华为云用户手册

背景信息 IP黑名单是一种阻断措施，华为乾坤将IP黑名单下发给设备后，设备会丢弃命中IP黑名单的报文。 从威胁事件维度看，下发IP黑名单有如下几种方式。 外部攻击源：包括华为乾坤自动下发、安全运营专家下发、用户执行“封禁攻击源”下发。 失陷主机：用户可以执行“隔离主机”下发。 此外，用户还可以根据实际的网络环境或业务需要，从设备维度（针对某设备）手动下发IP黑名单，作为上述IP黑名单下发的补充手段，以提高安全防护的灵活性。 IP白名单是一种放通措施，华为乾坤将IP白名单下发给设备后，设备会放通命中IP白名单的报文。 高等级租户享有对自身及下级租户的IP黑白名单的创建、修改权限。 用户手动下发黑白名单时，如果设备黑白名单数量超规格，则会提示下发失败。 华为乾坤自动下发黑名单时，如果设备黑名单数量超过规格，华为乾坤将滚动删除之前自动下发的黑名单，以保证本次下发成功。当剩余的黑名单都由用户手动下发时，华为乾坤自动下发也会失败。

背景信息 Metadata是提取设备原始流量中的会话信息、协议信息等生成的流量元数据，华为乾坤可以对Metadata数据进行智能检测，有效防范通过Web进行的攻击行为（包括信息泄露、凭证窃取、注入检测和拒绝服务等）和通过DNS协议请求恶意 域名 的外联行为。 对于内网重要资产，用户可根据实际需要配置Metadata检测防护规则。华为乾坤根据配置的防护网段接收Metadata数据，并基于Metadata数据进行威胁分析，以便更好地保护内网重要资产。 防护网段配置规则如下： 已配置防护网段的设备，采集： HTTP协议并且目的IP在防护网段内的Metadata数据。 DNS协议并且源IP在防护网段内的Metadata数据。 未配置防护网段的设备，不采集Metadata数据。

代维方式介绍 MSP（Managed Service Provider，管理服务供应商），一般是指为普通租户提供网络部署、管理、安全检测、安全防御以及运维等一系列工作的机构。MSP通常具备较为专业的业务管理和维护能力。 当普通租户购买华为乾坤后，发现本身不具备完备的网络建设、业务管理、安全运维能力时，可以委托专业的MSP管理，以降低企业人力和资金的投入。租户委托MSP后，MSP可以对委托业务进行日常状态管理、定期巡检，发现并处理业务运行中存在的异常和问题，同时给出风险评估和事件处置方法。 一个租户账号可与多个MSP账号建立委托关系，一个MSP账号可代维多个租户账号下的服务。 MSP支持以下两种代维方式： 以租户维度进行代维：MSP直接以租户身份进入租户页面进行操作。 以服务维度进行代维：MSP对单服务下所有代维租户进行管理和操作。 父主题： MSP代维指导

配置思路 登录华为乾坤控制台，配置全局白名单，增加租户的全部内网地址段，保证对内网流量的检测。 配置交换机到DNS服务器的流量为镜像流量（回程流量不需要检测），并且保证镜像流量可以到达天关2镜像口。 配置天关1。 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置 漏洞扫描 和 云日志 审计业务接口，已购买 漏洞扫描服务 或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。 配置天关2。 配置镜像流量接收口为旁路检测模式。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志等。 配置边界防护与响应服务业务参数。 漏洞扫描服务和云日志审计服务仅通过天关1与云端进行通信，所以仅在天关1上配置漏洞扫描服务和云日志审计服务的业务接口以及业务参数，天关2上无需配置。

搜索和关注租户 以MSP账号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

搜索和关注租户 以MSP账号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

什么是云沙箱 云沙箱服务是一种高级威胁分析服务，核心能力是做文件威胁检测。该服务利用多引擎虚拟检测技术，通过静态内容检测、动态行为检测、威胁综合分析等技术识别网络中传输的恶意文件和威胁攻击，为云服务提供文件未知威胁检测能力，构建云端APT检测能力，增强文件/域名安全竞争力。同时协同防火墙提升云端、边侧的未知威胁检测能力，弥补了传统安全设备基于特征检测技术的不足，有效避免未知威胁攻击的扩散和企业核心信息资产损失。 云沙箱服务通过联动华为防火墙，利用多引擎虚拟检测技术，检测防火墙上传的文件。防火墙通过查询云沙箱服务检测结果，更新缓存中的恶意文件列表，自行阻断恶意文件。同时防火墙将检测到恶意文件的告警发送给边界防护与响应服务，边界防护与响应服务下发处置策略，当后续具有相同特征的流量命中恶意文件列表时可以进行阻断或告警等处理。 图1 云沙箱服务架构图 云沙箱服务主要提供以下功能： 文件检测：支持多病毒静态检测，Windows文件的动态检测。通过防逃逸、深度行为分析等技术提供高精度的检测能力。 威胁综合分析：深度提取以行为关系图、进程树等形式展示的静态数据或动态行为数据，根据检测结果对恶意文件进行综合威胁判定，并给出威胁相关信息。 云边协同：为防火墙提供未知文件检测能力，协同防护。上传文件的防火墙通过获取云沙箱服务检测结果，根据检测结果更新缓存中的恶意文件列表，自行阻断恶意文件。同时防火墙将恶意文件的告警发送给边界防护与响应服务，边界防护与响应服务下发处置策略，当后续具有相同特征的文件命中恶意文件列表时可以进行阻断或告警等处理。 父主题： 产品介绍

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许。 图2 查看安全策略 在界面的右上角，单击CLI控制台按钮。 图3 进入CLI控制台 参考如下操作，进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

背景信息 当病毒扫描任务执行完成后，检出的病毒文件均不被自动处置，状态显示为“未处置”。租户需要在“防病毒中心”对检出的病毒文件进行人工处置，处置方法包括处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中病毒文件事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对病毒文件事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 此外，租户还可通过“威胁分析”获得与该病毒文件有关的威胁信息。

IP和域名威胁信息标签 IP和域名威胁信息标签说明如表1所示，其中黑标签即为恶意标签，中性标签为此IP或域名在生产过程中出现的客观属性信息，白标签为白名单类别。 表1 IP和域名威胁信息标签说明 threat_type_EN threat_type_CN 恶意类别 详细说明 是否存在IP类 是否存在域名类 Attacker 网络攻击者 黑 是指存在网络攻击行为的主机，用来执行漏洞利用、载荷投递、命令控制等任务。 Y N Bruteforcer 暴力破解器 黑 是指攻击者对目标账号或服务进行重复猜测，以获取账号登录凭据的主机。当密码或登录凭证未知时，攻击者通过暴力破解技术尝试获取访问权限。 Y N CnC 命令与控制服务器 黑 命令控制服务器是指攻击者向被控制主机发送控制命令的主机，常使用传输层协议（TCP、UDP）、应用层协议（HTTP、HTTPs、DNS）进行通信。 Y Y DDoS 分布式拒绝服务 黑 是指攻击者执行网络拒绝服务攻击。攻击者通过多个主机同时向一个或多个目标发动拒绝服务攻击，导致攻击目标带宽资源或者计算资源耗尽，进而出现宕机或者不可访问的情况。 Y N DGA DGA域名 黑 是指通过DGA算法生成的域名。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表，从中选取几个来作为命令控制服务器，恶意软件会持续解析这些域名，直到发现可用的服务器地址。 N Y Exploit 漏洞利用 黑 是指利用攻击目标可能存在的漏洞来展开攻击的主机。攻击者通过漏洞获取攻击目标的Root权限，以执行其他高权限动作。 Y N Malicious Site 恶意站点 黑 是指与攻击者存在通信行为的主机，属于攻击者的基础设施，可能是恶意下载站、失陷站点、钓鱼站点等。 N Y Malware Site 恶意软件分发站点 黑 是指托管恶意软件或漏洞攻击包的站点。攻击者攻陷目标主机后，下载恶意软件或漏洞攻击包，进而执行其他恶意动作，如勒索、扫描等。 Y Y Phishing 钓鱼站点 黑 是指攻击者用于收集目标信息或完成恶意软件植入的站点。攻击者通过发送钓鱼邮件等方式，诱导用户访问伪造的链接或文件，进而达成钓鱼攻击。 N Y Scanner 扫描器 黑 是指通过扫描的方式收集本地或远端存在的漏洞，以及其他信息的主机，攻击者通过扫描器获取的信息指导接下来的攻击动作。 Y N Spammer 垃圾邮件 黑 是指发送垃圾邮件的主机。垃圾邮件泛指未经收件人同意而发送的电子邮件，例如未经收件人同意而发送的商业广告邮件等。 Y Y Zombie 僵尸主机 黑 是指被攻击者控制的主机，已成为攻击者的基础设施。这些主机用来执行其他恶意操作，如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等，同时这些主机可以有效隐藏真实的攻击源。 Y N PUA 潜在有害应用 黑 是指访问可能使用户数据或设备面临风险的主机或站点，相关应用通常在用户同意的情况下安装。典型表现为弹窗广告、锁定浏览器首页、收集用户信息、安装用户不需要的软件等。 N Y Miner 矿工 黑 是指用于挖掘数字货币的主机。在网络安全领域中，失陷主机常被用作矿工执行挖掘数字货币的任务。 Y N Suspicious 可疑 黑 是指具有可疑恶意行为的主机或站点。 Y Y Compromised 失陷站点 黑 是指被攻击者控制的主机或者站点。攻击者通过失陷主机执行其他恶意操作，如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等。 N Y Mining Pool 矿池 黑 是指矿工的资源池，矿工通过网络共享本地的计算能力并获取矿池的奖励。攻击者攻陷主机后，常会将失陷主机的算力接入矿池进行矿挖用于获取奖励。 Y Y Sinkhole 被安全机构接管的CnC 黑 是指被运营商或者安全厂商接管的站点或主机。Sinkhole技术是指在域名被判定为恶意后，由运营商或安全厂商将其原本解析的IP变更到无害IP的技术。 Y Y Crypto Mining 挖矿 黑 非矿池的其他挖矿相关场景，如数字货币交易所，矿池首页，网页挖矿等。 N Y Advertising Site 广告服务域名 中性 是指对外提供广告或推广服务的站点。 N Y CDN CDN 中性 是指承载内容分发网络的主机。CDN是指构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。 Y Y DDNS 动态域名 中性 是指将用户的动态IP地址映射到一个固定的域名解析服务上的站点，用户每次连接网络的时候，客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序，服务程序负责提供DNS服务并实现 动态域名解析 。动态域名除去正常的用途外，常用于攻击者快速构建命令控制服务器（CnC）、文件托管服务器。 N Y Name Server 名称服务器 中性 是指提供域名解析服务的主机。 Y Y Proxy 代理 中性 是指用于转发客户系统的网络请求的主机或站点。 Y Y EDU 教育 中性 是指教育机构使用的主机或站点。 Y Y GOV 政府 中性 是指政府机构使用的主机或站点。 Y Y TOR 洋葱路由器 中性 是指使用洋葱路由技术对数据进行层层加密过程中使用到的主机，通过洋葱路由技术可以保证数据的完整性和保密性。 Y N Crawler 爬虫 中性 是指存在爬虫行为的主机。网络爬虫是基于一定的规则自动地抓取互联网信息的程序或者脚本。 Y N IDC IDC服务器 中性 IDC服务器。 Y N Base Station 基站 中性 是指2/3/4/5G网络使用的基站IP。 Y N Backbone 骨干网 中性 骨干网IP。 Y N Satellite Communication 卫星通信 中性 是指卫星通讯机构使用的主机。 Y N Gateway 网关 中性 是指组织机构、基础设施或大型企业网络的出口IP。 Y N Dynamic IP 动态IP 中性 是指被普通家庭使用的IP，通常覆盖多个小区。 Y N Bogon 保留地址 中性 是指保留IP地址。 Y N Whitelist 白名单 安全 白名单。 Y Y 父主题： 威胁信息标签说明

解决方法 打开浏览器（推荐Chrome浏览器），访问标准配置页面：https://防火墙管理口IP地址:端口号/default.html。 输入管理员账号和密码，登录防火墙Web配置界面。 选择右下角“CLI控制台”，在控制台窗口单击左上角“点击连接…” 显示“已连接”状态后，在控制台输入以下配置命令。 system-view // 进入系统视图 arp miss anti-attack rate-limit source-ip x.x.x.x maximum 1000 // 根据源IP地址设置ARP Miss消息的限速值 双斜杠前为配置命令，双斜杠后为配置命令解释说明，无需输入。 x.x.x.x为防火墙通过三层接口访问资产时的接口IP，以下图为例，即为GE0/0/2的IP。 图1 组网场景

查看安全防护大屏 MSP安全防护大屏展示所有代维租户的安全事件的相关数据。 以MSP账号登录华为乾坤控制台，单击左上角菜单栏的“大屏”。 可选：单击页面左上角的按钮，根据租户标签筛选租户，自定义显示相关数据。 查看MSP安全防护大屏。 图5 MSP安全防护大屏 表1 MSP安全防护大屏模块说明 模块 说明 威胁事件 展示已处置的外部攻击源、失陷主机、恶意文件数量与总数的对比。 威胁检测类型TOP5 展示数量排名TOP5的威胁事件类型。 失陷类型TOP5 展示数量排名TOP5的失陷主机类型。 安全事件 展示各类安全事件数量。 原始告警：华为乾坤根据天关提供的威胁日志识别的原始事件。 告警事件：华为乾坤利用自动化模型分析和安全运营专家人工处置后，将原始事件处置为告警事件。 威胁事件：华为乾坤对告警事件进一步智能分析后形成威胁事件，威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。 攻击地图 动态呈现最新威胁事件源到端的攻击方向及地域分布。 最近事件 按时间顺序由近到远呈现威胁事件相关信息。 抵御攻击类型数 展示数量排名TOP5已抵御的攻击类型。 威胁判定平均时长 华为乾坤根据天关/防火墙提供的威胁日志，进行分析后判断是否识别为威胁事件，展示其平均检测时长。 威胁综合阻断率 展示威胁事件阻断情况。 攻击流+攻击源双重拦截：天关/防火墙的安全防御策略识别到并已拦截和华为乾坤已执行下发黑名单操作的威胁事件数量。 攻击流阻断：天关/防火墙的安全防御策略识别到并已拦截的威胁事件数量。 攻击源封禁：华为乾坤已执行下发黑名单操作的威胁事件数量。 剩余事件：未处理的威胁事件数量。

搜索和关注租户 以MSP账号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 检查default策略的动作是否为“允许”，如果不是，修改default安全策略为允许。 图2 查看安全策略 在界面的右上角，单击CLI控制台按钮。 图3 进入CLI控制台 参考如下操作，进入系统视图。 图4 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

文件威胁信息标签 文件威胁信息标签说明如表1所示，其中黑标签即为恶意标签，中性标签为此文件在生产过程中出现的客观属性信息，白标签为白名单类别。 表1 文件威胁信息标签说明 threat_type_EN threat_type_CN 恶意类别 详细说明 Trojan 木马 黑 指伪装成正常应用的恶意软件。 Worm 蠕虫 黑 指通过网络进行自我传播和复制的恶意软件。 Exploit 漏洞利用代码 黑 指用于漏洞攻击的恶意软件，通常包含一种或多种漏洞利用的攻击代码。 Adware 恶意广告 黑 指被广告商资助开发的恶意软件，通告包含收集用户隐私信息的功能。 HackTool 黑客工具 黑 指被攻击者用来实施网络攻击的工具，通常由攻击者开发。 Rootkit Rootkit 黑 指用来隐藏文件及进程以避免被系统工具发现的工具，通常被用来隐藏恶意软件。 Packed 加壳 黑 指被加壳工具加壳以逃逸检测及对抗分析的恶意软件。 Backdoor 后门 黑 指在系统上运行后，通过向远程提供一个通信通道，以便攻击者可以访问的恶意软件 Virus 病毒 黑 指通过自我复制进行传播的恶意软件。 EICAR EICAR 黑 指包含特定文本串的，用于测试反病毒软件功能的标准测试文件。 Grayware 灰色软件 黑 指包含非预期的、可疑特征的软件。 Spyware 监控软件 黑 指未在数据属主的允许下收集信息并且发往第三方的软件。 Botnet 僵尸网络 黑 指运行在受感染的系统中，能够和控制服务器通信并和其他受感染主机构成僵尸网络的恶意软件。 Ransomware 勒索软件 黑 指通过加密受害计算机系统中的文件并通过解密文件索取赎金的恶意软件。 Phishing 钓鱼 黑 指通过社工等手段引诱受害人按照恶意软件的意图进行交互及操作的软件，如账号钓鱼、恶意软件传播。 Downloader 下载器 黑 指用来下载和执行其它恶意软件的恶意软件。 Dropper 释放器 黑 指通过将自身加载到内存中，提取恶意负载并写入文件系统的恶意软件。 DDoS 分布式拒绝服务 黑 指用于发起分布式拒绝服务攻击的恶意软件。 Dos 拒绝服务 黑 指用于发起拒绝服务攻击的恶意软件 RAT 远控工具 黑 指能够通过远程攻击者发出的命令控制计算机的恶意软件。 Clicker 点击器 黑 指用于访问特定网页的恶意软件，通常通过高频的访问增加网页的访问量并以此增加广告收入。 Implant 植入器 黑 指通过代码补丁程序或其他工具插入已有程序的恶意代码。 Dialer 拨号器 黑 指主要用于拨打保险费率号码的恶意软件。 SMS er 短消息发送器 黑 指通过发送短信意消耗用户资费的恶意软件。 PWS 密码窃取 黑 指用于窃取各种用户账号及密码的恶意软件。 Flooder 洪范攻击 黑 指用于发起各种洪范攻击的恶意软件。 Spammer 垃圾邮件发送 黑 指用于发送大量垃圾邮件的恶意软件。 Scareware 恐吓软件 黑 指报告目标计算机上存在安全风险、威胁或系统问题等虚假或严重误导性信息的恶意软件。 Joke 恶作剧软件 黑 指用于恶作剧的恶意软件。 Wiper 擦除器 黑 指用于删除文件或者整个磁盘的恶意软件。 web-bug web-bug 黑 指嵌入在web网页或邮件中，检测用户是否有访问权限的恶意软件。 Shellcode Shellcode 黑 指激活系统的命令行界面的一小段代码，可用于禁用安全措施、下载更多恶意代码，或打开系统以供利用的一小段代码。 父主题： 威胁信息标签说明

文件检测 基于多病毒检测引擎，提供静态文件的检测以及动态行为的监控能力，实现对未知恶意文件的检测。文件检测能力详情如表1所示。 表1 文件检测能力 类型 功能描述 静态文件检测 支持对上传的PE/ELF/Office/WebShell/Bash/PDF/HTML/JS/Flash/CHM/Email/Media等文件进行恶意病毒检测。 说明： PE文件：全称Portable Executable，为可移植可执行的文件，常见的有EXE、DLL、OCX、COM文件。该类文件是微软Windows操作系统上的程序文件。 ELF文件：全称Executable and Linking Format，为可执行可关联的文件，扩展名为elf。 动态文件检测 支持模拟Windows系统，对上传的PE文件进行恶意文件动态检测，对释放/删除文件、篡改注册表等动态行为进行监控。

背景信息 为了更好地排查解决故障根因，消减威胁风险，当您在使用本服务的故障分析功能时，您可以选择授权我们收集和上传终端设备生成的故障定位数据，以帮助我们定位故障并提供相关支持。故障定位数据包括已安装软件列表、全量进程列表、系统错误日志、软件错误日志、蓝屏Dump采集以及位于Agent安装目录下的文件。为生成故障定位数据，需要修改系统注册表的对应设置。 华为乾坤将为故障定位数据采取必要的安全措施。您享有删除故障定位数据的权利。对于您权利的行使，如有疑问请通过工单联系我们。

背景信息 域名黑名单是一种阻断措施，华为乾坤将域名黑名单下发给设备后，内部资产将不能访问黑名单中的恶意域名。 一般情况下，华为乾坤对威胁事件进行智能分析后，自动下发域名黑名单。此外，用户还可以根据实际的网络环境或业务需要，从设备维度（针对某设备）手动下发域名黑名单，作为上述域名黑名单下发的补充手段，以提高安全防护的灵活性。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙、USG6000E-C系列天关、USG6000E系列防火墙从V600R023C10及之后的版本支持自动下发域名黑名单功能。 高等级租户享有对自身及下级租户的域名黑名单的创建、修改、删除权限。

背景信息 租户网络出口网关设备的IP对外暴露在公网上，可能存在安全隐患。互联网暴露面风险监测功能可以帮助租户统计网关设备暴露在公网中的IP，并识别其中存在暴露风险的端口或服务。 租户首次使用互联网暴露面风险监测功能时，可以单击页面右上角的“操作指引”了解使用流程。使用互联网暴露面风险监测功能必须对公网IP进行授权，不支持对未授权的公网IP进行风险评估。 只有边界防护与响应服务专业版套餐才包含互联网暴露面风险监测功能。

配置思路 登录华为乾坤控制台，配置全局白名单，防止租户内网资产IP地址被云端（包括云端自动下发、云端安全服务人员）错误下发黑名单。 登录天关，主要配置以下内容： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 对Bypass接口配置接口对，业务流量上下行口连Bypass接口，二层接入。 将Bypass接口对添加Link-Group，并创建Link-Group-Monitor。 USG6603F-C无需配置Link-Group。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

操作步骤（VLAN接口上网） 在管理PC上登录简易界面：https://192.168.0.1:8443/cloud。 登录账号使用跟标准界面相同的管理员账号。 （可选）参考如下界面提示进行配置，以保证天关可以访问云端。 如果设备版本为V600R023C00SPC100之前版本，请执行本步骤。 按照下图所示配置VLAN接口地址。 图1 配置VLAN接口上网 单击“华为乾坤对接配置”进入对接配置页面，单击“检测连通性”。检测成功后，单击“应用”网络配置立即生效，自动触发天关向云端的注册请求。 如果设备版本为V600R022C00SPC100及其之前的版本，请登录标准页面https://192.168.0.1:8443/default.html，执行如下操作设备才能正常上线。 在界面的右上角，单击CLI控制台按钮，（如果是V600R022C00SPC100之前的版本，单击右下角的CLI控制台按钮）。 图2 进入CLI控制台 参考如下操作，执行undo ssh user huawei cert-verify-san enable命令。 图3 系统视图下执行命令 （可选）参考如下界面提示进行配置，以保证天关可以访问云端。 如果设备版本为V600R023C00SPC100，请执行本步骤。 按照下图所示配置VLAN接口地址，并单击“应用”使网络配置生效。 图4 配置VLAN接口上网 单击下图中的“华为乾坤对接配置”，按照下图所示操作，操作完成后自动触发天关向华为乾坤的注册请求。 图5 华为乾坤对接配置

操作步骤 以租户账号登录华为乾坤控制台，单击右上角账号，选择“委托”进入委托界面。 单击“创建”，根据表1设置参数。 表1 委托参数 参数 说明 受托方标识 若当前租户账号由MSP创建，界面默认填充对应MSP的标识。 若当前租户账号是自注册，请向被委托的MSP获取唯一标识码（MSP账号界面右侧唯一ID）。 委托列表 可以委托给MSP代维的服务列表及对应的执行权限。 若希望MSP同时具备查看和编辑权限，委托角色选择为“资产管理管理员”和“漏洞扫描管理员”。 若希望MSP只具备查看权限，委托角色选择为“资产管理审计员”和“漏洞扫描审计员”。 单击“确定”，租户成功委托MSP管理。

背景信息 为进一步分析病毒特征，提高病毒查杀能力，为您提供更专业的安全防护能力，当您在使用本服务病毒查杀功能时，您可以授权我们接收由终端设备HiSec Endpoint Agent软件收集的病毒样本文件并上传至智能终端安全服务进行分析。病毒样本文件仅涉及可执行类型的威胁文件上传，不涉及终端设备用户的个人信息，也不包括终端设备用户基于使用这些文件、网址和软件所产生的任何数据（例如软件的存档、文档、图片等）。 如果取消威胁分析授权，您仍可以正常使用病毒查杀功能，但智能终端安全服务将无法获取病毒样本的下载权限，这可能会降低本服务对终端资产的防护能力。 华为乾坤将为病毒样本文件采取必要的安全措施。您享有删除病毒样本文件的权利。对于您权利的行使，如有疑问请通过工单联系我们。

配置思路 登录华为乾坤控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连防火墙，Switch将通过镜像将流量上送到防火墙进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与防火墙上漏洞扫描和云日志审计接口直连。 配置防火墙： 配置检测接口GE0/0/6为旁路检测模式，该接口与Switch的观察端口直连。 检查default策略的动作是否为“允许”，如果不是，将动作修改为“允许”。 加载云服务特性包。 配置防火墙与云平台对接。 配置边界防护与响应服务的业务参数。 将GE0/0/6加入trust安全域，并配置旁路检测所需要的安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

背景信息 重保服务，即重要敏感时期从网络层面、服务器层面、数据层面为用户构建全方面安全保障服务。 在网络安全演练期间，攻击方使用的攻击主机多数是非恶意IP，在威胁信息库中收录较少甚至没有。针对此类IP，运维人员仅凭现有的威胁信息，难以进行有效地分析处置。威胁信息中心需要及时生产和更新内生威胁信息，以辅助运维人员对抗网络安全演练。 重保威胁信息有以下几种生产方式： 利用AI算法，近实时生产即时网络安全演练数据，并更新到威胁信息中心。 利用威胁信息生产系统，生产通用网络安全演练数据，并更新到威胁信息中心。 安全运营专家手动创建。 租户手动创建。 安全运营专家可以创建重保威胁信息，也可以修改、删除来源于AI算法、威胁生产系统、安全运营专家创建的重保威胁信息，但不能修改、删除租户创建的重保威胁信息。 一级租户可以创建重保威胁信息，也可以修改、删除一级租户创建的重保威胁信息，但不能修改、删除来源于AI算法、威胁信息生产系统、安全运营专家创建的重保威胁信息。非一级租户仅可查看各类重保威胁信息。 威胁信息中心每日执行定时任务，自动删除已过期的来源于AI算法、租户创建、安全运营专家创建的威胁信息。 AI算法和威胁信息生产系统生产的重保威胁信息，如果关联IP地址相同，按IP地址维度归并为一条，在重保威胁信息详情的“来源”中标注其多源头。

注册账号 在开通服务前，您需要注册华为乾坤账号。 华为乾坤控制台是使用华为乾坤的界面，登录前需要先注册华为乾坤账号。 如果您已有华为乾坤MSP（渠道服务商）创建的租户账号，可跳过本节内容。 访问华为乾坤控制台。 在登录页面单击“立即注册”。 图1 控制台登录页面 默认进入“快速注册”页面，可单击“快速注册”页面上“常规注册”跳转常规注册。 快速注册。 输入手机号和验证码，勾选“我已阅读并同意隐私政策声明和华为乾坤云服务用户协议”，单击“注册并登录”。 图2 快速注册页面 如果该号码已经注册华为乾坤账号，将提示注册失败，点击弹窗中“返回登录”，使用该手机号或者绑定该手机号的用户名直接登录控制台。 设置密码，单击“确定”后登录到华为乾坤控制台。 图3 设置密码 常规注册。 设置租户名、用户名、手机号和验证码，勾选“我已阅读并同意隐私政策声明和华为乾坤云服务用户协议”，单击“注册并登录”。 图4 注册页面 为提高安全性，密码设置要求如下，如果设置的密码不符合要求，请按照界面提示修改： 字符串形式，长度不小于8个字符，不超过32个字符。 至少包含1个字母和1个数字。 不能含用户名、用户手机号码和电子邮箱等敏感信息。 不建议使用密码强度低或常见的密码。 注册成功后，您将自动登录到华为乾坤控制台，同时您的手机将收到注册账号信息。 父主题： 服务开通

配置思路 登录华为乾坤控制台，配置全局白名单，防止租户内网资产IP地址被云端（包括云端自动下发、云端安全服务人员）错误下发黑名单。 登录天关2，主要配置以下内容： 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。 登录天关1，主要配置以下内容： 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 配置设备白名单，将区域2NAT后的地址192.168.55.100配置为白名单，保证天关1不检测区域2发出的流量。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

配置思路 登录华为乾坤控制台，配置全局白名单，防止租户内网资产IP地址被云端（包括云端自动下发、云端安全服务人员）错误下发黑名单。 登录天关，主要配置以下内容： 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

开通线下购买的服务套餐 线下购买需要通过华为/渠道工程师在配置器SCT上购买。因此本文不介绍购买过程，仅介绍开通过程。 以租户账号登录华为乾坤控制台。 在控制台页面，将鼠标移至页面右上方用户账号位置，单击“订单中心”，选择“我的套餐”页签。 单击“开通服务”。 单击“根据授权ID激活”，输入“授权ID”，单击“开通”。 “授权ID”请参考界面提示“查看授权ID获取方式”进行获取。 图1 开通服务界面 查看服务开通情况。 在“我的套餐”页签下，如果套餐对应的“状态”为“正常”，说明开通成功。

背景信息 租户在首次购买和开通智能终端安全服务后，或企业内部新增大量终端资产的情况下，需要批量安装HiSec Endpoint Agent。如果都采用本地安装，HiSec Endpoint Agent安装效率低，严重影响企业业务的正常运行。为了满足批量安装场景，提高运营效率，智能终端安全服务提供HiSec Endpoint Agent批量安装功能，租户管理员可通过邮件发送或域控的方式将HiSec Endpoint Agent部署在每一台待管理终端上。