华为云用户手册

权限管理 角色是用户操作权限的集合。在创建用户时，给用户赋予了什么样的角色，用户就拥有了什么样的操作权限。 华为乾坤控制台支持自定义角色。同时，为了方便客户配置，控制台预置了多种角色，包括公共类角色和服务类角色。 本节主要介绍与本服务相关的预置角色。如果您想了解更多角色类信息，请参考《租户公共操作》中“背景知识”章节。 表1 预置角色及权限说明 角色名称 说明 漏洞扫描 管理员 具有 漏洞扫描服务 的查看、编辑权限。 漏洞扫描审计员 具有漏洞扫描服务的查看权限。 漏洞扫描开放接口操作员 具有开放接口业务的使用权限。 父主题： 产品介绍

数据规划 项目 数据 说明 交换机 与天关1上行口连接接口 GE1/0/21：10.1.10.2/24 请向租户获取，此处为示例。 与天关1下行口连接接口 GE1/0/20：10.2.10.2/24 与天关2上行口连接接口 GE0/0/21：10.6.10.2/24 与天关2下行口连接接口 GE0/0/20：10.7.10.2/24 与上行设备连接接口 Vlanif10：10.3.0.4/24 与内网设备连接接口 Eth-trunk1：10.5.0.1/24 天关1（USG6502E-C、USG6503E-C） 上行口 GE0/0/21：10.1.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/20：10.2.10.20/24 心跳口 GE0/0/8：10.10.0.1/24 天关2（USG6502E-C、USG6503E-C） 上行口 GE0/0/21：10.6.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/20：10.7.10.20/24 心跳口 GE0/0/8：10.10.0.2/24 天关1（USG6603F-C） 上行口 GE0/0/7：10.1.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/6：10.2.10.20/24 心跳口 GE0/0/8：10.10.0.1/24 天关2（USG6603F-C） 上行口 GE0/0/7：10.6.10.21/24 请向租户获取，此处为示例。 下行口 GE0/0/6：10.7.10.20/24 心跳口 GE0/0/8：10.10.0.2/24 父主题： 企业边界双链路组网—天关双机热备

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 交换机 GigabitEthernet0/0/2 观察端口。 GigabitEthernet0/0/1 镜像端口。 天关 USG6502E-C、USG6503E-C 转发镜像流量Bypass接口对：GE0/0/21和GE0/0/20 云端管理接口GE0/0/3：172.16.10.10/24 漏洞扫描和 云日志 审计接口GE0/0/2：192.168.56.10/24 请向租户获取，此处为示例。 父主题： 企业边界天关旁路镜像引流透传场景

适用产品和版本 设备 版本 备注 USG6000E-E03/USG6000E-E07 USG6106E USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E/USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E/USG6520E-K/USG6560E-K/USG6590E-K V600R007C20SPC500及其之后版本 不支持漏洞扫描服务和云日志审计服务。

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、 1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 转发业务流量接口（Bypass接口对） USG6502E-C、USG6503E-C 天关1：GE0/0/21和GE0/0/20 天关2：GE0/0/21和GE0/0/20 USG6603F-C 天关1：10GE0/0/0、10GE0/0/1 天关2：10GE0/0/0、10GE0/0/1 - 区域2NAT后地址 192.168.55.100 区域2中所有资产使用该NAT后地址访问其他区域（外网或区域1）。 云端管理接口 天关1GE0/0/3：192.168.66.10/24 天关2GE0/0/3：172.16.10.10/24 请向租户获取，此处为示例。 漏洞扫描和云日志审计接口 天关1GE0/0/2：192.168.67.10/24 天关2GE0/0/2：172.16.11.10/24 请向租户获取，此处为示例。 父主题： 企业内部存在NAT转换场景

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

操作步骤 配置接口对。 配置接口GigabitEthernet 0/0/1。 [HUAWEI] interface gigabitethernet 0/0/1[HUAWEI-GigabitEthernet0/0/1] undo portswitch[HUAWEI-GigabitEthernet0/0/1] ip address 10.1.10.2 24[HUAWEI-GigabitEthernet0/0/1] quit 配置接口GigabitEthernet 0/0/2。 [HUAWEI] interface gigabitethernet 0/0/2[HUAWEI-GigabitEthernet0/0/2] undo portswitch[HUAWEI-GigabitEthernet0/0/2] ip address 10.2.10.2 24[HUAWEI-GigabitEthernet0/0/2] quit 配置策略路由。 配置流分类。 [HUAWEI] traffic classifier c1[HUAWEI-classifier-c1] if-match any[HUAWEI-classifier-c1] quit 配置下行流行为和流策略，指定下一跳地址为10.2.10.20。 [HUAWEI] traffic behavior b1[HUAWEI-behavior-b1] redirect ip-nexthop 10.2.10.20[HUAWEI-behavior-b1] quit[HUAWEI] traffic policy p1[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1[HUAWEI-trafficpolicy-p1] quit 配置上行流行为和流策略，指定下一跳地址为10.1.10.21。 [HUAWEI] traffic behavior b2[HUAWEI-behavior-b2] redirect ip-nexthop 10.1.10.21[HUAWEI-behavior-b2] quit[HUAWEI] traffic policy p2[HUAWEI-trafficpolicy-p2] classifier c1 behavior b2[HUAWEI-trafficpolicy-p2] quit 在下行口GigabitEthernet0/0/47应用流策略。 [HUAWEI] interface gigabitethernet 0/0/47[HUAWEI-GigabitEthernet0/0/47] traffic-policy p1 inbound[HUAWEI-GigabitEthernet0/0/47] quit[HUAWEI] quit 在上行口GigabitEthernet0/0/48应用流策略。 [HUAWEI] interface gigabitethernet 0/0/48[HUAWEI-GigabitEthernet0/0/48] traffic-policy p2 inbound[HUAWEI-GigabitEthernet0/0/48] quit[HUAWEI] quit

组网需求说明 本方案天关采用双机热备部署，并旁挂于交换机，不额外配置独立的管理口与云端通信。 下图以天关USG6502E-C的GE0/0/21作为上行口、GE0/0/20作为下行口为例，分别与交换机相连，并使用GE0/0/8作为心跳口。如果使用天关USG6603F-C，则使用GE0/0/7作为上行口、GE0/0/6作为下行口分别与交换机相连，其他组网信息与USG6502E-C相同。 图1 方案组网

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 若业务口接口故障，直接触发策略路由切换来回路径不一致时，基于状态的协议检测无效；无状态的检测会出现源目的IP对调情况。 此场景下天关的主备完全由策略路由控制，不受人工切换（hrp switch）控制。 交换机需要支持ACL和三层策略路由功能，并推荐采用堆叠方式。 在云端向设备手动下发黑白名单时，需要分别给主备设备下发。

配置思路 通过vrrp配置企业边界防火墙双机组网（三层）的配置思路： 登录FW1，主要配置以下内容： 配置上下行接口，用于转发内外网业务流量；配置HRP心跳接口，建立HRP心跳链路。 配置HRP业务参数，建立双机热备，使主备防火墙包报文交互。 配置安全策略，放行指定流量。 登录FW2，主要配置以下内容： 配置上下行接口，用于转发内外网业务流量；配置HRP心跳接口，建立HRP心跳链路。 配置HRP业务参数，建立双机热备，使主备防火墙包报文交互。 在华为乾坤中添加并绑定FW1/FW2。 父主题： 企业边界防火墙双机组网（三层）--vrrp

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

约束或注意事项 规格信息请使用Info-Finder的特性查询工具进行查询或导出。 USG6501E-C不支持电Bypass口，此方案不使用该型号设备。 USG6502E-C、USG6503E-C接口使用限制： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时，组成一条电链路Bypass。推荐使用这两对接口作为业务口，用于转发内外网的业务流量，当天关故障时流量直接通过天关，保证业务不中断。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。 USG6603F-C接口使用限制： 为了提高业务可靠性，可以配置光Bypass卡，连接光Bypass卡的方式请参见《USG6000F-C天关上线》中“安装并连接光Bypass插卡”章节。 默认情况下，接口编号相邻的接口两两组成二层接口对。 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备。

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

解决方法 本地授权版本，确认相应特征库已授权。 云端授权版本，确定乾坤云上该设备已经绑定边界防护与响应套餐，并且套餐状态为已部署。 排查上游设备做了安全限制导致网络不通，需要放通如下 域名 ： 1、华为安全智能中心目前调度服务器域名：sec.huawei.com。 2、华为安全智能中心目前的下载服务器信息： 域名 优先支持的下载区域 fds-europe-1.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-europe-2.sec.huawei.com 欧洲区域、非洲区域、俄罗斯区域 fds-asia-2.sec.huawei.com 亚洲区域 fds-cn-1.sec.huawei.com 中国区域 fds-cn-3.sec.huawei.com 中国区域 fds-cn-6.sec.huawei.com 中国区域 fds-hongkong.sec.huawei.com 中国区域、亚洲区域 fds-beijing.sec.hauwei.com 中国区域、亚洲区域 fds-guiyang.sec.huawei.com 中国区域、亚洲区域 fds-shanghai.sec.huawei.com 中国区域、亚洲区域 fds-singaporean.sec.huawei.com 亚洲区域 fds-mexico-2.sec.huawei.com 南美区域、北美区域 fds-mexico-3.sec.huawei.com 南美区域、北美区域 fds-mexico-1.sec.huawei.com 南美区域、北美区域 fds-cairo.sec.huawei.com 非洲区域、俄罗斯区域 文件下载协议与端口之间的关系为：H TTS -443，HTTP-80，FTP-22，32119。

背景信息 表1 设备说明 设备型号 说明 USG65xxF USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL USG66xxF USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K USG67xxF USG6710F/USG6715F/USG6725F/USG6710F-K 无需激活设备即可使用其功能 USG6000F-Exx USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 需要激活设备后才能使用其功能

产品优势 云日志审计服务的产品优势如下： 全面满足等保合规要求：集日志接收、存储、解析、查询合规于一体，可以快速实现网络设备、安全设备、Windows/Linux操作系统、中间件等资产的日志审计，全面满足各个行业及组织的等保2.0要求。 统一的日志解析规则：针对复杂格式日志，提供统一日志解析规则，提高企业的日志管理能力。 动态扩容，业务零中断：快速方便的实现存储的分钟级快速扩容，确保业务不中断。 父主题： 产品介绍

连接业务线缆（USG65xxF、USG66xxF、USG6000F-Exx） 图1以USG6615F为例，USG65xxF、USG66xxF、USG6000F-Exx可参照该图连线。 图1 USG6615F连接业务线缆 表1 接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为三层口，连接局域网交换机，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为三层口，连接互联网，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 说明： USG6510F-D、USG6510F-DK、USG6510F-DL、USG6530F-D、USG6530F-DL、USG6307F-D、USG6311F-D、USG6331F-D使用GE0/0/0作为设备管理网口。

连接业务线缆（USG67xxF） 图2以USG6710F为例，USG67xxF可参照该图连线。USG67xxF只支持光接口，请使用光纤连接光接口。 图2 USG6710F连接业务线缆 表2 接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为三层口，连接局域网交换机，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为三层口，连接互联网，此处以100GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

连接以太网线 USG6603F-C（VLAN接口上网） 下图以USG6603F-C作为示例。 图1 USG6603F-CVLAN接口上网 表1 USG6603F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 10 GE0/0/10 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/10为例。 11 GE0/0/11 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/11为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6603F-C（单独物理网口上网） 图2 USG6603F-C单独物理网口上网 表2 USG6603F-C（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 10 GE0/0/10 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/10为例。 11 GE0/0/11 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/11为例。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 接口编号相邻的业务接口两两组成二层接口对，奇数编号接口用于连接上行设备，偶数编号接口用于连接局域网设备。 本节中业务上下行口都是以电接口为例进行介绍的，如需使用Bypass功能，请参见如何使用光Bypass插卡（SIC-2SM-BF-单模光bypass插卡）。 USG6606F-C（VLAN接口上网） 图3 USG6606F-C（VLAN接口上网） 表3 USG6606F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以100GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6606F-C（单独物理网口上网） 图4 USG6606F-C（单独物理口上网）接口使用说明 表4 USG6606F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以100GE0/0/1为例。 7 10GE0/0/7 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以10GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

适用产品和版本 设备 版本 USG6000E-E03/6000E-E07 USG6106E USG6305E/6306E/6308E/6309E/6312E/6315E/6322E/6325E/6332E/6335E/6350E/6355E/6365E/6385E/6395E/USG6308E-B/6318E-B/6338E-B/6358E-B/6378E-B/6388E-B/6398E-B USG6515E/6525E/6530E/6550E/6555E/6560E/6565E/6575E-B/6580E/6585E/USG6520E-K/6560E-K/6590E-K V600R007C20SPC500及其之后版本

适用产品和版本 设备 版本 备注 USG6000E-E03/USG6000E-E07 USG6106E USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E/USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E/USG6520E-K/USG6560E-K/USG6590E-K V600R007C20SPC500及其之后版本 不支持漏洞扫描服务和云日志审计服务。

扣减方式 威胁信息服务到期时间与其对应的边界防护与响应服务套餐到期时间保持一致。 若用户单独购买了重保威胁信息License，需要将其转化成设备月进行扣减计算。设备月=设备数*月数，如：客户购买了“1个设备，1年”的套餐，那么设备月=12。 重保威胁信息需与边界防护与响应服务专业版套餐绑定使用。 扣减方式： 同一个设备同一个月扣减1设备月。 通过上述扣减方式，可能会出现以下情况： 边界防护与响应服务专业版套餐到期，而重保威胁信息尚未到期。此情况下，系统将冻结重保威胁信息剩余设备月，当客户续订边界防护与响应服务专业版套餐后，重保威胁信息将重新启用。 重保威胁信息到期，而边界防护与响应服务专业版套餐尚未到期。此情况下，如果用户期望继续使用重保威胁信息功能，请重新购买重保威胁信息License并绑定边界防护与响应服务专业版套餐。

域名置信度与风险值使用说明 域名置信度与风险值使用说明如图1所示。 图1 域名置信度与风险值使用说明 判断域名是否满足域名规范。 如果是，则执行下一步。 如果不是，则参考其他信息进行处理。 调用威胁信息服务的接口获取域名威胁信息结果。 根据查询结果执行相应动作。 如果查询到数据，则执行下一步。 如果没有查询到数据，则参考其他信息进行处理。 判断域名是否是常用公共基础设施，如含有Name Server、CDN、Whitelist标签。 如果是，则放行此域名。 如果不是，则执行下一步。 判断是否含有其他中性标签，中性标签请参见IP和域名威胁信息标签。 如果是，则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 如果不是，则执行下一步。 判断置信度是否大于等于90，风险值是否大于60。 如果是，则阻断此域名。 如果不是，则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 父主题： 置信度与风险值使用说明

IP置信度与风险值使用说明 IP置信度与风险值使用说明如图1所示。 图1 IP置信度与风险值使用说明 判断IP地址是否为公网IP地址。 如果是，则执行下一步。 如果不是，则参考其他信息进行处理。 调用威胁信息服务的接口获取IP威胁信息结果。 根据查询结果执行相应动作。 如果查询到数据，则执行下一步。 如果没有查询到数据，则参考其他信息进行处理。 判断IP是否是常用公共基础设施，如含有CDN、Name Server等标签。 如果是，则放行此IP地址。 如果不是，则执行下一步。 判断置信度是否大于90，风险值是否大于60。 如果是，则阻断此IP地址。 如果不是，则根据用户实际情况结合威胁信息接口中其他数据进行人工研判。 父主题： 置信度与风险值使用说明

解决办法 DHCP配置有误，三层网关部署，如果设备自身要作为内网终端的DNS服务器，那么配置的时候必须选指定DNS，如果选系统的DNS设置，需要额外配置一条trust-local的安全策略做放行，否则内网终端获取到IP也无法上网。 注：使用系统的DNS设置，需要手动创建一条trust到local的安全策略并放通dns服务。 三层网关部署，设备本身给下联交换机做dhcp服务器，这种情况下联PC能不能通外网，要看一下自己本机是不是用的dhcp方式，如果是之前自己配置的静态ip，那肯定是不通外网的。确认一下当前测试PC的网段对不对。 内网终端获取不到IP的话要看下内网接口的配置，虚拟系统必须是public，不能是default. （默认public）。

硬件类危险操作 操作大类 操作小类 可能引发的后果 单板操作 严禁在线拔出主用主控板 当备用主控板工作正常时，由于主备主控板之间的数据同步需要一定的周期，在线拔出主用主控板后，系统虽然会自动进行倒换，但主用主控板上的最新数据不能完全自动备份到备用主控板上，导致系统统计出错或数据丢失。 当备用主控板工作不正常时，在线拔出主用主控板后，将导致相应模块的业务处理全部中断，使系统出现局部或全局业务阻塞 严禁随意按下主控板面板上的Reset按钮 当按下单板面板上的Reset按钮时，单板将被强行执行硬件复位，该操作仅能由有资质的维护人员在系统出现严重故障的情况下执行。 如果由于误操作按下主控板面板上的Reset按钮，将导致主控板复位，其后果与“在线拔出主用主控板”一样。 严禁随意按下OFL单板离线按钮 将使单板下电，业务中断。 严禁在不戴防静电腕带的情况下拔插单板 人体静电对单板上的电子器件具有很大的危害，维护人员在不戴防静电腕带的情况下拔插单板，很容易使单板遭受静电危害，从而损坏单板或使单板运行不稳定。 严禁使用串口线连接单板的调试串口进行调试 单板的调试串口仅能由集成商或华为公司的专业工程师使用。普通维护人员使用调试串口可能会导致单板程序运行异常、单板复位等后果。 CF卡操作 严禁对CF卡进行热插拔操作 在对CF卡进行读写操作的过程中（尤其是写操作），将CF卡拔出再插入，可能使操作系统异常，出现死循环复位，或使CF卡所在的主控板复位。 线缆类操作 严禁随意拔插机柜内部的网线 机柜内部的网线连接主要用于实现主机与维护终端之间的通信等功能，随意拔插网线将可能导致维护终端无法登录设备等。 电源类操作 严禁随意操作机柜配电框内的电源开关 只有在升级、扩容、更换部件或系统发生重大故障的情况下，维护人员才能按照操作规程操作各类电源开关，随意操作电源开关将导致设备停止运行、业务中断等重大事故。

命令类危险操作 功能分类 命令 命令功能 可能引发的后果 重启操作 reboot 重启系统 该命令仅在开局或升级时由专业工程师使用，否则将导致整个设备业务中断。 reset slot 重启单板 执行该命令，将重启指定的单板，相关业务中断。 关闭操作 power off slot 单板下电 执行该命令，将使指定单板下电，相关业务中断。 shutdown 关闭端口 执行该命令，对应的端口将不可用，相关的链路和业务中断。 删除操作 format 格式化存储设备 执行该命令进行格式化操作，将导致指定的存储设备上所有目录和文件丢失，并且不可恢复。 delete 删除设备存储设备中的指定文件 该命令用来删除存储设备中的指定文件，如果使用了参数unreserved，会彻底删除指定文件，删除的文件将不可恢复。 复位操作 reset 复位各类协议 请勿随意使用reset命令复位各类协议，否则会造成业务中断。 不要通过命令行在设备上修改华为乾坤云平台下发的配置，例如删除广播域BD、解除VNI与BD的绑定关系、修改VTEP的IP地址、修改VBDIF接口的IP地址等，否则可能会导致VXLAN业务不能正常运行。

故障处理原则 在遇到网络或业务异常时，请遵循以下原则对故障进行定界和恢复： 网络发生重大事故时，需依照快速定界故障、隔离故障的原则来尽快恢复业务。 定界故障：根据不同的故障现象匹配不同的故障定界思路流程，快速确定故障点。 快速恢复：通过隔离端口、隔离设备等手段，将故障目标暂时隔离，隔离的前提是网络有可靠性冗余备份，业务由其他正常节点承载，从而快速恢复业务。 在定位故障时，应及时获取并保存故障数据信息，不能随意删除数据。这些数据信息包括但不局限于网络拓扑、故障业务涉及的IP地址范围、故障接入点位置等。 在确定故障处理方案时，应先评估故障影响大小。 第三方硬件出现故障，可查看第三方相关资料或拨打第三方公司的服务电话求助。 维护人员在上岗前必须接受必要的应急维护培训，应熟练使用数据中心各个产品的运维功能，学习判断紧急事故的基本方法、掌握处理紧急事故的基本技能。 父主题： 维护工程师必读

解决方法 在管理PC上登录标准页面：https://192.168.0.1:8443/default.html。 在任意界面的右上角，单击“CLI控制台”。 图1 进入控制台 输入system-view，进入系统视图。 输入以下命令行配置认证方式。 配置后就可以使用密码password登录串口。 user-interface console 0 authentication-mode password set authentication password cipher password

防勒索场景 勒索软件是不法分子通过加密文件等方式劫持用户文件，借此索要钱财的一种恶意软件。勒索软件变种多，更新快，难以防范，攻击目标一般是终端上的文件，会在企业内部的终端上进行横向扩散，给企业的终端安全带来很大的风险和挑战。 勒索软件对企业可造成如下危害： 企业遭遇勒索，直接导致大额经济损失。 企业重要文件被加密，业务被迫中断，生产力遭遇冲击，间接影响企业经济。 企业重要数据遭遇篡改或公开，声誉受损，大众对企业信任度降低。 智能终端安全服务针对勒索软件，可以实现： 对全磁盘目录进行实时防护，阻止勒索软件以浏览器下载、U盘转移等方式入侵。 提供诱饵捕获功能，针对勒索病毒特征设置诱饵文件，及时捕获异常事件。 针对勒索病毒特征，提供文件防篡改功能，支持重点文件访问权限控制，及时上报加密行为。 围绕勒索攻击过程，检测各个攻击场景的威胁事件，自动下发威胁处置策略。 针对勒索病毒文件，提供病毒查杀功能，隔离相关文件。