天翼云微隔离防火墙服务协议（新） 自2021年11月11日起，新版微隔离防火墙产品用户协议生效。 天翼云微隔离防火墙产品用户协议（旧）

微隔离防火墙(CTMIFW,Microisolation Firewall)是面向数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理,能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补,实现纵深防御。

微隔离防火墙以镜像方式承载,订购前需要开通一台云主机承载业务,然后再购买授权。本小节介绍微隔离防火墙的订购模式。 目前下单的两种模式： 1. bcp下单模式，客户经理可通过此模式下单； 2. 官网下单模式，客户经理以外的人员可通过此方式下单。 官网下单模式 1、进入天翼云官网，点击右上角【控制中心】，然后登录。 2、点击【弹性云主机】。 3、点击【创建弹性云主机】。 4、按需选择相应的云主机规格，需注意：在选择公共镜像时，选择安全产品中的微隔离防火墙。 5、云主机需开放端口：10443、6443、8000、60001、60011、60021、60031端口。6443为WEB控制台访问端口，10443端口为后台管理使用的端口，8000安装agent的访问端口，60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。 开放端口操作： 1）点击上图的【下一步：网络配置】进行配置。 2）进入【配置安全规则】。 3）点击【创建安全组】 6、在创建完成云主机后，在【控制中心】中选择安全项中的【微隔离防火墙】。点击小购物车“”进入订购页面。 7、设置实例名称，选择需要微隔离防护的云主机数量，上传识别文件，选择订购时长，勾选服务协议，即可提交订购。本产品的授权过程需要12个工作日的时间完成，完成授权后会生成对应的实例项，授权文件可以在console页面的实例信息中下载，我们也会邮件通知授权文件。

微隔离可对不同业务之间进行流量隔离并精确阻断非法流量。 用户可启用或禁用微隔离规则，禁用后的规则不生效。 用户通过一键封锁IP 、一键关闭端口 功能，输入需要屏蔽的地址或者关闭的端口，可一键生成对应规则。 模式介绍 微隔离规则支持三种模式： 混合模式：支持终端规则和标签规则两种配置方式。 白名单模式：可以在白名单模式下配置标签规则，白名单内的规则默认放行，白名单外的规则默认阻止。 黑名单模式：可以在黑名单模式下配置标签规则，对黑名单内的规则进行阻止。 注意 同一时间只有一种模式下的策略会生效。 注意事项 确保关闭本地端口或屏蔽IP不会对业务造成影响后进行相应操作。 针对Linux终端配置的微隔离规则与本地防火墙规则冲突时，以微隔离配置的规则为准。 微隔离暂不支持IPv6。 混合模式下，微隔离规则放行的优先级高于阻止，在配置时可以先阻止所有端口后，再放行必要的端口。 模式切换 注意 切换模式后，原模式下的策略不再生效，仅新模式下的策略生效。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 微隔离”。 3. 在页面右上角选择策略模式。 4. 在弹出的切换窗口中，阅读注意事项后，单击“确认”，完成切换。

微隔离防火墙(CTMIFW,Microisolation Firewall)是面向数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理,能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补,实现纵深防御。

本小节介绍微隔离防火墙服务类常见问题。 自适应微隔离Web控制台初始的登录用户名密码是什么？ 请联系400客服获取。 自适应微隔离Web控制台密码被锁定了怎么办？ 系统默认设置为密码重试4次将被锁定，一种方法是重启安装本产品云主机，密码锁定被恢复。 自适应微隔离Web控制台忘记登录密码怎么办？ 请联系客服人员进行密码重置。 如何获取并导入新的License，并使License生效？ 1. 首先需要ssh登录到安装自适应微隔离的云主机系统内。 2. 进入到/opt/dynarose/License目录内，执行genreqkey会生成license.req文件。 3. 请将文件或者文件的内容发送给我们的客服人员，客服人员会根据此文件生成授权文件license.lic文件。 4. 当得到此授权文件请将license.lic文件放置到/opt/dynarose/sysadmin/cfg/目录下，并执行此命令docker restart dynarosesysadmin1，执行成功后可在Web控制台页面查看“系统管理”的信息来校验License是否生效成功。

本小节介绍微隔离防火墙售前类常见问题。 自适应微隔离产品需要对外提供哪些端口访问，才能正常工作？ 需要提供端口：10443、6443、8000、60001、60011、60021、60031。 6443为Web控制台访问端口。 8000安装Agent的访问端口。 60001、600011、60021、60031为Agent接入自适应微隔离管理中心的使用端口。 10443端口为后台管理使用的端口。 如何获取自适应微隔离的客户端安装命令？ WEB端登录系统后，在“工作负载管理 > 授权管理”中创建授权码，在页面下方可以获取针对不同的操作系统获取自动化安装命令，如下图： 使用IE浏览器访问产品管理页面时，一直显示加载中？ 目前产品不支持IE浏览器，可使用谷歌、火狐、Edge、腾讯、360浏览器，推荐使用谷歌Chrome浏览器。 自适应微隔离的Agent支持的操作系统有没有详细的版本列表信息？ 主要支持两种类型系统Windows和Linux。 Linux支持环境：Centos6、7 Ubuntu12、14、16 (LTS only) RedHat6、7 Debian7、8、9SUSE 11、12OpenSUSE 12、13、42； Windows支持环境：Windows Server 2008 R2、2012、2012 R2、2016。（注：以上各版本64位系统）Windows7、10。 业务拓扑图的红色线和绿色线都代表什么？ 业务拓扑图上的红色线代表工作负载被访问的流量连接与微隔离的策略没有匹配，当工作负载切换到防护，红色的流量连接将会被阻断；业务拓扑图上的绿色线代表工作负载访问的流量连接与微隔离的策略可以匹配上，当工作负载切换到防护，绿色的流量连接将会被放开允许访问。

授权过程需要在微隔离防火墙后台管理页面进行,请确认已安装并登录微隔离防火墙。本小节介绍微隔离防火墙管理中心(QCC)授权操作方法。 导出识别文件 点击左侧导航栏的【License管理】，在授权激活页面点击下载软件识别码。 获取授权文件 将所下载的软件识别码发送给售后服务人员，售后服务人员将根据服务订单信息制作授权文件。制作好的授权文件将可通过邮箱、邮寄或其他方式传递给用户。 导入授权文件 收到授权文件后选择“导入授权文件”，并拖动相关授权文件进行上传，上传成功后进行“用户名”、“最大终端数”、“漏洞扫描授权”、“过期时间”等信息，确定无误后进行授权激活。 授权成功后可在licence管理中查看系统授权信息。

微隔离防火墙以镜像方式提供服务,用户需要一台云主机安装产品镜像,然后申请最大资产数和使用时间的授权。本小节介绍微隔离防火墙计费模式和价格。 计费模式 微隔离防火墙按照用户保护的最大终端数量定义了最大资产数，分为三档依次为20L、50L、100L、200L、400L、800L。 各档最大资产数对应管理中心云主机配置要求参照下表： 序号 最大资产数 管理中心主机配置 1 20 1核2G，60G数据盘 2 50 1核4G，100G数据盘 3 100 2核4G，200G数据盘 4 200 2核4G，200G数据盘 5 400 4核8G，300G数据盘 6 800 8核16G，400G数据盘 价格 产品规格（防护主机台数） 标准价格（元/月） 20 1700 50 4200 100 8300 200 16600 400 29900 800 59800 说明 针对一次性包年付费服务，标准价格按照如下优惠政策进行操作，且在订购期间不允许退订服务。 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格1285% 包月标准价格2485% 包月标准价格3685%

云防火墙授权时，显示授权信息失败？ 请等待15分种，超过15分钟仍未显示获取授权，需联系客服人员进行调整。 云堡垒机无法进行SSO单点跳转？ 请按照登录运维，进行插件下载安装。 云堡垒机进行扩容，出现异常？ 云堡垒机的云主机附加磁盘后，如未看到系统存储空间扩容，请重启云主机后再查看。 云堡垒机的密码更换时间较短？ 云堡垒机更换密码较短，让用户登录系统管理员登录云堡垒机，然后在【策略】→【密码策略】进行策略调整，设置密码更换天数 终端安全EDR安装客户端失败问题？ 请进入内网地址（ 终端安全EDR无法联网 在云防火墙添加终端安全EDR允许访问互联网的应用控制策略及源地址转换策略，详情请参考映射端口。 微隔离策略不生效的问题 请按如下检查，如果仍然不生效，请联系服务提供商处理。 微隔离功能不支持终端操作系统为Windows XP或Windows Server 2003，如果终端操作系统是上述版本，则微隔离不生效。 打开终端安全EDR管理平台“微隔离/微隔离策略”，检查“微隔离生效开关”是否启用状态，如下图。

本小节介绍微隔离防火墙产品定义和产品优势。 产品定义 微隔离防火墙（CTMIFW Microisolation Firewall）面向数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理，能够帮助用户快速便捷的实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补，实现纵深防御。 产品优势 基础架构无关 与基础架构无关，与系统适配。 Linux 发行版 CentOS: 5.X(有限支持)/ 6.X/ 7.X/ 8.3.2011； Ubuntu: 14/ 16/ 18.04 LTS/ 20； Debian: 8/ 9/ 10； Suse: 11.4/ 12SP1/ 12SP5； Open Suse: 42.3/ 13.2/ Leap15.0。 Windows Server Windows Server 2008R2； Windows Server 2012/ R2； Windows Server 2016； Windows Server 2019。 国产操作系统 UOS:V20Debian10/V20CentOS7.7/V20CentOS8.2； Kylin: V4/ V7/ V10； EulerOS: SP5； OpenEulerOS: 20.09/ 21.09。 容器平台 K8S+Docker； K8S+CIRO。 系统影响小 采用安全可靠架构设计 全用户态设计，不侵蚀系统内核； 单向控制通信，不额外开放端口； 客户端防卸载、防删除、防停用。 智能优化系统性能开销 连接、阻断关系合并上报； 防火墙策略对象智能聚合。 多项资源占用保护机制 CPU单核占用率降级阈值设定； 连接、阻断关系内存占用限制； Conntrack最大容量动态调整； TCP / UDP超时时间智能调整。

天翼云微隔离防火墙用户使用指南.pdf

本小节介绍微隔离防火墙操作类常见问题。 Windows系统在安装客户端时，提示访问被拒绝 问题现象：如下图所示 解决方法：使用管理员权限运行CMD，并执行安装命令。 安装过程中无报错，但管理中心中未出现新安装的云主机？ 查看License是否已到期或可接入数量已用满。 自适应微隔离产品的管理控制台登录方式？ 自适应微隔离产品提供镜像模式，请访问基于此镜像启动云主机的IP地址，访问请忽略证书安全性要求，继续访问即可。 安装了Agent在云主机内，为什么在管理中心看不到新接入的工作负载？ 接入失败存在以下情况： 当接入的工作负载总数超过了授权允许的接入总数或者授权已经到期，将无法接入新的工作负载，请联系厂商获取新的授权。确认是否因为授权限制，可以登录到页面后在右上角的位置查看“系统管理”。 因为授权码无效或者客户端安装失败造成接入失败，可查看在客户端安装过程中的提示信息是否失败，也可以查看/opt/dynarose/log/nodeclient.Info文件是否有授权失败信息。 如何确定是否在云主机内安装自适应微隔离的Agent成功？

本小节介绍微隔离防火墙的术语解释。 微隔离 微隔离（IdentityBased Segmentation），亦称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等；其基于工作负载身份，通过访问控制策略或加密规则，对位于本地或云端数据中心的工作负载（物理机/虚拟机/容器等）、应用、程序进行细粒度隔离和精细化访控，从而实现缩减暴露面、阻止攻击横向侧移的安全目的。 南北向流量 进出互联网边界的流量称为南北向流量。 东西向流量 数据中心中不同服务器之间的流量称为东西向流量。 授权码 指安装客户端时所验证匹配的校验码。 工作负载 泛指承载业务的主机，包含物理机、虚拟机、容器等一系列计算主机的统称。 工作组 通过“位置”、“应用”、“环境”三维标签来确定一个工作负载的集合。 连接线 工作负载之间互相访问的路径，通过计算引擎计算后显示在Web界面的线。 策略 针对工作负载之间，工作组之间的访问流量设置白名单的方法。 策略状态 指创建策略应用至工作负载或工作组的状态，分别为建设状态、测试状态、防护状态。 建设状态 只在管理中心生效的策略状态，用于策略制定，该状态下策略不会应用至工作负载。 测试状态 策略下发至工作负载，但不生效，会记录所创建的策略，不对业务产生影响，该状态下适用于测试策略是否正常的情况。 防护状态 在工作负载上应用，且只允许创建的策略通过，未指定策略的访问流量将无法通过。

本小节介绍微隔离防火墙应用场景。 数据中心内部隔离及访问控制解决方案 容器网络隔离与控制解决方案应用 数据中心东西向流量监测与分析解决方案应用 护网及重保内网加固解决方案应用 等级保护2.0 基本要求应对方案

本小节介绍微隔离防火墙登录未隔离管理中心(QCC)。 前提条件 用户确保已经成功安装平台的自适应微隔离管理中心（QCC），开放了10443、6443、8000、60001、60011、60021、60031端口，并且安装客户端的工作负载与管理中心网络可达。 6443为WEB控制台访问端口，10443端口为后台管理使用的端口，8000安装agent的访问端口，60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。 登录管理中心（QCC） 产品采用web页面进行管理及操作，在浏览器输入“ 系统默认的后台管理登录地址为 系统默认的日常操作登录地址为 系统默认用户名和密码：请联系400客服咨询。 默认密码在受理完成后，产品控制台实例列表中下载，如下图所示。 以6443为例，输入用户名及密码后点击确定或输入“回车”即可完成登陆。其中密码输入框处的标识，点击可查看密码。 密码输入错误后会有剩余输入次数的提示，默认为5次，超过后将会被锁定。管理员账号被锁定后只能联系厂家解锁，其他用户被锁定，可登录管理员账号，在系统管理中解锁。 登录完成，进入平台（V2.13）首界面，首次登录时，界面如下：

本小节介绍微隔离防火墙功能特性。 工作负载标签化管理 零信任访控需要面向身份，微隔离的控制需要面向业务，这二者的关联是什么？对于“非人实体”而言，他的身份其实是他的业务角色，这一点其实与“真人实体”并没有什么差异（小张、小李不是身份，这个人的业务角色才是授予他权限的依据）。 工作负载标签化管理，是指基于多维属性标签，刻画工作负载业务角色、标定工作负载资产身份的管理设计。标签化是实现基于业务的互访流量可视化、面向业务的访问控制和自适应策略计算的基础能力； 通常情况下，可通过工作负载的位置、环境、应用、角色等属性定义标签； 在进行策略配置时，我们是通过标签的组合来设定策略控制的范围的。所以，从工作负载本身到角色，到带有多维标签的身份、再到使用多维标签的策略范围，我们通过五层实体、四次动态映射实现了安全策略与基础设施解耦（即面向业务而非基础设施）。 微隔离访问控制 支持内部云主机之间的微隔离访问控制（东西向），基于拓扑设置安全策略、可减少内部安全策略总数的90%。 当我们理清了内部连接的基线模型后，就要开始进行策略配置了。东西向流量的策略配置复杂度比较高，我们也进行了针对性的设计： 首先，上面提到策略是基于标签而配置的，一方面实现了安全策略面向业务（而非基础设施），另一方面则大幅减少了基于IP地址的策略规模，降低了系统运算量及性能开销； 其次，我们的策略具有多种模式，具备建设、测试、防护3种策略生效模式，最大化的降低安全策略部署过程中的业务影响； 第三，我们可以通过多种方式配置策略，比如在可视化视图中点击连接线，向导式的快速放通某个连接，又比如我们可以提供一个策略生成器，将当前的策略效果与实际发生的连接进行匹配，帮助客户分析出目前的策略配置没有覆盖到的连接，进而快速、批量的生成策略，最大化降低使用难度。 第四，对于有特殊需求的终端，我们也支持基于IPSec协议实现点到点的加密，最大化实现灵活管控。

本小节介绍微隔离防火墙虚拟中心管理。 虚拟中心用于分租户/部门管理，建立不同虚拟中心后，创建用户时，可限定该用户可以访问的虚拟空间，该租户/部门下设的虚拟机接入到本用户的虚拟中心，只接受本租户/部门管理。 说明 超级管理员可以看到所有虚拟空间。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

本小节介绍微隔离防火墙连接分析使用说明。 1.点击菜单栏连接分析，可进入连接分析界面。连接分析页面可帮助用户对于内部流量有针对性的进行筛选、钻取、分析。 2.按照提示，选择访问者、服务提供者，选择想要查看、分析的对应服务、端口（可添加多个服务），次数以及时间周期，如图所示。 3.添加好相应条件后，点击 ，即可根据查看如下界面。 4.如果访问者、提供者为工作组时，还可点击此工作组，进一步对信息进行钻取，如下图所示。

本小节介绍微隔离防火墙账户管理。 1.点击账户管理，即可进入账户管理页面，账户管理页面可查看用户登录信息，新增用户、修改密码等操作。 2.账户分为超级管理员、管理员、审查员。 超级管理员：最高权限，可创建管理员及审查员； 管理员：可以进行策略设置、工作组设置、工作负载接入等操作，但不能查看系统管理日志； 审查员：只可以查看系统日志、操作日志及告警规则。 3.超级管理员可以在账户管理页面解锁被锁定的用户，也可针对某一用户生成API密钥。被生成API密钥的账户，可以使用API接口。

本小节介绍微隔离防火墙升级与续订。 升级 升级操作是在Cosole页面产品实例列表进行的，点击【升级】会弹出升级配置页面，用户可以选择升级到的新规格。 升级的规格默认有效期与原实例保持一致。 续订 续订操作是在Cosole页面产品实例列表进行的，点击【续订】会弹出续订配置页面，续订是在原实例到期的基础上增加的有效时间。 到期效果 产品授权到期前7天会在登录页面给出到期提醒，产品到期后，配置的策略依然有效，但是无法登录平台进行调整。建议不计划继续使用本产品的用户，在产品到期前将所有策略关闭。

本小节介绍微隔离防火墙更新发布与记录。 更新发布 更新发布有两个作用，一是可以记录本次需要发布的所有操作，便于审阅；二是通过本页面点击发布，将本次的所有操作同步到Agent。 点击按钮，可将本次还未发布的操作进行还原。 发布记录 发布记录页面会记录每次发布的内容，包括分发状态，描述，发布人，发布时间等信息。 点击每条发布记录最右侧的 ，即可进入比较页面，本页面会显示本条发布记录时与现有策略的差别项。

本小节介绍微隔离防火墙告警与事件。 告警规则 进入告警规则界面后，可配置告警相关信息（邮件服务器地址需超级管理员用户在系统管理中设置）。根据下图步骤可完成告警规则的配置。 注意 1.每次告警只通知上次告警之后发生的符合条件的事件； 2.对于日志类的告警，条件中类别类别较多，可通过事先查看日志具体内容来熟悉各类别含义。 操作日志 操作日志会记录用户的操作（包括Web页面及API），例如工作组的创建、策略的生成等等。用户可根据筛选条件查看对应的操作日志。 系统日志 系统日志界面会记录系统的运行信息以及工作负载状态信息。可用于查看系统运行状态，工作负载运行状态，策略是否生效等。

本小节介绍微隔离防火墙服务对象说明。 1.服务对象是指用户已知允许访问的服务，描述一个服务对象需要包含服务名称、传输协议（tcp/udp）、服务所要使用的端口范围。 2.服务对象页面可以建立、修改、删除服务，上方的搜索框可以根据输入对服务对象进行过滤。 3.点击按钮，可以建立一条新的服务，服务名称不可相同，需要注意协议和端口的书写要求，端口可以用范围表示，多个协议和端口可用逗号隔开。 4.点击每条服务对象最右侧的标识可对服务对象进行修改，名称不可修改。可修改显示名称及服务的协议端口。

本小节介绍微隔离防火墙基本功能说明。 1. 为了更好的展示及说明业务拓扑的功能及操作，以下使用已包含多台工作负载的微隔离防火墙进行说明。 Demo界面如下： 2. 页面左上角的 标识，点击后会弹出平台功能列表，如下图所示，点击各功能标签可进入各功能页面。 3. 页面上部的搜索框可对业务拓扑页面的工作组进行筛选。支持按工作组名称及工作组（位置，应用，环境）标签进行筛选。 4. 拓扑图左上角第二个搜索框为工作负载搜索框，支持IP、主机名、角色标签匹配，选择某工作负载后点击，即可在拓扑图中高亮显示此工作负载。 5. 点击页面右侧的 ，可以切换当前用户的其他虚拟中心。 6. 界面右侧的标志，为发布提示标志，当平台的某些操作会影响安全策略时，该图标会显示操作的数量 。点击该图标可进入发布审阅界面，确认发布后，此次操作造成的策略变动会同步到工作负载上。 7. 首界面拓扑右上角的图例 标志，点击后可查看业务拓扑界面元素说明。 未被策略允许：未配置合规的安全策略。 被策略允许：已配置合规的安全策略。 8. 图例标识右侧的过滤 标识，点击后，可对拓扑中的连接线及工作负载进行过滤。 9. 最右侧的标识可对界面进行全屏展示，以及标识可以放大或缩小拓扑。标识可以使首页拓扑页面的工作组恢复初始排布序列，标识可以对视图参数进行设置。 10. 右下角为“鹰眼”图标，拖动“鹰眼”中的灰框可以改变拓扑的位置，便于在工作组较多时快速查看。

本小节介绍微隔离防火墙接入工作负载操作方法。 根据不同系统接入工作负载： Linux系统，在自动化安装处选择对应的Linux 系统版本复制生成的安装命令，生成安装命令后，点击复制按钮，粘贴至具备root 用户权限的命令行终端中，即可进行安装； Windows Serve，在自动化安装处选择对应的windows 系统版本，生成安装命令后，点击复制按钮，粘贴至具备管理员权限的cmd 中，即可进行安装； 也可以使用自动化运维工具进行批量安装。 登录页面查看agent是否接入成功，功能菜单→工作负载管理→工作负载，即可查看接入的工作负载。 注意 1. 执行安装命令，系统会自动到管理中心获取安装脚本，请确保安装客户端的工作负载与管理中心网络可达。 2. 安装脚本执行后自动判定系统版本，并从管理中心获取相应安装包。 3. Linux系统安装命令一致、Windows系统安装命令一致。 4. Agent 成功安装后，不会清空原有iptables 中的策略。后续产品添加安全策略会在iptables 最上层添加。若只在建设或测试模式下运行，可在安装命令后加nf true ，则不安装Agent 的微墙客户端（fwclient 防护模块）。 5.ubuntu在14.04之后的版本不支持root用户登录，可使用具备root权限的用户登录后执行。 6.由于系统可能进行了各类安全设置，例如不允许在root下执行sudo，不允许安装软件，不允许运行脚本，安装源不允许修改等，如遇到安装不成功时，可联系我方工程师进行协助。 根据以上内容可以快速进入管理中并将需要管控的工作负载接入到管理中心（QCC）,工作组和配置防护策略以及各个模块详细功能需要参看用户指南。

本小节介绍微隔离防火墙业务关系使用说明。 点击功能菜单>可视化分析>业务关系，进入此功能界面。 业务关系界面主要帮助用户对每个工作组的业务关系进行针对性的分析和梳理。 1.按照页面中的提示，选择一个工作组，可以看出该工作组中的工作负载的访问情况和被访问情况。 2.在访问组和被访问组有多个时，可以单击中间的工作组，点击红框中的下拉键，选择其他工作组。 或者通过点击或选择查看工作组与该组间访问关系。 3.单击访问组或者被访问组，可以切换组视角，来查看该组的访问和被访问关系。

本小节介绍微隔离防火墙地址对象。 1.地址对象是指某些我们已知的IP地址，这些IP地址配置成地址对象后，便于策略的建立，并且在业务拓扑图中来自地址对象的IP连接会转移到地址表中进行显示，如下图所示： 2.地址对象页面可以对地址对象进行新建、删除、修改操作。 3.点击标识，可新建一条地址对象。地址对象名称唯一，需注意地址的书写格式，IP段用IP地址加掩码表示，如果为单个IP地址也需标注32位掩码，多个地址中间用逗号隔开。 4.点击每条地址对象最右侧的标识，可对地址对象进行修改。 5.勾选对应的地址对象，点击按钮，可进行删除操作。

本小节介绍微隔离防火墙系统管理。 点击首界面右上角的用户名，即可进入系统管理，虚拟中心管理界面，账户管理，系统管理日志以及可退出当前用户，如下图所示： 系统管理可查看及设置系统相关参数，包括查看license相关参数、日志储存天数、登录尝试次数、会话时长，以及配置告警邮件发送服务器。 说明 只有超级管理员具备进入系统管理的权限。 系统信息：包含系统版本、系统时间、license数量、授权时间、客户名称等信息。 注意 1.当授权时间还有1周时会在页面上方进行提示。超过期限后，产品将禁止登录。 2.已接入数量达到授权数量后，接入新工作负载将失败。 1.系统设置：可设置系统日志、操作日志的储存天数。工作负载离线时间是指某一工作负载多久没有心跳时，管理中心认为其已经离线。 2.登录设置：可设置各账户尝试登录次数，超过次数后账户锁定。还可会话时长设置中设置页面无操作时自动退出账户的时间。 3.邮件发送服务器配置：若要配置邮件告警，需超级管理员用户根据内部实际情况先配置邮件发送服务器地址。

本小节介绍微隔离防火墙排查工具。 策略检查 点击功能菜单>查询搜索>策略检查，进入此功能界面。 策略检查主要用于两个工作负载之间的通信服务端口进行策略匹配度检测，也可以用策略检查来去掉工作负载间的重复策略。 注意 只有匹配好的策略可以搜索到，没有匹配的，策略无法检查到。 在检查策略时，提供者和访问者需要提前选择，服务端口也需要提前填写好，否则无法检查。提供者和访问者在选择时也可以选择具体IP，在检查结果过多的时候，可以通过过滤来检查想要的结果。 注意 提供者、访问者和服务端口都是单项填选。 连接关系 点击功能菜单>查询搜索>连接关系，进入此功能界面。 1.连接关系搜索用于查询工作负载的访问和被访问的详细情况，搜索结果数据支持导出查看。 2.在连接搜索界面中，端口服务是单项填写，本端和远端都是可以多项选择也可以不选择。在搜索时，可以添加搜索条件来获取相应的结果。在检查结果过多时，可以通过过滤来查看想要的结果。连接关系支持导出到本地进行查看。

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。