华为云用户手册

告警参数 参数名称 参数含义 OID 该告警所对应的MIB节点的OID号。 EntityPhysicalIndex 实体索引 hwIfMonitorCrcErrorStatistics CRC错包实时统计值 hwIfMonitorCrcErrorThreshold 配置的CRC错包上限阈值 hwIfMonitorCrcErrorInterval 配置的统计时间间隔 EntPhysicalName 实体名称 hwIfMonitorAllStatistics 实时统计报文数

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132146) 单板局部功能失效。

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132105) 单板局部功能失效。

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132128) 单板局部功能失效。

华为乾坤APP 表1 规格清单 一级分类 二级分类 规格名称 规格描述 MSP MSP待办 威胁事件 1、支持快速查看代维租户未处置的威胁事件列表（失陷主机、外部攻击、恶意文件）； 2、支持按照租户名称过滤筛选； 3、支持按照事件类型，事件等级进行过滤筛选。 离线设备 1、支持快速查看代维租户的离线设备告警信息； 2、支持按照租户名称过滤筛选； MSP我的页面 工单 1、支持一键创建工单，反馈问题； 2、支持查看工单处理进度及工单状态； 个人信息 1、支持查看并修改个人头像信息； 2、支持查看并修改MSP用户名信息； 3、支持查看、修改或绑定个人邮箱； 4、支持查看、修改或绑定个人手机号。 名片 1、支持一键分享个人名片至微信朋友圈和微信好友； 2、支持新增、编辑、删除个人名片信息； 3、支持已分享个人名片信息禁止查看； 分享应用 1、支持一键分享华为乾坤APP的下载链接； 2、支持分享至微信朋友圈和微信好友。 操作日志 1、支持快速查看代维租户相关威胁事件的处置记录及处置结果； 2、支持按照租户名称过滤筛选。 设置 1、支持快速查看华为乾坤最新版本的隐私声明和用户协议； 2、支持一键查询华为乾坤APP是否存在新版本支持更新。 MSP首页 MSP首页套餐监控 1、支持快速查看当前代维租户的套餐总数，套餐状态； 2、当有租户套餐即将过期时（有效期小于等于7天），首页会弹出提示。 MSP首页问题租户监控 支持快速查看当前代维租户中待办事项最多的5个租户信息。 MSP首页设备监控 支持快速查看当前代维的所有租户，安全设备、网络设备的正常设备总数和异常设备总数。 DFX 隐私保护 敏感信息UI脱敏展示 1、租户个人信息中手机号、邮箱脱敏展示； 2、租户个人名片中，姓名、手机号、邮箱、微信号等信息脱敏展示，可点击查看。 支持隐私协议签署和展示 支持查看华为乾坤最新版本的隐私政策和用户协议。 APP运营 推送管理 - 1、紧急状态的外部攻击事件每天最多推送10次。 2、紧急状态的失陷主机事件每天最多推送10次。 网络场景首页 - 首页搜索功能 支持快速搜索查找APP内功能列表。 - 设备密码 支持一键修改站点内所有设备的登录密码。 - 视频测试 一键进行视频业务体验测试，检测当前Wi-Fi网络可支持的视频清晰度。 - 应用管理 支持根据业务场景需要，自定义APP首页展示的功能列表。 扫码开局 防火墙开局 防火墙设备扫码上云开局。 天关开局 天关设备扫码上云开局。 网络设备扫码开局 支持AR、LSW、AP设备的扫码上云开局。 网络运维监控 扫码开局 支持对华为数通网络设备（AR、LSW、FW、AP）和天关进行扫码开局上线乾坤云。 站点管理 支持对租户名下的站点进行增删改查操作。 终端拨测 1、支持对终端连接的Wi-Fi网络进行拨测业务，测试内容包括：信号强度测试、Ping测试、网页连通性测试、互联网性能测试、Wi-Fi干扰测试。 2、单个项目拨测测试次数1~10次； 3、单次测试Ping包测试1~10次； 4、互联网性能测试时长约20秒。 Wi-Fi测速 1、支持快速对Wi-Fi网络进行时延、上传速率、下载速率的测试； 2、单次测试时长约20秒。 Wi-Fi体检 1、支持对终端连接的Wi-Fi网络进行单点测试业务：信号强度测试、Ping测试、网页连通性测试、互联网性能测试、Wi-Fi干扰测试； 2、单次测试时长约30秒。 网络环境 根据过去24小时，华为AP上报的网络环境信息，从信号覆盖、无线繁忙度、5G优先占比、接入体验、漫游体验5大维度评估整网网络质量，并提供优化建议。 Wi-Fi调优 一键调优 支持无线网络环境一键优化，降低无线干扰。 干扰信息查询 支持查看整网无线网络干扰信息。 Wi-Fi管理 Wi-Fi详情 支持查看站点内Wi-Fi配置详情。 Wi-Fi增删改查 支持对站点内的Wi-Fi配置进行新建、删除、查询、修改等操作。 设备运维监控 设备管理 支持站点内设备的增删改查操作。 升级管理 支持对站点内的网络设备进行一键升级，并支持查看升级记录、升级失败原因。 AP诊断 支持对开局过程中未正常上线的AP进行快速诊断，分析未上线的原因。 AP计算器 支持根据用户输入的房间信息、面积信息，初步计算需要的AP数量，并推荐热销款型。 AP指示灯 支持一键关闭AP指示灯闪烁。 交换机端口查看 支持查看站点内在线交换机的端口列表及端口配置信息。 AP闪灯 支持对站点内在线的AP进行闪灯操作，方便快速确认AP位置。 单设备告警 支持查看站点内在线设备的告警信息。 设备重启 支持对站点内在线设备进行重启操作。 设备详情 支持查看站点内设备的基本信息。 拓扑 支持查看站点内网络拓扑信息。 接入终端 接入终端列表 支持查看接入终端列表。 网络场景推荐 AP诊断指导视频 AP诊断功能使用介绍视频查看。 安全场景首页 安全场景推荐 边界防护介绍宣传页推荐 快速查看华为乾坤边界防护服务特性宣传介绍页。 终端防护与响应宣传页推荐 快速查看华为乾坤终端防护服务特性宣传介绍页。 扫码开局 防火墙开局 防火墙设备扫码上云开局。 天关开局 天关设备扫码上云开局。 网络设备扫码开局 支持AR、LSW、AP设备的扫码上云开局。 安全态势小程序 恶意文件 边界防护服务恶意文件事件的查看与快速处置。 失陷主机 边界防护服务失陷主机事件的查看与快速处置。 外部攻击 边界防护服务外部攻击事件的查看与快速处置。 资产管理 资产列表查询，详情查看，分类筛选。 站点列表快捷入口 站点管理 站点的快速增删改查操作。 天关添加授权ID 支持对天关进行扫码添加授权ID激活。 天关管理 天关的增删改查。 - 黑白名单 边界防护服务，天关黑白名单下发。 - 安全报表 1、边界防护服务，安全周报和月报的一键导出与分享。 2、支持分享至微信朋友圈和微信好友。 3、支持导出过去两个月的安全报表。 发现 精选推荐 新上线服务推荐 支持华为乾坤上线全新服务时，发现页置顶推荐。 精选推广软文展示 华为乾坤热点新闻推荐。 热门教学视频展示 华为乾坤相关技术教学视频推荐。 消息 系统推送消息 发现页文章消息推送 支持发现页文章、方案介绍等软文更新时，推送通知用户。 我的 注册登录 手机号注册登录 1、支持手机号+验证码一键注册华为乾坤租户账号并自动登录； 2、华为乾坤APP一次登录支持连续在线30天。 用户名登录 支持使用租户的用户名+密码登录华为乾坤APP。 个人信息 修改头像信息 支持租户账号个人信息中的头像修改。 修改租户名称 支持租户名称修改。 绑定/修改邮箱 支持租户账号修改或绑定个人邮箱。 绑定/修改手机号 支持租户账号修改或绑定个人手机号。 修改用户名 支持租户账号修改用户名信息。 套餐管理 套餐信息查看 支持查看当前租户账号相关套餐信息。 我的工单 工单处理 1、支持查看租户账号下历史工单信息； 2、支持关闭工单、催单、评价等操作。 新建工单 支持快速创建工单。 - 分享应用 1、支持一键分享华为乾坤APP的下载链接； 2、支持分享至微信朋友圈和微信好友。 设置 关于我们 1、支持快速查看华为乾坤最新版本的隐私声明和用户协议； 2、支持一键查询华为乾坤APP是否存在新版本支持更新。 选择语言 支持一键切换APP展示语言，当前支持简体中文和English。 注销租户 支持租户账号的快速注销。 父主题： 规格清单

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132103) 单板局部功能失效。

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132137) 单板局部功能失效。

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132154) 单板局部功能失效。

告警解释 PKI/4/PKILOCALCERTINVALID: OID [OID] the local certificate is invalid. (LocalCertIssuer=[issuer], LocalCertSubject=[subject], LocalCertStartTime=[starttime], LocalCertFinishTime=[finishtime]) 本地证书无效。

告警解释 ENTITYTRAP/2/BOARDFAIL: OID [OID] Board become failure for some reason. (Index=[INTEGER], EntityPhysicalIndex=[INTEGER], PhysicalName="[OCTET]", EntityTrapEntType= [INTEGER], EntityTrapFaultID=132106) 单板局部功能失效。

网络云服务 华为乾坤云管理网络服务对License策略做了调整，将原“网络管理服务”拆分成“基础纳管”和“基础分析”，如图1所示。 “基础纳管” 功能免费开放，客户可免费在平台上纳管设备，包括云AP、交换机（LSW）、路由器（ AR ）、防火墙（ FW ）的所有配套款型，不包括FitAP 。 “基础分析”和原“高阶软件服务”作为高阶服务，客户可申请180天 免费体验 试用套餐，也可申请正式购买商用套餐。 图1 License调整策略 线下购买的License控制项介绍如表2所示，更多License策略变更带来的常见问题请参见《【风起云涌】2025云管理专项行动-使用指导专题》。 表2 License控制项介绍 服务/方案名称 License控制项 使用说明 云管理网络 说明： 仅包含软件服务，硬件设备需用户另行购买。 乾坤网络基础分析，支持如下交换机系列款型： 低端盒式整机 标准千兆盒式整机 高级千兆盒式整机 标准万兆盒式整机 高级万兆盒式整机 框式整机 乾坤网络智能分析应用分析服务，支持如下交换机系列款型： 标准千兆盒式整机 高级千兆盒式整机 标准万兆盒式整机 高级万兆盒式整机 框式整机 支持按设备数、年限（1、3、5或7年）购买。 云端激活（服务开通），未激活功能不可用。 乾坤网络基础分析，支持如下路由器（AR）系列款型： 小微型分支接入设备 中型分支接入设备 大型分支接入设备 乾坤网络SD-WAN服务，支持如下路由器（AR）系列款型： 小微型分支接入设备 中型分支接入设备 大型分支接入设备 乾坤网络FitAP管理，支持如下AP系列款型： 敏分AP Wi-Fi5 AP Wi-Fi6 AP Wi-Fi7 AP 乾坤网络基础分析，支持如下AP系列款型： 敏分AP Wi-Fi5 AP Wi-Fi6 AP Wi-Fi7 AP 乾坤网络智能分析应用分析服务，支持如下AP系列款型： Wi-Fi5 AP Wi-Fi6 AP Wi-Fi7 AP 乾坤网络智能分析调优自愈服务，支持如下AP系列款型： 敏分AP Wi-Fi5 AP Wi-Fi6 AP Wi-Fi7 AP 乾坤网络能耗分析，支持AP款型（支持款型详见设备配套表），不细分License系列。 CloudCampus Service 购买CloudCampus License，仅支持购买服务资源，不支持购买设备。 CloudCampus Service套餐可转换成云管理网络套餐，具体参考CloudCampus和云管理网络套餐的转化关系，其License介绍可参考上方云管理网络中License控制项介绍。 支持按设备数、年限（1、3或5年）购买。 云端激活（服务开通），未激活功能不可用。 CloudCampus License支持在华为乾坤云服务直接进行导入。

安全云服务 线下购买的License控制项介绍，如表1所示。 表1 License控制项介绍 服务/方案名称 License控制项 使用说明 边界防护与响应服务 说明： License跟随设备购买。不同的设备对应的License控制项不同。 对于USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙、USG6000E-C系列天关及USG6000E系列防火墙，购买威胁自动阻断License与边界防护服务专业版License后，从V600R023C10及之后的版本支持下发 域名 黑名单功能。 USG6000E-C天关 USG6000E防火墙 USG6000F防火墙 USG12000防火墙 License控制项类别如下： 边界防护服务标准版 威胁防护库升级服务 边界防护服务-威胁自动阻断 云端激活（服务开通），未激活功能不可用。 USG6000F-C天关： USG6603F-C USG6606F-C License控制项类别如下： 边界防护服务标准版 威胁防护库升级服务 边界防护服务-威胁自动阻断 边界防护服务专业版 高级威胁防护库升级服务 云端激活（服务开通），未激活功能不可用。 智能终端安全服务 智能终端安全服务 支持按照资产数（小于或等于3000）、年限购买。 云端激活（服务开通），未激活功能不可用。 威胁信息服务 重保威胁信息服务 支持按照设备数（1、5或10）、月度购买。 云端激活（服务开通），未激活功能不可用。 漏洞扫描服务 漏洞扫描 服务 支持自定义资产数、年限购买。 云端激活（服务开通），未激活功能不可用。 云日志 审计服务 云日志审计服务 支持按资产数、年限购买。资产数可自定义。 日志套餐总量按每资产每天产生0.6GB日志量来估算。 云端激活（服务开通），未激活功能不可用。 等保套餐 二级等保套餐 本套餐包括的功能项如下，支持按照资产数（20、50、100、200、500或1000）、年限购买。 漏洞扫描服务 云日志审计服务 云端激活（服务开通），未激活功能不可用。

站点配置 站点配置 前提条件 登录华为乾坤控制台后成功创建了站点，并拥有“设备生命周期管理服务”中站点管理相关权限。 背景信息 创建站点后，用户根据实际情况将设备纳入到同一站点中，并对设备拓扑调整、业务配置，确保站点正常运行。 操作步骤 站点设备拓扑操作。 站点的设备拓扑图一般由设备和链路组成。如果站点还未添加设备，请先跳转步骤3，然后进行站点设备拓扑操作。 安全站点 查看设备拓扑。可以查看设备拓扑概况。将鼠标悬停在链路上，可以查看当前链路信息。 查看设备详情。鼠标悬停在设备拓扑中任意安全设备图标，单击弹窗中“详情”，或右击安全设备，单击“查看详情”。具体参见设备。 删除设备。右击安全设备，单击“删除设备”，可以删除当前设备。 删除设备属于高危操作，可能导致业务中断，请谨慎操作。 云管理网络站点 云管理网络场景下站点设备拓扑操作比网络安全场景更复杂些，具体如表1所示。 表1 设备拓扑操作 操作名称 操作说明 拓扑管理 站点首页右上角提供了拓扑管理菜单，支持调同步数据、页面刷新周期、手动刷新、恢复拓扑默认布局、其他优化配置。 拓扑调整 站点首页右下角提供了绘图区域菜单，支持调整拓扑位置、查看图例、设置全屏展示、放大/缩小绘图区域。 设备搜索 站点首页提供了设备搜索框，支持快速搜索目标设备。在设备搜索的结果页面单击，可在拓扑中高亮标记设备，快速定位到该设备。 设备查看和编辑 设备状态不同显示颜色也不同，比如设备异常有告警显示成红色。 当设备数量较多时，默认聚合展示，可单击展开。 鼠标停留在设备图标上，显示设备摘要信息。单击“详情”进入设备管理页面，相关操作参见设备。 链路查看 鼠标停留在链路线上，会出现设备互联信息，如本端端口、远端端口等。 业务网配置 拓扑图左侧展示了有线或无线网的“业务网”配置情况： 无论是有线或无线场景，单击子网按钮，进入子网配置修改页面。其中，无线子网指的是修改SSID配置参数。 图1 云管理网络站点设备拓扑 （可选）站点添加设备。具体操作介绍可参见添加设备。 （可选）站点业务配置。 进入站点首页，单击页面右上角“站点配置”进入业务配置页面。 图2 业务配置页面 查看站点配置结果。 在站点配置页面，单击“配置结果”，进入站点配置结果页面。 在站点配置结果页面，查看配置向设备下发情况。 如果当前设备未上线，“设备配置状态”显示为预配置。 如果当前设备上线，但配置下发失败，可单击“失败重下发”或“全量下发”，重新下发配置。 图3 配置结果页面 单击展开配置结果详情，单击指定特性条目的按钮，可查看该特性配置结果详情。 设置设备本地用户账号和密码。 使用默认的用户账号 网络站点开局过程中，会自动在纳管的设备上生成admin用户和accampus用户。用户密码是平台随机生成的，因此在登录设备Web/CLI界面之前，请单击本地用户列表中按钮重置密码。 默认情况下，平台自动创建admin用户和accampus用户。其中admin账号是设备本地预置账号，accampus账号是平台与设备侧交互的专用账号，若只需要手动登录设备，建议使用admin或其他账号。 admin用户账号会同时对串口生效。 通过CoAP协议纳管的设备（如S210系列）仅支持admin账号。 如需要删除用户，不推荐删除admin用户。 删除用户之前，请确保已经新建其他管理员用户账号，避免无法登录设备Web/CLI界面。 自定义用户账号 单击本地用户列表右上角“创建”，在弹出的“创建本地用户”页面按表2配置参数，完成后单击“确定”。 表2 本地用户配置的部分参数说明 参数 说明 用户名 设备本地用户账号的用户名。 密码 设备本地用户账号的密码。 用户角色 包括监控用户、管理用户两种，二选一，不同角色有不同的网络设备管理权限。 不同级别的用户登录后，只能使用等于或低于自身级别的命令。 监控用户：1级用户。 管理用户：15级用户。 服务类型 本地用户账号服务的协议类型，包括HTTP(S)、SSH和Terminal三种，支持多选。 HTTP(S)：如果勾选该选项，则可以使用该用户通过浏览器以HTTP(S)协议登录设备的WebUI界面。 SSH：如果勾选该选项，则可以使用该用户通过SSH客户端登录设备的命令行界面。 Terminal：如果勾选该选项，则可以使用该用户通过终端，即Console口登录设备命令行界面。 说明： 登录方式为Telnet和FTP时存在安全风险，建议使用STelnet和SFTP，此时，用户服务类型配置为SSH。 缺省情况下，HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险，因此建议用户替换为官方授权的数字证书。 对分布式AP生效 本地用户账号对分布式AP是否生效的控制开关。注意，默认分布式AP不支持用户角色和服务类型。 设置管理VLAN。 设置自协商。只有开启该功能后，本站点内的自协商管理VLAN才能生效。 单击列表右上方“自协商”，在弹出的页面开启“自协商管理VLAN”并单击“应用”。 防火墙和交换机设备的所有物理接口默认开启“管理VLAN自协商”，这些接口的下行网元可通过自协商自动切换管理VLAN。 如需在特定设备某些接口上关闭该功能，请进入该设备“接口”页面选中接口，在“高级”参数中将“管理VLAN自协商”设置为“OFF”。 如果站点中交换机设备的某个Eth-Trunk口上开启“Eth-Trunk自协商”开关（缺省关闭），则对该Eth-Trunk的所有成员接口，下行直连交换机的对应物理口将自动加入Eth-Trunk0，并通过自协商的管理VLAN接入上行网络。 图4 自协商配置 修改管理VLAN。 选择设备条目，单击按钮或者单击列表右上方“修改”，阅读风险提示后单击“确定”进入修改管理VLAN页面。 以FW配置为例 ，参数说明请参见表3，单击“确定”。 配置管理VLAN属于高危操作，请谨慎操作。因为修改管理VLAN将导致设备暂时离线并重新上线，请确保配置正确，否则会导致设备脱管。 图5 修改管理VLAN 表3 管理VLAN参数表 参数 说明 自协商管理VLAN（仅防火墙和交换机） 下行网元连到当前设备时，可以通过协商机制将管理VLAN切换为该VLAN，使其能从DHCP服务器获取IP地址，从而注册到华为乾坤。 取值范围1~4094。 无线自协商管理VLAN（仅交换机） 下行无线设备连到当前设备时，可以通过协商机制将管理VLAN切换为该VLAN，使其能从DHCP服务器获取IP地址，从而注册到华为乾坤控制台。 取值范围1~4094，不能与“自协商管理VLAN”值相同。 管理VLAN（仅交换机和AP） 为当前设备指定管理VLAN，配置管理VLAN后，华为乾坤可以通过管理VLAN的VLANIF接口连接到当前设备，实现网管集中管理设备。 用户可以使用默认的管理VLAN，也可以自定义管理VLAN。 默认：默认的管理VLAN为1。 自定义：管理VLAN ID取值范围为1~4094。 上行口PVID使能（仅交换机） 接口缺省VLAN标识，即PVID，指的是二层接口上的缺省VLAN ID（每个二层接口上有且只有一个VLAN ID 作为PVID）。在接口收到流量，并且该流量不携带任何VLAN ID信息时，该接口认为这些流量属于PVID对应的VLAN。缺省情况下，所有接口的PVID均为 VLAN 1。 开启该开关后，上行口的PVID将会设置为“管理VLAN ID”中配置的VLAN ID。 如果当前设备的上行口为Access口，缺省VLAN即为该接口允许通过的VLAN，修改该接口允许通过的VLAN即为修改该接口的缺省VLAN。 如果当前设备的上行口为Trunk口，该接口允许多个VLAN通过，但只能有一个缺省VLAN，修改接口允许通过的VLAN，不会修改接口的缺省VLAN。 上行口自动放行（仅交换机） 开启该开关后， 如果当前设备的上行口为Trunk口，会自动将管理VLAN加为允许通过的VLAN。 修改或清除管理VLAN后，如果当前设备的上行口为Trunk口，上行口中已允许通过VLAN中将保留原管理VLAN。 如上行口不再需要允许通过此原有管理VLAN，可在交换机接口页面删除。 如果当前设备的上行口为Access，会自动将管理VLAN作为缺省VLAN ID。 IP获取方式（仅交换机和AP） 配置管理IP地址的获取方式。对于交换机，仅当“管理VLAN”为自定义时才支持此功能。 动态：动态获取管理IP地址。 静态：手工设置管理IP地址，需配置IP地址、掩码和网关地址等。 说明： 通过静态获取IP方式时，AP设备还需配置DNS服务。

行业安全管理建设场景 在政府、医疗、教育等行业，上级行政主管部门对下级单位提出了较高的网络安全要求，但下级单位由于安全预算有限、技术能力储备不足等问题较难实现完善的网络安全建设。同时，上级主管部门无法有效管理网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，满足上级主管部门的网络安全要求。 上级主管部门能够对下级单位进行有效管理，对不满足项可以及时督促整改。 图3 行业安全管理建设场景 采用边界防护与响应服务可以实现： 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力。 借助华为乾坤对威胁事件进行统一分析，统一响应及时阻断，同时借助华为乾坤安全专家解决疑难问题，弥补下级单位技术能力储备不足的问题。 华为乾坤向下级单位发送安全告警和邮件报告的同时，也向上级主管部门发送全局安全检测报告，全面展示下级单位的安全状况，安全事件处置是否及时等，实现对下级单位的有效管理、及时督促。

中小型企业互联网出口场景 中小型企业通常缺乏安全投资，没有专职的网络安全负责人，也难以负担驻场服务。即使购买了最基本的安全设备，通常也会因为没有专业安全运维人员而无法发挥作用。此类型企业的安全防护能力几乎是一片空白，只要一个普通的病毒就可能导致整个信息系统不可用。随着网络安全形势日趋严峻，已严重影响到日常业务运营，因此网络安全建设也成为此类型企业必须面对的课题。 此类型企业安全建设的主要诉求包括： 由于没有人力投入安全运维，因此不想购买多种安全设备。 安全预算非常有限，买不起驻场服务，希望将“网络安全建设”外包出去，获得基本的安全能力，在保证内网与外网能够互通的同时，不影响日常业务运营。 图1 中小型企业互联网出口场景 采用边界防护与响应服务可以实现： 仅需在企业互联网出口部署一台天关，通过华为乾坤自动向天关下发入侵防御、反病毒基本防御能力，能够有效拦截外网威胁和避免病毒文件感染，在保证内网与外网能够互通的同时，不影响日常业务运营。 只需少量的投资，即可购买云服务安全能力并获得安全专家服务和智能处置能力，将“网络安全建设”外包给华为乾坤，大幅减少本地运维工作量。

大型企业集团多分支互联场景 大型企业集团业务一般遍及全国，在全国多省市设有分支，且分支之间业务来往频繁。此类型企业一般在集团总部设有小型的网络安全部门，安全投资主要依赖安全厂商或集成商进行建设，从厂商或服务商购买驻场服务。由于驻场服务人员的能力有限、分支基本没有专门的安全运维人力、分支之间互联网数据传输频繁等原因，导致集团整体的安全状况堪忧，可能轻易就被普通水平的黑客攻陷。 此类型企业安全建设的主要诉求包括： 简化本地运维：受限于安全运维人力成本，无法为每个分支派驻安全运维人力或购买驻场服务，即使为分支购买了驻场服务，由于驻场服务人员的能力有限，也难以达成安全效果。 实现统一防护：能够对分支机构网络防护全部覆盖，可以统筹分析全集团的安全事件，并统一响应、及时阻断威胁，同时集团总部能够及时了解每个分支的安全状况。 图2 大型企业集团多分支互联场景 采用边界防护与响应服务可以实现： 利用华为乾坤的智能分析和处置能力提升自动运维效率，自动拦截威胁，华为乾坤安全专家资源7*24小时在线服务，解决复杂网络安全问题，有效简化本地运维。 通过在每个分支的互联网边界处部署一台天关作为安全防御节点，结合华为乾坤的安全服务实现对所有分支网络的统一防护。 借助华为乾坤对安全事件的统筹分析，及时自动响应阻断威胁，并将安全告警通过邮件发送至总部安全管理员，总部安全管理员可针对性进行应急响应，解决严重的失陷主机事件。总部安全管理员借助全局安全服务周报、月报了解整体的网络安全态势，把握全集团的网络安全动态。

逻辑架构 如图1所示，边界防护与响应由三个部分组成。 本地网络边界防护：部署在租户网络边界的天关提供入侵防御、反病毒、DNS过滤等能力，守护本地网络边界安全。 租户数据处理：华为乾坤的数据接入中心模块对天关侧的日志进行相关处理，并将各业务数据进行持久化存储。 威胁分析与处置：华为乾坤的威胁分析与处置模块获取各业务数据后，通过威胁检测、事件分析与响应、安全管理三个子模块协同工作共同完成自动化分析和安全响应。具体分析过程请参见图2。 图1 逻辑架构

威胁分析与处置 如图2所示，威胁分析与处置中心模块获取各业务数据后，通过威胁检测、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。 威胁检测：针对获取的日志，直接进行格式、字段等预处理后输出异常事件。 事件分析响应：对输出的异常事件依次进行聚合分析、自动化分析、安全响应。 针对输出的异常事件根据对应的聚合策略进行聚合分析，然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件，由安全响应执行自动响应动作，在自动化分析的基础上，分析后的事件（包括命中或未命中事件）由安全专家进一步分析处置。 安全管理：为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力、日常管理能力、安全响应管理能力等。 安全专家可以通过事件管理查看自动化分析后的事件；通过模型管理及时配置和调整自动化分析模型；通过响应管理完成黑白名单的日常维护工作。 图2 威胁分析与处置

操作步骤 参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。 本章节以“安全运营中心（威胁事件）”入口为例。 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。 图1 失陷主机待处置事件 单击待处理事件的“失陷主机”列，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。 完成处置后，可以在“处置记录”页签查看处置记录。 失陷主机详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。 处置建议中可能包含处置手册下载链接，可供您参考。 若租户同时购买智能终端安全服务，并检测到失陷主机存在挖矿行为或感染病毒，可以在详情页面的“处置建议”区域中进行处置。 一键隔离：隔离操作将会杀死该主机上的全部挖矿进程，并隔离这些进程文件。 病毒查杀：根据查杀结果，手动处理病毒文件（立即终止运行进程并将病毒文件移动到隔离区，或忽略不处置）。 若失陷主机上存在多个挖矿或病毒事件，对单个事件进行处置时，此失陷主机上的其余事件也会被同步处置。处置完成后，所有事件都会被标识为“已人工处置”状态。 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。 图2 失陷主机威胁事件详情 隔离主机 当确认此失陷主机上无业务运行，或者隔离后不影响正常业务，此时可在操作列单击“隔离主机”下发IP黑名单。 华为乾坤向天关/防火墙下发IP黑名单后，由天关/防火墙对黑名单IP执行隔离操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。 设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行隔离主机操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。 图3 隔离主机 如果失陷主机的处置状态被打上标记，表示“隔离已解除”。 标记状态 已人工处置 租户根据具体的事件采取人工处置，比如对失陷主机执行病毒查杀，并确认此主机已无安全风险后，在操作列将失陷主机标记为“已人工处置”。 忽略 租户经过排查后发现失陷主机无需处理或者是误报时，在操作列将失陷主机标记为“忽略”。后续就无需再关注此事件。

后续处理 您可以单击失陷主机列表中的“录入资产”按钮，将失陷主机录入云平台。 使用IPv6地址的失陷主机不支持录入资产，资产录入的参数说明请参见《租户操作指南》中“资产录入”章节。 对于已录入的资产，您可以单击失陷主机列表中的资产名称，对资产信息进行编辑。 您可以单击失陷主机列表中的失陷主机IP，查看此失陷主机详情页面。 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。 您可以单击“导出详情”，导出包含失陷主机详细信息的Word格式文件。 导出完成后，将鼠标悬停在右上角帐号，单击“下载中心”，下载对应文件。 图4 下载中心 您可以单击失陷主机详情页面中关联告警事件列表中的事件名称，查看此事件的详情页面。 图5 事件详情页面

背景信息 华为乾坤按照以下顺序判定威胁事件是否为失陷主机。 如果是信任域内的主机存在攻击行为，判定为失陷主机。信任域的具体信息请参见配置设备安全域。 如果是全局白名单内的IP地址存在攻击行为，判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。 如果是在不可信内网地址内的主机存在攻击行为，不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。 如果是缺省私网网段内的IP地址存在攻击行为，判定为失陷主机。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。 根据失陷类型的不同，安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签，暂未识别失陷类型的归入“其他”。 针对失陷主机，华为乾坤向租户发送短信和邮件告警，失陷主机的状态置为“未处置”。租户需要进一步确认和处置，处置方法包括隔离主机和标记状态（已人工处置、忽略）。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙、USG6000E-C系列天关、USG6000E系列防火墙从V600R023C10及之后的版本支持自动下发域名黑名单功能，并且开通如下一种版本时，才能使用自动下发域名黑名单功能。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务试用版 边界防护与响应服务高级版

背景信息 华为乾坤需要识别攻击的发出区域、到达区域属于的安全域类型用于分析威胁事件。 华为乾坤提供以下几种类型的安全域： 信任域：用户信任的安全区域，通常用来定义用户的内部网络，华为乾坤不会对该区域发起的“威胁流量”进行封禁。 混合域：介于信任域和非信任域之间安全区域，属于一个特殊的网络，华为乾坤不会对该区域发起的“威胁流量”进行封禁。 非信任域：属于用户不信任的安全区域，通常用来定义Internet等不安全的网络，华为乾坤会自动封禁从该区域发起的“威胁流量”。

委托MSP管理 背景信息 用户根据自身实际情况，选择合适的MSP（服务渠道商）进行代维授权。通过MSP进行日常运维，可以降低企业人力投入成本。 操作步骤 使用租户账号登录华为乾坤控制台。 在控制台页面，将鼠标移至页面右上方用户账号位置，选择“委托”进入委托界面。 单击“创建”，根据表1设置参数。 图1 委托MSP页面 表1 委托参数 参数 说明 受托方标识 如果当前租户账号由MSP创建，界面默认填充对应MSP的标识。 如果当前租户账号是自注册，请向被委托的MSP获取唯一标识码（MSP账号界面右侧唯一ID）。 委托列表 可以委托给MSP代维的服务列表及对应的执行权限。 当委托角色选择为“边界防护与响应管理员”时，MSP对业务有操作权限。 当委托角色选择为“边界防护与响应审计员”时，MSP对业务仅有查看权限。 当委托角色选择为“边界防护与响应开放接口操作员”时，MSP对开放接口业务有使用权限。 默认全部选择，单击服务卡片上的“自定义角色”可以选择委托的角色。 委托到期时间 选择委托到期时间，到达该时间后，本次委托将自动结束。 说明 委托说明，此处填写的内容将在MSP的审批流程中显示。 单击“确定”。 在弹出的授权清单界面，确认风险，勾选“我已阅读代操作授权风险告知协议并明确该操作的风险”，单击“确定”。 在MSP审批同意后，将与MSP建立委托关系。 父主题： MSP身份开通

操作步骤 参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。 本章节以“安全运营中心（威胁事件）”入口为例。 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。 图1 外部攻击源待处置事件 单击待处理事件的“攻击源IP”，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。 完成处置后，可以在“处置记录”页签查看处置记录。 外部攻击源详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。 若租户同时购买智能终端安全服务，并检测到终端存在异常登录或暴力破解行为，可通过华为乾坤控制台对可疑IP执行封禁操作，封禁操作与此处“封禁攻击源”等效。 租户在智能终端安全服务处置完成后，边界防护与响应服务将此外部攻击源的“处置状态”同步为“已封禁”。 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。 图2 外部攻击源威胁事件详情 封禁攻击源 当确认此IP地址为外部攻击源地址，此时可在操作列单击“封禁攻击源”下发IP黑名单。 华为乾坤向天关/防火墙下发IP黑名单后，由天关/防火墙对黑名单IP执行封禁操作，来自黑名单IP的请求和去往黑名单IP的请求都会被阻断。 设备存在绑定热备场景。当两台设备均已成功上线并绑定热备，主设备无法正常工作时，备设备会在短时间内进行替代，完全实现主设备功能。以事件维度进行封禁攻击源操作时，会对绑定热备的两台设备同时下发IP黑名单，在历史IP黑名单中显示两条记录。 图3 封禁攻击源 如果外部攻击源的处置状态被打上标记，表示“封禁已解除”。 标记状态 已人工处置 租户根据具体的事件采取人工处置，比如根据事件的源、目的地址查找目标主机，并对目标主机执行病毒查杀。处置完成后，在操作列将外部攻击标记为“已人工处置”。 忽略 租户经过排查后发现事件无需处理或者是误报时，在操作列将外部攻击标记为“忽略”。后续就无需再关注此事件。

后续处理 外部攻击源的攻击源IP前显示攻击源IP所在国家国旗，鼠标悬停在国旗上可显示国名。您可以单击外部攻击源列表中的攻击源IP，查看此外部攻击源详情页面。 您可以在高级搜索中设置筛选条件，单击“导出”，导出符合筛选条件的外部攻击源列表（Excel格式文件）；或勾选预导出的外部攻击源，单击“导出”，导出选中的外部攻击源列表。 外部攻击源详情页面包含处置建议、处置记录、外部攻击源分析、关联告警事件列表等信息。 您可以单击“导出详情”，导出包含外部攻击源详细信息的Word格式文件。 导出完成后，将鼠标悬停在右上角帐号，单击“下载中心”，下载对应文件。 图4 下载中心 您可以单击外部攻击源详情页面中关联告警事件列表中的事件名称，查看此事件的详情页面。 图5 事件详情页面

背景信息 华为乾坤按照以下规则判定威胁事件是否为外部攻击源。 非信任域或混合域内的主机存在攻击行为，同时存在攻击行为的主机IP不在全局白名单内，且不在缺省私网网段内，此时判定此威胁事件为外部攻击源。 非信任域或混合域的具体信息请参见配置设备安全域。全局白名单的具体信息请参见配置全局白名单。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。 非信任域或混合域的内网地址存在攻击行为，同时该内网地址在不可信内网地址内，判定为外部攻击源。不可信内网地址的具体信息请参见配置不可信内网地址。 针对外部攻击源，华为乾坤有如下几种处置方式： 华为乾坤智能分析后成功下发IP黑名单，其状态显示为“已封禁”。 华为乾坤智能分析后无法下发IP黑名单，由安全运营专家进一步分析后手动成功下发IP黑名单，其状态显示为“已封禁”。 华为乾坤智能分析和安全运营专家根据现有信息无法处置或者下发失败时，需要租户进行人工处置，其状态显示为“未处置”。 租户需要对“未处置”的外部攻击源进行处置，处置方法包括封禁攻击源和标记状态（已人工处置、已忽略）。 开通如下版本时，才能使用华为乾坤自动下发IP黑名单。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务专业版 边界防护与响应服务高级版 边界防护与响应服务试用版

安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用华为乾坤的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单或发送告警两种安全响应动作： 自动化分析判定后可以自动处置的告警事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的告警事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户或MSP可以在安全运营中心处置威胁事件中下发黑名单。

背景信息 华为乾坤根据设备提供的日志判断威胁事件的检测类型，如果检测类型为AV/CDE，则此威胁事件被识别为恶意文件。 如果设备检测到恶意文件时已拦截，则恶意文件事件的状态为“已拦截”，如果设备检测到恶意文件时未拦截，则恶意文件事件的状态为“未处置”。 针对“已拦截”、“未处置”的恶意文件，华为乾坤可以向租户发送短信和邮件告警通知租户或者下发IP黑名单。 租户需要对“未处置”的恶意文件进行处置，处置后将其状态标记为“已人工处置”或“已忽略”。

操作步骤 参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。 本章节以“安全运营中心（威胁事件）”入口为例。 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。 图1 恶意文件待处置事件 单击待处理事件的“事件名称”列，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。 完成处置后，可以在“处置记录”页签查看处置记录。 恶意文件详情界面中的事件名称以及恶意文件详情可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。 若租户同时购买智能终端安全服务，并检测到终端资产存在恶意文件，可以在详情页面的“处置建议”区域进行处置。 华为乾坤对恶意文件取证后，将资产信息和文件信息发送到对应终端Agent，Agent根据文件HASH快速查找文件路径，租户可选择将恶意文件隔离或删除。 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。 图2 恶意文件威胁事件详情 标记状态 已人工处置 租户根据具体的事件采取人工处置，比如根据事件的源、目的地址、文件名等查找并清除恶意文件。 确认风险主机中已清除恶意文件后，在操作列将事件标记为“已人工处置”。 忽略 租户经过排查后发现为误报或无需处理时，在操作列将事件标记为“忽略”。后续就不用再关注此事件。

操作步骤 登录华为乾坤控制台。 在控制台页面，将鼠标移至页面右上方用户账号位置，单击“订单中心”，选择“我的套餐”页签，可以看到已申请的试用套餐。 单击上图中的“绑定设备”。 如果设备没有被添加到华为乾坤控制台中，则绑定方式选择“新增设备并绑定”，输入正确的设备SN、设备款型，并单击“确定”。 图1 新增设备并绑定 如果设备已存在，则绑定方式选择“绑定已有设备”，并选中套餐需要绑定的设备，并单击“确定”。 图2 绑定已有设备 绑定成功后可以看到对应“套餐状态”变为“开通中”；等待设备上线后，套餐状态变为“正常”。