华为云用户手册

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 消息体的类型（格式），下方类型可任选其一使用： application/json;charset=utf-8 application/json 缺省值：application/json X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。

URI DELETE /v2/manage/namespaces/{namespace}/repos/{repository}/retentions/{retention_id} 表1 路径参数 参数 是否必选 参数类型 描述 namespace 是 String 组织名称。小写字母开头，后面跟小写字母、数字、小数点、下划线或中划线（其中下划线最多允许连续两个，小数点、下划线、中划线不能直接相连），小写字母或数字结尾，1-64个字符。 repository 是 String 镜像仓库名称 retention_id 是 Integer 镜像老化规则id

规划实例区域 负载均衡器选择区域时需要注意以下事项： 选择距离业务目标客户距离最近的区域，可以减少网络时延以及提高下载速度。 共享型负载均衡不支持跨区域关联后端服务器，因此在创建共享型负载均衡时，需选择与后端服务器相同的区域。 独享型负载均衡可通过以下方式实现跨区域、跨VPC添加后端服务器： 通过使用云连接服务实现跨区域间通信，详见《云连接用户指南》。 通过ELB的跨VPC后端功能实现跨VPC添加后端服务器，详见《弹性负载均衡用户指南》。

选择网络类型 独享型负载均衡网络类型可以选择IPv4公网、IPv4私网和IPv6。 如果选择了IPv4公网，负载均衡实例会分配到一个IPv4的公网IP地址，可以处理来自Internet上IPv4公网的访问请求。 如果选择了IPv4私网，负载均衡实例会分配到一个IPv4的私网IP地址，可以处理来自VPC内部IPv4私网的访问请求。 如果选择了IPv6，负载均衡实例就会分配到一个IPv6的IP地址，可以处理来自VPC内部IPv6私网的访问请求，如果同时购买了公网带宽，则可以同时来自VPC内部IPv6私网的访问请求和来自Internet上IPv6公网的访问请求。 共享型实例网络类型可以选择公网或者私网。 如果需要使用负载均衡分发来自Internet公网的访问请求，需要创建公网负载均衡器。公网负载均衡实例可以同时处理来自VPC内网的访问请求。 创建公网负载均衡器会绑定一个EIP，用来接收来自Internet公网的访问请求。 如果只需要使用负载均衡分发来自VPC内网的访问请求，选择创建私网负载均衡器。 私网负载均衡器仅分配一个私网IP，仅能用来接收来自同个VPC内的访问请求。

选择协议类型 提供基于四层协议和七层协议的负载均衡，在负载均衡器中通过加监听器选择相应的协议。 使用四层协议的负载均衡，监听器收到访问请求后，将请求直接转发给后端服务器。转发过程仅修改报文中目标IP地址和源IP地址，将目标地址改为后端云服务器的IP地址，源地址改为负载均衡器的IP地址。四层协议连接的建立，即三次握手是客户端和后端服务器直接建立的，负载均衡只是进行了数据的转发。 图1 四层负载均衡 使用七层协议的负载均衡，也称为“内容交换”。监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段，进行数据的转发。监听器收到访问请求后，先代理后端服务器和客户端建立连接（三次握手），接收客户端发送的包含应用层内容的报文，然后根据报文中的特定字段和流量分配策略判断需要转发的后端服务器。此场景中，负载均衡类似一个代理服务器，分别和客户端以及后端服务器建立连接。 图2 七层负载均衡

规划实例可用区 独享型负载均衡支持多可用区，选择的每个可用区都会创建相应的负载均衡实例。 这些可用区的负载均衡实例间采用双活或者多活模式，客户端访问的请求就近分配到同可用区的实例。 选择与后端服务器相同的可用区，可以减少网络时延以及提高访问速度。 如果业务需要考虑容灾能力，建议采取以下两种方式创建负载均衡实例： 单实例多可用区（可用区容灾） 对于业务量没有超过独享型负载均衡最大规格（大型 II）限制的，可以创建一个负载均衡实例，并选择多个可用区，这样单个可用区的负载均衡实例故障不会影响所有业务，多个可用区之间可以实现业务容灾。 多实例多可用区（实例容灾+可用区容灾） 对于超高业务量，超过独享型负载均衡最大规格（大型 II）限制的，可以创建多个负载均衡实例，并且每个负载均衡实例选择多个可用区，这样单个负载均衡实例故障不会影响所有业务，多个负载均衡实例和多个可用区之间均可以实现业务容灾。 对于公网访问，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上，多个AZ的ELB性能加倍。 对于内网访问： 当从创建ELB的AZ发起访问时，流量将被分配到本AZ中的ELB上，当本AZ的ELB不可用时，容灾到创建的其他AZ的ELB上。 如果本AZ的ELB正常，但是本AZ的流量超过规格，业务也会受影响，内网场景要考虑客户端访问的均衡性。内网流量使用率建议通过AZ粒度监控观察是否超限。 当从未创建ELB的AZ访问时，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上。 对于云专线访问，流量优先分配到专线对接的AZ下部署的ELB，否则分配到其他AZ下的ELB。 对于客户端跨VPC访问，流量优先分配至源VPC子网所在AZ部署的ELB，否则分配到其他AZ下的ELB。

选择实例规格 独享型负载均衡可以独享已购买创建的实例资源，同时分别提供了六种L4的实例规格和六种L7的实例规格。L4规格的实例只支持四层协议TCP/UDP的转发能力，L7规格的实例只支持七层协议HTTP/HTTPS的转发能力。具体的规格需要评估实际的业务量，根据业务实际需要购买相应规格的实例。规格详情请参见负载均衡实例的规格。 业务量的评估可以参考以下几个原则： 如果是L4规格，建议重点关注长连接的最大并发连接数，实例规格的“最大并发连接数”应作为关键参考指标。需要根据实际的业务场景，预估一个负载均衡实例需要承载的最大连接数，并选择相应的规格。 如果是L7规格，实例规格的“每秒查询速率 (QPS)”应作为关键参考指标，该指标决定了一个七层应用系统的业务吞吐量。需要根据实际的业务场景，预估一个负载均衡实例需要承载的QPS，并选择相应的规格。 在使用过程中可以结合负载均衡实例的监控指标，查看实际业务量的峰值、趋势和规律，对实例规格进行更精确的选择。

添加按需套餐包 添加按需套餐包需要先参照创建按需规格添加计费因子，再按照如下步骤添加按需套餐包。 单击“添加套餐包”按钮； 按照页面要求填写“套餐包名称”“周期类型”“可购买的周期类型”“资源重置规则”“套餐包内容”“价格”； “套餐包内容”需添加“计费项”（不推荐一个套餐包下配多个计费项），选择计费项后进行套餐包内容含量设置； 资源重置规则：不可重置指套餐包内容含量为购买有效期内总使用量；按年/按月重置指套餐包内容含量为单位年/月的使用量，套餐包内容总量为单年/月使用量*购买有效期年/月数。举例：购买3个月周期的流量套餐包，套餐包内容含量为1000GB/月，如按月重置，则每月可使用1000GB，如不可重置，则3个月总使用量为1000GB。 填写完成即该套餐包设置已完成，如需再次添加套餐包，可点击下方“添加套餐包”按钮继续添加。 按需套餐包全部添加完成后，填写完成【业务信息】页面内容并提交商品审核。 按需套餐包发布成功后将在页面购买选项中显示，如下图所示，请谨慎填写。

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许。 图2 查看安全策略 在界面的右上角，单击CLI控制台按钮。 图3 进入CLI控制台 参考如下操作，进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

配置思路 登录防火墙，主要配置以下内容。 配置公网地址和内网地址。 （可选）配置静态路由。在配置公网地址时采用了静态IP的方式，且没有配置默认网关，此场景下需要配置静态路由。 配置NAT策略（easy-ip方式），以便内网用户可以直接使用防火墙的公网IP地址来访问Internet。 （可选）配置DHCP参数，如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址。 加载云服务组件包。加载云服务组件包后才支持华为乾坤。 配置防火墙与云平台对接。 配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

场景说明 防火墙存在传统模式和云管模式两种工作模式，默认情况下，防火墙处于传统模式。当防火墙使用在云管理网络中时，需要将防火墙切换到云管模式。 本文介绍在传统模式下，防火墙的上线操作，以及边界防护与响应服务、漏洞扫描服务、云日志审计服务所需的配置。 传统模式下各服务配套的设备如表1所示。 表1 配套的设备 服务 配套的防火墙型号 边界防护与响应服务 防火墙USG61xxE：USG6106E 防火墙USG63xxE：USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 防火墙USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 防火墙USG63xxE-B：USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B 防火墙USG6xxxE-Exx：USG6000E-E03/USG6000E-E07 防火墙USG6303E：USG6303E 防火墙USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K 防火墙USG67xxE：USG6712E/USG6716E 漏洞扫描服务 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 防火墙USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 防火墙USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K 防火墙USG67xxE：USG6712E/USG6716E 云日志审计服务 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 防火墙USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 防火墙USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K 防火墙USG67xxE：USG6712E/USG6716E 父主题： USG6000E防火墙上线（传统模式）

DHCP服务器规划（可选） 如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址。那么请参考如下内容完成数据规划。 表2 DHCP服务器规划 作为DHCP服务器的接口 可分配IP地址范围 子网掩码 默认网关 DNS服务器 GE0/0/6 10.1.1.1-10.1.1.253 255.255.255.0 10.1.1.254 首选DNS：2.2.2.2 （可选）备用DNS：2.2.3.3

IP地址规划 表1 IP地址规划 接口 IP地址获取方式 IP地址示例 备注 上行接口GE0/0/7 静态IP地址 IP地址：1.1.1.1 IP地址的获取方式支持静态IP、DHCP和PPPoE。请根据实际情况进行选择。 IP地址、DNS和PPPoE的拨号信息等需要向租户获取。 子网掩码：255.255.255.0 默认网关：1.1.1.254 首选DNS：2.2.2.2 （可选）备用DNS：2.2.3.3 DHCP方式 防火墙作为DHCP客户端，由DHCP服务器为防火墙分配IP地址和DNS地址。 PPPoE方式 通过拨号向PPPoE Server（运营商设备）拨号获得IP地址、DNS地址。 下行接口GE0/0/6 静态IP地址 IP地址：10.1.1.1 业务接口。 漏洞扫描服务和云日志审计服务共用此接口。 子网掩码：255.255.255.0

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许。 图2 查看安全策略 在界面的右上角，单击CLI控制台按钮。 图3 进入CLI控制台 参考如下操作，进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

适用产品和版本 设备 版本 USG6000E-E03/6000E-E07 USG6106E USG6305E/6306E/6308E/6309E/6312E/6315E/6322E/6325E/6332E/6335E/6350E/6355E/6365E/6385E/6395E/USG6308E-B/6318E-B/6338E-B/6358E-B/6378E-B/6388E-B/6398E-B USG6515E/6525E/6530E/6550E/6555E/6560E/6565E/6575E-B/6580E/6585E/USG6520E-K/6560E-K/6590E-K V600R007C20SPC500及其之后版本

操作步骤 选择“面板”，在界面右上方单击“当前设备未激活，功能不可用。点击跳转到设备激活向导页面进行激活”，进入“设备激活向导”界面。 单击“开始一键检测”，然后在“确认”界面，单击“确定”。待连通性检测完成通过，单击“下一步”。 配置License授权编码、客户名称后单击“激活”。待激活设备成功后，单击“下一步”。 您购买的license中必须包括软件基础License，激活设备后功能才可用。 License授权编码是License授权证书中的 Entitlement ID (LAC)，如下图所示。 配置用户体验计划，此处直接单击“下一步”。

背景信息 对于USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B、USG6000E-E03/USG6000E-E07、USG6303E，需要激活设备后才能使用其功能。 V600R007C20SPC601及之后版本，整机部件编码带“-003”的USG6325E/6335E/6355E/6365E/6385E，需要激活设备后才能使用其功能。

域名置信度与风险值使用说明 域名置信度与风险值使用说明如图1所示。 图1 域名置信度与风险值使用说明 判断域名是否满足域名规范。 如果是，则执行下一步。 如果不是，则参考其他信息进行处理。 调用威胁信息服务的接口获取域名威胁信息结果。 根据查询结果执行相应动作。 如果查询到数据，则执行下一步。 如果没有查询到数据，则参考其他信息进行处理。 判断域名是否是常用公共基础设施，如含有Name Server、CDN、Whitelist标签。 如果是，则放行此域名。 如果不是，则执行下一步。 判断是否含有其他中性标签，中性标签请参见IP和域名威胁信息标签。 如果是，则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 如果不是，则执行下一步。 判断置信度是否大于等于90，风险值是否大于60。 如果是，则阻断此域名。 如果不是，则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 父主题： 置信度与风险值使用说明

文件威胁信息标签 文件威胁信息标签说明如表1所示，其中黑标签即为恶意标签，中性标签为此文件在生产过程中出现的客观属性信息，白标签为白名单类别。 表1 文件威胁信息标签说明 threat_type_EN threat_type_CN 恶意类别 详细说明 Trojan 木马 黑 指伪装成正常应用的恶意软件。 Worm 蠕虫 黑 指通过网络进行自我传播和复制的恶意软件。 Exploit 漏洞利用代码 黑 指用于漏洞攻击的恶意软件，通常包含一种或多种漏洞利用的攻击代码。 Adware 恶意广告 黑 指被广告商资助开发的恶意软件，通告包含收集用户隐私信息的功能。 HackTool 黑客工具 黑 指被攻击者用来实施网络攻击的工具，通常由攻击者开发。 Rootkit Rootkit 黑 指用来隐藏文件及进程以避免被系统工具发现的工具，通常被用来隐藏恶意软件。 Packed 加壳 黑 指被加壳工具加壳以逃逸检测及对抗分析的恶意软件。 Backdoor 后门 黑 指在系统上运行后，通过向远程提供一个通信通道，以便攻击者可以访问的恶意软件 Virus 病毒 黑 指通过自我复制进行传播的恶意软件。 EICAR EICAR 黑 指包含特定文本串的，用于测试反病毒软件功能的标准测试文件。 Grayware 灰色软件 黑 指包含非预期的、可疑特征的软件。 Spyware 监控软件 黑 指未在数据属主的允许下收集信息并且发往第三方的软件。 Botnet 僵尸网络 黑 指运行在受感染的系统中，能够和控制服务器通信并和其他受感染主机构成僵尸网络的恶意软件。 Ransomware 勒索软件 黑 指通过加密受害计算机系统中的文件并通过解密文件索取赎金的恶意软件。 Phishing 钓鱼 黑 指通过社工等手段引诱受害人按照恶意软件的意图进行交互及操作的软件，如帐号钓鱼、恶意软件传播。 Downloader 下载器 黑 指用来下载和执行其它恶意软件的恶意软件。 Dropper 释放器 黑 指通过将自身加载到内存中，提取恶意负载并写入文件系统的恶意软件。 DDoS 分布式拒绝服务 黑 指用于发起分布式拒绝服务攻击的恶意软件。 Dos 拒绝服务 黑 指用于发起拒绝服务攻击的恶意软件 RAT 远控工具 黑 指能够通过远程攻击者发出的命令控制计算机的恶意软件。 Clicker 点击器 黑 指用于访问特定网页的恶意软件，通常通过高频的访问增加网页的访问量并以此增加广告收入。 Implant 植入器 黑 指通过代码补丁程序或其他工具插入已有程序的恶意代码。 Dialer 拨号器 黑 指主要用于拨打（或向）保险费率号码的恶意软件。 SMSer 短消息发送器 黑 指通过发送短信意消耗用户资费的恶意软件。 PWS 密码窃取 黑 指用于窃取各种用户账号及密码的恶意软件。 Flooder 洪范攻击 黑 指用于发起各种洪范攻击的恶意软件。 Spammer 垃圾邮件发送 黑 指用于发送大量垃圾邮件的恶意软件。 Scareware 恐吓软件 黑 指报告目标计算机上存在安全风险、威胁或系统问题等虚假或严重误导性信息的恶意软件。 Joke 恶作剧软件 黑 指用于恶作剧的恶意软件。 Wiper 擦除器 黑 指用于删除文件或者整个磁盘的恶意软件。 web-bug web-bug 黑 指嵌入在web网页或邮件中，检测用户是否有访问权限的恶意软件。 Shellcode Shellcode 黑 指激活系统的命令行界面的一小段代码，可用于禁用安全措施、下载更多恶意代码，或打开系统以供利用的一小段代码。 父主题： 威胁信息标签说明

IP和域名威胁信息标签 IP和域名威胁信息标签说明如表1所示，其中黑标签即为恶意标签，中性标签为此IP或域名在生产过程中出现的客观属性信息，白标签为白名单类别。 表1 IP和域名威胁信息标签说明 threat_type_EN threat_type_CN 恶意类别 详细说明 是否存在IP类 是否存在域名类 Attacker 网络攻击者 黑 是指存在网络攻击行为的主机，用来执行漏洞利用、载荷投递、命令控制等任务。 Y N Bruteforcer 暴力破解器 黑 是指攻击者对目标帐号或服务进行重复猜测，以获取帐号登录凭据的主机。当密码或登录凭证未知时，攻击者通过暴力破解技术尝试获取访问权限。 Y N CnC 命令与控制服务器 黑 命令控制服务器是指攻击者向被控制主机发送控制命令的主机，常使用传输层协议（TCP、UDP）、应用层协议（HTTP、HTTPs、DNS）进行通信。 Y Y DDoS 分布式拒绝服务 黑 是指攻击者执行网络拒绝服务攻击。攻击者通过多个主机同时向一个或多个目标发动拒绝服务攻击，导致攻击目标带宽资源或者计算资源耗尽，进而出现宕机或者不可访问的情况。 Y N DGA DGA域名 黑 是指通过DGA算法生成的域名。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表，从中选取几个来作为命令控制服务器，恶意软件会持续解析这些域名，直到发现可用的服务器地址。 N Y Exploit 漏洞利用 黑 是指利用攻击目标可能存在的漏洞来展开攻击的主机。攻击者通过漏洞获取攻击目标的Root权限，以执行其他高权限动作。 Y N Malicious Site 恶意站点 黑 是指与攻击者存在通信行为的主机，属于攻击者的基础设施，可能是恶意下载站、失陷站点、钓鱼站点等。 N Y Malware Site 恶意软件分发站点 黑 是指托管恶意软件或漏洞攻击包的站点。攻击者攻陷目标主机后，下载恶意软件或漏洞攻击包，进而执行其他恶意动作，如勒索、扫描等。 Y Y Phishing 钓鱼站点 黑 是指攻击者用于收集目标信息或完成恶意软件植入的站点。攻击者通过发送钓鱼邮件等方式，诱导用户访问伪造的链接或文件，进而达成钓鱼攻击。 N Y Scanner 扫描器 黑 是指通过扫描的方式收集本地或远端存在的漏洞，以及其他信息的主机，攻击者通过扫描器获取的信息指导接下来的攻击动作。 Y N Spammer 垃圾邮件 黑 是指发送垃圾邮件的主机。垃圾邮件泛指未经收件人同意而发送的电子邮件，例如未经收件人同意而发送的商业广告邮件等。 Y Y Zombie 僵尸主机 黑 是指被攻击者控制的主机，已成为攻击者的基础设施。这些主机用来执行其他恶意操作，如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等，同时这些主机可以有效隐藏真实的攻击源。 Y N PUA 潜在有害应用 黑 是指访问可能使用户数据或设备面临风险的主机或站点，相关应用通常在用户同意的情况下安装。典型表现为弹窗广告、锁定浏览器首页、收集用户信息、安装用户不需要的软件等。 N Y Miner 矿工 黑 是指用于挖掘数字货币的主机。在网络安全领域中，失陷主机常被用作矿工执行挖掘数字货币的任务。 Y N Suspicious 可疑 黑 是指具有可疑恶意行为的主机或站点。 Y Y Compromised 失陷站点 黑 是指被攻击者控制的主机或者站点。攻击者通过失陷主机执行其他恶意操作，如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等。 Y Mining Pool 矿池 黑 是指矿工的资源池，矿工通过网络共享本地的计算能力并获取矿池的奖励。攻击者攻陷主机后，常会将失陷主机的算力接入矿池进行矿挖用于获取奖励。 Y Y Sinkhole 被安全机构接管的CnC 黑 是指被运营商或者安全厂商接管的站点或主机。Sinkhole技术是指在域名被判定为恶意后，由运营商或安全厂商将其原本解析的IP变更到无害IP的技术。 Y Y Crypto Mining 挖矿 黑 非矿池的其他挖矿相关场景，如数字货币交易所，矿池首页，网页挖矿等。 N Y Advertising Site 广告服务域名 中性 是指对外提供广告或推广服务的站点。 N Y CDN CDN 中性 是指承载内容分发网络的主机。CDN是指构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。 Y Y DDNS 动态域名 中性 是指将用户的动态IP地址映射到一个固定的域名解析服务上的站点，用户每次连接网络的时候，客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序，服务程序负责提供DNS服务并实现动态域名解析。动态域名除去正常的用途外，常用于攻击者快速构建命令控制服务器（CnC）、文件托管服务器。 N Y Name Server 名称服务器 中性 是指提供域名解析服务的主机。 Y Y Proxy 代理 中性 是指用于转发客户系统的网络请求的主机或站点。 Y Y EDU 教育 中性 是指教育机构使用的主机或站点。 Y Y GOV 政府 中性 是指政府机构使用的主机或站点。 Y Y TOR 洋葱路由器 中性 是指使用洋葱路由技术对数据进行层层加密过程中使用到的主机，通过洋葱路由技术可以保证数据的完整性和保密性。 Y N Crawler 爬虫 中性 是指存在爬虫行为的主机。网络爬虫是基于一定的规则自动地抓取互联网信息的程序或者脚本。 Y N IDC IDC服务器 中性 IDC服务器。 Y N Base Station 基站 中性 是指2/3/4/5G网络使用的基站IP。 Y N Backbone 骨干网 中性 骨干网IP。 Y N Satellite Communication 卫星通信 中性 是指卫星通讯机构使用的主机。 Y N Gateway 网关 中性 是指组织机构、基础设施或大型企业网络的出口IP。 Y N Dynamic IP 动态IP 中性 是指被普通家庭使用的IP，通常覆盖多个小区。 Y N Bogon 保留地址 中性 是指保留IP地址。 Y N Whitelist 白名单 安全 白名单。 Y Y 父主题： 威胁信息标签说明

IP置信度与风险值使用说明 IP置信度与风险值使用说明如图1所示。 图1 IP置信度与风险值使用说明 判断IP地址是否为公网IP地址。 如果是，则执行下一步。 如果不是，则参考其他信息进行处理。 调用威胁信息服务的接口获取IP威胁信息结果。 根据查询结果执行相应动作。 如果查询到数据，则执行下一步。 如果没有查询到数据，则参考其他信息进行处理。 判断IP是否是常用公共基础设施，如含有CDN、Name Server等标签。 如果是，则放行此IP地址。 如果不是，则执行下一步。 判断置信度是否大于90，风险值是否大于60。 如果是，则阻断此IP地址。 如果不是，则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 父主题： 置信度与风险值使用说明

计费模式概述 购买专属主机仅提供包年/包月的计费模式。 购买专属主机后，您可以在专属主机中创建指定规格的ECS。购买专属主机后，您可以在专属主机中创建指定规格的ECS。专属主机中创建的ECS免费，ECS关联的镜像、弹性公网IP、云硬盘、云备份等资源采取按需计费的方式单独收费。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需计费：一种后付费模式，即先使用再付费，按照镜像、弹性公网IP、云硬盘、云备份等实际使用时长计费，秒级计费，按小时结算。 表1列出了三种计费模式的区别。 表1 计费模式 计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算。 后付费 按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 适用计费项 专属主机 镜像、弹性公网IP、云硬盘、云备份等 关机计费 专属主机按订单的购买周期计费。 ECS关机对包年/包月的专属主机计费无影响。 ECS关机后，镜像不计费，其他绑定资源（弹性公网IP、云硬盘、云备份等）正常计费。 变更计费模式 专属主机仅支持包年/包月计费模式，不支持变更计费模式。 镜像、弹性公网IP、云硬盘、云备份等仅支持按需计费模式，不支持变更计费模式。 变更规格 支持变更专属主机中ECS的实例规格，不支持变更专属主机规格。 变更ECS时，不涉及变更ECS关联的镜像、弹性公网IP、云硬盘、云备份等资源的规格。 父主题： 计费模式

计费说明 专属主机的计费项由专属主机、专属主机中ECS关联的镜像、弹性公网IP、云硬盘、云备份等费用组成。具体内容如表1所示。 标 * 的计费项为必选计费项。 表1 专属主机计费项 计费项 计费项说明 适用的计费模式 计费公式 * 专属主机 计费因子：专属主机。不同规格的专属主机类型支持不同规格的的ECS，提供不同的ECS计算和存储能力。 包年/包月计费 实例规格单价 * 购买时长 实例规格单价以专属主机价格详情中的价格为准。 * 镜像 公共镜像：除银河麒麟（KylinOS）、统信（UnionTechOS）收费外，其他公共镜像免费。 私有镜像：系统盘镜像和数据盘镜像可免费使用，整机镜像需收取云备份的存储费用。 如果私有镜像是由市场镜像创建的云服务器创建的，则会根据云市场价格收取镜像费用。 共享镜像：来源于他人共享的系统盘镜像、数据盘镜像可免费使用，来源于他人共享的整机镜像需收取云备份的存储费用。 如果共享镜像是由市场镜像创建的云服务器创建的，则会根据云市场价格收取镜像费用。 市场镜像：以镜像供应商提供的信息为准。 按需计费 镜像单价 * 购买时长 镜像单价以售卖页和云市场镜像显示的价格为准。 * 云硬盘（系统盘） 计费因子：云硬盘类型、容量。创建ECS实例时会默认购买40GiB的系统盘，用户可以根据需要调整该容量。 购买云硬盘成功后，将立即开始计费，计费与其是否被使用无关。 按需计费 云硬盘单价 * 购买时长 云硬盘单价请参见弹性云服务器价格详情中的“磁盘价格”，或者云硬盘价格详情。 云硬盘（数据盘） 如有额外的存储需求，您需要购买数据盘。 计费因子：云硬盘类型、容量。 按需计费 云硬盘单价 * 购买时长 公网带宽 如有互联网访问需求，您需要购买弹性公网IP。 计费因子：带宽费、流量费和IP保有费。 按需计费模式支持按带宽计费、按流量计费和加入共享带宽三种计费方式，分别收取带宽费+IP保有费、流量费+IP保有费、带宽费+IP保有费。 按需计费 带宽费支持使用带宽加油包抵扣，流量费支持使用共享流量包抵扣。 按固定带宽值采用阶梯计费 0Mbit/s~5Mbit/s（含）：均为一个统一的单价 大于5Mbit/s：按每Mbit/s计费 公网带宽单价请参见弹性云服务器价格详情中的“带宽价格”，或者弹性公网IP价格详情。 在创建弹性云服务器过程中，可能还会涉及一些高级配置的费用，如主机安全、云备份。具体如表2所示。 表2 高级配置计费项 计费项 计费项说明 主机安全 如有主机安全防护需求，您需要开启安全防护能力，包含主机安全基础防护和高阶防护。 可免费开启基础防护，开启后，将为您的主机提供四大安全防御能力：主机安全基础版防御（免费赠送一个月，超过一个月后自动取消）、账号破解防护、弱口令检测、恶意程序检测等功能。 付费开启高阶防护，即购买企业版主机安全，在漏洞修复、病毒查杀和等保场景中必备。 详细计费信息请参见企业主机安全价格详情。 云备份 如有备份需求，您需要购买备份存储库，用来存放服务器产生的备份副本。 按照存储库容量计费，详细计费信息请参见云备份价格详情。

计费示例 假设您在2023/03/08 15:50:04购买了一台包年/包月专属主机，购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 ~ 2023/05/08 23:59:59 您需要为每个计费周期预先付费，各项ECS资源单独计费，计费公式如表3所示。 表3 计费公式 资源类型 计费公式 资源单价 专属主机 专属主机类型单价 * 购买时长 以专属主机价格详情中的价格为准。

计费场景 某用户于2023/03/18 10:30:00购买了一台包年包月的s7类型专属主机，购买时长为1个月。于2023/03/18 15:30:00创建了一台按需计费的ECS，规格配置如下： 规格：s7.large.2（2vCPUs，4GiB） 镜像：Windows Server 2019 标准版 系统盘：通用型SSD，40GiB 数据盘：通用型SSD，100GiB 公网带宽：6Mbit/s 用了一段时间后，用户发现ECS当前规格无法满足业务需要，于2023/04/20 9:00:00扩容规格为s7.xlarge.2（4vCPUs，8GiB）。因为该专属主机打算长期使用下去，又续费1个月。那么在3~5月份，该专属主机总共产生多少费用呢？

计费构成分析 可按照资源类型分为两部分：包周期资源专属主机和ECS关联的按需资源。 专属主机 在2023/03/18 10:30:00 ~ 2023/05/18 23:59:59期间为包年/包月计费，计费时长为2个月，费用计算如下。 专属主机类型单价 * 购买时长=26,875.47元/月*2月=53,750.94元 按需资源 ECS关联的按需资源在2023/03/18 15:30:00~ 2023/05/18 23:59:59期间为按需计费，计费时长为1472.5小时，费用计算如下： 由此可见，在3~5月份，该专属主机总共产生的费用为：53,750.94 + 1042.97 = 54793.91 元。

在费用中心续费 登录管理控制台。 单击“控制台”页面上方“费用与成本”，在下拉菜单中选择“续费管理”。 进入“续费管理”页面。 自定义查询条件。 可在“手动续费项”、“自动续费项”、“到期转按需项”、“到期不续费项”页签查询全部待续费资源，对资源进行手动续费的操作。 图1 续费管理 所有需手动续费的资源都可归置到“手动续费项”页签，具体操作请参见如何恢复为手动续费。 手动续费资源。 单个续费：在资源页面找到需要续费的资源，单击操作列的“续费”。 批量续费：在资源页面勾选需要续费的资源，单击列表左上角的“批量续费”。 选择专属主机的续费时长，判断是否勾选“统一到期日”，将专属主机到期时间统一到各个月的某一天（详细介绍请参见统一包年/包月资源的到期日）。确认配置费用后单击“去支付”。 进入支付页面，选择支付方式，确认付款，支付订单后即可完成续费。

在续费管理页面开通自动续费 登录管理控制台。 单击“控制台”页面上方“费用与成本”，在下拉菜单中选择“续费管理”。 进入“续费管理”页面。 自定义查询条件。 可在“自动续费项”页签查询已经开通自动续费的资源。 可对“手动续费项”、“到期转按需项”、“到期不续费项”页签的资源开通自动续费。 图2 续费管理 为包年/包月资源开通自动续费。 单个资源开通自动续费：选择需要开通自动续费的专属主机，单击操作列“开通自动续费”。 批量资源开通自动续费：选择需要开通自动续费的专属主机，单击列表左上角的“开通自动续费”。 选择续费时长，并根据需要设置自动续费次数，单击“开通”。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

删除卫星影像 您可根据实际需求删除卫星影像。状态为“迁入中”、“迁出中”、“删除中”的卫星影像无法删除。 登录KooMap管理控制台。 在左侧导航栏选择“卫星影像”下的“数据管理”菜单，然后在右侧页面单击“影像数据”页签。 单个或批量删除卫星影像。 单个删除：单击卫星影像操作列“更多”，选择“删除”。 批量删除：勾选待删除的卫星影像，单击“批量操作”，选择“批量删除”。批量删除总数最多100条。 在确认删除对话框中输入“DELETE”，单击“确定”，删除卫星影像。