华为云用户手册

如何使用华为坤灵账号登录控制台 在办公或家庭等小型网络场景下，支持工程商通过坤灵账号登录华为乾坤控制台，远程运维和业务部署。 华为坤灵账号登录后，华为乾坤控制台界面只保留坤灵账号需要的主要功能，其他功能在界面不可见，如华为乾坤APP二维码、创建站点等。 该账号必须通过华为坤灵账号方式登录，无法直接登录华为乾坤控制台。 访问华为乾坤控制台。 单击页面下方“华为坤灵账号”，跳转到Uniportal登录页面。 图1 控制台登录页 在Uniportal登录页面输入华为坤灵账号和密码，单击“登录”。 图2 Uniportal登录页面 父主题： 常见问题

线下购买服务的续订 前提条件 当前用户购买的华为乾坤套餐即将到期，且希望继续使用该服务。用户需提前购买相关服务套餐，购买操作请参见服务购买。 背景信息 用户已购的华为乾坤相关服务即将到期，用户希望继续使用该服务。 当前仅支持边界防护与响应服务的续订操作。 操作步骤 登录华为乾坤控制台，在控制台页面，将鼠标移至页面右上方用户账号位置，选择“订单中心”，选择“我的套餐”页签。 选择需要续订的套餐，单击套餐列表中的“立即续订”。 在立即续订页面，单击“添加授权”，输入授权ID，单击“确定”。 图1 添加授权 确认无误后，单击“确定”完成套餐续订。 父主题： 服务续订

服务价值 企业分支多、设备类型多样、安全威胁增多，企业对网络统一管控、统一运维、统一安全处置的诉求激增。华为乾坤实现云、网、端一体化管控保障，解决企业诉求，主要价值如表1所示。 表1 华为乾坤价值 用户诉求 华为乾坤价值 无专业网络运维能力，希望快速开局、云端统一运维 网络自动化部署和编排，扫码开局、智能校验；云端网络巡检、健康监测，降低运维难度。 无专业安全运维能力，而且满足国家等保要求难度比较大 安全事件云端自动处置+安全专家7*24小时云端值守，提供等保方案包一站式满足等保要求。 应用体验保障优化 提供3D Wi-Fi仿真、网络大屏等应用可视和应用保障服务，提升应用体验。 摄像头、传感器、电表等物联终端统一纳管 提供物联感知、物联安全服务，使终端快速接入网络、统一运维、统一监控安全风险。

有服务引导吗 对于新创建的租户，在登录华为乾坤平台时，会有服务引导提示租户进行服务试用，帮助租户功更好地体验华为乾坤。 单击弹窗中的服务试用，会跳转申请服务试用界面，按照提示填写信息，申请服务试用。 图1 服务引导页面 成功申请服务试用后，智能助手小坤会引导租户开通和使用服务。 图2 小坤智能助手引导 当前只有边界防护与响应服务申请试用成功后有智能助手小坤的使用引导。云管理网络暂不支持。 父主题： 常见问题

如何 免费体验 华为乾坤 当前华为乾坤支持用户免费体验，用户可以通过免费体验快速了解华为乾坤。 华为乾坤云管理网络服务的基础管理功能已免费开放，用户可以永久免费使用。用户可以通过下方步骤申请免费体验云管理网络服务的高阶服务。 免费体验操作步骤如下： 进入华为乾坤商城首页。 单击商城右上角“体验Demo”。根据页面提示填写相关信息，并勾选“我已阅读并同意免费体验隐私政策声明”和“我同意对体验活动进行回访”。 图1 免费体验 单击“立即体验”，跳转登录华为乾坤控制台，支持体验全部云服务，具体服务详情介绍请参见各服务用户文档。 若在体验之后想申请试用服务，单击页面右侧“注册并申请试用”。 图2 申请试用 申请试用。 当前手机号未注册正式账号，需要在弹窗中注册账号，输入密码后单击“确定”自动登录华为乾坤平台。 图3 注册账号 当前手机号已注册正式账号，在弹窗中确认当前正式账号，系统自动切换正式账号登录。 在申请试用页面，选择需要试用的服务并填写相关信息，提交试用申请。 图4 免费试用 父主题： 常见问题

控制台首页介绍 使用注册的华为乾坤账号登录控制台，详细过程参见账号注册。控制台首页主要由四个模块组成，包括菜单栏、地图、智能助手小坤和系统健康状态评估模块。 图1 控制台首页 表1 租户首页介绍 模块名称 模块说明 菜单栏 - 控制台提供了工具菜单，如资源中心、账号等。同时页面左侧还有服务列表等。 单击页面左侧“华为乾坤”，可跳转华为乾坤商城页面。单击页面左侧“工作台”，可跳转华为乾坤控制台首页。 地图 - 为方便展示业务布局，提供了地图展示能力。主要包括站点部署、站点间VPN互联概况、站点配置概况和业务安全概况。地图上方还提供全局搜索功能以及数据展示。 站点搜索。在地图左上角搜索框输入站点名称，单击图标或回车键进行搜索。 单击搜索框，会显示当前账号下所有站点及站点待办数量和设备信息。单击列表中的某个站点名称，地图中会自动定位到该站点。 数据展示。包括当前租户下各维度的数量统计信息，如站点、设备等。 单击地图页面上统计数据胶囊，会同步在地图上显示各站点对应资源的异常/总数数据，并在页面右侧显示对应资源统计列表。单击资源列表中的单个资源名称，地图会自动定位到该资源对应的站点，并在上方显示气泡，单击气泡可进入到该资源的详情界面。 - 站点 单击页面上“站点”，可以查看当前租户的站点信息，支持如下操作。 创建站点：在站点统计页面单击“创建站点”，设置站点名称、设备类型和站点位置完成站点创建。 搜索：在站点统计页面输入站点名称，单击或回车键进行搜索。 设备拓扑：单击站点列表中的某个站点名称，单击“进入站点”，可以进入站点设备拓扑页面。详细信息请参见站点首页。 站点设备：单击站点列表中设备数量，可以进入设备管理页面。详细信息请参见设备管理。 站点管理：单击站点统计页面右上角“进入站点管理”，可进入站点管理页面。详细信息请参见站点管理。 - 应用 单击页面上“应用”，可以查看当前租户下的应用信息。 搜索：在应用统计页面输入应用名称或IP地址，单击或回车键进行搜索。 添加保障：单击应用统计页面左上方“添加保障”，可将站点下某一应用设置为重保应用。 应用保障详情：单击应用列表中应用名称，可以查看该应用在各个站点的保障详情。 单击站点列表下的“站点名称”，可以查看应用体验事件页面。 页面左侧是应用路径信息。提供单站点下的应用流信息，并且支持呈现单站点故障的流路径。 侧滑页面呈现整体应用的流量、网络质量、会话流信息。 - 用户 单击页面上“用户”，可以查看当前租户下用户信息。 搜索：在用户统计页面输入用户名或MAC，单击或回车键进行搜索。 添加VIP：单击用户统计页面左上方“VIP管理”，可选择将用户或访客设置为VIP用户。 用户详情：单击用户统计列表中“用户名称”，可以查看该用户在网络中的旅程。 页面左侧通过拓扑轨迹呈现用户的空间旅程。 侧滑页面根据用户评分劣化进行关联指标根因分析，给出排障建议。 - 设备 单击页面上“设备”，可以查看当前租户下设备信息，支持如下操作。 搜索：在设备统计页面输入关键字，单击或回车键进行搜索。 添加设备：在设备统计页面单击“添加设备”，支持添加设备，具体操作请参见添加设备。 设备详情：在设备列表中单击设备名称，可以查看当前设备详情，具体信息请参见设备详情。单击设备详情页面，可以展开/收起详情信息。 设备拓扑：单击设备列表中站点名称，可以进入站点的设备拓扑页面。具体信息请参见站点首页。 设备管理：单击设备统计页面右上角“进入设备管理”，可进入设备管理页面。具体信息请参见设备管理。 - 资产 单击页面上“资产”，可以查看当前租户下的资产信息，支持如下操作。 搜索：在资产统计页面输入资产名称，单击或回车键进行搜索。 资产详情：单击资产列表中资产名称，可以查看当前资产详情。详细信息请参见资产详情查看。单击资产详情页面，可以展开/收起详情信息。将鼠标置于详情页面左侧边界，也可以拉伸详情页面尺寸。 资产管理：单击资产统计右上方“进入资产管理”，可以进入资产管理页面，详细信息请参见资产管理。 - 站点互联 单击页面上“站点互联”，可以查看当前租户下站点互联信息。 搜索：在站点间互联统计页面输入本端站点名称，单击或回车键进行搜索。 互联详情：单击列表本端站点/隧道IP，查看站点互联详情。单击详情页面“同步”可以同步IPSec VPN状态。 互联管理：单击站点互联统计页面“进入站点间互联管理”，可以进入互联管理页面，详细信息请参见云管理网络服务的《网络部署》中的“VPN监控”章节。 - 站点部署和站点配置概况 例如站点地域分布、站点状态、站点设备等信息。单站点支持的操作如下： 查看站点详情。鼠标悬浮在站点图标上，可查看当前站点设备、资产、用户和应用等数据。单击地图上站点图标，会在右侧显示站点详情，包括资源统计和待办事项等。 编辑当前站点信息。鼠标悬浮在站点图标上，单击弹框中，可修改站点名和站点位置信息。 鼠标悬浮在站点图标上，单击弹框中，可进入站点首页。 删除站点。鼠标悬浮在站点图标上，单击弹框中，可删除当前站点。 说明： 聚合站点图标上数字表示当前地点包含的站点数量。 绿色站点图标表示当前站点没有待办事件；红色站点图标表示当前站点存在待办事件。 若当前站点包含设备，则无法删除该站点。 - IPsec-VPN互联概况 展示站点间的VPN连接情况。 鼠标悬停在站点间的连线上，会显示VPN隧道的信息。单击“查看”支持查看站点间互联的详细信息，更多信息请参见云管理网络服务的《网络部署》中“VPN配置”章节。 说明： 用户需要拥有“云管理网络服务”相关权限，且当前账号内存在VPN隧道连接时，显示VPN信息。 若存在多条VPN隧道连接，会在地图VPN隧道连接上显示具体VPN隧道数量。 - 业务安全概况（可选） 如果购买了安全领域服务： 地图左侧会展示攻击事件，单击地图左下角可查看当前账号下所有的攻击事件，单击任意一条事件，可以进入页面快速处置。 地图下方会展示安全防护态势，单击地图右下角可查看当前账号最近15天业务被攻击的次数。 - 地图菜单栏 在地图右下角提供以下操作。 地图默认展示自动视角，可单击地图右下角支持自定义地图视角。 单击菜单栏可全屏展示地图区域。 滚动鼠标可以缩放地图，双击聚合站点或者单击地图页面右下角“+”、“-”图标，可缩放地图站点。 小坤智能助手 - 为提高业务操作效率、降低运维难度，控制台提供了智能助手（小坤机器人）。 系统健康状态评估 - 从开通服务起，智能助手可以实时监测系统安全和网络问题，动态评估系统的健康状态，健康等级如表2所示。您可以查看并处置“待您处理”中的异常事件，提升系统的健康得分。 待您处理：提供自动检测整个系统内的异常事件，提供所有站点内的异常事件处理入口，保障用户业务正常运行。 待您关注：提供消息统一管理功能，单击智能消息中心模块右上方“更多”，可进入消息中心。消息中心详细介绍请参见消息中心。 表2 健康度等级 等级分类 等级颜色 等级分数 安全 绿色 90~100 良好 橙色 70～89 危险 红色 0～69 父主题： 服务使用

安全设备 以华为防火墙为例，说明安全设备的配置方法。 输入管理员账号和密码，登录防火墙设备。 进入系统视图。 system-view 执行以下命令。 [Huawei] info-center enable // 启用日志服务 [Huawei] info-center loghost 10.1.1.1 port 514 // 配置日志发送到天关，10.1.1.1为天关侧与资产通信的内网IP地址 父主题： 配置资产

代维方式介绍 MSP（Managed Service Provider，管理服务供应商），一般是指为普通租户提供网络部署、管理、安全检测、安全防御以及运维等一系列工作的机构。MSP通常具备较为专业的业务管理和维护能力。 当普通租户购买华为乾坤后，发现本身不具备完备的网络建设、业务管理、安全运维能力时，可以委托专业的MSP管理，以降低企业人力和资金的投入。租户委托MSP后，MSP可以对委托业务进行日常状态管理、定期巡检，发现并处理业务运行中存在的异常和问题，同时给出风险评估和事件处置方法。 一个租户账号可与多个MSP账号建立委托关系，一个MSP账号可代维多个租户账号下的服务。 MSP支持以下两种代维方式： 以租户维度进行代维：MSP直接以租户身份进入租户页面进行操作。 以服务维度进行代维：MSP对单服务下所有代维租户进行管理和操作。 边界防护与响应服务的代维既支持按租户维度代维，也支持按服务维度代维。 父主题： MSP代维指导

配置思路 登录华为乾坤控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上 漏洞扫描 和 云日志 审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置接口GE0/0/21和GE0/0/20为接口对模式，GE0/0/20与Switch的观察端口直连。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买 漏洞扫描服务 或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

背景信息 为保障漏洞扫描服务能够访问企业内部资产，并执行扫描任务，需要在华为乾坤和天关（部署在企业内部）之间建立VPN隧道。VPN隧道会在执行扫描任务前，自动下发配置进行创建，并会在扫描结束后自动断开。 建立VPN隧道前需要配置VPN接口，配置VPN接口目前支持以下两种方式： 自动配置：天关/防火墙上线后，当用户创建资产发现或漏洞扫描任务时，漏洞扫描服务自动获取上行接口作为与华为乾坤创建VPN隧道的接口（简称：VPN接口）。 人工配置：当自动配置存在获取数据不准确的情况时，需要人工检查和重新配置。

背景信息 域名 黑名单管理是边界防护的重要环节，通过安全策略关联DNS过滤配置文件，可以有效避免内部资产对恶意域名的持续访问。 域名黑名单主要来源于以下几种情况： 华为乾坤对威胁事件进行智能分析后，由华为乾坤自动下发。 租户在控制台手动创建并下发域名黑名单。 域名黑名单包括以下几种状态： 已生效：域名黑名单保存在华为乾坤，已经成功下发到天关设备，并已经生效。 部署中：域名黑名单保存在华为乾坤，但未下发到天关设备。 部署失败：已部署下发指令，但由于其他原因导致下发失败。 高等级租户享有对自身及下级租户的域名黑名单的查看权限。

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

异常处理 如果天关上线不成功，请尝试参考以下步骤处理。 在管理PC上登录标准页面：https://192.168.0.1:8443/default.html。 在界面的右上角，单击CLI控制台按钮。 图2 进入CLI控制台 参考如下操作，进入系统视图。 图3 进入系统视图 通过ping检查设备到客户网络内网关是否通畅。 ping 10.1.1.254 //假设网关IP地址为10.1.1.254，检查时请更换为局点实际网关IP地址 如果ping不通，请检查网线连接。 通过ping检查设备在客户网络内DNS解析是否正常。 ping mgt.seccloud.huawei.com 如果ping不通，请再ping DNS的IP地址，检查与DNS的网络是否能正常通信。 通过telnet检查设备注册公网端口连通性是否正常。 telnet mgt.seccloud.huawei.com 10020，有ssh证书交换字样，说明连通性正常。 如果连通性异常，请检查客户侧的安全设备是否做了端口访问限制。

背景信息 IP黑白名单管理是边界防护的重要环节，相比传统复杂的安全检测方式，IP黑白名单可以直接、有效地阻断恶意攻击，从而节省天关/防火墙系统资源，降低负载。 IP黑白名单主要来源于以下几种情况： 华为乾坤对威胁事件进行分析后，由华为乾坤自动下发的IP黑名单。 安全运营专家处理后确认为攻击，由安全运营专家下发IP黑名单。 租户在控制台手动创建并下发的IP黑白名单。 IP黑白名单包括以下几种状态： 已生效：IP黑白名单保存在华为乾坤，已经成功下发到天关/防火墙设备，并已经生效。 部署中：IP黑白名单保存在华为乾坤，但未下发到天关/防火墙设备。 部署失败：已部署下发指令，但由于其他原因导致下发失败。 高等级租户享有对自身及下级租户的IP黑白名单的查看权限。

控制台侧配置 在“智能企业网关”页面，单击操作列的“设备管理”，进入设备管理页面。 单击WAN口管理右侧的图标，配置WAN口信息，如下图所示。 图1 配置WAN口信息 表1 参数说明 参数 说明 接口名称 支持单网口和双网口主备两种模式，可根据实际情况选择。 GigabitEthernet0/0/8和GigabitEthernet0/0/9：通过有线方式上云，需要连接物理网线。 Cellular0/0/0：通过无线方式上云，需要IEG设备配置对应的LTE模块。 优先级 主 备 IP类型 根据用户实际情况配置。 静态：手工分配IP地址 DHCP：自动分配IP地址 本地上网 启用后，用户可以通过该WAN口访问Internet服务，实现上网功能。 上云带宽（Mbit/s） 接口的上云带宽。 出口带宽（Mbit/s） 接口的出口带宽。 IPv4地址 “IP类型”选择“静态”时显示。 IP地址需要向用户申请，且IP地址需要能访问华为云。 IPv4网关 单击“保存并生成初始配置”，在弹出框中设置初始配置密码，并单击“确定”。 图2 配置初始密码 设置初始密码后，系统自动生成初始配置，如下图所示。 图3 初始配置生成界面 为确保安全，请定期更新密码并妥善保存。具体修改方法如下：在“智能企业网关”页面，单击智能企业网关名称进入管理页面。 选择“基本信息”页签，单击“设备密码”右侧图标，修改并确认密码。 重新进入设备管理页面，请使用以下两种方式中的一种对设备进行初始配置，以便管理您的设备。 URL开局：手动拷贝初始配置生成界面的“链接”，并保存至本地。 该链接中的URL地址，用于登录IEG设备侧进行初始配置。使用该URL地址时需注意如下几点： 请在URL有效期内使用，否则将导致URL连接失败。URL的有效期可查看图3中说明，如“链接在2023-09-06 15：44：57 之前有效，过期后请重新下载”。 每次单击“初始配置”右侧的“下载”，都需要设置初始密码，设置密码后系统将生成新的URL链接。 请使用最新的URL进行开局，否则将导致验证不通过。 配置文件开局：使用初始配置文件对IEG设备进行配置。 在“初始配置”界面，单击“配置文件”右侧的“下载”按钮获取对应配置文件。 单击“完成”。

前提条件 已收到购买的智能企业网关设备。 已获取设备对应的ESN。 电子标签用来标识设备的硬件信息，包括序列号、生产日期、设备型号、硬件描述信息等。智能企业网关设备的电子标签存在新旧两种，对应设备序列号（ESN）的拼接规则也不同。 老款标签：仅包含SN编号，SN编号即为设备ESN。 新款标签：包含SN编号和PN编号，用户需要将PN编号和SN编号按照一定的组合规则拼接为设备ESN。 因此，在进行激活操作时，用户需要按照实际情况，输入正确的SN编号（必填）和PN编号（选填），系统将自动拼接出对应的设备ESN。

操作流程 表2 操作流程 序号 操作步骤 操作说明 1 步骤一：部署智能企业网关设备 购买智能网关设备，并完成设备部署。 2 步骤二：创建企业连接网络 创建企业连接网络实例，根据需要选择“基础版”或“专业版”。 基础版：接入单个区域，接入点固定。 专业版：接入整个大区，大区内可添加多个接入点。 3 步骤三：企业连接网络互联虚拟私有云 企业连接网络可以与企业路由器关联，或者与虚拟私有云直接关联，使企业连接网络下绑定的智能企业网关可以和虚拟私有云实现互通。 4 步骤四：创建智能企业网关 创建并激活智能企业网关实例，并完成WAN侧、LAN侧接口以及静态路由的配置。 5 步骤五：智能企业网关绑定企业连接网络 智能企业网关绑定到企业连接网络，可实现客户分支网络通过私网加密隧道连接到华为云。 6 步骤六：验证网络互通情况 登录用户本地PC，验证是否可以访问云上的业务。

配置思路 登录华为乾坤控制台，配置全局白名单，防止租户内网资产IP地址被云端（包括云端自动下发、云端安全服务人员）错误下发黑名单。 配置交换机。 配置连接天关的接口对。 配置策略路由。 配置天关。 USG6502E-C/USG6503E-C 将Bypass接口对配置成为天关的上下行接口对，三层部署连接交换机，通过交换机的策略路由将流量引入天关进行检测。 配置天关路由。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。 USG6603F-C 检测与光Bypass卡相连的接口状态。 取消Bypass接口对，并将原Bypass接口对配置成为天关的上下行接口对，三层部署连接交换机，通过交换机的策略路由将流量引入天关进行检测。 配置天关路由。 配置边界防护与响应服务业务参数。

后续处理 在“扫描任务”界面中，针对某一个历史扫描任务，您还可以做如下操作： 停止任务 您可以单击操作栏中的“停止”按钮，将扫描任务取消。仅“扫描状态”为“扫描中”的扫描任务支持此项功能。 删除任务 您可以单击操作栏中的“删除”按钮，将扫描任务删除。“扫描状态”为“扫描中”的扫描任务不支持此项功能。 重新扫描 您可以单击操作栏中的“扫描”按钮，重新执行扫描任务。定时扫描任务不支持此项功能。 下载报告 您可以单击“任务详情”页面中的“打印报告”按钮，下载扫描任务报告。“扫描状态”为“扫描成功”、“部分成功”、“已取消”的扫描任务均支持此项功能，报告仅包含任务中已完成扫描资产的漏洞信息。 若您已订阅“漏洞扫描任务结束通知”，在漏洞扫描任务执行完成后，云端会将扫描结果通过邮件发送到您指定的邮箱；若您没有添加该主题订阅，将不会收到相关通知。

配置思路 登录华为乾坤控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域，并配置旁路检测所需要的安全策略。 对于USG6603F-C，仅需要配置安全域，不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

背景信息 如果某些资产上运行的业务非常重要，或者用户确定某些资产不存在安全风险，则可以将这些资产的IP地址配置到全局白名单中，以防止这些资产的IP地址被错误下发IP黑名单。 某资产的IP地址被配置为全局白名单后，华为乾坤（包括自动下发、安全运营专家下发）不能将此IP地址当做IP黑名单下发给天关/防火墙。用户在华为乾坤通过封禁攻击源、隔离主机或配置IP黑名单策略将此IP地址当作IP黑名单下发时，华为乾坤将提示用户是否要继续下发，租户根据实际情况选择是否需要继续下发。

场景描述 根据日志存储方式的不同，将云端存储空间划分为实时数据存储空间和归档数据存储空间两种。 实时数据存储空间：存储空间小，存储不超过当前套餐容量的最新日志；可以进行实时全文检索，查询速度快。 归档数据存储空间：存储空间大，可以存储符合等保要求的日志存储量；可以进行全量查询，但查询速度较慢。 考虑到日志的存储量大，存储周期长，如果使用热存储方式存储全部数据会造成用户使用成本过高。因此，当用户日志存储容量超过套餐内可用实时数据（热存储方式）存储空间时，会将实时数据存储空间内最早存储的日志数据存储到归档数据（冷存储方式）存储空间中。

代维方式介绍 MSP（Managed Service Provider，管理服务供应商），一般是指为普通租户提供网络部署、管理、安全检测、安全防御以及运维等一系列工作的机构。MSP通常具备较为专业的业务管理和维护能力。 当普通租户购买华为乾坤后，发现本身不具备完备的网络建设、业务管理、安全运维能力时，可以委托专业的MSP管理，以降低企业人力和资金的投入。租户委托MSP后，MSP可以对委托业务进行日常状态管理、定期巡检，发现并处理业务运行中存在的异常和问题，同时给出风险评估和事件处置方法。 一个租户账号可与多个MSP账号建立委托关系，一个MSP账号可代维多个租户账号下的服务。 MSP支持以下两种代维方式： 以租户维度进行代维：MSP直接以租户身份进入租户页面进行操作。 以服务维度进行代维：MSP对单服务下所有代维租户进行管理和操作。 父主题： MSP代维指导

背景信息 IP黑名单是一种阻断措施，华为乾坤将IP黑名单下发给设备后，设备会丢弃命中IP黑名单的报文。 从威胁事件维度看，下发IP黑名单有如下几种方式。 外部攻击源：包括华为乾坤自动下发、安全运营专家下发、用户执行“封禁攻击源”下发。 失陷主机：用户可以执行“隔离主机”下发。 此外，用户还可以根据实际的网络环境或业务需要，从设备维度（针对某设备）手动下发IP黑名单，作为上述IP黑名单下发的补充手段，以提高安全防护的灵活性。 IP白名单是一种放通措施，华为乾坤将IP白名单下发给设备后，设备会放通命中IP白名单的报文。 高等级租户享有对自身及下级租户的IP黑白名单的创建、修改权限。 用户手动下发黑白名单时，如果设备黑白名单数量超规格，则会提示下发失败。 华为乾坤自动下发黑名单时，如果设备黑名单数量超过规格，华为乾坤将滚动删除之前自动下发的黑名单，以保证本次下发成功。当剩余的黑名单都由用户手动下发时，华为乾坤自动下发也会失败。

背景信息 Metadata是提取设备原始流量中的会话信息、协议信息等生成的流量元数据，华为乾坤可以对Metadata数据进行智能检测，有效防范通过Web进行的攻击行为（包括信息泄露、凭证窃取、注入检测和拒绝服务等）和通过DNS协议请求恶意域名的外联行为。 对于内网重要资产，用户可根据实际需要配置Metadata检测防护规则。华为乾坤根据配置的防护网段接收Metadata数据，并基于Metadata数据进行威胁分析，以便更好地保护内网重要资产。 防护网段配置规则如下： 已配置防护网段的设备，采集： HTTP协议并且目的IP在防护网段内的Metadata数据。 DNS协议并且源IP在防护网段内的Metadata数据。 未配置防护网段的设备，不采集Metadata数据。

代维方式介绍 MSP（Managed Service Provider，管理服务供应商），一般是指为普通租户提供网络部署、管理、安全检测、安全防御以及运维等一系列工作的机构。MSP通常具备较为专业的业务管理和维护能力。 当普通租户购买华为乾坤后，发现本身不具备完备的网络建设、业务管理、安全运维能力时，可以委托专业的MSP管理，以降低企业人力和资金的投入。租户委托MSP后，MSP可以对委托业务进行日常状态管理、定期巡检，发现并处理业务运行中存在的异常和问题，同时给出风险评估和事件处置方法。 一个租户账号可与多个MSP账号建立委托关系，一个MSP账号可代维多个租户账号下的服务。 MSP支持以下两种代维方式： 以租户维度进行代维：MSP直接以租户身份进入租户页面进行操作。 以服务维度进行代维：MSP对单服务下所有代维租户进行管理和操作。 父主题： MSP代维指导

配置思路 登录华为乾坤控制台，配置全局白名单，增加租户的全部内网地址段，保证对内网流量的检测。 配置交换机到DNS服务器的流量为镜像流量（回程流量不需要检测），并且保证镜像流量可以到达天关2镜像口。 配置天关1。 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏洞扫描和云日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。 配置天关2。 配置镜像流量接收口为旁路检测模式。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志等。 配置边界防护与响应服务业务参数。 漏洞扫描服务和云日志审计服务仅通过天关1与云端进行通信，所以仅在天关1上配置漏洞扫描服务和云日志审计服务的业务接口以及业务参数，天关2上无需配置。

搜索和关注租户 以MSP账号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

搜索和关注租户 以MSP账号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以标星展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

什么是云沙箱 云沙箱服务是一种高级威胁分析服务，核心能力是做文件威胁检测。该服务利用多引擎虚拟检测技术，通过静态内容检测、动态行为检测、威胁综合分析等技术识别网络中传输的恶意文件和威胁攻击，为云服务提供文件未知威胁检测能力，构建云端APT检测能力，增强文件/域名安全竞争力。同时协同防火墙提升云端、边侧的未知威胁检测能力，弥补了传统安全设备基于特征检测技术的不足，有效避免未知威胁攻击的扩散和企业核心信息资产损失。 云沙箱服务通过联动华为防火墙，利用多引擎虚拟检测技术，检测防火墙上传的文件。防火墙通过查询云沙箱服务检测结果，更新缓存中的恶意文件列表，自行阻断恶意文件。同时防火墙将检测到恶意文件的告警发送给边界防护与响应服务，边界防护与响应服务下发处置策略，当后续具有相同特征的流量命中恶意文件列表时可以进行阻断或告警等处理。 图1 云沙箱服务架构图 云沙箱服务主要提供以下功能： 文件检测：支持多病毒静态检测，Windows文件的动态检测。通过防逃逸、深度行为分析等技术提供高精度的检测能力。 威胁综合分析：深度提取以行为关系图、进程树等形式展示的静态数据或动态行为数据，根据检测结果对恶意文件进行综合威胁判定，并给出威胁相关信息。 云边协同：为防火墙提供未知文件检测能力，协同防护。上传文件的防火墙通过获取云沙箱服务检测结果，根据检测结果更新缓存中的恶意文件列表，自行阻断恶意文件。同时防火墙将恶意文件的告警发送给边界防护与响应服务，边界防护与响应服务下发处置策略，当后续具有相同特征的文件命中恶意文件列表时可以进行阻断或告警等处理。 父主题： 产品介绍