华为云用户手册

日志查看 前提条件 成功登录华为乾坤控制台，并拥有“审计日志服务”相关权限。 背景信息 日志系统是华为乾坤提供的能够帮助用户快速了解服务运行状态、操作等信息的系统。 目前系统支持查看操作日志和安全日志，可查看6个月内的日志，超过6个月但不超过1年的日志仅支持下载到本地查看。 操作日志记录用户进行失陷主机处置、威胁事件处置、设备管理等相关操作。 安全日志记录用户登录、创建下级工作组帐号等安全相关操作。 操作步骤 单击控制台页面右上角帐号，选择“日志”进入日志详情页面。 支持查看操作日志和安全日志，其操作流程基本一致，以操作日志为例： 选择“操作日志”页签，查看日志列表，包含当前帐号的操作名称、对象、结果等信息。 图1 日志列表 单击日志列表的“详细信息”栏中任意一项，可以查看日志的详细记录。 图2 日志详情 单击日志列表上方“高级搜索”，根据表1设置筛选条件，单击“搜索”即可。 表1 筛选条件参数表 参数 说明 时间 设置起始时间，筛选该时间段内的日志。 操作名称 操作行为。 级别 日志级别分为紧急、报警、严重、错误、警告、通知、提示、调试，程度递减。 操作用户 操作行为对应的帐号。 详细信息 操作行为的具体描述。 操作对象 操作行为的具体对象，如套餐、设备、站点等。 操作结果 日志操作结果分为成功、失败、部分成功。 来源 日志来源模块。 如果单击“重置”，日志筛选条件恢复成默认条件： 最近48小时内的记录。 所有日志级别类型。 所有操作结果类型。 下载日志。 日志界面可查看6个月内的日志，超过6个月但不超过1年的日志可单击右上方“点击此处”下载。 父主题： 服务使用

如何使用华为官网帐号登录控制台 如果您有华为官网帐号，首次登录华为乾坤控制台时，系统会帮您自动创建同名帐号，默认形式是“帐号+（uniportal）”。 该帐号名不可更改，租户名支持更改。 该帐号必须通过华为官网登录，无法直接登录华为乾坤控制台。 访问华为乾坤控制台。 单击页面下方“华为官网帐号”，跳转到Uniportal登录页面。 图1 控制台登录页 在Uniportal登录页面输入华为官网帐号和密码，单击“登录”。 图2 Uniportal登录页面 系统会为您自动创建华为乾坤帐号，并以该帐号登录控制台。 首次登录，默认进入协议签署界面。仔细阅读隐私政策声明和用户协议后，单击“我已阅读并同意以上内容”。 登录后，建议您绑定手机号或邮箱，方便后续接收报表、工单等信息。 操作步骤与非Uniportal帐号绑定手机或邮箱类似，不同点在于无需身份验证，直接输入绑定信息即可。 父主题： 常见问题

线下购买服务的续订 前提条件 当前用户购买的华为乾坤套餐即将到期，且希望继续使用该服务。用户需提前购买相关服务套餐，购买操作请参见服务购买。 背景信息 用户已购的华为乾坤相关服务即将到期，用户希望继续使用该服务。 当前仅支持边界防护与响应服务的续订操作。 操作步骤 登录华为乾坤控制台，单击右上角帐号，选择“订单中心”，选择“我的套餐”页签。 选择需要续订的套餐，单击套餐列表中的“立即续订”。 在立即续订页面，单击“添加授权”，输入授权ID，单击“确定”。 图1 添加授权 确认无误后，单击“确定”完成套餐续订。 父主题： 服务续订

智能助手小坤是什么 为提高业务操作效率、降低运维难度，华为乾坤控制台提供了智能助手小坤，又称小坤机器人。 它可以实时感知业务健康状态，自动监测并处理业务中的突发或异常事件。 在使用服务时遇到任何问题，都可以咨询小坤： 登录华为乾坤控制台。 单击界面右上角智能助手图标，进入智能助手界面。 系统健康状态：显示当前系统健康状态得分，包括网络得分和安全得分。 待您处理：显示已自动处理事件数和待处理事件，您可以直接单击文字链接进入到待处理事件页面。 待您关注：提供消息统一管理功能。 快捷入口：单击页面上进入智能助手对话页面，还包括创建站点、创建安全设备、创建工单的快捷入口。 图1 智能助手界面 父主题： 常见问题

服务价值 企业分支多、设备类型多样、安全威胁增多，企业对网络统一管控、统一运维、统一安全处置的诉求激增。华为乾坤实现云、网、端一体化管控保障，解决企业诉求，主要价值如表1所示。 表1 华为乾坤价值 用户诉求 华为乾坤价值 无专业网络运维能力，希望快速开局、云端统一运维 网络自动化部署和编排，扫码开局、智能校验；云端网络巡检、健康监测，降低运维难度。 无专业安全运维能力，而且满足国家等保要求难度比较大 安全事件云端自动处置+安全专家7*24小时云端值守，提供等保方案包一站式满足等保要求。 应用体验保障优化 提供3D WiFi仿真、网络大屏等应用可视和应用保障服务，提升应用体验。 摄像头、传感器、电表等物联终端统一纳管 提供物联感知、物联安全服务，使终端快速接入网络、统一运维、统一监控安全风险。

线下购买场景 线下购买场景指用户通过线下渠道（如华为代理商或运营团队）购买或续订华为乾坤。 其端到端使用流程如图1所示。 图1 线下购买华为乾坤的使用流程 试用服务：用户访问华为乾坤商城，选择服务申请免费试用。 购买服务：用户线下联系华为运营团队或代理商购买华为乾坤，可以通过代理商在ESDP系统激活云服务License。 开通服务：用户使用自注册或代建的华为乾坤帐号登录华为乾坤控制台，激活线下订单后才能正常使用已购服务。 使用SN激活服务：适用于边界防护与响应服务。 使用授权ID激活服务：适用于云管理网络服务、 云日志 审计服务、 漏洞扫描 、威胁信息、等保套餐等。 使用服务：用户在华为乾坤控制台可以进行下级租户管理、MSP委托、工单创建等操作。 续订服务：如果购买的服务产品即将到期，用户需通过线下渠道（如华为代理商或供应商）续订服务，控制台会自动查询续订订单并自动续订服务。

帐号基础 华为乾坤使用时主要涉及三类帐号： 华为官网帐号 华为官网常见帐号类型有： 华为帐号 在华为官网注册的帐号。该帐号可以访问华为云、华为商城等所有华为服务。 华为云帐号 2020年12月30日之前在华为云官网注册的帐号。该帐号是专属帐号，仅能登录华为云，无法登录其他华为服务。 为了统一帐号，提升登录体验，当前在华为云官网只能注册华为帐号。 如果您在华为云购买资源后，需要对资源进行精细访问控制，可以在 统一身份认证 （Identity and Access Management， IAM ）服务中创建IAM用户，具体介绍参见《统一身份认证服务》中“华为云IAM简介”章节。 华为帐号、华为云帐号、IAM用户基本概念和帐号间的关系请参见《统一身份认证服务》中“华为云帐号介绍”章节。 华为官网帐号是用户在华为云资源归属、资源计费的主体，负责统一管理费用。 首次注册的华为帐号相当于一级租户管理员，可以创建下级IAM用户并赋予不同的使用权限。 华为乾坤帐号 用于登录华为乾坤控制台，是使用云服务的帐号。该帐号不进行独立计费，由绑定的华为帐号统一管理费用。 首次注册的华为乾坤帐号相当于一级租户管理员，拥有所有权限，可以继续创建下级租户帐号，并对下级租户进行授权。例如为企业不同分支、不同部门创建不同的租户。下级租户授权的详细介绍请参见租户帐号管理。 华为乾坤帐号分为租户、MSP（渠道服务商）两种帐号，租户可以委托MSP代维。本文档不详细介绍MSP帐号，具体参见《华为乾坤MSP操作指南》《华为乾坤MSP操作指南》。 华为坤灵帐号 仅在办公或家庭等小型网络场景下使用，工程商使用华为坤灵帐号通过华为坤灵APP登录华为乾坤控制台，远程运维和业务部署。目前仅支持云管理网络服务中的部分功能。 当前，部分复杂网络功能暂不支持在华为坤灵APP端操作，但是支持在华为乾坤Web端进行操作。Web端支持操作的部分常见功能请参见表1。 表1 Web端支持操作的部分常见功能 分类 常用功能 详细说明 基础配置 远程登录设备Web页面 AR路由器和交换机（S210除外）在华为坤灵系统上线后，支持通过华为乾坤Web端跳转登录到设备Web页面。 LAN侧配置 链路聚合 将多个物理接口捆绑为一个逻辑接口，增加链路带宽，提升链路可靠性。 DHCP Snooping 保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。 运维 用户接入信息列表查看 支持查看接入网络的用户摘要信息，包括终端MAC地址、流量、时延、丢包、厂商类型等。 接口性能查看 支持显示接口信息，包括报文、流量、宽带利用率等。 设备日志收集 支持下载设备日志文件。 父主题： 帐号准备

站点首页布局介绍 当前站点首页支持设备拓扑、空间视图、安全态势等视图。可单击首页左下角图标可选择视图。 设备拓扑视图：进入站点首页后，默认展示设备拓扑视图。支持查看当前站点的设备拓扑、设备详情以及链路信息等。详细介绍请参见云管理网络服务的《网络部署》中“站点首页介绍”章节。 图1 设备拓扑视图 空间视图：在设备拓扑视图下，单击拓扑页面右下角“设备拓扑”，选择“空间视图”进入空间视图。由设备拓扑切换至空间视图时，依据当前资源树选中的层级显示该层级的空间视图，由空间视图切换至设备拓扑时，将从当前资源树选中层级切换回设备拓扑。非设备节点支持通过双击当前图标进入下一节点层级，设备节点层级可双击打开设备详情窗口。 安全态势视图：在设备拓扑视图下，单击拓扑页面右下角“设备拓扑”，选择“安全态势”进入安全态势视图，直观显示某一周期内攻击源信息和失陷主机信息。（仅包含天关/FW站点含有该页面）若用户购买并开通了边界防护与响应服务，则会在页面显示外部攻击源和失陷主机数据。若未购买开通边界防护与响应服务，则页面不会有相关数据。 图2 安全态势视图 选择站点。单击站点名称后，可以切换当前站点。 目前站点支持状态显示，绿色站点图标表示当前站点没有待办事件；红色站点图标表示当前站点存在待办事件。 资产信息。单击页面上“资产”查看当前资产详细信息。 搜索资产。在资产统计页面输入资产名称，单击图标或回车键进行搜索。 资产详情。单击资产列表中资产名称，可以查看当前资产详情。包括资产信息概览、溯源定位、处置记录和历史关联IP等信息。 其中“溯源定位”功能需要配置准入认证后才能正常定位失陷主机的MAC地址、IP地址和使用人信息。 图3 资产详情页面 资产管理。单击页面上“进入资产管理”，可以进入资产管理页面，详细信息请参见资产管理。 拓扑管理菜单。 搜索。在安全态势页面输入攻击源IP/主机IP/名称，单击图标或回车键进行搜索。 定时刷新。开启定时刷新功能后，页面将持续保持登录状态，达到页面超时时间也不会自动登出。 个性化设置。单击，可根据个人习惯设置是否在页面显示地址信息。 时间设置。单击，可选择查看近24小时、近3天、近7天或近30天的安全态势信息。 图例。单击查看图例说明。

华为乾坤提供哪些解决方案或服务 华为乾坤是华为面向企业推出的数字化网络云服务，包括网络管理、网络安全、网络连接等一站式云服务产品，助力企业网络更简单、更安全。其提供的解决方案或服务如表1所示。 表1 华为乾坤解决方案或服务 解决方案或服务名称 简介 安全重保解决方案 针对重大活动期间网络安全保障需求，推出的一站式云化安全解决方案，由部署在云端的云服务和部署在客户网络边界的华为天关防护节点构成，能够帮助用户实现常态化安全保障。 等保合规解决方案 面向等保2.0推出的简单高效、安全可靠的云化等保解决方案。由部署在云端的云服务和部署在客户网络边界的天关/防火墙构成，满足企业等保需求。 防勒索解决方案 采用云边端一体的创新架构，构建了以资产为核心的纵深防御体系，针对勒索软件攻击链特征，实现对勒索事件的层层防护，全方位保障企业网络安全。 安全分支解决方案 一套面向企业WLAN、LAN、WAN以及安全的全方位网络管理方案，并以SaaS云服务形式提供给用户，为企业降低了运维复杂度、节省管理成本、确保端到端安全。 边界防护与响应服务 使用天关为租户的本地网络提供边界防护，并基于天关提供的日志进行智能分析和处置，持续保护企业内网安全。云端通过集成告警自动确认、威胁分析等检测模型，智能识别租户本地网络的潜在威胁并完成自动化处置，从而帮助租户简化本地运维，提升安全防护实效。 威胁信息服务 提供一种基于证据的知识，它通过云端对威胁来源进行实时自动化采集、分析、分类与关联，描述了已经存在或即将出现的针对企业资产的威胁信息。 漏洞扫描服务 一种针对客户资产提供的在线漏洞检测服务。该服务从风险预防角度出发，检测企业资产安全状况，高效精准地识别潜在漏洞，为客户提供专业的修复建议，帮助客户降低资产安全风险。 云日志审计服务 一站式的日志数据云端管理平台，致力于提供事后溯源取证的安全能力。通过对日志数据的接收、解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。 智能终端安全服务 针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构，由云端和安装在终端侧的HiSec Endpoint Agent软件组成。 网络威胁评估服务（友测） 一种评估网络安全防御体系防护效果的服务，通过自动化方式持续对企业安全防御体系进行威胁模拟，识别企业网络环境的薄弱点，评估企业安全防御体系的风险和有效性。 云管理网络 向企业网络的规、建、维、优，推出的全生命周期数字化服务。通过利用云计算、大数据等技术，云管理网络不仅能够在云端实现网络的集中化管理，同时，还向用户提供了极简智能的网络开局和运维能力，实现了网络生命周期的一站式智能化管理。 父主题： 常见问题

后续操作 接收人管理： 搜索：在列表左上方搜索框内输入接收人名称，单击左侧或者按回车键直接搜索。 消息接收配置：单击接收人列表中“消息接收配置”，可以为当前接收人设置接受的消息类型等。 修改接收人信息：单击接收人列表中“修改”，可以修改接收人相关信息，包括名称、手机号、邮箱等。 删除接收人： 单个删除：单击接收人列表中“删除”，可以删除当前接收人。 批量删除：选中需要删除的接收人，单击列表右上方“删除”。

角色 角色是用户操作权限的集合。在创建工作组、用户时，给用户赋予了什么样的角色，用户就拥有了什么样的操作权限。 华为乾坤控制台支持两类用户角色，分别是公共角色和服务类角色。 租户默认角色如表1所示。 表1 华为乾坤租户角色表 角色分类 角色名称 说明 公共角色 说明： 对于普通租户（非租户管理员和非租户审计员），只有授权了目标服务角色，才能使用该服务。如站点管理、工单管理、订阅管理等。 租户管理员 具备所有服务的读、写权限。 租户审计员 具备所有服务的读权限。 租户开放接口操作员 用于通过API接口操作服务。 设备管理员 具有设备管理、站点管理的编辑与查看权限。 设备审计员 具有拥有设备管理、站点管理的查看权限。 设备开放接口操作员 具有设备开放接口业务的使用权限。 服务类角色 说明： 如果您想了解更多信息，请参考各服务《产品介绍》中“权限控制”章节。 服务名管理员 （如：边界防护与响应服务管理员） 每一个云服务都有该角色。 具有该服务的查看、编辑权限。 服务名审计员 （如：边界防护与响应服务审计员） 每一个云服务都有该角色。 具有该服务的查看权限。 服务名开放接口操作员 （如：边界防护与响应服务开放接口操作员） 不一定每一个云服务都有该角色。 针对三方系统接入的用户，赋予一定的操作权限。 自定义角色 自定义角色名 根据实际情况设置相应的操作权限。

工作组 工作组是企业进行分域管理的基本单元。例如某企业有不同的分公司，则可以为不同分公司创建不同工作组，每个工作组只能处理分公司范围内的安全事件、管理分公司范围内的设备，如图1所示。 系统缺省存在一个“默认工作组”，又称根工作组。首次注册的华为乾坤帐号默认是根工作组管理员，角色为“租户管理员”，具备所有操作权限。 默认工作组管理员可以继续创建下级工作组，原则如下： 每个工作组都有一个管理员，系统默认工作组管理员可以在工作组中创建用户，其他用户经过管理员角色授权后也可以创建工作组用户。 一共支持5级工作组（包括默认工作组），每个工作组一般默认由上级工作组管理员创建、修改或删除，上级工作组的用户经过管理员角色授权后也可以创建、修改、删除子工作组。 同一租户管理员下的所有二级工作组的最大用户数之和不超过99，下级工作组最大用户数不能超过上级工作组用户数的剩余量。 图2 最大用户数示例

控制台首页介绍 使用注册的华为乾坤帐号登录控制台，详细过程参见帐号注册。控制台首页主要由四个模块组成，包括菜单栏、地图、智能助手小坤和系统健康状态评估模块。 图1 控制台首页 表1 租户首页介绍 模块名称 模块说明 菜单栏 - 控制台提供了工具菜单，如资源中心、帐号等。同时页面左侧还有服务列表等。 单击页面左侧“华为乾坤”，可跳转华为乾坤商城页面。单击页面左侧“工作台”，可跳转华为乾坤控制台首页。 地图 - 为方便展示业务布局，提供了地图展示能力。主要包括站点部署、站点间VPN互联概况、站点配置概况和业务安全概况。地图上方还提供全局搜索功能以及数据展示。 站点搜索。在地图左上角搜索框输入站点名称，单击图标或回车键进行搜索。 单击搜索框，会显示当前帐号下所有站点及站点待办数量和设备信息。单击列表中的某个站点名称，地图中会自动定位到该站点。 数据展示。包括当前租户下各维度的数量统计信息，如站点、设备等。 单击地图页面上统计数据胶囊，会同步在地图上显示各站点对应资源的异常/总数数据，并在页面右侧显示对应资源统计列表。单击资源列表中的单个资源名称，地图会自动定位到该资源对应的站点，并在上方显示气泡，单击气泡可进入到该资源的详情界面。 - 站点 单击页面上“站点”，可以查看当前租户的站点信息，支持如下操作。 创建站点：在站点统计页面单击“创建站点”，设置站点名称、设备类型和站点位置完成站点创建。 搜索：在站点统计页面输入站点名称，单击或回车键进行搜索。 设备拓扑：单击站点列表中的某个站点名称，单击“进入站点”，可以进入站点设备拓扑页面。详细信息请参见站点首页。 站点设备：单击站点列表中设备数量，可以进入设备管理页面。详细信息请参见设备管理。 站点管理：单击站点统计页面右上角“进入站点管理”，可进入站点管理页面。详细信息请参见站点管理。 - 应用 单击页面上“应用”，可以查看当前租户下的应用信息。 搜索：在应用统计页面输入应用名称或IP地址，单击或回车键进行搜索。 添加保障：单击应用统计页面左上方“添加保障”，可将站点下某一应用设置为重保应用。 应用保障详情：单击应用列表中应用名称，可以查看该应用在各个站点的保障详情。 单击站点列表下的“站点名称”，可以查看应用体验事件页面。 页面左侧是应用路径信息。提供单站点下的应用流信息，并且支持呈现单站点故障的流路径。 侧滑页面呈现整体应用的流量、网络质量、会话流信息。 - 用户 单击页面上“用户”，可以查看当前租户下用户信息。 搜索：在用户统计页面输入用户名或MAC，单击或回车键进行搜索。 添加VIP：单击用户统计页面左上方“VIP管理”，可选择将用户或访客设置为VIP用户。 用户详情：单击用户统计列表中“用户名称”，可以查看该用户在网络中的旅程。 页面左侧通过拓扑轨迹呈现用户的空间旅程。 侧滑页面根据用户评分劣化进行关联指标根因分析，给出排障建议。 - 设备 单击页面上“设备”，可以查看当前租户下设备信息，支持如下操作。 搜索：在设备统计页面输入关键字，单击或回车键进行搜索。 添加设备：在设备统计页面单击“添加设备”，支持添加设备，具体操作请参见添加设备。 设备详情：在设备列表中单击设备名称，可以查看当前设备详情，具体信息请参见设备详情。单击设备详情页面，可以展开/收起详情信息。 设备拓扑：单击设备列表中站点名称，可以进入站点的设备拓扑页面。具体信息请参见站点首页。 设备管理：单击设备统计页面右上角“进入设备管理”，可进入设备管理页面。具体信息请参见设备管理。 - 资产 单击页面上“资产”，可以查看当前租户下的资产信息，支持如下操作。 搜索：在资产统计页面输入资产名称，单击或回车键进行搜索。 资产详情：单击资产列表中资产名称，可以查看当前资产详情。详细信息请参见资产详情查看。单击资产详情页面，可以展开/收起详情信息。将鼠标置于详情页面左侧边界，也可以拉伸详情页面尺寸。 资产管理：单击资产统计右上方“进入资产管理”，可以进入资产管理页面，详细信息请参见资产管理。 - 站点互联 单击页面上“站点互联”，可以查看当前租户下站点互联信息。 搜索：在站点间互联统计页面输入本端站点名称，单击或回车键进行搜索。 互联详情：单击列表本端站点/隧道IP，查看站点互联详情。单击详情页面“同步”可以同步IPSec VPN状态。 互联管理：单击站点互联统计页面“进入站点间互联管理”，可以进入互联管理页面，详细信息请参见云管理网络服务的《网络部署》中的“VPN监控”章节。 - 站点部署和站点配置概况 例如站点地域分布、站点状态、站点设备等信息。单站点支持的操作如下： 查看站点详情。鼠标悬浮在站点图标上，可查看当前站点设备、资产、用户和应用等数据。单击地图上站点图标，会在右侧显示站点详情，包括资源统计和待办事项等。 编辑当前站点信息。鼠标悬浮在站点图标上，单击弹框中，可修改站点名和站点位置信息。 鼠标悬浮在站点图标上，单击弹框中，可进入站点首页。 删除站点。鼠标悬浮在站点图标上，单击弹框中，可删除当前站点。 说明： 聚合站点图标上数字表示当前地点包含的站点数量。 绿色站点图标表示当前站点没有待办事件；红色站点图标表示当前站点存在待办事件。 若当前站点包含设备，则无法删除该站点。 - IPsec-VPN互联概况 展示站点间的VPN连接情况。 鼠标悬停在站点间的连线上，会显示VPN隧道的信息。单击“查看”支持查看站点间互联的详细信息，更多信息请参见云管理网络服务的《网络部署》中“VPN配置”章节。 说明： 用户需要拥有“云管理网络服务”相关权限，且当前帐号内存在VPN隧道连接时，显示VPN信息。 若存在多条VPN隧道连接，会在地图VPN隧道连接上显示具体VPN隧道数量。 - 业务安全概况（可选） 如果购买了安全领域服务： 地图左侧会展示攻击事件，单击地图左下角可查看当前帐号下所有的攻击事件，单击任意一条事件，可以进入页面快速处置。 地图下方会展示安全防护态势，单击地图右下角可查看当前帐号最近15天业务被攻击的次数。 - 地图菜单栏 在地图右下角提供以下操作。 地图默认展示自动视角，可单击地图右下角支持自定义地图视角。 单击菜单栏可全屏展示地图区域。 滚动鼠标可以缩放地图，双击聚合站点或者单击地图页面右下角“+”、“-”图标，可缩放地图站点。 小坤智能助手 - 为提高业务操作效率、降低运维难度，控制台提供了智能助手（小坤机器人）。 系统健康状态评估 - 从开通服务起，智能助手可以实时监测系统安全和网络问题，动态评估系统的健康状态，健康等级如表2所示。您可以查看并处置“待您处理”中的异常事件，提升系统的健康得分。 待您处理：提供自动检测整个系统内的异常事件，提供所有站点内的异常事件处理入口，保障用户业务正常运行。 待您关注：提供消息统一管理功能，单击智能消息中心模块右上方“更多”，可进入消息中心。消息中心详细介绍请参见消息中心。 表2 健康度等级 等级分类 等级颜色 等级分数 安全 绿色 90~100 良好 橙色 70～89 危险 红色 0～69 父主题： 服务使用

背景信息 资产一般是指客户IT环境中有价值的任何硬件或软件，如服务器、网络设备、网页应用程序等。用户可以将资产信息添加到云平台，方便统一管理。 资产录入有以下几种方式： 手动录入：用户在控制台手动录入资产信息。 批量导入：用户在控制台利用Excel模板批量导入资产信息。 Agent上报：依赖于智能终端安全服务中HiSec Endpoint Agent的主动上报功能，已经安装HiSec Endpoint Agent的终端，经用户授权后将资产信息提供给云端。 资产发现：依赖于漏洞扫描服务的主动发现功能，基于客户提供的IP网段，主动发现网段内的活跃资产。经用户确认后，支持一键录入，提高梳理效率。 边界防护录入：依赖于边界防护与响应服务中失陷主机的录入资产功能。检出的失陷资产，经用户手动填写必要信息后，录入到资产管理平台。 终端管理发现：依赖于云管理网络中的准入认证功能。

背景信息 理清自有资产是进行安全管理的必要前提。如果用户购买了华为乾坤多个安全服务，检出的威胁事件对应的资产可能有所重叠，资产管理服务可以帮助用户从资产的角度，全方位、多维度了解其安全属性。 相比于全部资产，用户可能更关心风险资产。为了帮助用户精准定位需要关注的资产，资产管理服务分别提供了全部资产和风险资产的审视窗口： 全部资产：用于全量资产清单维护，包含资产的通用信息。 风险资产：用于对高风险资产进行运维和处置，包含风险资产的风险评分、威胁标签、自定义标签等。

如何使用华为坤灵帐号登录控制台 在办公或家庭等小型网络场景下，支持工程商通过坤灵帐号登录华为乾坤控制台，远程运维和业务部署。 华为坤灵帐号登录后，华为乾坤控制台界面只保留坤灵帐号需要的主要功能，其他功能在界面不可见，如华为乾坤APP二维码、创建站点等。 该帐号必须通过华为坤灵帐号方式登录，无法直接登录华为乾坤控制台。 访问华为乾坤控制台。 单击页面下方“华为坤灵帐号”，跳转到Uniportal登录页面。 图1 控制台登录页 在Uniportal登录页面输入华为坤灵帐号和密码，单击“登录”。 图2 Uniportal登录页面 父主题： 常见问题

如何 免费体验 华为乾坤 当前华为乾坤支持用户免费体验，用户可以通过免费体验快速了解华为乾坤。 免费体验操作步骤如下： 进入华为乾坤商城首页。 单击商城右上角“体验Demo”。根据页面提示填写相关信息，并勾选“我已阅读并同意免费体验隐私政策声明”和“我同意对体验活动进行回访”。 图1 免费体验 单击“立即体验”，跳转登录华为乾坤控制台，支持体验全部云服务，具体服务详情介绍请参见各服务用户文档。 若在体验之后想申请试用服务，单击页面右侧“注册并申请试用”。 图2 申请试用 申请试用。 当前手机号未注册正式帐号，需要在弹窗中注册帐号，输入密码后单击“确定”自动登录华为乾坤平台。 图3 注册帐号 当前手机号已注册正式帐号，在弹窗中确认当前正式帐号，系统自动切换正式帐号登录。 在申请试用页面，选择需要试用的服务并填写相关信息，提交试用申请。 图4 免费试用 父主题： 常见问题

注册华为坤灵帐号 华为坤灵帐号用来登录华为坤灵APP。华为坤灵APP是一款专门为工程商伙伴打造的一站式平台，在办公或家庭等小型网络场景下使用，该APP聚合了工程商所需的设备开局、远程维护、产品资讯、报价工具、场景化方案、营销物料等功能和内容。 下载坤灵APP。主要通过如下方式下载： 方式一：在华为应用市场搜索“华为坤灵”（iOS系统用户在APP Store搜索），按提示进行下载。 方式二：可通过网页浏览器的扫码功能，扫描图5所示的二维码进行下载。 图5 华为坤灵APP下载二维码 当前，iOS系统不支持华为坤灵APP的开局运维功能。 注册帐号。在华为坤灵APP界面点击“注册”，可以选择使用手机号注册或者使用邮箱注册。默认使用手机号注册。 使用手机号注册。按页面提示输入相关信息，并勾选我已阅读并同意《华为公司用户注册协议》和《隐私声明》，点击“注册”完成帐号注册。 使用邮箱注册。在注册页面选择“使用邮箱注册”，按页面提示输入相关信息，并勾选我已阅读并同意《华为公司用户注册协议》和《隐私声明》，点击“注册”完成帐号注册。

背景信息 华为乾坤通过“IPv4地址+天关”或“MAC地址+主机名”确定资产唯一性。资产信息发生变化时，可能导致多个现存资产之间发生冲突，无法确定资产唯一性，需要进行人工处置。 假设用户内网存在一资产，可能导致以下冲突： 场景1：“IPv4地址+天关”冲突 DAY1：用户购买并开通了漏洞扫描服务，手动录入该资产，资产管理创建资产A，资产信息包含资产A的IPv4地址和天关。执行漏洞扫描，发现相关漏洞信息。 DAY2：用户购买并开通了智能终端安全服务，HiSec Endpoint Agent将该资产上报资产管理，资产管理创建资产B，资产信息包含资产B的IPv4地址和MAC地址。 DAY3：用户购买并开通了边界防护与响应服务，根据边界防护与响应服务与智能终端安全服务的联动处置要求，资产B自动绑定天关，此时资产管理发现资产A与资产B实际为统一资产，发生冲突。 场景2：“MAC地址+主机名”冲突 DAY1：用户购买并开通了智能终端安全服务，HiSec Endpoint Agent将该资产上报资产管理，资产管理创建资产A，资产信息包含资产A的MAC地址（MAC地址1）和主机名。用户使用服务后，本地卸载Agent，此时资产管理仍保存资产A数据。 DAY2：用户切换该资产的网卡，并再次安装HiSec Endpoint Agent。HiSec Endpoint Agent将该资产上报资产管理，资产管理创建资产B（因MAC地址不同，识别为不同资产），资产信息包含资产B的MAC地址（MAC地址2）和主机名（与资产A主机名相同）。 DAY3：用户切换至原网卡，资产B的资产信息变动，HiSec Endpoint Agent上报最新数据，此时资产管理发现资产A与资产B的资产信息发生冲突，导致资产B的资产信息无法更新。

注册华为乾坤帐号并登录控制台 访问华为乾坤控制台。 注册华为乾坤帐号。 如果MSP（渠道服务商）已帮您代建华为乾坤租户帐号，请跳转到步骤3。登录控制台后，建议您立即修改密码并签署隐私政策和华为乾坤云服务协议。 在登录页面单击“立即注册”。 图1 控制台登录页 默认进入“快速注册”页面，可单击“快速注册”页面上“常规注册”跳转常规注册。 快速注册。 输入手机号和验证码，勾选“我已阅读并同意隐私政策声明和华为乾坤云服务用户协议和最终用户许可协议”，单击“注册并登录”。 图2 快速注册页面 如果该号码已经注册华为乾坤帐号，将提示注册失败，点击弹窗中“返回登录”，使用该手机号或者绑定该手机号的用户名直接登录控制台。 设置密码，单击“确定”后登录到华为乾坤控制台。 图3 设置密码 常规注册。 设置租户名、用户名、手机号和验证码，勾选“我已阅读并同意隐私政策声明和华为乾坤云服务用户协议和最终用户许可协议”，单击“注册并登录”。 图4 注册页面 为提高安全性，密码设置要求如下，如果设置的密码不符合要求，请按照界面提示修改： 字符串形式，长度不小于8个字符，不超过32个字符。 至少包含1个字母和1个数字。 不能含用户名、用户手机号码和电子邮箱等敏感信息。 不建议使用密码强度低或常见的密码。 “用户名”和“密码”是用于登录控制台的帐号信息。此帐号相当于一级租户管理员，登录后还可以继续创建下级租户，进行分权分域管理。“租户名”相当于一个企业或客户名称，非必填。 注册成功后您将自动登录到华为乾坤控制台，同时您的注册手机号码将收到注册帐号信息。 登录华为乾坤控制台。 在图1输入“用户名/手机号”和“密码”，单击“登录”。或者选择“验证码登录”，输入“手机号”和“验证码”。若该手机号未注册过华为乾坤，则会跳转设置密码页面。 请牢记注册的华为乾坤帐号和密码，避免无法登录。 如果连续5次登录失败，界面会自动锁定（禁止登录）10分钟。 登录后不进行任何操作，30分钟后该帐号将自动登出。

第三方软件 云堡垒机 使用了以下第三方软件： 云 堡垒机 系统Web浏览器登录方式，建议使用浏览器和版本请参见表1。 表1 建议使用浏览器及版本 浏览器 版本 说明 Edge 44及以上版本 上传大文件限制：H5运维界面，文件上传到主机，支持单个文件最大4G。 Chrome 52.0及以上版本 - Safari 10及以上版本 - Firefox 50.0及以上版本 - 软件下载方式包含： 管理员用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。 运维用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。

访问控制 CBH支持安全组、 Web应用防火墙 、ACL、VPC对堡垒机实例的访问进行权限控制。 表1 CBH支持的访问控制方式 访问控制方式 简要说明 详细介绍 权限控制 VPC 虚拟私有云（Virtual Private Cloud）是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮助打造可靠、稳定、高效的专属云上网络 VPC介绍 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组介绍 Web应用防火墙 华为云Web应用防火墙WAF对网站业务流量进行多维度监测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 WAF介绍

身份认证 用户访问CBH实例的方式有Web Console和SSH两种方式，其中，Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能，而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令，此外，Web Console同样支持手机短信、手机令牌、USBKey、动态令牌的方式进行登录。详细登录步骤请参见云堡垒机系统登录方式。

规格差异 云堡垒机支持10、20、50、100、200、500、1000、2000、5000、10000资产规格配置，不同规格云堡垒机配置差异，请参见表1 不同规格配置说明。 表1 不同规格配置说明 资产数 最大并发数 CPU 内存 系统盘 数据盘 10 10 4核 8GB 100GB 200GB 20 20 4核 8GB 100GB 200GB 50 50 4核 8GB 100GB 500GB 100 100 4核 8GB 100GB 1000GB 200 200 4核 8GB 100GB 1000GB 500 500 8核 16GB 100GB 2000GB 1000 1000 8核 16GB 100GB 2000GB 2000 1500 8核 16GB 100GB 2000GB 5000 2000 16核 32GB 100GB 3000GB 10000 2000 16核 32GB 100GB 4000GB 表 不同规格配置说明中的“并发数”是基于字符协议客户端运维（如SSH客户端、MySQL客户端）的并发数，基于图形协议运维（如H5 Web运维、RDP客户端运维）的并发数只有该值的1/3。

功能详情及版本差异 标准版和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计，主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异，请参见表2 不同版本功能差异说明。 表2 功能详情及版本差异 功能模块 功能项 功能描述 标准版 专业版 个人中心 账户基本信息 查看当前登录用户的详细信息，同时支持对姓名、手机、邮箱以及密码的修改操作。 √ √ 手机令牌 提供手机令牌绑定和生成动态密码的指导。 √ √ SSH公钥管理 查看所有公钥信息，可添加并管理SSH公钥。 √ √ 权限管理 查看当前用户所拥有的权限。 √ √ 操作日志 当前登录用户的登录、操作以及资源登录的所有操作记录。 √ √ 系统基本信息 系统桌面 按照不同维度呈现了堡垒机的运行情况，包括会话、工单、登录情况、运维情况、主机类型、应用类型、系统状态等多维度的数据图表统计。 √ √ 下载中心 提供部分远端登录工具和本地播放工具的下载。 √ √ 消息中心 配置告警后，触发告警后会生成告警信息。 √ √ 系统基本信息 呈现系统的ID、凭证、版本、发行日期等信息，支持凭证、HA Key的更新，服务码的获取。 √ √ 认证管理 账户多因子登录认证 登录堡垒机支持账户密码、手机令牌、手机短信、USBKey、动态令牌的方式。 账户密码：申请堡垒机时生成的账户和密码，首次登录堡垒机只能使用该方式登录。 手机令牌：在堡垒机配置手机号码后，在移动端或小程序注册后使用生成的动态密码进行登录。 手机短信：在堡垒机配置手机号码后，登录时可使用随机验证码进行登录。 USBKey：需提前获取到正确的USBKey及密令，在堡垒机配置关联账户后可使用该方式登录。 动态令牌：需提前获取到正确的令牌和密钥，在堡垒机配置关联账户后可使用该方式登录。 √ √ 账户远程认证配置 可通过远程认证，将局域的账户与堡垒机进行对接，在堡垒机实现对局域账户的统一管理。 支持AD域、RADIUS、LDAP、Azure AD、SAML远程认证。 √ √ 系统账户 用户管理 对登录堡垒机的账户进行管理，包括账户的创建、导入、导出、删除、用户组配置以及对账户登录限制的管理。 √ √ 用户组管理 将用户进行分组管理，通过对用户组授权实现对用户的批量授权，支持新建、删除、修改编辑用户组信息。 √ √ 角色管理 将用户关联角色，赋予用户对应角色的操作访问权限，包含部门管理员、策略管理员、审计管理员、运维员，但仅admin账户可自定义新增角色和修改角色所属权限。 √ √ 资源账户管理 资源账户在堡垒机实例中用来登录资源进行运维，一个资源可以创建多个资源账户，资源账户的账户和密码须与资源的原账户密码保持一致，否则可能登录资源失败，无法在堡垒机运维。 √ √ 资源账户组管理 将资源账户进行分组管理，通过对账户组授权实现对资源账户的批量授权、批量验证，支持新建、删除、维护账户组资源以及账户组信息管理。 √ √ 系统资源 主机资源管理 通过新建、自动发现、导入或克隆实现对主机资源的纳管，纳管后可对主机资源所有信息进行查看，实现对资源的运维。 √ √ 应用资源管理 先创建应用服务器后，再通过文件导入、新建实现对应用资源的纳管，纳管后可对应用资源所有信息进行查看，以实现对资源的运维。 √ √ 云服务资源管理 先创建Kubernetes服务器后，再通过新建实现对容器节点资源的纳管，纳管后可对容器资源所有信息进行查看，以实现对资源的运维。 × √ 资源系统类型管理 系统类型可通过标签形式区分被纳管的资源，实现对资源的管理，同时可用于服务器改密，存放改密参数，执行改密策略时，会以系统类型执行脚本。 √ √ 系统策略 访问控制策略 用于控制用户或用户组访问资源的权限，将用户或用户组与策略绑定，用户或用户组就受限于策略的约束限制，包括传输、文件管理、登录时间段限制等，同时也可绑定资源账户。 √ √ 命令控制策略 用于控制用户或用户组执行命令或命令集的机制，将指定命令或命令集按照预设的执行机制绑定用户或用户组，用户在执行策略内的命令时将直接触发绑定的策略机制，同时也可绑定资源账户。 支持自定义命令集。 √ √ 数据库控制策略 用于控制用户或用户组执行规则或规则集的机制，将指定规则或规则集按照预设的执行机制绑定用户或用户组，用户在执行策略内的规则或规则集时将直接触发绑定的策略机制，同时也可绑定资源账户。 支持自定义规则集。 × √ 改密策略 用于为服务器资源的改密预设改密机制，通过将资源账户与策略绑定，在执行改密时，将为资源账户绑定的所有资源执行改密策略机制。 √ √ 账户同步策略 用于相对于主机资源账户信息的拉取或推送预设执行机制，通过将资源账户与策略绑定，在执行资源账户同步时，将为资源账户绑定的所有资源执行策略的机制。 × √ 资源运维 主机资源运维 可通过浏览器、客户端登录主机资源，进行协同分享、文件传输、文件管理和预制命令的运维操作。 √ √ 应用资源维护 仅支持通过浏览器登录应用资源，进行协同分享、文件传输和文件管理的运维操作。 √ √ 云服务资源运维 仅支持通过浏览器登录容器资源，进行协同分享的运维操作。 × √ 运维脚本管理 在堡垒机导入和编辑需要执行的脚本，完成一些复杂或重复性的任务，提升运维效率。 × √ 快速运维 在堡垒机直接执行预设的命令、脚本以及文件传输、执行日志操作可实现对资源快速运维。 × √ 运维任务管理 可按照手动、定时、定期的执行方式自定义命令、脚本、文件传输的运维任务，同时可对所有操作进行记录。 × √ 系统审计 实时会话审计 针对当前正在运行中的所有会话进行记录，可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 历史会话审计 针对已关闭的所有历史会话进行记录，可查看目标会话所对应的资源、类型、账户、来源IP等信息。 √ √ 系统日志审计 对堡垒机系统的登录和操作进行详细记录，包括时间、账户、来源IP、涉及模块及操作详情。 √ √ 运维报表审计 对运维操作的时间、资源访问次数、会话时长、来源IP访问情况、会话协同、双人授权、命令拦截、字符命令数、传输文件数按照时间、用户、资源的维度进行全量统计。 √ √ 系统报表审计 对用户的系统操作控制、资源操作、源IP、登录方式、异常登录、会话、状态维度分别进行数据统计。 √ √ 系统工单 访问授权工单管理 无权限访问目标资源时，可通过工单申请绑定资源账户在固定运维时间周期内对目标资源进行文件传输、管理、键盘审计等操作权限。 √ √ 命令控制工单管理 无权限执行命令运维资源时，可通过工单申请绑定资源账户在固定运维时间周期内执行预设的命令。 √ √ 数据库授权工单管理 无权限执行数据库资源操作时，可通过工单申请绑定资源账户在固定运维时间周期内对目标数据库执行预设的指定命令。 × √ 工单审批管理 呈现所有发起的工单信息，并在该页面执行工单的审批操作。 √ √ 工单配置 可对工单的申请范围、提交方式、生效时间以及审批流程进行自定义设置。 √ √ 系统配置 安全配置 对密码错误次数、僵尸用户、密码修改周期、登录超时、证书、代理安全层、手机令牌信息、USBKey信息、国密、巡检、到期提醒、会话限制等进行配置。 √ √ 网络配置 可查看堡垒机的网络接口列表、DNS以及默认网关详情，可对静态路由进行配置操作。 √ √ HA配置 如果堡垒机为主备实例，可通过HA设置启用或禁用的状态。 √ √ 端口配置 呈现运维和控制台的端口默认信息，如有自定义需求可进行修改，通常不建议修改。 √ √ 外发配置 可配置不同的外发方式，包括邮件、短信和LTS方式，邮件和短信配置后可推送告警信息，LTS在安装Agent后可将堡垒机日志发送至服务器。 √ √ 告警配置 支持对不同维度的消息类型的告警方式、告警等级的配置，包括登录情况、用户的操作、资源操作事件、运维操作等。 √ √ 系统风格管理 支持对堡垒机默认的图标和logo进行自定义修改。 √ √ 堡垒机维护 数据存储维护 可查看系统和数据磁盘的使用情况，可对网盘空间进行修改，可自定义日志的保存周期，进行自动或手动删除。 √ √ 日志备份维护 可自定义配置将日志备份至本地、syslog服务器、FTP/SFTP服务器或OBS服务器。 √ √ 系统维护 可查看系统当前的运行状态，对系统地址、时间等信息进行自定义设置，可操作系统备份及还原，查看授权许可信息，以及网络和系统的诊断操作。 √ √

服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

支持管理的资源 您购买的非华为云或者云下服务器，只要与华为云云堡垒机网络互通并且协议互相支持，就可以通过云堡垒机纳管相应服务器。 支持的主机类型 支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的Windows或Linux主机。 支持的数据库类别 关系型数据库（Relational Database Service，RDS）。 弹性云服务器（Elastic Cloud Server ，E CS ）的自建数据库。 支持的数据库类型及版本 表2 支持的数据库引擎及版本 数据库引擎 引擎版本 MySQL 5.5，5.6，5.7，8.0 Microsoft SQL Server 2014、2016、2017、2019、2022 Oracle 10g、11g、12c、19c、21c DB2 DB2 Express-C PostgreSQL 11、12、13、14、15 GaussDB 2、3 支持应用管理的服务器类型及版本 仅支持对Windows服务器和Linux上的应用进行管理 ，且支持的服务器系统版本如表3。 表3 支持的应用服务器类型及版本 系统类型 系统版本 Windows Windows Server 2008 R2及以上版本 Linux CentOS7.9 目前仅X86版本云堡垒机支持应用运维，Arm版本云堡垒机不支持应用运维。

支持使用的第三方客户端 云堡垒机需通过第三方客户端登录CBH系统，以及调用第三方客户端，实现安全运维管理。 表4 登录CBH支持的客户端及版本 登录方式 支持使用的客户端 版本 Web浏览器登录 Edge 44及以上版本 说明： Edge浏览器上传大文件限制：文件上传到主机，支持单个文件最大4G。 Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 SSH客户端登录 SecureCRT 8.0及以上版本 Xshell 5及以上版本 Mac Terminal 2.0及以上版本 表5 运维过程支持调用的客户端 运维方式 资源协议类型/应用类型 支持调用的客户端 数据库运维 （主机运维方式） MySQL Navicat 11、12、15、16 MySQL Administrator 1.2.17 MySQL CMD DBeaver22、23 SQL Server Navicat 11、12、15、16 S SMS 17 Oracle Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12、15、16 PL/SQL Developer 11.0.5.1790 DBeaver22、23 DB2 DB2 CMD命令行 11.1.0 文件传输运维 SFTP Xftp、WinSCP、FlashFXP FTP Xftp、WinSCP、FlashFXP、FileZilla 应用发布运维 MySQL Tool MySQL Administrator Oracle Tool PL/SQL Developer SQL Server Tool SSMS dbisql dbisql Chrome Chrome Edge Edge Firefox Firefox VNC Client VNC Viewer SecBrowser SecBrowser VSphere Client VSphere Client Radmin Radmin

网络访问限制 不支持跨区域（Region）直接使用。 云堡垒机实例与系统资源（系统内管理的弹性云服务器、云数据库等）必须在同一区域内。 虽跨区域跨VPC可通过云连接（Cloud Connect，CC）、虚拟专用网（Virtual Private Network，VPN）等构建跨区域网络，但受限于网络的不稳定性，不建议跨区域使用云堡垒机纳管资源。 不支持跨VPC直接使用。 云堡垒机实例与系统资源必须在同一个VPC的子网内，才能直接连接访问。 跨VPC情况下，可通过对等连接打通两个VPC之间网络。 云堡垒机实例与系统资源的安全组，必须允许相互访问。 系统资源必须处于实例所属安全组允许访问的范围内，且资源所属安全组必须允许实例私有IP访问。 如果实例与系统资源处于不同的安全组，系统默认不能访问。需要在实例的安全组添加“入”的访问规则。 实例的安全组默认端口有443和2222，默认支持Web浏览器和SSH客户端访问。若需其他访问方式，需用户手动添加目标端口。 具体端口限制详见表1。 只允许通过IP地址和端口访问CBH系统。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 20~21 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问GaussDB数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS 域名 解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432

审计 云堡垒机系统用户个人数据的所有操作，包括增加、修改、查询和删除，云堡垒机系统都会记录审计日志，并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志，系统管理员Admin拥有系统最高权限，可查看并管理登录系统全部用户账号操作记录。 基于用户身份系统唯一标识，从用户登录系统开始，全程记录用户在系统的操作行为，监控和审计用户对目标资源的所有操作，实现对安全事件的实时发现与预警： 表1 云堡垒机审计功能特性 功能特性 功能详情 系统行为审计 系统操作行为全纪录，针对操作失误、恶意操作、越权操作等行为告警通知。 系统登录日志 详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。 系统操作日志 系统操作行为全程记录，覆盖所有系统操作事件。支持一键导出全部系统操作日志。 系统报表 集中可视化呈现用户在系统的操作统计信息，包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。 支持一键导出系统报表，并可定周期以邮件方式自动推送系统报表。 告警通知 通过配置系统告警，针对系统操作和系统环境制定不同告警方式和告警级别，以邮件方式和系统消息方式推送告警通知，以便及时发现系统异常和用户异常操作。 资源运维审计 全程记录用户的运维操作，支持多种运维审计技术和审计形式，可随时审计用户操作行为，识别运维风险，为安全事件追溯和分析提供依据。 运维审计技术 Linux命令审计 基于字符协议（SSH、TELNET）的命令操作审计，记录命令运维全程，支持解析字符操作命令，还原操作指令，根据输入、输出结果关键字搜索快速定位回放。 Windows操作审计 基于图形协议（RDP、VNC）终端和应用发布的行为操作审计，远程桌面的操作全纪录，包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。 数据库命令审计 基于数据库协议（DB2、MySQL、Oracle、SQL Server）的命令操作审计，记录从SSO单点登录数据库到数据库命令操作全程，支持解析数据库操作指令，100%还原操作指令。 文件传输审计 基于远程桌面的文件传输操作审计，以及基于文件传输协议（FTP、SFTP、SCP）的传输操作审计，对Web浏览器或客户端文件传输全程审计，记录传输的文件名称和目标路径。 运维审计形式 实时监控 实时查看正在进行的运维会话，支持监控和中断实时会话。 历史日志 运维操作全程记录，详细记录历史运维会话信息，支持一键导出历史会话日志。 会话视频 支持对Linux命令审计、Windows操作审计全程录像记录，回放录像视频。 支持生成视频文件，一键下载会话视频。 运维报表 集中可视化呈现运维统计信息，包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。 支持一键导出运维报表，并可定周期以邮件方式自动推送系统报表。 日志备份 通过配置日志备份，可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶，实现系统日志容灾备份。