华为云用户手册

修订记录 发布日期 更新说明 2023-03-30 第四次正式发布。 增加 Pod带宽管理工具 内核功能与接口 内核memory的OOM进程控制策略 内核memory的多级内存回收策略 内核cpu cgroup的多级混部调度 XGPU共享技术 XGPU共享技术概述 安装并使用XGPU 修改 冲突包列表，补充CentOS 8.4/8.5的冲突包列表。 约束限制，补充约束限制。 准备工作、/etc/osmt/osmt.conf配置文件说明，增加preinstalled_only、recover_service参数，更新osmt.conf配置文件内容。 OSMT命令帮助信息，增加-V, --verbose、-o, --preinstalled-only、-t, --retry、-c, --cancel参数。 应用加速工具，更新操作步骤。 删除 应用加速工具中的“常见问题”章节 perf工具 2023-01-17 第三次正式发布。 增加 约束限制 升级后续操作 工具类 修改 冲突包列表，增加CentOS 8.3冲突包列表。 使用dnf或yum命令升级，更新dnf list updates命令，补充操作步骤3。 约束限制，补充约束限制。 版本升级和回退，优化操作步骤。 准备工作，更新osmt.conf配置，补充参数项及描述。 osmt update命令更新，优化操作步骤。 osmt-agent服务自动更新，优化操作步骤。 回退RPM包，补充回退说明。 2022-10-20 第二次正式发布。 增加 x2hce-ca应用兼容性评估章节。 将操作系统迁移至HCE OS 1.1章节。 升级概述章节。 使用OSMT工具升级章节 附录章节。 对HCE OS进行安全更新章节。 修改 迁移操作，适配HCE OS 2.0能力，修改迁移操作。 冲突包列表，增加HCE OS、EulerOS冲突包列表。 使用dnf或yum命令升级，对内容适配，支持HCE OS 1.1版本的RPM升级。 2022-07-15 第一次正式发布。

XGPU服务使用示例 影响XGPU服务的环境变量如下表所示，您可以在创建容器时指定环境变量的值。容器引擎可以通过XGPU服务获得算力和显存。 表1 影响XGPU服务的环境变量 环境变量名称 取值类型 说明 示例 GPU_IDX Integer 指定容器可使用的GPU显卡。 为容器分第一张显卡： GPU_IDX=0 GPU_CONTAINER_MEM Integer 设置容器内可使用的显存大小，单位 MB。 为容器分配的显存大小为5120MB： GPU_CONTAINER_MEM=5120 GPU_CONTAINER_QUOTA_PERCENT Integer 指定显卡算力分配百分比。 以5%粒度向上取整，即申请 51%算力，实际分配 55%算力。 为容器分配50%的算力比例： GPU_CONTAINER_QUOTA_PERCEN=50 以nvidia的docker创建两个容器为例，介绍XGP服务的使用方法。 本示例中，两个容器共用一张显卡，通过设置环境变量GPU_IDX指定使用第一张显卡。通过变量GPU_CONTAINER_QUOTA_PERCENT和GPU_CONTAINER_MEM，为容器1分配50%算力，5120MB显存；为容器2分配30%算力，1024MB显存。 docker run --rm -it --runtime=nvidia -e GPU_CONTAINER_QUOTA_PERCENT=50 -e GPU_CONTAINER_MEM=5120 -e GPU_IDX=0 --shm-size 16g -v /mnt/:/mnt nvcr.io/nvidia/tensorrt:19.07-py3 bashdocker run --rm -it --runtime=nvidia -e GPU_CONTAINER_QUOTA_PERCENT=30 -e GPU_CONTAINER_MEM=1024 -e GPU_IDX=0 --shm-size 16g -v /mnt/:/mnt nvcr.io/nvidia/tensorrt:19.07-py3 bash

附录：conf配置文件说明 本节简介conf配置文件重要的字段。 #rpm lists for os migration[rpm_lists]#origin system must need rpmsbaserpms_list = "basesystem initscripts hce-logos plymouth grub2 grubby" //系统迁移依赖的RPM包#old rpm and default conflict rpms //迁移过程中，原系统可能存在的冲突包oldrpms_list = centos-backgrounds centos-release-cr desktop-backgrounds-basic \centos-release-advanced-virtualization centos-release-ansible26 centos-release-ansible-27 \centos-release-ansible-28 centos-release-ansible-29 centos-release-azure \centos-release-ceph-jewel centos-release-ceph-luminous centos-release-ceph-nautilus \centos-release-ceph-octopus centos-release-configmanagement centos-release-dotnet centos-release-fdio \centos-release-gluster40 centos-release-gluster41 centos-release-gluster5 \centos-release-gluster6 centos-release-gluster7 centos-release-gluster8 \centos-release-gluster-legacy centos-release-messaging centos-release-nfs-ganesha28 \centos-release-nfs-ganesha30 centos-release-nfv-common \centos-release-nfv-openvswitch centos-release-openshift-origin centos-release-openstack-queens \centos-release-openstack-rocky centos-release-openstack-stein centos-release-openstack-train \centos-release-openstack-ussuri centos-release-opstools centos-release-ovirt42 centos-release-ovirt43 \centos-release-ovirt44 centos-release-paas-common centos-release-qemu-ev centos-release-qpid-proton \centos-release-rabbitmq-38 centos-release-samba411 centos-release-samba412 \centos-release-scl centos-release-scl-rh centos-release-storage-common \centos-release-virt-common centos-release-xen centos-release-xen-410 \centos-release-xen-412 centos-release-xen-46 centos-release-xen-48 centos-release-xen-common \python3-syspurpose python-oauth sl-logos yum-rhn-plugin centos-indexhtml \libreport-centos libreport-web libreport-plugin-mantisbt libreport-plugin-rhtsupport \libreport hunspell-en-US hunspell-en policycoreutils-gui libcanberra-gtk2 cups \NetworkManager-libreswan-gnome plymouth-graphics-libs avahi cups-lpd pinentry-qt \librsvg2-devel libcanberra-gtk3 gnome-themes-standard wodim gsettings-desktop-schemas-devel \avahi-ui-gtk3 freerdp-libs pulseaudio-utils gstreamer1-plugins-bad-free-gtk ghostscript-cups \setools-console libxkbcommon-x11 cups plymouth-plugin-two-step pulseaudio-module-x11 ImageMagick-c++ \cups-devel policycoreutils-sandbox PackageKit-gstreamer-plugin gtk3-immodule-xim avahi-glib avahi-autoipd \mesa-libGLES foomatic libcanberra-devel plymouth-plugin-label PackageKit-gtk3-module colord avahi-gobject \pinentry-qt4 avahi-ui-gtk3 plymouth-plugin-two-step ghostscript-cups ImageMagick-perl firewall-config \plymouth-plugin-label redhat-redhat-lsb-corelsb vim-X11 dbus-x11 pulseaudio PackageKit-command-not-found libproxy-mozjs \pinentry-gtk nm-connection-editor gtk2-immodule-xim wireshark-gnome pulseaudio-module-bluetooth pidgin-sipe freerdp kmod-kvdo \redhat-lsb-core#The following list contains the same symbol as centos/redhatdstrpms_list = "hce-release hce-repos"[log_conf]# migration tool log common dirmigrate_common_dir = "/var/log/migrate-tool/" //日志存放路径# migration tool classification log dirmigrate_classification_dir = %(migrate_common_dir)s/centos2hce1/#iso as yum source link[repo_info]base_yum_url =https://repo.huaweicloud.com/hce/1.1/os/x86_64/ //基础yum源路径，用于检查网络状态#iso as yum sourcerepostr_hce1_1 = //提供迁移模式的源路径[base]name=hceversionbaseurl=https://repo.huaweicloud.com/hce/1.1/os/x86_64/ //基础yum源路径，用于获取RPM包gpgcheck=0enabled=1gpgkey=#released updates[updates]name=hce1_updatesbaseurl=gpgcheck=0enabled=0gpgkey=#additional packages that may be useful[extras]name=hce1_extrasbaseurl=gpgcheck=0enabled=0gpgkey=# plus packages provided by Huawei Linux dev team[plus]name=hce1_plusbaseurl=gpgcheck=0enabled=0gpgkey= 父主题： 将操作系统迁移至HCE OS 1.1

如何退订已购服务 线上购买服务的退订 当前仅支持线上购买的边界防护与响应服务支持退订，线上购买的 云日志 审计和 漏洞扫描服务 不支持退订。 登录华为云市场，进入“买家中心”。 选择需要退订的服务，单击“订单详情”。 图1 已购服务 单击左侧菜单栏中的“退订与退换货”。 图2 费用中心 可以选择退订使用中的资源或者退订续费周期。 退订使用中的资源：资源释放，无法恢复。 单击“退订资源”。 图3 退订使用中的资源 选择“退订原因”，确认退订资源无误后，单击“退订”。 图4 服务退订 退订续费周期：仅退订未使用的续费周期，资源不释放。 单击“退订续费周期”。 图5 退订续费周期 确认服务信息，单击“退订”。 图6 服务退订 线下购买服务的退订 线下购买的服务暂时不支持退订。 父主题： 常见问题

线上购买 前提条件 为方便您浏览和购买，确保已完成华为帐号注册和实名认证，过程请参见帐号注册。 背景信息 华为乾坤的在线购买和费用管理都在华为云市场页面操作。 此处仅简要介绍线上购买服务过程，不同服务的售卖形式不同，具体购买步骤可以参考对应服务的用户文档。 用户可以在华为云商店，购买边界防护与响应、云日志审计、 漏洞扫描 和等保套餐。 操作步骤 进入云市场。 在搜索框，输入服务具体名称或模糊搜索“华为乾坤”，进入服务页面。 查看商品信息并选择购买规格，然后单击“立即购买”。 核对订单详情，勾选“协议及授权”，单击“去支付”。 确认付款并支付订单，付款成功即完成商品购买流程。 后续处理 线上查看已购服务。单击云市场右上角“买家中心”，可以随时查看已购买的服务。 在服务对应的“资源详情”中可以获取华为乾坤工作台的登录地址。 父主题： 服务购买

线下购买场景 线下购买场景指用户通过线下渠道（如华为代理商或运营团队）购买或续订华为乾坤。 其端到端使用流程如图2所示。 图2 线下购买华为乾坤的使用流程 试用服务：用户访问华为乾坤商城，选择服务申请免费试用。 购买服务：用户线下联系华为运营团队或代理商购买华为乾坤，可以通过代理商在ESDP系统激活云服务License。 开通服务：用户使用自注册或代建的华为乾坤帐号登录华为乾坤工作台，激活线下订单后才能正常使用已购服务。 使用SN激活服务：适用于边界防护与响应服务。 使用授权ID激活服务：适用于云管理网络服务、云日志审计服务、漏洞扫描、威胁信息、等保套餐等。 使用服务：用户在华为乾坤工作台可以进行下级租户管理、MSP委托、工单创建等操作。 续订服务：如果购买的服务产品即将到期，用户需通过线下渠道（如华为代理商或供应商）续订服务，工作台会自动查询续订订单并自动续订服务。

应用场景 某单位为了在重保期间做好安全保障工作，需要提前评估当前网络面临的安全风险，但资产对外暴露面过大，当前的排查方法效率低，且难以快速定位到最终对外开放的主机与业务，不能有效收敛攻击面。单位的网络覆盖面大，无法全面检查漏洞并精准修复。在保障期间总是依靠人员驻场对安全事件进行分析、验证、处置，导致 威胁检测 不全面，攻击响应不及时，对终端的威胁行为也无法快速判定。 采用如图1所示的安全重保解决方案即可解决上述问题。 图1 应用场景 采用华为乾坤的安全重保解决方案可以实现： 边界防护与响应服务采用流量实时分析技术与云端探测相结合的方式，对暴露面进行精确识别和活跃度持续跟踪，做到暴露面一目了然且有据可查。 边界防护与响应服务对天关提供的安全日志，基于大数据、重保威胁信息等进行智能分析，精准识别威胁，并根据分析结果协同天关进行自动化处置。同时云端安全专家7*24小时在线服务，解决复杂网络安全问题。帮助用户全面检测威胁并快速响应，实现常态化安全保障。 漏洞扫描服务基于华为威胁信息库和机器学习智能评估技术，计算漏洞风险评分。漏洞评分越高，风险越高，用户可以根据评分精准修复。 终端防护与响应服务可以对终端上的文件和目录进行毫秒级检测，快速判定威胁。 父主题： 方案概述

入口2：通过数字地图查看风险资产 登录华为乾坤工作台，选择“工作台”。 查看左侧资产页签，统计数据为风险资产/租户总资产。 图2 资产页签 单击资产页签，在右侧资产统计页面，查看风险资产详情。 表2 资产统计列表参数说明 参数 说明 资产名称 自定义资产名称。 风险评分 基于算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息，整体评估出资产的风险值，帮助用户全面了解资产存在的风险。 资产风险评分是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。 说明： 如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务，未开通服务的资产评估得分将被算法剔除，不计入资产风险评分的加权计算。 根据资产是否进行过风险评估，风险评分分为未评估和已评估两种状态。其中，未评估资产将视为风险资产。 重要性等级 用户在录入时根据实际填写。 核心：其安全属性破坏后可能对组织造成非常严重的损失。 普通：其安全属性破坏后可能对组织造成较低程度的损失。 Agent状态 在线（已激活）：资产已安装Agent，Agent已上报资产信息，Agent与云端网络连通。 离线（已激活）：资产已安装Agent，Agent已上报资产信息，Agent与云端网络不连通。 未安装：资产未安装Agent。

互联技术选型 SD-WAN和IPsec VPN作为云园区网络解决方案出口互联的两种技术，有不同的适用场景和特性差异，在选择时，要充分考虑两种技术对场景的匹配度，选择合适的技术进行方案设计和部署。 SD-WAN和IPsec VPN特性的关键差异点如表1所示。 表1 SD-WAN和IPsec VPN关键差异点 特性 SD-WAN IPsec VPN 备注 组网 Hub-Spoke 支持 支持 - Full-Mesh 支持 支持 IPsec VPN mesh互联限制比较多，如仅FW支持、仅支持32个站点、出口必须是公网地址。 分层组网 支持 不支持 分层组网主要用于站点规模非常多时的互联组网场景。 部署 多Hub站点/Hub多出口 支持 支持 IPsec VPN方案中仅FW设备支持。 站点出口为第三方设备 不支持 支持 SD-WAN方案Spoke、Hub节点必须都为AR设备。 分支多链路上行 支持 支持 IPsec VPN方案多链路时，也只能同时建一条隧道。 网关设备双机出口 支持 不支持 - U盘开局 支持 不支持 - 邮件开局 支持 不支持 - DHCP option开局 支持 支持 FW不支持DHCP option方式开局。 注册查询中心方式开局 支持 支持 - 功能 分支和Hub建立多条VPN隧道，流量可以负载分担/主备 支持 不支持 - 智能选路（基于应用、链路质量选路） 支持 支持 - 隧道IPsec加密 支持 支持 - 分支、Hub间动态路由发布 支持 不支持 - 链路限速 支持 支持 - 分支互访 支持 支持 - 支持的规模 站点规模（单租户） 5000 5000 - 支持的网关设备 AP 不支持 不支持 - AR（非SD-WAN款型） 不支持 不支持 - AR（SD-WAN款型） 支持 不支持 支持SD-WAN的AR款型请参见云管理网络的《服务开通》中“开通云管理网络套餐”章节。 FW 不支持 支持 - 关于SD-WAN和IPsec VPN方案的选择，可以参考如下规则和建议： 必须选择SD-WAN技术的场景 分支、总部站点多链路上行，分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。 需要基于应用、链路质量进行智能选路。 有多区域/多中心站点（每个区域相当于一个总部），需要跨区域进行分层互联的复杂互联场景。 园区间有多部门业务隔离的诉求，对WAN侧也需要进行隔离，需要部署多VPN的互联。 必须选择IPsec VPN技术的场景 小微门店仅部署AP，AP做出口网关。 金融、物流、办公门店等只考虑用FW做出口网关场景。 Hub节点为第三方VPN网关。 其他建议 IPsec VPN主要适合于中小型海量分支的互联，SD-WAN可以支持中小型分支的互联，同时也可以支持大中型园区的互联，通过动态的方式发布园区路由，在大中型园区互联场景下更具灵活性、扩展性。 如果仅有单链路和单总部的场景，则建议配置轻量化的IPsec VPN，同时也可以支持更多的设备类型，方便灵活组网。 针对多Hub节点场景（一个总部多个公网出口也为多个Hub节点），分支如果只需要和一个Hub节点建链，则可以考虑用FW的IPsec VPN方案。 部署SD-WAN方案时，如果同时需要高级安全如IPS、威胁分析、反病毒等，则可以通过AR下挂FW的方案实现。 针对FW、AR部署时，SD-WAN方案可以在满足站点规模的前提下，都可以替代IPsec VPN的方案，但实际可以根据部署的成本、代价、灵活性、扩展性，选择具体的方案。 父主题： 典型组网

客户价值 华为乾坤防勒索解决方案是专为企业客户打造的解决方案，可以满足企业客户应对勒索软件攻击的网络安全需求。 多维评估 提供自动化终端资产清点能力，统筹管理主机列表、进程、端口、组件等资产信息。自动识别资产后，华为乾坤防勒索解决方案可以基于实时威胁信息，持续扫描资产暴露面，对资产进行脆弱性评估、漏洞优先级评估、防护有效性评估等多维度评估，全面感知资产状态，及时预警勒索病毒并提供针对性建议，做到智能引导闭环。 全面防护 华为乾坤防勒索解决方案采用云边端一体的创新架构，基于四大立体防护体系和七大检测引擎，全面覆盖企业终端和边界的安全日志采集点，全面感知安全态势，构建纵深防御体系。如图1所示，在深入分析勒索病毒攻击链特点后，华为乾坤防勒索解决方案在攻击链各个阶段均部署应对方案，层层拦截勒索病毒，秒级检测勒索入侵，全方位守护企业网络安全。 图1 勒索软件攻击链及应对方案 智能响应 采用边端联动处置的创新方案，自动挖掘同一攻击链上所有勒索事件，提供一键快速处置方式，为租户提供最优阻断方案，全方位抵御安全风险。处置勒索软件后，华为乾坤防勒索解决方案基于 知识图谱 的攻击可视化技术，支持进程、注册表、文件、网络连接等溯源操作，用于支撑风险全面加固和勒索事件深度清理，防止同一勒索事件重复发生。 父主题： 方案概述

快速配置 设备上线后，您还需要在云端进行相关配置，才能正常使用安全重保解决方案。可以参考如下文档完成快速配置。 表1 参考文档 子服务 手册名称 参照内容 文档获取 边界防护与响应服务 部署指南 配置设备安全域 配置全局白名单 黑白名单授权 订阅告警与报告 查看威胁事件 部署指南 漏洞扫描服务 部署指南 配置VPN接口 录入资产 授权服务扫描 创建漏洞扫描任务 查看扫描结果 部署指南 终端防护与响应服务 部署指南 服务授权 样本获取授权 安装EDR Agent 查看终端资产 部署指南 重保威胁信息 不需要在云端进行配置。 父主题： 部署指南

部署分支网络 实现分支互联的方式不同，分支网络部署步骤也存在差异： 通过IPsec VPN方式实现分支互连时，分支网络的部署步骤请参见表1。 使用IPsec VPN方式实现分支互连，分支网络的出口网关是防火墙。有以下注意事项： 云管理网络的“网络规划与设计”工具无法使用，请您手动完成数据规划和网络开局。 防火墙采用云管模式上云，并手动配置安全策略。 表1 分支网络的部署步骤 步骤 步骤描述 文档参考 1 完成设备上云（被云平台纳管）和网络手动开局。 云管理网络的《网络部署》中如下几个章节。 部署流程 软件安装 硬件安装 网络手动开局 设备注册上线 2 根据场景需要，配置第三方设备接入，完成网络业务和用户准入认证配置。 云管理网络的《网络部署》中如下几个章节。 设备管理 业务配置 准入管理 3 配置分支与总部、分支与分支间的互连。 云管理网络的《网络部署》中“IPsec VPN互联”章节。 通过SD-WAN方式实现分支互连时，分支网络的部署步骤请参见表2。 表2 分支网络的部署步骤 步骤 步骤描述 文档参考 1 站点及设备管理 云管理网络的《网络部署》中“SD-WAN互联”章节。 2 创建基础网络 3 创建虚拟网络 4 创建流量策略 5 智能运维 父主题： 部署指南

中小型企业联网场景 中小型企业缺乏安全投资和安全运维人员，通常只购买最基本的安全设备，但也因没有专业运维人员而无法发挥作用。不法分子因勒索软件攻击成本低廉而常常进行无差别攻击，面对此类安全防护能力几乎空白的企业，勒索入侵成功率极高，可迅速导致整个信息系统不可用，业务长时间中断，并造成企业重大经济损失。随着勒索软件的泛滥，中小型企业日常业务的可持续性存在高风险，因此防勒索建设也成为此类型企业必须面对的课题。 此类型企业防勒索建设的主要诉求包括： 由于安全资金和安全运维人力短缺，不想购买多种安全设备。 没有安全运维能力，希望将“防勒索建设”外包出去，保障日常业务运营不中断。 图1 中小型企业联网场景 采用华为乾坤防勒索解决方案，可以帮助企业实现： 仅需在企业互联网出口部署一台天关/防火墙，在企业终端上安装EDR Agent软件，即可通过云端自动下发的防勒索能力，有效阻止勒索软件入侵和留存，保障企业日常业务运营。 获取云端自动处置能力和安全专家服务，进行自动化运维，大幅减轻企业的安全运维压力。 父主题： 典型应用

大型企业集团多分支互联场景 大型企业集团业务一般遍及全国，在全国多省市设有分支，且分支之间业务来往频繁。此类型企业一般在集团总部设有小型的网络安全部门，但分支基本没有专门的安全运维人员。由于分支机构庞大且分支间互联网数据传输频繁，总部安全人员难以准确感知集团整体安全态势，通常存在多项风险。大型企业集团因为资金雄厚，是攻击者勒索入侵的主要目标，一旦被攻破，将面临被索要大额赎金和企业声誉下滑的艰难情境。 此类型企业安全建设的主要诉求包括： 简化本地运维：因企业分支机构庞大和安全运维成本受限，无法为每个分支派驻安全运维人力，希望能够在不影响勒索防护质量的情况下减轻企业安全运维压力。 实现统一防护：能够对分支机构网络防护全部覆盖，及时了解每个分支的安全状况，可以统筹分析全集团的勒索事件，并统一响应、及时阻断威胁。 图1 大型企业集团多分支互联场景 采用华为乾坤防勒索解决方案，可以帮助企业实现： 利用云端的智能分析和处置能力提升自动运维效率，自动拦截勒索事件，隔离病毒文件。云端安全专家及时提供安全服务，有效简化本地运维。 通过在每个分支的互联网边界处部署一台天关/防火墙作为安全防御节点，同时在每台终端上部署EDR Agent软件，全面覆盖企业安全日志采集点，结合云端的安全服务实现对所有分支网络的统一防护。 借助云端对安全事件的统筹分析，及时自动响应阻断威胁，并将安全告警通过邮件发送至总部安全管理员。总部安全管理员可针对性进行应急响应，解决严重的勒索事件，并借助安全报表了解整体的网络安全态势，把握全集团的网络安全动态。 父主题： 典型应用

应用场景 在政府、医疗、教育等行业，上级行政主管部门要求下级单位按照等保2.0要求完成安全建设，但下级单位由于技术能力储备不足、安全预算有限等问题较难实现完善的网络安全建设，安全防护效果不理想，同时上级主管部门无法有效监管网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，完成等保2.0安全建设以满足上级主管部门的网络安全要求。 完成等保2.0网络安全建设后，部署的安全产品能够准确识别威胁并及时处置，提升企业整体安全防护效果。 上级主管部门能够对下级单位进行有效监管，对不满足项可以及时督促整改。 采用如图1所示的等保合规解决方案即可满足上述诉求。 图1 行业安全监管建设场景 采用华为乾坤的等保合规解决方案可以实现： 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力。 借助云端对威胁事件进行统一分析，统一响应及时阻断，同时借助云端专家解决疑难问题，提升防护效果，弥补下级单位技术能力储备不足的问题。 云端向下级单位发送安全告警和邮件报告的同时，也向上级主管部门发送全局安全检测报告，全面展示下级单位的安全状况，安全事件处置是否及时等，实现对下级单位的有效监管、及时督促。 父主题： 方案概述

方案简介 华为乾坤面向等保2.0推出的等保合规解决方案采用云边一体创新架构，打造简单高效、安全可靠的云化安全解决方案。如图1所示，等保合规解决方案由部署在华为公有云上的云服务和部署在客户网络边界的天关/防火墙构成。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力，其采用智能大数据分析技术对安全日志进行智能分析和处置，同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发，基于AI算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等，整体评估出风险值，帮助客户全面了解资产存在的风险。 云日志审计服务 云日志审计服务是一站式日志数据云端统一管理平台，主要致力于提供事后溯源取证的安全能力。通过对日志数据的全面解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。 终端防护与响应服务 终端防护与响应服务是针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构，由云端和安装在终端侧的华为乾坤EDR Agent（后文简称为EDR Agent）软件组成。 企业边界 天关/防火墙 天关/防火墙与云端协同工作，其功能如下： 作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，为租户本地网络提供边界防护，同时向边界防护与响应服务提供日志，并执行边界防护与响应服务下发的防护策略。 作为漏洞扫描服务与企业内部网络的通信桥梁。在执行漏洞扫描任务前，云端会在云端服务和天关/防火墙之间建立VPN隧道，以便云端服务能扫描到企业内部资产。 作为云日志审计服务与企业内部网络的通信桥梁，用户资产的日志数据通过其上传到云端。 父主题： 方案概述

趋势和挑战 等保是等级保护的简称，2017年《中华人民共和国网络安全法》的实施，标志着等级保护2.0的正式启动，网络安全法明确“国家实行网络安全等级保护制度”、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。当前企业等保2.0建设主要面临如下挑战。 为了满足等保2.0建设需求，企业采用传统方案时需要购买防火墙、IPS、日志审计、漏扫等多种安全设备，造成安全投资成本大幅提升，而现实情况是，大部分企业客户的安全预算往往比较有限，导致无法满足等保2.0要求。 即使企业进行了高昂的网络安全投资，但当前安全设备的防护策略是静态的，威胁特征变化后，需要人工重新配置防护策略，且安全设备从不同的维度进行安全防护，各自单点防御，缺乏全局统筹分析，难以准确识别威胁并进行全局防御，无法满足等保2.0对主动防护、动态防御、整体防御、精准防御的相关要求。 采用传统方案时，需要专业的运维人员才能较好的发挥安全设备的防护能力，但我国网络安全从业人员十分紧缺，且专业安全人才的人力成本过高，这就造成了大部分企业安全运维缺失、面对安全事件束手无策的局面。 企业存在多个分支机构时，网络覆盖面大、业务系统种类多，因漏洞导致的安全事件频发，企业已有安全措施很难达到等保2.0要求的风险漏洞管理要求。 随着企业业务场景不断变化，业务系统种类也不断增多，且使用人员身份复杂，导致日志收集、分析、管理困难，无法应对日益增加的海量日志数据。 传统终端安全产品忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此无法根据威胁发生原因制定对应的防御策略，不能从根本上阻断威胁。 父主题： 方案概述

配置天关和防火墙上线 等保合规解决方案需要在客户侧部署天关或防火墙才能正常使用。本方案配套的天关或防火墙的型号，如表1所示。 表1 天关或防火墙的型号 设备类型 设备型号 天关 USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C 防火墙 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 由于边界防护与响应服务、漏洞扫描服务和云日志审计服务均需要使用天关或防火墙，故共用一套上线指南，具体操作请参见《天关和防火墙上线指南》。 父主题： 部署指南

快速配置 设备上线后，您还需要在云端或设备中进行相关配置，才能正常使用等保合规解决方案。可以参考如下文档完成快速配置。 表1 参考文档 子服务 手册名称 参照内容 文档获取 边界防护与响应服务 部署指南 配置设备安全域 配置全局白名单 黑白名单授权 订阅告警与报告 查看威胁事件 部署指南 漏洞扫描服务 部署指南 配置VPN接口 录入资产 授权服务扫描 创建漏洞扫描任务 查看扫描结果 部署指南 云日志审计服务 部署指南 授权日志采集权限 （可选）添加天关/防火墙 添加审计资产 配置日志上报 验证日志查询 部署指南 终端防护与响应服务 部署指南 服务授权 样本获取授权 安装EDR Agent 查看终端资产 部署指南 父主题： 部署指南

趋势和挑战 随着技术和行业数字化的发展，企业分支办公、分支零售、分支物流、分支连锁等场景越来越多。为了更快抓住商机，企业正通过网络云化方式快速部署网络，实现分支业务快速上线或变更。 网络云化是网络服务化的实现手段，正如IaaS让企业不再重复建设基础设施那样，网络云化后，企业不用关心建设网络需要什么样的架构、在哪里建设网络、功能如何实现，只需要关心企业实现商业价值的时候，网络需要提供什么样的功能，这使得企业彻底获得网络云化带来的好处，更加聚焦业务。 企业分支网络云化过程中，面临着不少挑战： 分支部署慢：传统部署难以满足业务灵活部署的诉求 传统的分支业务部署速度慢，从业务申请到开通往往需要长达1～3个月的时间。同时云化趋势下，企业业务更新发展迅速，传统网络部署方式难以满足快速上线和业务变更的要求。 管理运维难：设备激增，人工配置低效且易错，运维效率低下 传统模式下，需要专人现场对设备进行管理，但随着企业分支跨地域分布越来越广泛，设备类型越来越多，设备数量激增，导致管理难度大、成本高。此外，随着业务不断增多和业务云化，WAN网络中分支到分支、公有云、私有云的流向更加复杂，传统网络运维方式已难以适应业务的发展。 应用体验差：海量应用带宽共享，业务冲突导致体验不佳 随着Internet的普及，网络的覆盖范围和网络质量有了很大的提高，Internet成为许多企业除了传统专线之外新的重要选择，但是Internet网络本身并不能保障服务质量。此外传统网络对业务不感知，无法获知应用的状态，当遭遇突发流量链路拥塞或质量劣化的时候，往往会造成关键业务体验无法保障。 安全威胁多：传统被动防御已无法满足当前企业安全诉求 云化趋势下，企业提供服务的同时遭受到的攻击形态越来越多变。随着企业资产类型变多，风险暴露面增大，企业对分支安全的要求越来越高，传统依靠人为被动防御的手段已无法满足企业主动防御的诉求。企业需要尽早识别攻击行为，迅速做出反应，将损失降至最低。 父主题： 方案概述

基于IPsec VPN的架构介绍 基于IPsec VPN的华为乾坤安全分支解决方案总体架构如图 安全分支网络互联架构模型所示，主要包括业务呈现层、管理/控制层、网络层。 图2 安全分支网络互联架构模型（IPsec VPN） 业务呈现层 华为乾坤提供了面向企业、MSP等不同用户角色的Portal界面，Portal中展示了完整的网络端到端业务处理和配置流程，业务呈现层将最终用户的诉求传递到华为乾坤云平台。 管理/控制层 网络管理/控制层主要提供设备一站纳管（通过Netconf协议纳管）、统一运维能力，同时基于智能算法实现威胁检测、自动处置、安全策略统一下发，保障重点业务平稳运行。 对于多分支/园区场景，华为乾坤提供了IPsec VPN互联网络编排能力，通过华为乾坤云平台对站点间VPN的模型进行编排、业务发放。 网络层 网络层由物理设备组成，是企业WAN的基础物理组网。基于场景诉求，选择合适的出口设备，主要包括防火墙和第三方VPN网关。 防火墙：主要适用于金融、物流、办公等高安全场景，采用防火墙做出口设备，可以做分支、总部的出口设备。 第三方VPN网关：多分支场景，总部网络一般已部署（已存在第三方VPN网关设备），此时分支设备需要和第三方VPN网关对接，只能通过IPsec VPN与第三方VPN网关对接。

基于SD-WAN的架构介绍 基于SD-WAN的华为乾坤安全分支解决方案总体架构如图1所示，主要包括管理层、控制层、网络层。 图1 安全分支网络互联架构模型（SD-WAN） 第三方BSS/OSS 华为乾坤开放了北向API接口，可以将SD-WAN纳入到已有的BSS/OSS等第三方业务编排系统，实现SD-WAN的集成和灵活定制。 管理层 管理层的核心是华为乾坤云平台，主要提供网络编排和管理能力，支持端到端业务处理。 网络编排：负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放，主要包括企业WAN组网和各种网络策略相关的业务编排。通过对网络模型的抽象和定义，屏蔽SD-WAN部署和实现的技术细节，使网络配置和业务发放更加简易、灵活。 网络管理：负责网络层设备的统一管理与运维，包括统一配置网络业务；采集设备告警、日志等信息；基于链路、应用、网络的性能数据采集、统计和分析；基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息。 控制层 控制层的核心组件是RR（Route Reflector，路由反射器），主要负责控制网络层的路由转发和拓扑定义。其功能主要包括：VPN路由的分发和过滤、VPN拓扑的创建和修改、站点间Overlay隧道的创建和维护等。相比传统网络完全的分布式控制方式，这种集中式的控制实现了企业WAN控制平面和转发平面的分离，简化了网络运维操作，减少了网络配置错误几率，提升了企业WAN的运维效率。 网络层 从业务角度来说，企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了SD-WAN的网络层。 从网络功能层次划分，SD-WAN网络可以分为Underlay网络和Overlay网络两层。 Underlay网络：即物理网络，是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN，常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络：即虚拟网络，是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路，但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化，既可以服务于同一租户的不同业务（如多个部门），也可以服务于不同租户。 从网络设备的功能定位划分，网络层主要由Edge和GW两类设备构成。 Edge：是站点的出口CPE设备（Customer Premise Equipment）。Edge的本质是SD-WAN隧道的发起和终结点，也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW：是连接SD-WAN站点和其他网络（如传统VPN）的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。

畜牧业（FW） 某大型畜牧业公司以生猪养殖为核心，集饲料加工、种猪育种、生猪养殖、屠宰加工等于一体。目前拥有2000+家养殖场，遍布全国各地。 该公司希望采用自动化技术替代人工方式，提升整个企业养殖管理效率，打造智慧牧场新标杆。在实现过程中主要面临的困难包括： 各地养殖场无法集中管理，各类IoT设备繁多，管理复杂度高。 牧场每天产生数以亿计的养殖数据，牲畜对温度、湿度等数据比较敏感，一旦场内服务器遭遇威胁攻击，可能导致养殖停滞，给牧场带来巨大经济损失。 设备维护依靠IT人员现场勘察，而养殖场本身对外来生物管控严格，一般要求提前2天进行封闭消毒。一旦设备故障，定位成本高、耗时很长。 图1 畜牧养殖场组网图 如图 畜牧养殖场组网图所示，采用华为乾坤安全分支解决方案，可以帮助畜牧业公司实现： 集中运维，远程管理：少量网络工程师统一集中运维全国所有的养殖场网络，零接触设备替换、升级、远程管理。 终端安全管理：自动物料器、温湿度传感器、AGV小车、视频监控等物联数据实时检测，异常终端隔离，全方位保障圈舍环境调控、精准饲喂和疫病监测。 物联应用优先保障：AGV小车等终端接入过程全旅程可视，多维度评估Wi-Fi网络质量，主动进行智能调优，保障牧场网络应用体验。 父主题： 应用场景

背景信息 对于多园区/分支网络，通常会采用SD-WAN或IPsec VPN来实现分支间互联。 SD-WAN：属于一种动态的VPN，可以按需在站点间建立隧道，动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 IPsec VPN：属于一种静态的VPN，通过在站点之间建立IPsec隧道来创建VPN通道，根据配置静态网段引流到VPN隧道中，实现站点间的业务通过VPN隧道进行访问。

连锁餐饮业（AR） 某头部连锁餐饮店，在全国约有4000+家门店，门店网络分为专网（Staff Network）和客网（Guest Network）两个网络，当前已实现LANWAN融合统一管理。 用户希望通过SD-WAN实现分支与分支、分支与数据中心、分支与云之间全场景随需互联。在实现过程中主要面临的困难包括： 成本高：专网和客网硬件隔离，专网改造成本高，均为有线网络。 运维难：无法统一运维监控可视化以及智能运维，依赖人工运维，运维效率低。 可靠性低：出口路由器单台部署，存在单点故障问题，可靠性低。 图1 连锁餐饮组网图 如图1所示，采用华为乾坤安全分支解决方案，可以帮助连锁门店实现： LAN-WAN融合，统一管理和控制AP、交换机、路由器等多种设备，LAN侧和WAN侧业务统一管理和控制。 设备支持多种即插即用方式开局，适应不同的网络场景，网络策略一键下发，大幅降低网络部署难度，缩短业务上线周期。 丰富SD-WAN策略，提升应用体验，应用识别、智能选路，QoS精细化调度。 出口路由器双机部署，可靠性有效提升。 父主题： 应用场景

安全日常操作 安全分支场景下，华为乾坤提供了一系列安全服务，如边界防护与响应服务、终端防护与响应服务、威胁信息服务和云日志审计服务。此类服务提供了诸多识别威胁、阻断威胁的能力，详细的操作指导请参见表 安全服务操作。 表1 安全服务操作 安全服务 操作描述 文档参考 边界防护与响应服务 介绍如何使用边界防护与响应服务，包括处置威胁事件、管理黑白名单、查看安全报表等。 边界防护与响应服务的《用户指南》。 威胁信息服务 介绍如何使用终端防护与响应服务，包括检索威胁信息、查看威胁情报等。 威胁信息服务的《用户指南》。 终端防护与响应服务 介绍如何使用网络威胁与评估服务，包括查看终端安全、配置威胁检测策略、处置威胁事件等。 终端防护与响应服务的《用户指南》。 云日志审计服务 介绍如何使用云日志审计服务，包括审计资产管理、日志查询和导出等。 云日志审计服务的《用户指南》。 父主题： 常见维护操作

方案组网 图1 AR路由器作为出口网关 如图1所示，方案采用云边端一体创新架构。 云端部署云管理网络（含SD-WAN特性）和边界防护与响应等服务，为用户提供设备云化管理、网络极简开局、SD-WAN智能选路、智能运维、威胁自动分析处置等能力。 本地网络出口网关采用AR路由器，实现了分支与分支、分支与总部/数据中心（DC）、分支与云之间通过SD-WAN的互访；边界部署安全设备（天关），持续保护企业分支安全。 在PC、服务器等企业终端部署EDR Agent软件，云端时刻感知资产终端风险，防止终端感染和威胁在内网传播。

组网模型 SD-WAN使用的是动态的VPN，可以按需在站点间建立隧道，动态发布路由。SD-WAN组网的站点互联模型和出口互联模型如下所示。 站点互联模型 园区LAN-WAN融合场景的SD-WAN组网方案支持三种站点互联模型：Full-mesh、Hub-spoke、分层组网。不同互联模型所支持的组网规模不同，如表1所示，需要根据企业网络中需要互联的站点数量或规模来选择对应的互联模型。 图2 SD-WAN互联模型（Full-mesh） 图3 SD-WAN互联模型（Hub-spoke） 图4 SD-WAN互联模型（分层组网） 表1 SD-WAN互联模型支持的场景 互联模型 站点规模 适用场景 Full-mesh 站点≤200 网络规模比较小 分支间流量比较大 Hub-spoke 站点≤1000 中等规模网络 流量主要是分支访问总部，分支间的互访可以通过总部互访 分层组网 站点≤2000 网络规模大，有多个区域中心，通过多个区域中心将整个网络连通起来 出口互联模型 对于中小型酒店、门店、商超等场景，网络规模比较小，出口组网采用单设备和单链路即可满足要求，如图5中的方案1 对于大型商超、普教场景，网络规模较大，对可靠性要求高，可以采用双设备或双链路组网方案，如图5中的方案2。 图5 互联出口组网模型（路由器做出口网关）

部署分支安全服务 安全分支场景下，当分支网络建设完成后，可以叠加使用一系列安全服务。本场景支持的安全服务有：边界防护与响应服务、终端防护与响应服务、威胁信息服务和云日志审计服务。请根据自身实际诉求，按需部署安全服务，具体参见表 安全服务的部署步骤。 表1 安全服务的部署步骤 部署的服务 部署步骤 步骤描述 文档参考 边界防护与响应服务 1 配置防火墙上线。 边界防护与响应服务的《部署指南》。 须知： 需要注意的是：叠加安全服务时，防火墙已完成设备上云，无需重复操作，建议检查配置。当使用IPsec VPN分支场景时，防火墙使用云管模式上云；当使用SD-WAN分支场景时，防火墙使用传统模式上云。 2 在使用服务能力之前，配置基础业务： 配置设备安全域 配置全局白名单 授权黑白名单 查看威胁事件 威胁信息服务 - 无需部署操作，开通后可正常进行威胁信息搜索和查询。 - 终端防护与响应服务 - 安装EDR Agent 查看终端资产 终端防护与响应服务的《部署指南》。 云日志审计服务 1 配置防火墙上线。 云日志审计服务的《部署指南》。 须知： 需要注意的是：叠加安全服务时，防火墙已完成设备上云，无需重复操作，建议检查配置。当使用IPsec VPN分支场景时，防火墙使用云管模式上云；当使用SD-WAN分支场景时，防火墙使用传统模式上云。 2 添加审计资产和日志上报。 父主题： 部署指南

趋势和挑战 在国家重大活动期间，组织单位面临的网络攻击往往呈现攻击力度更大、攻击频率更高、针对性更强等特点。为保证关键信息基础设施及重要信息系统在重大活动期间的稳定运行，各单位需要建立防护、监测、响应的安全机制，确保提前排除网络安全隐患，做好网络应急响应和安全保障工作，避免攻击入侵、感染病毒等网络安全事件的发生。当前安全重保主要面临如下挑战。 资产对外暴露面过大，当前主要依靠探测工具进行扫描评估，这种方式效率低，且难以快速定位到最终对外开放的主机与业务，不能有效收敛攻击面。 完成风险排查和整改后，依靠人工验证整改效果，耗时费力且验证不充分，缺少多维度评估防御体系风险和有效性的手段。 零日攻击日益增长且难以防范，已成为网络安全面临的最严峻的威胁之一，传统防护方式无法实时更新特征库，以降低系统被攻击风险。 在重保服务期间，依靠人工驻场分析安全事件、人工关联威胁信息、人工执行防护策略，人工总结提交报告，导致威胁检测不全面，攻击响应不及时，无法实现常态化安全保障的目标。 企业存在多个分支机构时，网络覆盖面大、业务系统种类多，因漏洞导致的安全事件频发，企业已有安全措施很难达到风险漏洞管理要求。 传统终端安全产品忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此无法根据威胁发生原因制定对应的防御策略，不能从根本上阻断威胁。 父主题： 方案概述