此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

Web应用防火墙（原生版）可按防护域名定期为您生成防护报表，本文主要为您介绍如何配置报表、查看及下载报表。 Web应用防火墙（原生版）支持生成日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。 日报：每天00:00:00生成前一日的报表。 周报：每周一00:00:00生成前一周的报表。 月报：每月1日00:00:00生成前一月的报表。 前提条件 已购买Web应用防火墙（原生版）实例。 已完成网站域名接入并开启防护。 订阅报表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“报表管理”，进入报表管理页面。 5. 在“报表管理”页面右上角，单击“报表配置”，进入报表配置页面。 配置如下参数： 参数名称 说明 报表生成 WAF支持生成日报、周报、月报。根据需要进行开启，可多选。 报表订阅 该页面自动列出当前账号及其全部子账号。 勾选需要订阅报表的账号，报表生成后，系统会自动发送报表至订阅账号的邮箱。 6. 单击“确认”，完成报表配置。

本节主要介绍如何修改接入机配置 Redis管理控制台提供集群版实例的接入机配置功能，本节主要介绍如何修改集群版实例的接入机配置。 前提条件 已成功创建分布式缓存集群版实例，且实例处于运行中状态。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击CloudDBA>接入机节点管理，进入接入机节点管理页面。 5. 单击节点右侧“接入机配置”进入配置修改页面。可修改客户端最大连接数与Redis连接数。 6. 点击批量接入机配置可修改所有接入机节点的配置。

规格名称 vCPU 内存（GiB） 基准带宽/最大带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 虚拟化类型 x1.2u.2g 2 2 0.2/2 30 2 2 KVM x1.2u.4g 2 4 0.2/2 30 2 2 KVM x1.2u.8g 2 8 0.2/2 30 2 2 KVM x1.4u.4g 4 4 0.4/3 50 2 2 KVM x1.4u.8g 4 8 0.4/3 50 2 2 KVM x1.4u.16g 4 16 0.4/3 50 2 2 KVM x1.8u.8g 8 8 0.8/6 80 2 2 KVM x1.8u.16g 8 16 0.8/6 80 2 2 KVM x1.8u.32g 8 32 0.8/6 80 2 2 KVM x1.12u.12g 12 12 1.2/8 90 4 3 KVM x1.12u.24g 12 24 1.2/8 90 4 3 KVM x1.12u.48g 12 48 1.2/8 90 4 3 KVM x1.16u.16g 16 16 1.6/12 100 4 3 KVM x1.16u.32g 16 32 1.6/12 100 4 3 KVM x1.16u.64g 16 64 1.6/12 100 4 3 KVM

规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 虚拟化类型 h3.large.2 2 4 2/1 30 2 KVM h3.xlarge.2 4 8 4/2 60 2 KVM h3.2xlarge.2 8 16 6/3.5 120 4 KVM h3.3xlarge.2 12 24 6/5.5 160 4 KVM h3.4xlarge.2 16 32 12/7.5 200 8 KVM h3.6xlarge.2 24 48 15/11 300 8 KVM h3.8xlarge.2 32 64 17/15 400 16 KVM h3.large.4 2 8 2/1 30 2 KVM h3.xlarge.4 4 16 4/2 60 2 KVM h3.2xlarge.4 8 32 6/3.5 120 4 KVM h3.3xlarge.4 12 48 6/5.5 160 4 KVM h3.4xlarge.4 16 64 12/7.5 200 8 KVM h3.6xlarge.4 24 96 15/11 300 8 KVM h3.8xlarge.4 32 128 17/15 400 16 KVM

名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object pageNum Integer 当前页 pageSize Integer 页大小 total Long 总记录数 totalPage Integer 总页数 list Array 记录 id Integer 备份集id prodInstId Integer 实例id backupName String 备份名称 type String 备份类型，1：自动备份，2：手动备份，4:系统备份 startTime Long 备份开始时间 endTime Long 备份结束时间 dataLen String 备份大小 result Integer 备份结果，0：运行中，3：备份成功，5：备份失败

签名流程包括构造待签名字符串、构造动态密钥、计算签名信息、签名信息应用4个步骤，具体内容如下： 1. 构造待签名字符串：使用规范请求和其他信息创建待签字符串。 2. 构造动态密钥：使用 HEADER、ctyuneopsk、ctyuneopak 来创建 Hmac 算法的密钥。 3. 计算签名信息：使用第 2 步的密钥和待签字符串，再通过 hmacsha256 来计算签名信息。 4. 签名信息应用：将生成的签名信息作为请求消息头添加到 HTTP 请求中。

编辑IP地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和IP地址列表。 添加IP地址 在IP地址列表上方，单击“添加”，弹出添加IP地址页面，添加IP地址后，单击“确认”，完成添加操作。 编辑IP地址 在IP地址列表的操作列，单击“编辑”，修改IP地址。 删除IP地址 在IP地址列表的操作列，单击“删除”，删除IP地址。 删除IP地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

托管检测与响应服务（原生版）购买后的相关问题答疑。 服务购买后，有相应的操作指导吗？ 服务购买后，我们将指派服务经理与您取得联系，沟通具体服务开展流程并指导您相关操作步骤。此外，您可以参考服务接入流程： 基础版/企业版服务接入流程 护航版服务接入流程 应急响应服务接入流程 安全评估服务接入流程 全流量分析服务接入流程 服务购买后，有哪些服务保障？ 服务购买后，天翼云安全服务团队将与您取得联系，确定服务内容及范围，定期输出整体安全风险服务报告，按照SLA协议承诺对客户服务内容进行交付。 若遇到问题，安全服务团队会提供支持和解答，其他问题，您可以通过天翼云客服反馈，我们将竭诚为您服务，保障您的业务安全。 托管检测与响应服务（原生版）可以根据用户需求提供个性化服务吗？ 当前服务为标准化服务内容，如果您有个性化服务需求，可与服务经理沟通，确定需求范围及内容，经评估后，服务经理会向您反馈评估结果，如果在可接受范围内，您无需支付任何费用，如超出服务范围，我们将提供新的服务方案。 欢迎您向我们提出新的服务需求，我们将积极支持，不断优化服务内容及流程，更好地服务客户。

本章节主要提供组件操作指南的下载。 点此下载：《MapReduce服务组件操作指南（普通版）》 点此下载：《翼MapReduce组件操作指南（LTS版）》

本节介绍云电脑（政企版）可通过网络安全组功能配置访问规则加强安全防护。 操作场景 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。AI云电脑（政企版）如果需要加强安全防护，实现访问控制，则需要管理员在安全组中定义各种访问规则，当AI云电脑加入该安全组后，即受到这些访问规则的保护。 新增安全组 1.进入”AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.单击“新增安全组”，弹出“添加安全组”对话框； 4.设置出方向和入方向的访问控制； 5.确认相关的配置信息，点击“确定”，即完成安全组的新增。 删除安全组 当需要删除指定安全组时，如果该安全组已绑定策略使用，则需要先从策略管理中解除该安全组的绑定。 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要删除的安全组所在行，单击“删除”。弹出“安全组删除”对话框； 4.单击“确定”，安全组即删除成功。 配置规则 当需要修改定安全组配置规则时，可以进行安全组规则的添加、修改、删除。 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要修改的安全组所在行，单击“配置规则”。进入“安全组详情”页面； 4.在“安全组详情”页面，管理员可以对已有规则进行”修改“或”删除“； 5.在“安全组详情”页面，管理员可以单击”添加规则“，弹出“添加方向规则”对话框，进行规则配置； 6.单击“确定”，即可以完成安全组规则修改。 说明 创建安全组后，可通过“基础策略”绑定安全组，再分配策略至桌面，则可以实现控制安全组内桌面的入流量和出流量。

安全运维提供查看和管理云服务安全基本数据，您可以通过界面总览信息快速查看和管理您的资源的安全情况。 未开通服务器安全卫士（原生版）的用户，需要确认服务协议开通后使用。 已开通服务器安全卫士（原生版）的用户，免费版和付费版数据展示存在差异，如有需要请开通付费版本查看。 主要数据包括： 1. 安全总览：包括资产信息（全部服务器、风险服务器、未防护服务器、免费防护服务器对应的个数）和告警处置信息（未处置威胁告警、拦截恶意IP、隔离病毒文件对应的个数）。 2. 威胁告警：实时监控最新威胁告警事件 Top5。 3. 风险漏洞：实时监控最新风险漏洞事件 Top5。 4. 基线核查：实时监控最新威胁入侵事件 Top5。 5. Agent状态：包括在线和离线Agent个数。 6. 风险趋势：可选择切换时间维度：近7天、近14天。

迁移后验证 迁移完成后，请使用Rediscli连接源Redis和目标Redis，验证数据的完整性。 查看非cluster原生集群版 数据情况 ./rediscli h $host p $port a $psw dbsize 查看cluster原生集群版 数据情况 ./rediscli a $psw cluster call $host:$port dbsize 说明 如果无增量同步，则迁移过程中源Redis写操作不会同步到目标Redis。

迁移后验证 迁移完成后，请使用Rediscli连接源Redis和目标Redis，验证数据的完整性。 查看非cluster原生集群版 数据情况 ./rediscli h $host p $port a $psw dbsize 查看cluster原生集群版 数据情况 ./rediscli a $psw cluster call $host:$port dbsize 说明 如果无增量同步，则迁移过程中源Redis写操作不会同步到目标Redis。

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

应用性能监控APM的主要功能特性如下。 应用性能监控APM是一款云原生可观测产品，包含服务端应用监控、前端应用监控、应用拓扑、链路追踪、容器运维监控、告警管理等一系列能力。帮助您提高监控效率，减少运维工作量。 应用接入 支持多语言接入：支持包括Java在内的更多语言，诸如常见的Go、Python、Node.Js等等。 兼容多协议接入：基于OpenTelemetry标准，全面兼容Jaeger、SkyWalking等多种开源产品。 Java应用无侵入式接入：无需客户修改应用代码，只需为应用安装一个探针，不会影响到应用本身运行。 应用监控 JVM监控分析：包含内存、GC、线程等监控。 其他基础监控：包含资源监控、Netty内存和Java方法。 数据库监控：提供各类数据库的监控展示。包含MySQL、ClickHouse、Postgresql（即将上线）、Elasticsearch、MongoDb、DBCP连接池、Druid连接池、C3P0连接池等。 缓存监控：提供各类缓存的监控展示。包含Redis、Jedis、Lettuce等。 消息监控：提供各类消息的监控展示。包含kafkaConsumer、KafkaProducer、RabbitMqConsumer、RabbitMqProducer等。 Web容器监控：包含Tomcat监控。 各类调用监控：包含接口调用、外部调用监控等。 异常错误分析：综合分析应用异常和错误情况，提供趋势图及问题明细，对错、慢SQL等常见问题进行更细致的分析。 上下游依赖分析：对链路上下游进行监控展示。 页面访问速度：括首次渲染时间、首屏时间、DOM Ready时间、资源加载时间等 JS错误诊断：JS错误的基本信息和分布情况，以及回溯用户行为。 请求监控：调用成功率、返回信息、成功或失败的平均耗时等。

本小节介绍服务器安全卫士通知管理。 通知中心与接收配置 系统所有告警与通知统一管理，可灵活选择接收的通知，每种通知均提供站内信、邮件、短信等多种通知方式。 然后点击设置图标，可设置消息接收类型及接收人等信息。

本节主要介绍修改卷配置。 在“卷管理”页面，选择需要修改的卷，点击“操作”>“修改卷配置”，可以修改卷的“写策略”、“最小副本数”（仅集群版支持）、“折叠副本数（仅集群版支持）”。 说明 对于单机版，可以一次选多个卷，同时修改选中卷的“写策略”。 对于集群版可以同时修改单个卷的“写策略”、“最小副本数”、“折叠副本数”；也可以一次选多个卷，修改选中卷的“写策略”。 图1 修改卷配置（单机版） 图2 修改卷配置（集群版） 项目 描述 卷名称 卷名称。 写策略 卷的写策略： 不修改：保持现有设置，不进行修改。 回写：指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 透写：指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 绕写：指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 最小副本数 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。 折叠副本数 修改卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域为path，此参数不生效。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[1, N+M]。

说明 分布式缓存Redis增强版，专注于多线程和高吞吐量，通过优化Redis配置参数，计算每个Redis数据分片所在虚机规格来相应调整线程参数，最终达到最优性能。 对比项 基础版 增强版 经典版 兼容开源Redis版本 兼容开源Redis 5.0/6.0/7.0，单线程 兼容开源Redis 6.0/7.0，多线程 兼容开源Redis 2.8/4.0/5.0，单线程 性能 单分片QPS达10万/秒 单分片QPS达22万~30万/秒 单分片QPS达10万/秒 实例规格 提供标准版、Cluster集群、Proxy集群、读写分离多种实例类型： 标准版实例可选1GB64GB缓存容量 Cluster集群可选单分片1GB64GB缓存容量，分片数可选3256片 Proxy集群可选单分片1GB64GB缓存容量，分片数可选3256片 读写分离可选单节点1GB64GB, 副本数可选210 提供标准版、Cluster集群、Proxy集群、读写分离多种实例类型： 标准版可选4GB64GB缓存容量 Cluster集群可选单分片4GB64GB缓存容量，分片数可选3256片 Proxy集群可选单分片4GB64GB缓存容量，分片数可选3256片 读写分离可选单节点4GB64GB, 副本数可选210 提供单机、主备、集群多种实例类型： 单机、主备实例可选2GB32GB缓存容量 集群单机实例可选择16GB512GB 集群主备实例可选择16GB1024GB 功能区别 6.0/7.0版本支持账号权限管理 只支持单线程 支持SSL安全管理 支持账号权限管理 支持多线程 不支持SSL安全管理 集群版支持账号权限管理，单机、主备不支持 只支持单线程 不支持SSL安全管理

本节介绍如何查看WAF独享型实例的详细信息。 您可以在产品信息页面查看已购买实例的详细信息，包括实例基本信息、实例节点的健康状态。 前提条件 已购买WAF独享型实例。 查看独享版实例详情 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理独享引擎”，单击目标实例操作列的“查看实例详情”。 5. 在实例详情页面，可以查看实例信息、接入端口，以及实例节点信息。 实例信息 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 修改实例名称： 1. 在实例详情页面，单击实例名称右侧的图标。 2. 修改实例名称后，单击“保存”，完成修改。 实例ID 实例的ID。 节点个数 当前实例的节点个数。 运行状态 当前实例的运行状态，包括正常、异常、离线。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 资源池 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 产品版本 实例的规格，单机版或集群版。 实例IPv4 单机版：显示单机节点本身内网IPv4地址。 集群版：显示集群VIP的IPv4地址。 单击“新增辅助网卡”，可以为实例新增网卡，详细操作请参见[新增辅助网卡](

本小节介绍企业主机安全基础版/企业版/旗舰版开启防护。 开启主机安全防护时，您需为指定的主机分配一个配额，关闭主机安全防护或删除主机后，该配额可分配给其他的主机使用。 若您购买的是网页防篡改版，请在“主动防御 > 网页防篡改> 防护配置”页面开启防护。 说明 购买“网页防篡改版”后，您也可以使用“旗舰版”中的所有功能，但是您需要通过“主动防御 > 网页防篡改 > 防护配置”页面开启防护，当开启网页防篡改防护时会自动开启旗舰版防护。 检测周期 主机防护每日凌晨会进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能查看检测结果。 前提条件 “主机安全服务 > 资产管理 > 主机管理”页面“云服务器”中“Agent状态”为“在线”。 若开启包周期防护，请确认已在所选区域购买了充足可用的配额。 为达到更好的防护效果，建议在开启防护前进行安装与配置。 约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH帐户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截帐户暴力破解的攻击源IP。

本文介绍了管控模式,在DMS中提供两种实例级别的管控模式,针对不同的DMS版本,管控模式分为弱管控模式和强管控模式,分别对应DMS基础版和DMS企业版,由管理员对DMS切换版本来指定相应的实例管控模式。 管控模式介绍 管控模式 模式说明 DMS版本 登录方式 弱管控模式 弱管控模式的实例，不支持账密托管，需要使用数据库账密登录后才可进行数据库操作。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持实例、库、表级的数据权限控制。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持风险管控。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持SQL变更工单。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持操作审批。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 强管控模式 强管控模式的实例，支持账密托管，管理员需先对实例录入托管账密，且需要选择管控的规则集。 说明 为了方便数据库的全局权限管控，建议托管较高权限的数据库账号 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控实例支持数据库权限控制，需要拥有实例/库/表的权限才可以访问数据库，不需要登录数据库。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控模式支持风险管控。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控模式支持SQL变更工单，用户除了在查询窗口执行SQL语句外，也可提交SQL变更工单，审批后定时执行。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控模式支持SQL变更、导入导出等功能的审批功能。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和端口列表。 添加端口 在端口列表上方，单击“添加”，弹出添加端口页面，添加端口后，单击“确认”，完成添加操作。 编辑端口 在端口列表的操作列，单击“编辑”，修改端口。 删除端口 在端口列表的操作列，单击“删除”，删除端口。 删除端口地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

本节介绍如何使用多账号管理能力。 说明 多账号管理为公测免费功能，请通过官网工单联系工程师开放此功能。 多账号管理是云防火墙（原生版）为企业级用户打造的功能，支持通过可信服务统一管理多个账号的网络资产（含弹性IP、公网NAT、弹性负载均衡等）实现企业网络安全的集中化、规范化运维，适用于多部门协作、多业务线独立运营的企业场景，有效降低跨账号管理复杂度，提升安全防护效率。 前提条件 拥有云防火墙（原生版）的账号为组织管理员或者委托管理员。 已在云防火墙控制台启用“多账号管理”功能（路径：云防火墙（原生版）> 设置中心 > 多账号管理 > 启用）。 企业中心中已添加至少2个有效账号（账号需完成身份验证与权限授权）。 全账号资产数量低于云防火墙（原生版）开通时可防护的配额上限。 使用前须知 资产同步频率：系统默认每24小时自动同步1次，若需实时获取资产变更，可手动触发“立即同步”（手动同步无次数限制）。 引流路由依赖：删除账号前，需确认该账号的引流路由无业务依赖（可通过“流量分析”页面查看路由的流量情况），避免删除后影响正常业务流量。如需进一步帮助，可联系天翼云客服热线或在控制台提交“工单支持”，天翼云将提供1对1技术指导。

本节主要介绍OOS的应用场景。 互联网企业网站的静态和动态资源分离 场景描述 对于门户网站、视频网站、办公OA、SaaS应用服务商等，通过对象存储（经典版）Ⅰ型提供的网站托管功能，将整个网站托管在对象存储中，可直接向用户提供网站访问服务，帮助用户节省资本投入及人工维护成本。同时，通过对象存储（经典版）Ⅰ型的高并发支持能力，帮助用户更好地解决网站频繁访问时的页面崩溃问题。 建议搭配服务 CDN加速。 视频、影像云端存储 场景描述 对音频、视频等海量文件存储，如交管局监控视频、物业监控视频、门店监控视频、家庭监控视频、在线视频教学等，通过使用对象存储（经典版）Ⅰ型，将流式数据或文件数据存储到云端，利用对象存储技术解决高吞吐量、高并发及承载业务压力。同时视频可以就近上传到最近的资源池，上传速度快，直播点播不卡顿。 建议搭配服务 CDN加速、云存储网关。 图像、图片云端存储 场景描述 对于图片、图像等海量文件存储，如医院医疗影像、在线图片等，通过使用对象存储（经典版）Ⅰ型，将图片数据存储到云端，实现海量数据的大规模存储，并可以对图片进行缩略图、剪裁等图片处理。

本文将介绍客户端不兼容SNI导致访问异常怎么办。 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题。而对SSL/TLS协议所作的一个扩展，它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。在接入Web应用防火墙（边缘云版）后，如果您出现部分客户端HTTPS访问异常问题，可能是由于有些客户端版本不支持SNI导致的。当使用不支持SNI的浏览器或客户端访问接入Web应用防火墙（边缘云版）服务的网站时，Web应用防火墙（边缘云版）防护节点不知道客户端请求的是哪个域名，所以无法正确得获取域名对应得证书来跟客户端通讯交互，此时在浏览器上就会出现“服务器证书不可信”的提示。 实际场景中，一般是只有部分旧版的PC浏览器和Android客户端不支持SNI。如果客户端不支持SNI扩展，建议通过以下方式来解决： 建议升级客户端版本，或使用新版本的浏览器访问，比如使用Chrome、Firefox等新版本的浏览器访问。 第三方程序回调的业务场景，如果第三方程序客户端不支持SNI，可建议让其直接请求访问源站IP，绕过Web应用防火墙（边缘云版）。

资源池 资源池ID（Region ID） 专有版 托管版 华东1 bb9fdb42056f11eda1610242ac110002 √ 华北2 200000001852 √ √ 西南1 200000002368 √ √ 华南2 200000002530 √ √ 上海36 200000001790 √ 青岛20 200000001703 √ 长沙42 200000002401 √ √ 南昌5 200000002527 √ 武汉41 200000001781 √ √ 杭州7 200000003329 √ √ 太原4 200000002689 √ 郑州5 200000002586 √ 西安7 200000001851 √ √ 芜湖4 200000003327 √ 呼和浩特3 200000003573 √ 乌鲁木齐7 200000004098 √ √ 庆阳2 200000003664 √

下载MacOS版控件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮。 4. 在访问插件窗口，下载MacOS版控件到本地。 5. 下载完成后，可以查看文件“cbhcontrolxxx.dmg”。 示例： 安装MacOS版控件 1. 双击下载的MacOS版控件。 2. 在弹出的窗口中，将CBHCMD、CBHsom、vncviewer放入应用程序。 3. 在安装过程中出现的权限申请，需要选择“允许”，如果点击其他地方或点击不允许，弹框消失后，只能卸载重装插件。 允许插件添加代理配置：在如下窗口中，单击“允许”。 允许系统扩展：在如下窗口中，单击“打开系统设置”。 在如下页面，单击“允许”，允许应用程序“CBHsom”的系统软件载入。 4. 安装完成后，能在应用程序里看到已安装的插件。 5. 若使用了本地初始化功能，在“设置 > 网络 > 过滤条件”里能看到名为CBHAppProxy的透明代理状态为已启用。 若无法拉起CBHAppProxy的透明代理，请在“通用 > 登录项与扩展 > 网络拓展”中启用CBHsom，需要卸载重装插件，并确保安装过程中权限申请均选择“允许”。 注意 高版本的Mac需要手动打开网络拓展才能正常拉起代理，如下图所示。

本节介绍如何修改日志存储类型、存储时长，如何创建日志投递任务。 云防火墙（原生版）支持存储访问控制日志、入侵防御日志、流量日志、病毒防护日志、操作日志，日志存储容量默认为50G，日志存储时长默认为7天。 当默认的日志配置无法满足您的业务需求时： 您可以根据业务需求对日志存储类型、日志存储时长进行调整，具体操作请参见配置日志存储类型、修改日志存储时长。 对于需要长期存储的日志数据，您可以创建日志投递任务，将日志归档至对象存储服务中长期保存。 查看日志存储容量 日志存储容量默认为50G，存储容量达到上限后，将滚动清理超限日志，请定期关注日志存储容量的使用情况。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在存储容量模块可查看存储容量、存储使用量。 配置日志存储类型 云防火墙（原生版）支持访问控制日志、入侵防御日志、流量日志、病毒防护日志、操作日志。 说明 操作日志必须勾选，其他类型的日志可以根据实际情况进行选择。 若去勾选某种类型的日志，云防火墙（原生版）不会删除已存储的日志，但不会再继续存储新的日志。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在日志存储类型模块单击“点击修改”。 5. 在弹出的对话框中，选择日志存储类型。 6. 选择完成后，单击“确定”。

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。