华为乾坤-华为云

华为乾坤-文件威胁信息标签

文件威胁信息标签文件威胁信息标签说明如表1所示，其中黑标签即为恶意标签，中性标签为此文件在生产过程中出现的客观属性信息，白标签为白名单类别。表1 文件威胁信息标签说明 threat_type_EN threat_type_CN 恶意类别详细说明 Trojan 木马黑指伪装成正常应用的恶意软件。 Worm 蠕虫黑指通过网络进行自我传播和复制的恶意软件。 Exploit 漏洞利用代码黑指用于漏洞攻击的恶意软件，通常包含一种或多种漏洞利用的攻击代码。 Adware 恶意广告黑指被广告商资助开发的恶意软件，通告包含收集用户隐私信息的功能。 HackTool 黑客工具黑指被攻击者用来实施网络攻击的工具，通常由攻击者开发。 Rootkit Rootkit 黑指用来隐藏文件及进程以避免被系统工具发现的工具，通常被用来隐藏恶意软件。 Packed 加壳黑指被加壳工具加壳以逃逸检测及对抗分析的恶意软件。 Backdoor 后门黑指在系统上运行后，通过向远程提供一个通信通道，以便攻击者可以访问的恶意软件 Virus 病毒黑指通过自我复制进行传播的恶意软件。 EICAR EICAR 黑指包含特定文本串的，用于测试反病毒软件功能的标准测试文件。 Grayware 灰色软件黑指包含非预期的、可疑特征的软件。 Spyware 监控软件黑指未在数据属主的允许下收集信息并且发往第三方的软件。 Botnet 僵尸网络黑指运行在受感染的系统中，能够和控制服务器通信并和其他受感染主机构成僵尸网络的恶意软件。 Ransomware 勒索软件黑指通过加密受害计算机系统中的文件并通过解密文件索取赎金的恶意软件。 Phishing 钓鱼黑指通过社工等手段引诱受害人按照恶意软件的意图进行交互及操作的软件，如帐号钓鱼、恶意软件传播。 Downloader 下载器黑指用来下载和执行其它恶意软件的恶意软件。 Dropper 释放器黑指通过将自身加载到内存中，提取恶意负载并写入文件系统的恶意软件。 DDoS 分布式拒绝服务黑指用于发起分布式拒绝服务攻击的恶意软件。 Dos 拒绝服务黑指用于发起拒绝服务攻击的恶意软件 RAT 远控工具黑指能够通过远程攻击者发出的命令控制计算机的恶意软件。 Clicker 点击器黑指用于访问特定网页的恶意软件，通常通过高频的访问增加网页的访问量并以此增加广告收入。 Implant 植入器黑指通过代码补丁程序或其他工具插入已有程序的恶意代码。 Dialer 拨号器黑指主要用于拨打保险费率号码的恶意软件。 SMS er 短消息发送器黑指通过发送短信意消耗用户资费的恶意软件。 PWS 密码窃取黑指用于窃取各种用户账号及密码的恶意软件。 Flooder 洪范攻击黑指用于发起各种洪范攻击的恶意软件。 Spammer 垃圾邮件发送黑指用于发送大量垃圾邮件的恶意软件。 Scareware 恐吓软件黑指报告目标计算机上存在安全风险、威胁或系统问题等虚假或严重误导性信息的恶意软件。 Joke 恶作剧软件黑指用于恶作剧的恶意软件。 Wiper 擦除器黑指用于删除文件或者整个磁盘的恶意软件。 web-bug web-bug 黑指嵌入在web网页或邮件中，检测用户是否有访问权限的恶意软件。 Shellcode Shellcode 黑指激活系统的命令行界面的一小段代码，可用于禁用安全措施、下载更多恶意代码，或打开系统以供利用的一小段代码。父主题：威胁信息标签说明

华为乾坤威胁信息标签说明

华为乾坤-组网需求:适用产品和版本

适用产品和版本设备版本备注 USG6000E-E03/USG6000E-E07 USG6106E USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E/USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E/USG6520E-K/USG6560E-K/USG6590E-K V600R007C20SPC500及其之后版本不支持漏洞扫描服务和云日志审计服务。

华为乾坤企业边界防火墙双机组网（三层）--vrrp

华为乾坤-升级中心特征库无法升级:解决方法

解决方法本地授权版本，确认相应特征库已授权。云端授权版本，确定乾坤云上该设备已经绑定边界防护与响应套餐，并且套餐状态为已部署。排查上游设备做了安全限制导致网络不通，需要放通如下域名： 1、华为安全智能中心目前调度服务器域名：sec.huawei.com。 2、华为安全智能中心目前的下载服务器信息：域名优先支持的下载区域 fds-europe-1.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-europe-2.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-asia-2.sec.huawei.com 亚洲区域 fds-cn-1.sec.huawei.com 中国区域 fds-cn-3.sec.huawei.com 中国区域 fds-cn-6.sec.huawei.com 中国区域 fds-hongkong.sec.huawei.com 中国区域、亚洲区域 fds-beijing.sec.hauwei.com 中国区域、亚洲区域 fds-guiyang.sec.huawei.com 中国区域、亚洲区域 fds-shanghai.sec.huawei.com 中国区域、亚洲区域 fds-singaporean.sec.huawei.com 亚洲区域 fds-mexico-2.sec.huawei.com 南美区域、北美区域 fds-mexico-3.sec.huawei.com 南美区域、北美区域 fds-mexico-1.sec.huawei.com 南美区域、北美区域 fds-cairo.sec.huawei.com 非洲区域、俄罗斯区域文件下载协议与端口之间的关系为：H TTS -443，HTTP-80，FTP-22，32119。

华为乾坤常见FAQ

华为乾坤-场景说明

场景说明防火墙存在传统模式和云管模式两种工作模式，默认情况下，防火墙处于传统模式。当防火墙使用在云管理网络中时，需要将防火墙切换到云管模式。本文介绍在传统模式下，防火墙的上线操作，以及边界防护与响应服务、漏洞扫描服务、云日志审计服务所需的配置。传统模式下，各服务配套的USG6000E系列防火墙所包含的机型，请参见《华为乾坤安全云服务天关和防火墙上云清单》。父主题： USG6000E防火墙上线（传统模式）

华为乾坤 USG6000E防火墙上线（传统模式）

华为乾坤-手工创建域名黑名单:背景信息

背景信息域名黑名单是一种阻断措施，华为乾坤将域名黑名单下发给设备后，内部资产将不能访问黑名单中的恶意域名。一般情况下，华为乾坤对威胁事件进行智能分析后，自动下发域名黑名单。此外，用户还可以根据实际的网络环境或业务需要，从设备维度（针对某设备）手动下发域名黑名单，作为上述域名黑名单下发的补充手段，以提高安全防护的灵活性。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙暂不支持下发域名黑名单功能。高等级租户享有对自身及下级租户的域名黑名单的创建、修改、删除权限。

华为乾坤

华为乾坤-（可选）配置VPN接口:背景信息

背景信息为保障漏洞扫描服务能够访问企业内部资产，并执行扫描任务，需要在华为乾坤和天关（部署在企业内部）之间建立VPN隧道。VPN隧道会在执行扫描任务前，自动下发配置进行创建，并会在扫描结束后自动断开。建立VPN隧道前需要配置VPN接口，配置VPN接口目前支持以下两种方式：自动配置：天关/防火墙上线后，当用户创建资产发现或漏洞扫描任务时，漏洞扫描服务自动获取上行接口作为与华为乾坤创建VPN隧道的接口（简称：VPN接口）。人工配置：当自动配置存在获取数据不准确的情况时，需要人工检查和重新配置。

华为乾坤

华为乾坤-快速查看域名黑名单:背景信息

背景信息域名黑名单管理是边界防护的重要环节，通过安全策略关联DNS过滤配置文件，可以有效避免内部资产对恶意域名的持续访问。域名黑名单主要来源于以下几种情况：华为乾坤对威胁事件进行智能分析后，由华为乾坤自动下发。租户在控制台手动创建并下发域名黑名单。域名黑名单包括以下几种状态：已生效：域名黑名单保存在华为乾坤，已经成功下发到天关设备，并已经生效。部署中：域名黑名单保存在华为乾坤，但未下发到天关设备。部署失败：已部署下发指令，但由于其他原因导致下发失败。高等级租户享有对自身及下级租户的域名黑名单的查看权限。

华为乾坤

华为乾坤-外部攻击源:背景信息

背景信息华为乾坤按照以下规则判定威胁事件是否为外部攻击源。非信任域或混合域内的主机存在攻击行为，同时发生攻击行为的主机IP不在全局白名单内，且发生攻击行为的主机IP不在缺省私网网段内，此时判定此威胁事件为外部攻击源。非信任域或混合域的具体信息请参见配置设备安全域。全局白名单的具体信息请参见配置全局白名单。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。非信任域或混合域的内网地址存在攻击行为，同时主机IP地址在不可信内网地址内，判定为外部攻击源。不可信内网地址的具体信息请参见配置不可信内网地址。针对外部攻击源，华为乾坤有如下几种处置方式：华为乾坤智能分析后成功下发IP黑名单，其状态显示为“已封禁”。华为乾坤智能分析后无法下发IP黑名单，由安全运营专家进一步分析后手动成功下发IP黑名单，其状态显示为“已封禁”。华为乾坤智能分析和安全运营专家根据现有信息无法处置或者下发失败时，需要租户进行人工处置，其状态显示为“未处置”。租户需要对“未处置”的外部攻击源进行处置，处置方法包括封禁攻击源和标记状态（已人工处置、已忽略）。开通如下版本时，才能使用华为乾坤自动下发IP黑名单。同时购买边界防护与响应服务标准版+自动阻断边界防护与响应服务专业版边界防护与响应服务高级版边界防护与响应服务试用版

华为乾坤

华为乾坤-外部攻击源:后续处理

后续处理外部攻击源的攻击源IP前显示攻击源IP所在国家国旗，鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP，查看此外部攻击源详情页面。您可以在高级搜索中设置筛选条件，单击“导出”，导出符合筛选条件的外部攻击源列表（Excel格式文件）；或勾选预导出的外部攻击源，单击“导出”，导出选中的外部攻击源列表。图3 外部攻击源列表外部攻击源详情页面包含处置建议、处置记录、外部攻击源分析、关联告警事件列表等信息。您可以单击“导出详情”，导出包含外部攻击源详细信息的Word格式文件。图4 外部攻击源详情页面导出完成后，请单击右上角帐号，选择“下载”，下载对应文件。图5 下载中心您可以单击外部攻击源详情页面中关联威胁事件列表中的事件名称，查看此事件的详情页面。图6 事件详情页面外部攻击源详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。

华为乾坤

华为乾坤-执行代维操作:搜索和关注租户

搜索和关注租户以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。在左侧租户列表执行相关操作。搜索租户在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。查看租户信息选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。特别关注单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。打标签单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。过滤租户单击租户列表右上方的按钮，支持按标签筛选租户。

华为乾坤

华为乾坤-升级中心特征库无法升级:解决方法

解决方法本地授权版本，确认相应特征库已授权。云端授权版本，确定乾坤云上该设备已经绑定边界防护与响应套餐，并且套餐状态为已部署。排查上游设备做了安全限制导致网络不通，需要放通如下域名： 1、华为安全智能中心目前调度服务器域名：sec.huawei.com。 2、华为安全智能中心目前的下载服务器信息：域名优先支持的下载区域 fds-europe-1.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-europe-2.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-asia-2.sec.huawei.com 亚洲区域 fds-cn-1.sec.huawei.com 中国区域 fds-cn-3.sec.huawei.com 中国区域 fds-cn-6.sec.huawei.com 中国区域 fds-hongkong.sec.huawei.com 中国区域、亚洲区域 fds-beijing.sec.hauwei.com 中国区域、亚洲区域 fds-guiyang.sec.huawei.com 中国区域、亚洲区域 fds-shanghai.sec.huawei.com 中国区域、亚洲区域 fds-singaporean.sec.huawei.com 亚洲区域 fds-mexico-2.sec.huawei.com 南美区域、北美区域 fds-mexico-3.sec.huawei.com 南美区域、北美区域 fds-mexico-1.sec.huawei.com 南美区域、北美区域 fds-cairo.sec.huawei.com 非洲区域、俄罗斯区域文件下载协议与端口之间的关系为：HTTS-443，HTTP-80，FTP-22，32119。

华为乾坤 FAQ

华为乾坤-快速查看IP黑白名单:背景信息

背景信息 IP黑白名单管理是边界防护的重要环节，相比传统复杂的安全检测方式，IP黑白名单可以直接、有效地阻断恶意攻击，从而节省天关/防火墙系统资源，降低负载。 IP黑白名单主要来源于以下几种情况：华为乾坤对威胁事件进行分析后，由华为乾坤自动下发的IP黑名单。安全运营专家处理后确认为攻击，由安全运营专家下发IP黑名单。租户在控制台手动创建并下发的IP黑白名单。 IP黑白名单包括以下几种状态：已生效：IP黑白名单保存在华为乾坤，已经成功下发到天关/防火墙设备，并已经生效。部署中：IP黑白名单保存在华为乾坤，但未下发到天关/防火墙设备。部署失败：已部署下发指令，但由于其他原因导致下发失败。高等级租户享有对自身及下级租户的IP黑白名单的查看权限。

华为乾坤管理黑白名单

华为乾坤-约束与限制

约束与限制服务配套的天关和防火墙型号，请参见《华为乾坤安全云服务天关和防火墙上云清单》，服务涉及其他约束与限制，如表1所示。表1 约束与限制类别约束与限制描述漏洞扫描针对非网站类型的资产：只支持对IP地址格式为IPv4的资产进行漏洞扫描。针对网站类型的资产：只支持对“URL”格式为“http(s)://IP地址:端口号”的资产进行漏洞扫描。可扫描资产的IP地址需为非云上保留IP。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。单个扫描任务最多支持添加20个资产。资产发现目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。可发现资产的IP地址需为非云上保留IP。云上保留IP：10.252.0.64/26，10.252.0.0/28，172.27.0.0/23，172.28.0.0/23。规格类所有租户最多支持200个资产同时扫描。对于款型为USG66xxF-C、USG65xxF、USG66xxF、USG67xxF的设备，如需正常使用漏洞扫描服务，设备上线后、服务启用前请执行以下配置代码：install feature-software WEAKEA 父主题：产品介绍

华为乾坤

华为乾坤-配置全局白名单:背景信息

背景信息如果某些资产上运行的业务非常重要，或者用户确定某些资产不存在安全风险，则可以将这些资产的IP地址配置到全局白名单中，以防止这些资产的IP地址被错误下发IP黑名单。某资产的IP地址被配置为全局白名单后，华为乾坤（包括自动下发、安全运营专家下发）不能将此IP地址当做IP黑名单下发给天关/防火墙。用户在华为乾坤通过封禁攻击源、隔离主机或配置IP黑名单策略将此IP地址当作IP黑名单下发时，华为乾坤将提示用户是否要继续下发，租户根据实际情况选择是否需要继续下发。

华为乾坤

华为乾坤-配置天关与云平台对接（V600R023C00SPC100及之前版本）:操作步骤（VLAN接口上网）

操作步骤（VLAN接口上网）在管理PC上登录简易界面：https://192.168.0.1:8443/cloud。登录帐号使用跟标准界面相同的管理员帐号。（可选）参考如下界面提示进行配置，以保证天关可以访问云端。如果设备版本为V600R023C00SPC100之前版本，请执行本步骤。按照下图所示配置VLAN接口地址。图1 配置VLAN接口上网单击“华为乾坤对接配置”进入对接配置页面，单击“检测连通性”。检测成功后，单击“应用”网络配置立即生效，自动触发天关向云端的注册请求。如果设备版本为V600R022C00SPC100及其之前的版本，请登录标准页面https://192.168.0.1:8443/default.html，执行如下操作设备才能正常上线。在界面的右上角，单击CLI控制台按钮，（如果是V600R022C00SPC100之前的版本，单击右下角的CLI控制台按钮）。图2 进入CLI控制台参考如下操作，执行undo ssh user huawei cert-verify-san enable命令。图3 系统视图下执行命令（可选）参考如下界面提示进行配置，以保证天关可以访问云端。如果设备版本为V600R023C00SPC100，请执行本步骤。按照下图所示配置VLAN接口地址，并单击“应用”使网络配置生效。图4 配置VLAN接口上网单击下图中的“华为乾坤对接配置”，按照下图所示操作，操作完成后自动触发天关向华为乾坤的注册请求。图5 华为乾坤对接配置

华为乾坤 USG6000F-C天关上线

云服务器内容精选

华为乾坤

7*24

备案

专业服务

退订

建议反馈

售前咨询热线