华为云用户手册

场景说明 防火墙存在传统模式和云管模式两种工作模式，默认情况下，防火墙处于传统模式。当防火墙使用在云管理网络中时，需要将防火墙切换到云管模式。 本文介绍在云管模式下如何开通边界防护与响应服务。 云管模式下服务配套的设备如表1所示。 表1 配套的设备 服务 配套的防火墙型号 边界防护与响应服务 防火墙USG61xxE：USG6106E 防火墙USG63xxE：USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 父主题： USG6000E防火墙上线（云管模式）

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

威胁分析与处置 如图2所示，威胁分析与处置中心模块获取各业务数据后，通过威胁检测、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。 威胁检测：针对获取的日志，直接进行格式、字段等预处理后输出异常事件。 事件分析响应：对输出的异常事件依次进行聚合分析、自动化分析、安全响应。 针对输出的异常事件根据对应的聚合策略进行聚合分析，然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件，由安全响应执行自动响应动作，在自动化分析的基础上，分析后的事件（包括命中或未命中事件）由安全专家进一步分析处置。 安全管理：为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力，日常管理能力、安全响应管理能力等。 安全专家可以通过事件管理查看自动化分析后的事件；通过模型管理及时配置和调整自动化分析模型；通过响应管理完成黑白名单的日常维护工作。 图2 威胁分析与处置

逻辑架构 如图1所示，边界防护与响应由三个部分组成。 本地网络边界防护：部署在租户网络边界的天关提供入侵防御、反病毒、DNS过滤等能力，守护本地网络边界安全。 租户数据处理：华为乾坤的数据接入中心模块对天关侧的日志进行相关处理，并将各业务数据进行持久化存储。 威胁分析与处置：华为乾坤的威胁分析与处置模块获取各业务数据后，通过威胁检测、事件分析与响应、安全管理三个子模块协同工作共同完成自动化分析和安全响应。具体分析过程请参见图2。 图1 逻辑架构

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

背景信息 表1 设备说明 设备型号 说明 USG65xxF USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

USG6603F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6603F-C支持硬件Bypass功能。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图4 USG6603F-C外观和辅料 表5 USG6603F-C业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE 0/0/0～GE 0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable fiber或undo combo enable fiber选择使用光接口或电接口。 GE电接口（8～11） 接口编号为GE 0/0/8～GE 0/0/11，均已加入VLAN1。 10GE光接口（0～9） 接口编号为10GE 0/0/0～10GE 0/0/9，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表6 USG6603F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6606F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6606F-C不支持硬件Bypass功能。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图5 USG6606F-C外观（正面） 图6 USG6606F-C外观（背面） 表7 USG6606F-C业务口说明 接口名称 描述 100GE/40GE光接口（0~1） 接口编号为100GE 0/0/0～100GE 0/0/1，均已加入VLAN1。 默认工作在100Gbit/s速率模式，在插入40GE光模块时兼容40Gbit/s速率。 40GE光接口（2～3） 接口编号为40GE 0/0/2～40GE 0/0/3，均已加入VLAN1。 25GE/10GE光接口（0~7） 25GE/10GE光接口和100GE/40GE光接口为复用接口，4个25GE/10GE接口与1个100GE/40GE接口对应（25GE/10GE的0～3口，4～7口分别对应100GE/40GE的0口，1口）。 25GE/10GE接口默认工作在10Gbit/s速率模式，接口编号为10GE 0/0/0～10GE 0/0/7，均已加入VLAN1。 当25GE/10GE接口需要工作在25Gbit/s速率时，可以执行port mode 40GE interface 100GE0/0/x 命令。 切换速率模式后的25GE/10GE接口在插入25GE光模块时工作在25Gbit/s速率，在插入10GE光模块时兼容10Gbit/s速率。同时对应的100GE/40GE接口在插入40GE光模块时正常工作，在插入100GE光模块时无法正常工作。 说明： port mode 40GE interface 100GE0/0/x命令不支持多接口操作，x指的是具体的接口号。 执行命令后的接口会生成新的接口号，接口编号10GE 0/0/x～10GE 0/0/x会变更为25GE0/0/x～25GE0/0/x，同时接口编号100GE0/0/x会变更为40GE0/0/x。 10GE光接口（8～15） 接口编号为10GE 0/0/8～10GE 0/0/15，均已加入VLAN1。 10GE/GE光接口（16~27） 接口编号为10GE0/0/16～10GE0/0/27，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表8 USG6606F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6505F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6505F-C支持硬件Bypass功能 使用固定电接口（GE0/0/12和GE0/0/13配对，GE0/0/14和GE0/0/15配对）。 使用光Bypass插卡。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图2 USG6505F-C外观（正面） 图3 USG6505F-C外观（背面） 表3 USG6505F-C业务口说明 接口名称 描述 GE电接口（0～15） 接口编号为GE 0/0/0～GE 0/0/15，均已加入VLAN1。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/12和GE0/0/13配对，组成Bypass0；GE0/0/14和GE0/0/15配对，组成Bypass1。上述两对接口必须严格配对使用。 GE光接口（16~27） 接口编号为GE 0/0/16～GE 0/0/27，均已加入VLAN1。 10GE光接口（0～3） 接口编号为10GE 0/0/0～10GE 0/0/3，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6505F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6502F-C 本文档中的图形仅供参考，设备外观请以实际发货为准。 USG6502F-C不支持硬件Bypass功能。 更详细的硬件介绍请参见《HiSecEngine 天关 硬件指南》。 图1 USG6502F-C外观和辅料 表1 USG6502F-C业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE 0/0/0～GE 0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable fiber或undo combo enable fiber选择使用光接口或电接口。 GE电接口（8～9） 接口编号为GE 0/0/8～GE 0/0/9。 10GE光接口（0～1） 接口编号为10GE 0/0/0～10GE 0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6502F-C指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

解决方法 打开浏览器（推荐Chrome浏览器），访问标准配置页面：https://防火墙管理口IP地址:端口号/default.html。 输入管理员帐号和密码，登录防火墙Web配置界面。 选择右下角“CLI控制台”，在控制台窗口单击左上角“点击连接…” 显示“已连接”状态后，在控制台输入以下配置命令。 system-view // 进入系统视图 arp miss anti-attack rate-limit source-ip x.x.x.x maximum 1000 // 根据源IP地址设置ARP Miss消息的限速值 双斜杠前为配置命令，双斜杠后为配置命令解释说明，无需输入。 x.x.x.x为防火墙通过三层接口访问资产时的接口IP，以下图为例，即为GE0/0/2的IP。 图1 组网场景

背景信息 表1 设备说明 设备型号 说明 USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

操作步骤 在Web界面的最上方单击“立即激活”，进入“设备激活向导”页面。 配置互联网接入相关参数，单击“下一步”。 设备会自动添加连接互联网需要的安全策略，选择“我已阅读并同意”，单击“下一步”。 单击“点击开始检测”，检测设备与License激活中心的网络连通性。 检测成功，系统会提示“获取License激活中心服务器信息成功”。单击“下一步”。 配置“ License授权编码”和“客户名称”，单击“激活”，待设备激活基础License后，单击“下一步”。 您购买的license中必须包括软件基础License，激活设备后功能才可用。 License授权编码是License授权证书中的 Entitlement ID (LAC)，如下图所示。 设备激活成功后，单击“开始使用”。

数据规划 表1 数据规划 项目 数据 说明 租户内网资产IP地址 192.168.41.0-192.168.41.255 请向租户获取，此处仅为示例。 天关1 转发业务流量接口（Bypass接口对） USG6502E-C/USG6503E-C：GE0/0/21和GE0/0/20 USG6603F-C：10GE0/0/0、10GE0/0/1 - 云端管理接口 GE0/0/3：192.168.55.1/24 - 漏洞扫描和云日志审计业务接口 GE0/0/2：192.168.56.1/24 - 天关2 镜像流量接收口（旁路检测模式） USG6502E-C/USG6503E-C：GE0/0/20 USG6603F-C：GE0/0/10 此处请使用偶数端口，USG6603F-C缺省无GE0/0/20接口，可使用GE0/0/10。 云端管理接口 GE0/0/3：192.168.55.2/24 - 交换机 端口规划 观察端口：GigabitEthernet0/0/1 镜像端口：GigabitEthernet0/0/2 - 父主题： 企业内部存在DNS服务器场景

接口 图3 SIC-2SM-BF接口 光Bypass插卡提供四个接口，包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时，EXTERNAL接口0和INTERNAL接口2组成一条链路，EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时，两个EXTERNAL口直接相连组成一条链路。 1、EXTERNAL 2、INTERNAL 接口说明如表2所示。 表2 SIC-2SM-BF接口说明 接口名称 连接器类型 描述 可使用的部件 EXTERNAL LC 2个光纤接口，Port 0~Port 1 单模光纤 INTERNAL LC 2个光纤接口，Port 2~Port 3 单模光纤

指示灯 图2 SIC-2SM-BF指示灯 1、STAT指示灯 2、BYPASS指示灯 指示灯说明如表1所示。 表1 SIC-2SM-BF指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 STAT 运行状态指示灯 绿色 常亮 表示单板已经上电，但是软件未运行。 绿色 每2秒闪1次（0.5Hz） 表示单板处于正常运行状态。 绿色 每秒闪4次（4Hz） 表示单板处于上电加载或者复位启动状态。 红色 常亮 表示单板有影响业务且无法自动恢复的故障（硬件类紧急告警）。 - 常灭 表示该单板处于未上电状态。 BYPASS BYPASS功能指示灯 绿色 常亮 设备已上电，单板处于Bypass的保护状态。 绿色 每2秒闪1次（0.5Hz） 设备已上电，单板处于非Bypass的工作状态。 - 常灭 设备已下电，单板处于Bypass的保护状态。

解决方法 本地授权版本，确认相应特征库已授权 云端授权版本，确定乾坤云上该设备已经绑定边界防护与响应套餐，并且套餐状态为已部署 排查上游设备做了安全限制导致网络不通，需要放通如下地址和端口 安全中心平台目前的调度服务器&下载服务器信息 1、安全中心平台目前调度服务器信息。 域名 IP sec.huawei.com 45.249.212.170 2、安全中心平台目前的下载服务器信息： 域名 IP 优先支持的下载区域 备注 fds-canada-5.sec.huawei.com 49.51.9.205 北美区域 - fds-canada-4.sec.huawei.com 49.51.9.168 北美区域 - fds-canada-2.sec.huawei.com 49.51.11.237 北美区域 - fds-canada-1.sec.huawei.com 45.113.71.37 北美区域 - fds-europe-2.sec.huawei.com 49.51.159.11 欧洲区域、非洲区域、俄罗斯区域 - fds-asia-2.sec.huawei.com 124.156.212.142 亚洲区域 - 121.37.30.248 121.37.30.248 中国区域 - 121.37.19.177 121.37.19.177 中国区域 - 121.37.31.181 121.37.31.181 中国区域 - 文件下载协议与端口之间的关系为：HTTS-443，HTTP-80，FTP-22，32119

配置天关/防火墙上线 本服务需要在客户侧部署天关或防火墙才能正常使用，具体操作请参见《天关和防火墙上线指南》。服务支持的天关或防火墙型号如表1所示。 表1 天关或防火墙的型号 设备类型 设备型号 支持版本 天关 USG6xxxE-C：USG6501E-C/6502E-C/6503E-C USG6xxxF-C：USG6603F-C/USG6606F-C USG6xxxE-C：V600R007C20SPC500及其后续版本。 USG6xxxF-C：V600R023C00及后续版本。 防火墙 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K USG6530E：V600R007C20SPC600及其后续版本。 USG66xxE、USG67xxE：V600R007C20SPC603及其后续版本 USG65xxF、USG66xxF、USG67xxF：V600R023C00及其后续版本。 其他型号：V600R007C20SPC500及其后续版本。 父主题： 部署指南

行业安全管理建设场景 在政府、医疗、教育等行业，上级行政主管部门对下级单位提出了较高的网络安全要求，但下级单位由于安全预算有限、技术能力储备不足等问题较难实现完善的网络安全建设。同时，上级主管部门无法有效管理网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，满足上级主管部门的网络安全要求。 上级主管部门能够对下级单位进行有效管理，对不满足项可以及时督促整改。 图3 行业安全管理建设场景 采用边界防护与响应服务可以实现： 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力。 借助华为乾坤对威胁事件进行统一分析，统一响应及时阻断，同时借助华为乾坤安全专家解决疑难问题，弥补下级单位技术能力储备不足的问题。 华为乾坤向下级单位发送安全告警和邮件报告的同时，也向上级主管部门发送全局安全检测报告，全面展示下级单位的安全状况，安全事件处置是否及时等，实现对下级单位的有效管理、及时督促。

中小型企业互联网出口场景 中小型企业只有很少或者没有安全投资，没有专门的网络安全负责人，也买不起驻场服务。即使购买了最基本的安全设备，通常也会因为没有专业安全运维人员而无法发挥作用。此类型企业的安全防护能力几乎是一片空白，只要一个普通的病毒就可能导致整个信息系统不可用。随着网络安全形势日趋严峻，已严重影响到日常业务运营，因此网络安全建设也成为此类型企业必须面对的课题。 此类型企业安全建设的主要诉求包括： 由于没有人力投入安全运维，因此不想购买多种安全设备。 安全预算非常有限，买不起驻场服务，希望将“网络安全建设”外包出去，获得基本的安全能力，在保证内网与外网能够互通的同时，不影响日常业务运营。 图1 中小型企业互联网出口场景 采用边界防护与响应服务可以实现： 仅需在企业互联网出口部署一台天关，通过华为乾坤自动向天关下发入侵防御、反病毒基本防御能力，能够有效拦截外网威胁和避免病毒文件感染，在保证内网与外网能够互通的同时，不影响日常业务运营。 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力，将“网络安全建设”外包给华为乾坤，大幅减少本地运维工作量。

大型企业集团多分支互联场景 大型企业集团业务一般遍及全国，在全国多省市设有分支，且分支之间业务来往频繁。此类型企业一般在集团总部设有小型的网络安全部门，安全投资主要依赖安全厂商或集成商进行建设，从厂商或服务商购买驻场服务。由于驻场服务人员的能力有限、分支基本没有专门的安全运维人力、分支之间互联网数据传输频繁等原因，导致集团整体的安全状况堪忧，可能轻易就被普通水平的黑客攻陷。 此类型企业安全建设的主要诉求包括： 简化本地运维：受限于安全运维人力成本，无法为每个分支派驻安全运维人力或购买驻场服务，即使为分支购买了驻场服务，由于驻场服务人员的能力有限，也难以达成安全效果。 实现统一防护：能够对分支机构网络防护全部覆盖，可以统筹分析全集团的安全事件，并统一响应、及时阻断威胁，同时集团总部能够及时了解每个分支的安全状况。 图2 大型企业集团多分支互联场景 采用边界防护与响应服务可以实现： 利用华为乾坤的智能分析和处置能力提升自动运维效率，自动拦截威胁，华为乾坤安全专家资源7*24小时在线服务，解决复杂网络安全问题，有效简化本地运维。 通过在每个分支的互联网边界处部署一台天关作为安全防御节点，结合华为乾坤的安全服务实现对所有分支网络的统一防护。 借助华为乾坤对安全事件的统筹分析，及时自动响应阻断威胁，并将安全告警通过邮件发送至总部安全管理员，总部安全管理员可针对性进行应急响应，解决严重的失陷主机事件。总部安全管理员借助全局安全服务周报、月报了解整体的网络安全态势，把握全集团的网络安全动态。

约束与限制 云日志审计服务支持的天关/防火墙型号如下： 表1 天关或防火墙的型号 设备类型 设备型号 支持版本 天关 USG6xxxE-C：USG6501E-C/6502E-C/6503E-C USG6xxxF-C：USG6603F-C/USG6606F-C USG6xxxE-C：V600R007C20SPC500及其后续版本。 USG6xxxF-C：V600R023C00及后续版本。 防火墙 USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K USG67xxE：USG6712E/USG6716E USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K USG6530E：V600R007C20SPC600及其后续版本。 USG66xxE、USG67xxE：V600R007C20SPC603及其后续版本 USG65xxF、USG66xxF、USG67xxF：V600R023C00及其后续版本。 其他型号：V600R007C20SPC500及其后续版本。 天关/防火墙的相关约束如下： 天关/防火墙接收日志的速率默认为3000条/秒，当企业内所有资产每秒上报的日志数量总和超过3000条后，天关/防火墙就会丢弃超过阈值的日志。 天关/防火墙最大支持的单条日志长度为1024字节，对长度超过1024字节的日志会进行截断。 天关/防火墙与资产之间不允许存在NAT设备，否则可能导致无法解析出资产的实际IP地址。如果企业内部网络存在NAT设备，需要在资产和NAT设备之间部署独立的天关/防火墙，并开启日志审计服务。 父主题： 产品介绍

场景描述 客户首次购买华为乾坤为线下场景，即：客户通过华为乾坤运营人员协助购买云服务License，此场景下： 请单击联系我们，留下您的联系方式，华为乾坤运营人员会联系您。 若客户未注册华为帐号，需要注册华为帐号并将华为乾坤帐号与其绑定。 若客户已注册华为帐号，可直接将华为乾坤帐号与其绑定。 客户首次购买华为乾坤为线上场景，即：客户通过华为云商店购买线上套餐，此场景下，客户已完成华为乾坤与华为云帐号绑定，可跳过本节内容。

服务器/终端（Linux操作系统） 以root用户登录服务器/终端。 开启审计功能。 systemctl start auditd 编辑配置文件/etc/rsyslog.conf。 vi /etc/rsyslog.conf 按“I”键，进入编辑模式，在配置文件/etc/rsyslog.conf的最后追加如下信息。 该配置将设备产生的错误日志、内核和后台进程日志（级别为notice）、认证日志（类型为auth，级别为info）、审计日志发送到天关。 #### 采集audit日志 #### $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local6 $InputRunFileMonitor ###################### *.err;kern.notice;daemon.notice;auth.info;local6.info @10.1.1.1 #此处需要修改 “@”前为一个Tab键，请勿遗漏。 10.1.1.1为天关侧与资产通信的内网IP地址，根据实际修改。 按“Esc”键，退出编辑模式。 输入:wq!，保存并退出文件。 重启rsyslog服务。 systemctl restart rsyslog 父主题： 配置资产

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

操作步骤 登录华为乾坤控制台。 单击华为乾坤云服务菜单栏左上角的按钮，单击云管理网络进入服务首页。 在服务首页单击右上角的“旧版云管理网络”，进入旧版云管理网络界面。 配置安全策略。 请开通云管理网络套餐以保证配置正常下发，具体请参见云管理网络的《服务开通》中“开通云管理网络套餐”章节。 表1中的源安全区域和目的安全区域为举例说明，请根据资产实际所处的区域配置。 表1 安全策略 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许

USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530） 图2 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）外观和辅料 早期发货机型的两个USB接口标准分别为USB 3.0和USB 2.0，后期发货机型的两个USB接口标准均为USB 2.0。本文中以两个USB接口标准均为USB 2.0的机型举例说明。 表3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）业务口说明 接口名称 描述 GE以太网电接口（0～15） 接口编号为GE0/0/0～GE0/0/15，均已加入VLAN1。 光电互斥接口（Combo接口，16～23） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/16～GE0/0/23，均已加入VLAN1。 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，可组成一条电链路Bypass。推荐使用这两对接口，当天关故障时流量直接通过天关，保证业务不中断。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable { copper | fiber }选择使用电接口或光接口。 说明： 仅当GE0/0/20～GE0/0/23接口工作在电接口状态下，才能形成Bypass链路。 10GE光接口（0～1） 接口编号为XGE0/0/0～XGE0/0/1。 说明： V600R007C20SPC601之前版本，XGE0/0/0~XGE0/0/1接口缺省状态为三层接口模式，均未加入VLAN1。 V600R007C20SPC601及之后版本，XGE0/0/0~XGE0/0/1接口缺省状态为二层接口模式，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510） 图1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）外观和辅料 早期发货机型的两个USB接口标准分别为USB 3.0和USB 2.0，后期发货机型的两个USB接口标准均为USB 2.0。本文中以两个USB接口标准均为USB 2.0的机型举例说明。 表1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7，均已加入VLAN1。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable { copper | fiber }选择使用电接口或光接口。 10GE光接口（0～1） 接口编号为XGE0/0/0～XGE0/0/1。 说明： V600R007C20SPC601之前版本，XGE0/0/0~XGE0/0/1接口缺省状态为三层接口模式，均未加入VLAN1。 V600R007C20SPC601及之后版本，XGE0/0/0~XGE0/0/1接口缺省状态为二层接口模式，均已加入VLAN1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

边界漏洞免疫（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以利用天关/防火墙的入侵防御（IPS）能力，设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来，显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的，请不要随意修改。如果一定要修改，请在右上角的帐号下，单击“我的工单”，提交工单寻求解决方法。 使用本功能时，天关/防火墙需要联网，且可以自动升级特征库，以便保持特征库为最新版本。