)# exi 对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。 创建VXLAN隧道。 创建OverlayTunnel1接口，该接口用于静态创建Overlay隧道。 配置示例： Ruijie(config)#interface overlayTunnel 1 指定Overlay隧道的源IP，即为用于建隧道的loopback口IP地址。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel source 2.2.2.2 指定Overlay隧道的目的IP，即为企业交换机隧道子网IP。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel destination 10.0.6.3 Ruijie(config-if-OverlayTunnel 1)#exit 配置VXLAN实例关联OverlayTunnel接口。 配置示例： Ruijie(config)#vxlan 5010 Ruijie(config-vxlan)#tunnel-interface OverlayTunnel 1 Ruijie(config-vxlan)#exit 同一企业交换机上创建多个（最多6个）二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN实例和同一个OverlayTunnel接口关联。如：OverlayTunnel1。 同一VXLAN交换机和多个企业交换机连接场景，此场景比较少用，可以创建多个OverlayTunnel接口与同一个VXLAN关联。如：OverlayTunnel1、OverlayTunnel2。 由于芯片限制，S6250产品VXLAN不支持多条隧道出口为同一个物理出口，并且还需要封装出不同的DMAC+VID信息。详情可咨询锐捷交换机技术支持。 创建二层子接口配置VXLAN与vlan封装规则。 在链路聚合口AggregatePort1创建AggregatePort 1.100子接口，接收vlan为100的数据报文，并封装为VXLAN 5010通过隧道转发。 配置示例： Ruijie(config)#interface AggregatePort 1.100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation dot1q s-vid 100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation vxlan 5010 Ruijie(config-subif-AggregatePort 1.100)#exit 在交换机物理以太接口上创建以太网服务实例，方法类似。 在系统视图下，执行如下命令查看VXLAN的配置状态。 show vxlan 5010 VXLAN配置状态 VXLAN 5010Symmetric property : FALSERouter Interface : -Extend VLAN : -VTEP Adjacency Count: 1VTEP Adjacency List :Interface Source IP Destination IP Type---------------------- --------------- --------------- -------OverlayTunnel 1 2.2.2.2 10.0.6.3 static

入门指引 企业交换机基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络。企业交换机的配置流程如图1所示。 图1 企业交换机配置流程图 表1 构建同区域VPC互通组网流程说明 序号 步骤 说明 1 步骤一：使用云专线或VPN连通三层网络 企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本章节指导用户使用云专线或者VPN，建立本端隧道子网和远端隧道子网之间的三层网络通信。 2 步骤二：购买企业交换机 本章节指导用户购买企业交换机，企业交换机可以基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络通信。 3 步骤三：创建二层连接 企业交换机购买完成后，您还需要创建二层连接，建立本端二层连接子网和远端VXLAN交换机之间的二层网络通信。本章节指导用户创建二层连接。 4 步骤四：配置远端隧道网关 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。

日志 出于分析或审计等目的，用户可以开启实例的日志记录功能。当用户开启日志记录功能后，TaurusDB可以通过管理控制台查看。 错误日志 TaurusDB支持查看数据库级别的日志，包括数据库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 慢日志 慢日志用来记录执行时间超过当前慢日志阈值“long_query_time”（默认是10秒）的语句，您可以通过查询慢日志的日志明细、统计分析情况，查找出执行效率低的语句，进行优化。 全量SQL 当您开启全量SQL功能，系统会将所有的SQL文本内容进行存储，以便进行分析。 TaurusDB默认关闭全量SQL功能。 全量SQL打开后，可以通过数据库管理服务（Data Admin Service ，DAS）查看SQL语句耗时信息，例如平均执行耗时、总耗时、 平均锁等待耗时、平均扫描行数等。