华为云用户手册

响应参数 状态码： 202 表5 响应Body参数 参数 参数类型 描述 router_id String Router(VPC)的ID。 router_region String Router(VPC)所在的region。 status String 资源状态。 状态码： 400 表6 响应Body参数 参数 参数类型 描述 code String 错误码 最小长度：8 最大长度：36 message String 错误描述 最小长度：2 最大长度：512 状态码： 404 表7 响应Body参数 参数 参数类型 描述 code String 错误码 最小长度：8 最大长度：36 message String 错误描述 最小长度：2 最大长度：512 状态码： 500 表8 响应Body参数 参数 参数类型 描述 code String 错误码 最小长度：8 最大长度：36 message String 错误描述 最小长度：2 最大长度：512

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 router 是 Router object 需要解关联的Router(VPC)。 表4 Router 参数 是否必选 参数类型 描述 router_id 是 String Router(VPC)所属VPC的ID。 router_region 否 String Router(VPC)所在的region。 status 否 String 资源状态。

操作步骤 打开华为乾坤APP。 登录华为乾坤APP。 如果尚未注册华为乾坤帐号 新用户注册 输入手机号码+验证码+密码进行注册。帐号名由系统自动生成，可以登录华为乾坤APP，在“我的”页签单击头像进行查看。 验证码登录 输入手机号码+验证码进行登录，首次登录会自动注册华为乾坤帐号。 如果已经注册华为乾坤帐号 使用密码登录 网站控制台注册的租户帐号可以用于登录华为乾坤APP。 新用户注册场景下，可以输入帐户名+密码进行登录。 使用验证码登录 输入手机号码+验证码进行登录。 使用华为乾坤APP（网络保障）。 华为乾坤APP功能持续上新中，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 界面总览 华为乾坤APP“网络保障”功能布局如表1所示。 表1 功能布局 序号 功能描述 1 功能切换入口，可以在网络保障和安全防护两大功能之间切换。 2 站点设备信息，可以切换站点，并展示各站点的拓扑。 3 网络质量信息，点击可以显示网络环境各评估维度的得分。 4 热门高频功能。 5 网络实用工具。 6 推荐常用的介绍信息。 7 站点设备的告警信息。 8 华为乾坤最新资讯。 9 用户中心，支持工单创建查询等操作。 添加设备：首次登录后请根据提示添加设备，可以连续添加多台设备。首次添加设备后APP将设备添加到默认站点中。 如果当前站点中已有设备，请点击右上角的“+”，点击“扫描添加设备”添加新设备。 如果扫描不能成功添加设备，可以使用手动输入的方式添加设备。 当APP中已有站点时，如果需要新增其他站点，可以点击右上角的“+”新增站点，并根据提示在站点中添加设备。 接入终端：查看当前接入Wi-Fi的终端及其详细信息，包括厂商、流量消耗、信号强度、用户旅程（终端在网络中的行为记录）。 网络设备：检查网络设备在线状态是否正常，并对设备进行相关管理。 不同类型的设备可以进行的管理操作不同，具体以APP的界面显示为准，下图以在线状态的AP为例，比如您可以重启AP，在AP上创建Wi-Fi等。 Wi-Fi管理：您可以在AP上创建Wi-Fi，创建完成后即可连接此Wi-Fi接入网络。 Wi-Fi调优：优化Wi-Fi的网络速度。 Wi-Fi测速：测试当前连接Wi-Fi的下载速度、上传速度、网络延时。 Wi-Fi体验：从覆盖测试、业务体验、网络安全维度全面评估Wi-Fi的使用体验，并提示用户当前Wi-Fi可优化项。 升级管理：对当前在线的设备进行版本升级。 设备密码：修改当前站点所有设备的admin账户的密码，忘记设备admin账户密码时，可以使用此功能重置密码。 AP指示灯：打开或者关闭AP指示灯，通过打开或者关闭AP指示灯可以快速找到AP所在的位置 。 AP计算器：快速计算网络覆盖需要的AP数量。 AP诊断：对未上云AP进行诊断，如果诊断结果是设备正常，您可以扫描设备上云，如果异常请根据提示修复。 下图示例中AP的模式为云管理模式，如果AP为非云管理模式，APP会提示用户切换云管理模式。 漫游测试：测试Wi-Fi覆盖率，比如在A房间已安装一个AP，在B房间测试Wi-Fi的信号强度、时延等，以决定在B房间是否也要安装一个AP。 视频测速：分别使用720P/1080P/4K测试当前Wi-Fi播放视频的流畅情况。 终端拨测：测试某个地点的Wi-Fi综合性能指标，包括信号强度、时延、网页连通性，互联网性能（上传/下载的速度）、Wi-Fi干扰等。 使用华为乾坤APP（安全防护）。 华为乾坤APP功能持续上新中，如果示例界面和下载安装后APP的界面略有差异，请以软件实际安装的界面为准。 华为乾坤APP“安全防护”功能布局如表2所示。 表2 功能布局 序号 功能描述 1 功能切换入口。 2 安全设备信息。 单击设备数值查看详细安全设备信息。 3 安全告警趋势动态信息。 单击安全告警类型（如外部攻击），查看并处置安全告警。 4 热门高频功能。 5 华为乾坤的告警信息。 6 华为乾坤最新资讯。 7 用户中心，支持工单创建查询等操作。

简化运维 网络安全实效的达成离不开专业人员的运维，华为乾坤通过“智能分析+安全专家”降低本地运维难度，同时租户可以多维度快速感知安全态势。 智能分析：利用智能分析能力提升自动运维效率，自动拦截攻击，响应效率由小时级提升到分钟级。 安全专家：云端共享安全专家资源7*24小时在线服务，解决复杂网络安全问题。 安全态势感知：按周、月提供安全报告，全面掌握网络安全态势；重要事件邮件短信告警，及时感知紧急安全事件，并指导用户及时安全处置；登录华为乾坤APP随时查看安全态势、防护状态、安全报表，针对安全事件及时执行封禁动作。

终端威胁感知全，检测快，判定准，处置优 轻量级软件EDR Agent部署在租户端侧，全面覆盖安全日志采集点，能够实时感知终端上的异常行为。当其与云端网络断连后，仍可提供主动防御能力，进行有效防护 EDR Agent内置防病毒引擎和行为检测引擎，根据全攻击路径检测规则，对终端上的文件和目录进行毫秒级检测，快速判定威胁。针对勒索病毒，EDR Agent采用诱饵捕获技术，在病毒入侵初期即可精准识别风险，向云端及时上报异常事件。终端防护与响应服务实时同步威胁信息，检出新威胁后及时更新威胁特征库，增强对全网的安全防护能力。 基于海量数据库和智能检测算法，云端能够检出常规签名无法检测到的恶意样本，发现多种WAF（Web Application Firewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁。 终端防护与响应服务可联动边界防护与响应服务，进行威胁分析和封禁外部攻击源，为租户提供最优阻断方案，全方位抵御安全风险。云端采用智能化技术，当攻击发生时，可自动挖掘同一攻击链上所有威胁事件，提供一键快速处置方式。

提升实效 如图1所示，华为乾坤通过云端的“智能分析+安全专家”快速提升防护实效，满足等保2.0对主动防护、动态防御、整体防御、精准防御的相关要求。 图1 提升实效 智能分析 云端对天关/防火墙提供的日志文件进行智能分析和响应。 全局统筹分析：对日志文件进行全局关联分析，降噪处理，精准识别有效异常事件。 丰富的自动化分析模型：基于主机失陷模型、告警自动确认模型、误报模型、威胁情报关联分析模型、历史复用等模型全面提升自动化分析效率。 全面的威胁情报库：基于华为安全能力中心、未然实验室信息收集，本地天关/防火墙有效分析结果等多种途径汇总威胁情报库，全面提升分析准确率。 威胁信息全局共享：威胁信息全局共享，威胁信息一处检出，所有企业全局快速免疫。 规则快速迭代优化：基于安全误报事件，云端将快速实现检测规则优化，实时更新天关/防火墙的检测防护能力，不断提升防护效果。 安全专家 云端专家深入攻防对抗过程，整合安全能力，快速准确识别复杂攻击。 专家现网攻防对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、新型攻击方法剖析、云端智能签名生产，快速应对新型攻击。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。

方案组网 图1 防火墙作为出口网关 如图1所示，方案采用云边端一体创新架构。 云端部署系列云服务，支持设备云化管理、威胁自动分析处置、安全策略一键下发，支持网络极简开局、智能运维。 本地网络边界部署安全设备（天关），提供入侵防御、反病毒、DNS过滤等能力，持续保护企业分支安全；提供DHCP、NAT、IPsec VPN分支上网以及分支互联/上云能力。 在PC、服务器等企业终端部署EDR Agent软件，云端时刻感知资产终端风险，防止终端感染和威胁在内网传播。

边界防护与响应服务 表2 边界防护与响应服务功能描述 功能 描述 自动化分析 云端基于分析模型对安全日志进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 资产暴露面风险监测 采用流量实时分析技术与云端探测相结合的方式，对暴露面进行精确识别和活跃度持续跟踪，快速感知暴露面风险，做到一目了然且有据可查。 极致体验 定期安全报告：定期自动生成周报、月报，并通过邮件发送至用户邮箱。 事件紧急通知：通过短信、邮件两种方式通知用户。 安全态势大屏：提供全局的攻击防御大屏展示。

漏洞扫描服务 表3 漏洞扫描服务功能描述 功能 描述 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 资产发现 基于客户提供的IP网段，主动发现网段内的联网资产。经客户确认后，支持资产一键录入，提高资产梳理效率。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。 边界漏洞免疫（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以利用天关/防火墙的入侵防御（IPS）能力，设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来，显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的，请不要随意修改。如果一定要修改，请在右上角的帐号下，单击“我的工单”，提交工单寻求解决方法。 说明： 使用本功能时，天关/防火墙需要联网，且可以自动升级特征库，以便保持特征库为最新版本。

终端防护与响应服务 表5 终端防护与响应服务功能描述 功能 描述 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（ Endpoint Detection and Response，端点检测与响应）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。

重保威胁信息 表4 重保威胁信息功能描述 功能 描述 威胁信息中心 支持全球恶意IP、恶意域名、恶意文件、漏洞信息等威胁信息的快速检索，数据详情包括但不限于威胁类型、风险级别、置信度、场景信息、地理位置、关联历史事件、关联恶意信息、相关文章等信息。 安全研究 定期发布威胁周报、威胁预警、热点威胁信息等文章，帮助客户了解近期关键安全事件。 高性能信息查询接口 提供高性能的全球恶意IP、恶意域名、恶意文件、漏洞信息、URL分类等威胁信息的查询接口，辅助自动化分析人员进行分析取证及处置，提升运维效率。

终端威胁感知全，检测快，判定准，处置优 轻量级软件EDR Agent部署在租户端侧，全面覆盖安全日志采集点，能够实时感知终端上的异常行为。当其与云端网络断连后，仍可提供主动防御能力，进行有效防护 EDR Agent内置防病毒引擎和行为检测引擎，根据全攻击路径检测规则，对终端上的文件和目录进行毫秒级检测，快速判定威胁。针对勒索病毒，EDR Agent采用诱饵捕获技术，在病毒入侵初期即可精准识别风险，向云端及时上报异常事件。终端防护与响应服务实时同步威胁信息，检出新威胁后及时更新威胁特征库，增强对全网的安全防护能力。 基于海量数据库和智能检测算法，云端能够检出常规签名无法检测到的恶意样本，发现多种WAF（Web Application Firewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁。 终端防护与响应服务可联动边界防护与响应服务，进行威胁分析和封禁外部攻击源，为租户提供最优阻断方案，全方位抵御安全风险。云端采用智能化技术，当攻击发生时，可自动挖掘同一攻击链上所有威胁事件，提供一键快速处置方式。

物流业（FW） 某物联公司主要从事运输、仓储、搬运、包装、配送等工作，在全国10多个省份有200+家分拨中心。 该司希望分拨中心和总部之间能够进行业务互访，同时分拨中心实现无线全覆盖。在实现过程中主要面临的困难包括： 分拨中心的位置分散，分拨中心管理员完全不具备IT知识，远程业务部署的效率低下。 各分支网络无法统一管理，网络状态不可见，一旦故障，无法及时闭环，从而导致用户无法查看物流信息，引发大面积的投诉。 图1 物流分拨中心组网图 如图 物流分拨中心组网图所示，采用华为乾坤安全分支解决方案，可以帮助物联公司实现： 分拨中心设备即插即用，WLAN网络云端规划，配置一键下发，分钟级网络交付。 200+分拨中心网络状态云端集中可视，分支通过部署安全设备实时检测威胁，一旦故障云网联合定位，故障远程处理，运维效率大幅提升。 父主题： 应用场景

提升终端防御能力 轻量级软件EDR Agent部署在租户端侧，全面覆盖安全日志采集点，能够实时感知终端上的异常行为。当其与云端网络断连后，仍可提供主动防御能力，进行有效防护。 EDR Agent内置防病毒引擎和行为检测引擎，根据全攻击路径检测规则，对终端上的文件和目录进行毫秒级检测，快速判定威胁。针对勒索病毒，EDR Agent采用诱饵捕获技术，在病毒入侵初期即可精准识别风险，向云端及时上报异常事件。终端防护与响应服务实时同步威胁信息，检出新威胁后及时更新威胁特征库，增强对全网的安全防护能力。 基于海量数据库和智能检测算法，云端能够检出常规签名无法检测到的恶意样本，发现多种WAF（Web Application Firewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁。 云端采用智能化技术，当攻击发生时，可自动挖掘同一攻击链上所有威胁事件，提供一键快速处置方式。

日常操作 完成快速配置后， 您可以参考如下文档正常使用等保合规解决方案。 表1 参考文档 子服务 手册名称 文档内容简介 文档获取 边界防护与响应服务 用户指南 介绍如何使用边界防护与响应服务。 用户指南 漏洞扫描服务 用户指南 介绍如何使用漏洞扫描服务。 用户指南 云日志审计服务 用户指南 介绍如何使用云日志审计服务。 用户指南 终端防护与响应服务 用户指南 介绍如何使用终端防护与响应服务 用户指南 父主题： 部署指南

日常操作 您可以参考如下文档使用防勒索解决方案。 表1 参考文档 子服务 手册名称 文档内容简介 文档获取 边界防护与响应服务 用户指南 介绍如何使用边界防护与响应服务。 用户指南 终端防护与响应服务 用户指南 介绍如何使用终端防护与响应服务。 用户指南 网络威胁与评估服务 用户指南 介绍如何使用网络威胁与评估服务。 用户指南 漏洞扫描服务 用户指南 介绍如何使用漏洞扫描服务。 用户指南 父主题： 部署指南

趋势和挑战 勒索软件是不法分子通过加密文件等方式劫持用户文件，借此索要钱财的一种恶意软件。勒索软件变种多、更新快，难以防范，据权威报道，勒索软件会造成企业巨额经济损失和重要数据的泄露，已升级成为全球网络领导者最关心的网络威胁。 网络安全建设作为现代企业治理的一个重要课题，在勒索病毒的猛烈攻势下面临着严峻的挑战。 攻击规模化组织化，应对难 在勒索软件巨大利益的驱使下，专业勒索组织形成，并向其他攻击者售卖勒索服务，形成完整产业链。这降低了勒索软件的攻击成本和门槛，极大提高了勒索软件的攻击频率，增加企业被攻破的概率。 未知威胁不断涌现，检测难 随着威胁手段和攻击技术的不断提高，勒索软件不断衍生出大量变种软件。然而传统安全产品仅采用威胁特征库匹配技术，只能识别已知威胁，无法有效检测不断涌现的勒索变种。 恢复成本高昂，危害大 由于勒索软件含有大量加密算法，企业遭遇攻击后，业务中断时间长，恢复成本高。面对勒索软件，企业不仅需要承担赎金损失，还会面临商誉、商业机会、法律诉讼、人力和时间成本等连带损失。这对于很多企业，特别是中小型企业来说，是毁灭性打击。 父主题： 方案概述

趋势和挑战 随着越来越多的企业将其运营数字化，海量的设备接入办公园区网络。由于缺乏准入控制技术，入网终端的安全状态与使用者身份未知，无法保障终端入网安全可信，这就导致内网数据泄露等事件频发。与此同时，企业面临的网络安全风险也越来越大，由于人的行为具有不确定性，电脑、服务器等终端作为直接与人交互的装置，面临更多的安全风险，往往是整个网络安全防护流程中最薄弱的环节。近年来针对终端的攻击行为层出不穷，攻击者不仅可以从外部入侵，还可以直接从企业内部发起攻击，导致终端感染。感染的终端接入办公园区网络，会导致威胁在内网迅速扩散，造成企业重大经济损失。 企业办公园区网络当下面临着不少挑战： 等保2.0合规要求 根据等保2.0合规要求，凡是达到等保三级及三级以上的企业，在安全计算环境中必须采用多因子认证，做到威胁终端可溯源。 网络接入和IT账号管理割裂 传统办公园区存在多套身份管理系统管理，导致权限割裂管理、终端检查方案割裂，且本地AD数据无法同步至云上。 访客WiFi缺乏管理 传统办公园区直接开放SSID或PSK供访客接入，无审计定位，无溯源方案，无法针对访客进行二次经营管理。 业务安全策略难以适应环境变化 工作在非传统办公环境中，例如居家办公，需要为相同用户在不同环境接入时提供不同的安全策略，因此需要基于接入位置、时间、终端类型等配置网络策略，传统业务安全策略难以实现策略灵活部署。 缺乏对终端持续检测的能力 传统办公园区在设备入网前严格检查，但是入网后对终端就不再进行持续看管，即使设备合规状态变化了也无从知晓。缺乏对对终端安全威胁的检测和发现能力。 父主题： 方案概述

零售业（AR） 某零售集团在中国400多个城市拥有超过4000家店铺，涉猎的商品包括保健产品、美容产品、香水、化妆品、日用、食品、饮品、电子产品、洋酒及机场零售业务。 该集团要求门店尽快扩张，业务数据需要接入总部和云数据中心，目前面临的主要困难包括： 4000+门店数量庞大，设备管理复杂。 缺乏专业IT人员，网络建设和运维能力匮乏，一旦网络故障无法及时响应，影响访客体验。 门店缺乏基本的安全防护手段，门店收银系统时常面临网络安全风险。 图1 零售门店组网图 如图 零售门店组网图所示，采用华为乾坤安全分支解决方案，可以帮助零售集团实现： 网络和出口安全统一管理，分支门店状态实时可视。 设备即插即用，无需工程师现场调测，一家门店部署时间由1周降为1天，让网络部署不再成为门店扩张的瓶颈。 有线无线智能运维，故障远程指导定位解决。 安全问题实时阻断，门店安全优先保障。 父主题： 应用场景

方案简介 华为乾坤推出的安全重保解决方案采用云边一体创新架构，打造一站式云化安全解决方案。如图1所示，重保安全解决方案由部署在公有云上的云服务和部署在客户网络边界的华为天关防护节点构成，能够帮助用户实现常态化安全保障。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力，其采用智能大数据分析技术对天关提供的安全日志进行智能分析和处置，同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 此外边界防护与响应服务还提供资产暴露面风险监测能力，对暴露面进行精确识别和活跃度持续跟踪，帮助用户快速感知暴露面风险。 重保威胁信息 在重保服务期间通过AI算法分析全网历史攻击行为及攻击方法，精准识别攻击方地址，实时共享历史重保专门威胁信息，有效提升信息的精准度。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发，基于AI算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等，整体评估出风险值，帮助客户全面了解资产存在的风险。 终端防护与响应服务 终端防护与响应服务是针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构，由云端和安装在终端侧的华为乾坤EDR Agent（后文简称为EDR Agent）软件组成。 企业边界 天关 天关与云端协同工作，作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，为租户本地网络提供边界防护，同时向边界防护与响应服务提供日志，并执行边界防护与响应服务下发的防护策略。 父主题： 方案概述

云日志审计服务 表3 云日志审计服务功能描述 功能 描述 日志采集/存储 支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。 支持解析多种格式及多种来源的日志，将其标准化。 支持日志审计留存在云端，支持180天的日志留存时长。 日志查询 支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 支持多关键字组合精确查询日志。 审计资产管理 支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为客户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计数据可视化 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势，如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。

终端防护与响应服务 表4 终端防护与响应服务功能描述 功能 描述 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（ Endpoint Detection and Response，端点检测与响应）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。

漏洞扫描服务 表2 漏洞扫描服务功能描述 功能 描述 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 资产发现 基于客户提供的IP网段，主动发现网段内的联网资产。经客户确认后，支持资产一键录入，提高资产梳理效率。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。 边界漏洞免疫（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以利用天关/防火墙的入侵防御（IPS）能力，设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来，显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的，请不要随意修改。如果一定要修改，请在右上角的帐号下，单击“我的工单”，提交工单寻求解决方法。 说明： 使用本功能时，天关/防火墙需要联网，且可以自动升级特征库，以便保持特征库为最新版本。

边界防护与响应服务 表1 边界防护与响应服务功能描述 功能 描述 自动化分析 云端基于分析模型对安全日志进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 资产暴露面风险监测 采用流量实时分析技术与云端探测相结合的方式，对暴露面进行精确识别和活跃度持续跟踪，快速感知暴露面风险，做到一目了然且有据可查。 极致体验 定期安全报告：定期自动生成周报、月报，并通过邮件发送至用户邮箱。 事件紧急通知：通过短信、邮件两种方式通知用户。 安全态势大屏：提供全局的攻击防御大屏展示。

免费规格声明 CodeLab提供免费的资源规格，会在启动1小时后自动停止，请注意右上角的剩余时长。超过1小时后，可执行续期操作，且系统每隔一段时间，将提醒确认下续期。 免费的CodeLab主要用于体验，72小时内未使用，将释放资源。保存在其中的代码文档将丢失，请注意备份文件以及使用时长。 免费规格的资源是有限的，当使用人数较多时，会出现长时间的排队。如果希望获得更佳的体验，请选择付费规格。 仅在“华北-北京四”区域提供了免费规格，请注意您使用的区域。

操作步骤 根据业务情况，准备好客户端，登录安装客户端的节点。 请根据客户端所在位置，参考安装客户端章节，登录安装客户端的节点。 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 执行以下命令配置环境变量。 source bigdata_env 执行以下命令，进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 执行命令进行客户端操作。 例如执行以下命令： cql storm 同一个storm客户端不能同时连接安全和非安全的ZooKeeper。

步骤三：设置Nginx安全级别 查看应用镜像是否正常启动，正常启动后再执行步骤2。 待云耀云服务器L实例处于“运行中”状态后，单击资源卡片。 在“镜像信息”区域单击“管理”进入应用镜像管理页面，检查应用镜像是否正常启动。 在应用镜像启动期间，请勿对云耀云服务器L实例进行重置密码、重启或开关机操作，否则可能导致应用镜像启动异常。 如果管理页面显示正常的引导或登录界面表示应用镜像已经正常启动。否则请耐心等待1~2分钟，稍后重试。 在页面右上角选择更多，单击“重置密码”。 根据界面提示，设置云服务器的新密码，并确认新密码。运行中的云服务器需重启后新密码才能生效，默认勾选“自动重启”。 单击“确认”。 此时云服务器状态为“重启中”，待服务器状态为“运行中”时，继续如下步骤。 在资源管理界面右上角，单击“远程登录”。 根据界面提示，输入用户名密码登录云服务器。 用户名为root，密码为步骤2设置的密码。 执行如下命令，运行nginx_huaweicloud.sh脚本。 wget -N https://websoft9.github.io/stackhub/scripts/nginx_huaweicloud.sh && bash nginx_huaweicloud.sh Nginx安全级别过高，可能导致部分应用功能不可用，请运行nginx_huaweicloud.sh脚本设置Nginx安全级别。

步骤二：配置安全组 配置安全组的入方向访问规则，确保可以正常访问应用镜像。 单击云耀云服务器L实例卡片，进入资源页面。 在左侧列表中单击“云耀云服务器L实例”，单击云服务器名称，进入云服务器详情页面。 选择“安全组”页签，单击“添加规则”，添加如下规则。 本例只添加基本规则，您可根据需要添加更多规则。 表1 安全组规则 优先级 策略 类型 协议端口 源地址 描述 100 允许 IPv4 TCP：443 0.0.0.0/0 允许使用HTTPS协议访问应用管理页面。 100 允许 IPv4 TCP：80 0.0.0.0/0 允许使用HTTP协议访问应用管理页面。 100 允许 IPv4 TCP：3306 0.0.0.0/0 允许访问MySQL数据库。

（可选）步骤四：添加并解析域名 本节介绍如何为服务器添加并解析域名，以便用户可以使用域名访问网站。如果您仅为个人开发或测试使用，可以不添加域名。 在左侧列表中单击“云耀云服务器L实例”，单击云服务器名称，进入云服务器详情页面。 选择“域名”页签，单击“添加域名”配置域名信息。 参数 说明 域名 输入绑定云服务器的域名。例如wpwebsite.com。 说明： 待添加的域名未被注册也可以成功添加，但是添加后必须完成注册和备案，才能正常访问网站。为了保证添加的域名可以正常使用，建议您先注册域名并完成备案，再添加域名。 企业项目 从下拉列表中选择所在的企业项目。 公网域名关联的企业项目，用于将公网域名资源按照企业项目进行管理。 说明： 仅当用户使用的“帐号类型”为“企业帐号”时，显示该参数。 单击“确定”。 单击wpwebsite.com域名操作列表中的“解析域名”。 参数 说明 域名前缀 前缀和域名组成子域名。支持将域名或者子域名解析至当前公网IP。 例如，添加至服务器的域名为wpwebsite.com： 域名前缀为空，表示将域名wpwebsite.com解析至当前服务器公网IP。 域名前缀不为空，例如www，表示将www.wpwebsite.com子域名解析至当前服务器公网IP。 公网IP 系统自动读取当前云服务器的公网IP，无需配置。 在“域名”页签查看解析的域名。 备案域名。 要想通过域名成功访问服务器，必须备案域名。请在华为云备案中心备案此域名（免费），具体操作详见快速完成网站备案。

操作步骤 操作步骤 说明 步骤一：购买云耀云服务器L实例 购买云耀云服务器L实例，选择Superset应用镜像。 步骤二：配置安全组 配置安全组的入方向访问规则，确保可以正常访问应用镜像。 步骤三：设置Nginx安全级别 设置服务器密码、登录云服务器，设置Nginx安全级别。Nginx安全级别过高，可能导致部分应用功能不可用，可通过运行nginx_huaweicloud.sh脚本设置Nginx安全级别解决。 （可选）步骤四：添加并解析域名 为服务器添加并解析域名，以便用户可以使用域名访问网站。如果您仅为个人开发或测试使用，可以不添加域名。