本章节介绍天翼云边缘重保服务的常见计费类问题。 边缘重保服务如何计费？ 边缘重保服务按“次”计费，每次提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务，若需要保障的活动跨多天，或需要多人驻场支持，则需根据实际情况订购多次。详细说明见计费标准说明与示例内容。 边缘重保服务是否支持退订？ 暂不支持退订，请确认具有保障需求后，仔细对照服务版本差异一览表，选择合适的服务版本。 边缘重保服务是否支持升降配？ 暂不支持升降配，下单前请仔细对照服务版本差异一览表，选择合适的服务版本。

参数 参数说明 名称/ID 专属加密实例的名称和ID。 状态 专属加密实例的状态： 创建中用户创建的专属加密实例后，系统正在分配专属加密实例给用户，专属加密实例处于“创建中”状态。 创建失败资源不够或网络故障等原因可能导致创建专属加密实例失败，专属加密实例处于“创建失败”状态。 运行中系统已将专属加密实例分配给用户，专属加密实例处于“运行中”状态。 冻结用户购买的专属加密实例到期，且没有续费，专属加密实例处于“冻结”状态。 服务版本 铂金版：用户独享硬件加密机机框、电源资源，独享硬件加密机网络带宽、接口资源。 可用区 显示设备的可用区域。 设备厂商 设备厂商的名称，包含“江南天安”和“三未信安”。 设备型号 设备型号。 IP地址 专属加密实例的浮动IP地址。 创建时间 创建专属加密实例的时间。

获取息壤算力Token的KEY 详细步骤可点击查看：++模型推理服务用户指南编码套餐 快速开始++ 将息壤算力Token的KEY配置到云电脑中的OpenClaw 详细步骤可点击查看：++天翼云电脑（公众版）OpenClaw云电脑指南 模型与Token++++ 如何切换第三方模型API++ OpenClaw 响应很慢怎么办？ 1. 对比传统对话生成的AI，比如豆包、deepseek等，OpenClaw是本地执行的 AI 智能体，要做“看得见、点得动、能闭环”的真实操作，整体流程较长，反馈相对较慢。 2. OpenClaw 免费使用的人数比较多，并发高，所以会有排队的情况出现，也会导致慢。 3. 3 月 23 日会上线 Tokens 包供用户购买，用户购买后，性能和质量会有保证。

Kubernetes版本（CCE增强版） 版本说明 v1.11.7r2 主要特性： GPU支持V100类型 集群支持权限管理 v1.11.7r0 主要特性： Kubernetes同步社区1.11.7版本 支持创建节点池（nodepool），虚拟机集群支持 CCE集群支持创建物理机节点（VPC网络），支持物理机和虚机混合部署 GPU支持V100类型 1.11集群对接AOM告警通知机制 Service支持访问类型切换 支持服务网段 集群支持自定义每个节点分配的IP数（IP分配） v1.11.3r2 主要特性：集群支持IPv6双栈 ELB负载均衡支持源IP跟后端服务会话保持 v1.11.3r1 主要特性：Ingress的URL匹配支持Perl语法的正则表达式 v1.11.3r0 主要特性： Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储

本文为您介绍如何修改CentOS 7系公共镜像的yum源,以保证系统可以更新。 操作场景 2024年6月30日开始，Red Hat官方已停止对CentOS 7发行版操作系统维护更新，官方该版本操作系统rpm包软件仓库已停用，天翼云也同步停止提供内网yum源，至此CentOS全面停维，CentOS内网yum停止提供。 CentOS 7系列的镜像可临时使用官方vault归档源完成软件下载或更新。 操作步骤 执行以下命令在操作系统命令行，完成源文件内容更换。 for file in /etc/yum.repos.d/CentOS.repo; do cp "$file" "${file}.bak" sed i e '/^mirrorlist/s/^//' e '/^baseurl/s/^//' e 's e 's "$file" done yum clean all

套餐名称 套餐内容 标准资费 有效期限 7 天体验版套餐 √ 资源配置：24/7在线的云端OpenClaw（2C4G） √ Token额度：700万Tokens额度/周 √ 支持模型：DeepSeek模型 √ 新用户享7天体验价（每个新用户限领取1次） √ 适用场景：新用户功能体验 19.88元 1周 Lite 基础套餐 √ 资源配置：24/7在线的云端OpenClaw（2C4G） √ Token额度：3亿Tokens额度/月 √ 支持模型：DeepSeek、Qwen等模型二选一 √ 100G 持久化存储 √ 适用场景：普通用户首选起点，适合基础任务需求 DeepSeek：179元 Qwen：89元 1个月 Pro 高级套餐 √ 资源配置：24/7在线的云端OpenClaw（2C4G） √ Token额度：3亿Tokens额度/月 √ 支持模型： GLM、DeepSeek、Qwen等模型任选 √ 100G 持久化存储 √ 适用场景：复杂项目的进阶选择，适合大型任务需求 899元 1个月

操作步骤 说明 1 创建托管视图管理托管任务。 2 态势感知（专业版）支持将项目中的工作空间托管给其他用户，托管后，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 3 由于托管是将本项目中的工作空间托管给其他用户，因此，需要双重授权。 1. 创建委托后，需要先在已有账号中，接收授权，同意将工作空间托管给其他用户。 2. 然后在目标账号的“工作空间 > 空间托管 > 我纳管的”菜单下进行托管授权，统一接收托管。 授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。

本文主要介绍了合同管理的常见问题。 电子版合同显示验证签名错误，应该怎么处理? 要支持国密算法的阅读器才可以正常解析签章（大背景是国家号召关键技术自主可控，也就是信创），推荐支持sm1/2/3/4国密算法的阅读器。可尝试下福昕办公PDF软件。 申请电子合同，确认选择订单时未显示已完成的预付费订单？ 订单完成需要满24小时后显示，建议用户耐心等待。 由于下一代防火墙需要绑定云主机才可以下待付订单，没办法申请请款合同，请问怎么解决这类问题？ 需要先开通云主机，然后申请请款合同。 官网申请电子合同时，甲方抬头系统默认为实名认证名称，如何将甲方抬头更改成企业的名称？ 合同抬头默认与实名认证名称一致的，建议更改实名认证信息后尝试重新申请。

本文向您介绍怎样修改远程登录的端口。 修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考Windows弹性云主机管理控制台远程登陆（VNC方式），远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1）右键单击Windows 徽标键，选择运行，启动运行窗口。 2）在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 3）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4）在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 5）在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击确定。 6）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7）在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 8）在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。 修改Linux系统实例默认远程端口，以CentOS 8.0 64位为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： 7. 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 8. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 9. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 10. 运行以下命令重启sshd服务。 systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。 功能验证： 1）打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先使用默认22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 规格限制 “私网外联资产”数据查看需满足专业版防火墙且开启VPC边界防火墙防护，请参见“开启VPC边界流量防护”。 查看出云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 出云流量”，进入“出云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：内部服务器访问互联网时最大流量的相关信息。 出云流量：出方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内出方向流量中指定参数的TOP 5 排行，参数说明请参见下表。单击单条数据查看流量详情，每个详情支持查看50条数据。 出云流量可视化统计参数说明： 参数名称 参数说明 TOP访问目的IP 出方向流量的目的IP地址。 TOP访问目的地区 出方向流量的目的IP所属的地理位置。 TOP访问源IP 出方向流量的源IP地址。 TOP开放端口 出方向流量的目的端口。 应用分布 出方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 外联IP：目的IP的流量信息。 外联域名：域名信息。 公网外联资产：源IP为公网IP的流量信息。 私网外联资产：源IP为私网IP的流量信息。 说明 私网IP信息仅配置了VPC边界防护的专业版防火墙可见。

本文介绍天翼云AOne会议异常提示相关问题。 为什么会出现“您已在其他设备加入会议，当前设备被移除会议。”的提示？ AOne会议同一账号支持多端登录，但同一个会议仅允许一个设备在线参会。当您已在设备A加入会议，再尝试通过设备B加入同一会议时，设备A会被强制退出，并提示“您已在其他设备加入会议，当前设备被移除会议。”。 为什么会出现“会议已经结束”的提示？ 该提示说明您尝试加入的会议已经结束或被主持人提前结束。建议联系会议创建者确认会议状态。 为什么会出现“会议不存在”的提示？ 该提示通常是因为输入的会议号错误或会议未创建成功。 请核对以下信息： 会议号码是否为有效的9位数字。 确认该会议号是否由AOne会议创建（避免误输其他会议平台的会议号）。 如您确认无误仍无法加入，请联系会议创建者确认会议状态。 为什么会出现“网络质量不佳”的提示？ 此提示表明当前的网络连接不稳定或质量较差，可能影响正常参会体验。请检查您的网络状态是否良好。 为什么会出现403状态吗？ 当您登录AOne会议或尝试加入会议时，出现 403 状态码，通常是由于当前设备的系统时间不准确，与服务器时间存在较大偏差，导致身份认证失败。 解决方法： 开启自动对时： Windows：打开“设置”>“时间和语言”>“日期和时间”，开启“自动设置时间”； macOS：进入“系统设置”>“日期与时间”，勾选“自动设置日期和时间”； Android/iOS：进入“设置”>“日期与时间”，启用“使用网络提供的时间”。 手动同步时间： 如果开启自动同步无效，可尝试点击“立即同步”或手动对时。 重启AOne会议客户端后重新登录或加入会议。 为什么会出现“当前会议人数已达上限”的提示？ 该提示表明会议当前参会人数已达到套餐限制（如：免费版最多10人，标准版最多100人等）。 建议处理： 联系企业管理员了解是否可升级套餐扩容。 稍后尝试再次加入会议，等待已有参会者退出。 请会议主持人、联席会议主持人确认是否移出部分非必要参会人员。 为什么会出现“页面加载失败：ERRNAMENOTRESOLVED(105)”的提示？ 该提示表明DNS域名解析失败，即设备无法将AOne会议的服务器地址解析为IP地址，导致页面无法加载。

接口功能介绍 创建镜像加签规则 接口约束 仅限企业版实例使用 URI POST /v2/createSigning 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 testns useDefaultPrivateKey 否 Boolean 是否使用默认私钥,不填默认为false true password 否 String 私钥的密码，仅当创建RSA秘钥有添加密码时填写 xxxxxx 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 响应码 （800为请求成功，900为失败 ） 800 message String 返回信息 error String 错误码 returnObj Boolean 创建是否成功 true 枚举参数 无

本章为您介绍为什么创建数据库脱敏任务时，无法找到已有的数据库实例中的表。 如果您在创建数据库脱敏任务时，选择已有的数据库实例，却无法找到对应实例里的表，一般是授权错误导致的。 背景 如果只对RDS数据库配置了“只读权限”，则只支持对数据库进行敏感数据识别，不支持数据脱敏。 原因 对该数据库实例只授权了“只读”权限，授权为“只读”权限无法进行数据脱敏。 解决办法 1. 参照删除数据库资产删除该授权的数据库实例。 2. 再参照授权数据库实例章节对数据库实例重新授权为“读写权限”。 说明 对数据库实例进行授权时，如果配额不够，请参照升级版本和规格购买数据库扩展包，1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、CSS、ECS自建大数据等）资产。

终端管理 限制项 具体要求 产品功能版本限制 部分能力会有最低客户端版本号要求，详见具体的功能详情页。 内网客户端连接公网控制台需要加白的域名 客户端接入域名： lxchzllkwcssf.ctcdn.cn 客户端接入多镜像中心： lxchzllkwcssfsearch.ctcdn.cn lxchzllkwcssfimage1.ctcdn.cn lxchzllkwcssfimage2.ctcdn.cn lxchzllkwcssfimage3.ctcdn.cn 客户端平台下载： soc0trust.ctcdn.cn 杀毒相关域名： apc.antiy.net.cn endpoint.antiy.cn vipedr.apc.antiy.net.cn 学术加速 限制项 具体要求 客户端兼容性 学术加速Windows、macOS、Android、IOS客户端目前不支持与零信任客户端同时使用。 零信任产品限制 同一个天翼云账号目前无法支持同时购买零信任任意服务与学术加速企业版。

接口功能介绍 删除触发器 接口约束 仅限企业版实例使用 URI POST /v2/deleteTrigger 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 triggerId 是 Long 触发器ID 1681246049318801411 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 响应码 （800为请求成功，900为失败 ） 800 message String 返回信息 error String 错误码 returnObj Boolean 删除是否成功 true 枚举参数 无 请求示例 请求url POST 请求头header { "ContentType": "application/json", "regionId": "bb9fdb42056f11eda1610242ac110002" } 请求体body { "instanceId": "f04e47d9b48747958c9f4516cf1a8d82", "triggerId": 1848620848898904065 }

示例 配置本地源中的步骤一般为通用步骤，操作系统实际的发行版略有差别，但是基本步骤都是要将源添加进去，并刷新。以下内容以CentOS 8.0为例，介绍添加本地源的方法。 CentOS 8.0 1.将ISO挂载到“/mnt”路径。 2.将“/etc/yum.repo.d”路径的源文件，除了“CentOSMedia.repo”以外，全部重命名成后缀为“.bak”的文件，或者移动到别的目录。 3.修改“CentOSMedia.repo”文件。 图 102 修改“CentOSMedia.repo”文件 包含红框中的六处修改点： baseurl：配置为“file:///mnt/BaseOS”和“file:///mnt/AppStream”，“mnt”为ISO挂载目录，注意删除默认配置的多余的无效路径，否则会导致checksum失败。 gpgcheck改为0，即不检查。 enabled改为1，使生效。 4.清理yum，并重新生成缓存。 yum clean all && yum makecache

该任务指导用户通过漏洞扫描服务取消主机授权。 注意事项 取消主机授权后，将不能完全扫描出主机的安全风险，请谨慎操作。 前提条件 已获取管理控制台的登录账号与密码。 已添加主机。 已开通预置账号。 已在创建任务时授权通过网络连接到对应的主机，即已进行主机授权。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在目标主机的“操作”列，单击“更多”，在下拉框中，单击“解除授权”。解除授权后，“授权信息”的状态为“暂未配置”。 6. 单击“确定”，解除授权成功。

本节介绍威胁分析能力。 当告警列表中积累了较多威胁告警信息时，您可以使用“威胁分析”功能，从“攻击源”或“被攻击资产”的维度分析网络攻击情况。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） ”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，进入威胁告警页面后，选择“威胁分析”页签，进入威胁分析管理页面。 4. 在下拉框中选择条件“攻击源”或“被攻击资产”、“发生时间”，并输入待查询的IP地址，单击“开始分析”。 说明 发生时间可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”、“近半年”。 5. 在列表栏查看符合过滤条件的威胁信息，可以直观看到该攻击源对哪些资产发起了何种类型的攻击，或被攻击资产遭到了哪些攻击。

本文向您介绍企业版VPN中VPN感兴趣流类常见问题。 本地设备配置VPN时需要设置ACL，为何在控制台上找不到对应的配置？ VPN连接的“连接模式”选择“策略模式”时，才需要在控制台上配置策略规则ACL。 如何配置和修改云上VPN的感兴趣流？ 感兴趣流由本端子网与远端子网fullmesh生成，例如本端子网有2个，分别为A与B，远端子网有3个，分别为C、D和E，生成感兴趣流ACL的rule如下： plaintext rule 1 permit ip source A destination C rule 2 permit ip source A destination D rule 3 permit ip source A destination E rule 4 permit ip source B destination C rule 5 permit ip source B destination D rule 6 permit ip source B destination E 在管理控制台界面修改本端子网和对端子网会自动更新感兴趣流信息，即修改了云上的ACL配置。

方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

使用场景 业务正常请求被WAF拦截。例如，您在ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志。 6. 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 添加误报屏蔽策略，参数说明如表所示： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则：配置Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。“添加方式”可选择已有地址组或者新建地址组。 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 参数说明见下表： 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。

绑定AD 绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。 操作场景 身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。 操作步骤 1. 进入“天翼AI云电脑（政企版）”管理控制台； 2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面； 第一步：连接AD 在第一步中，您需要在绑定AD中填写以下信息： 显示名称： 说明：管理员查看AD配置及相关操作日志时显示。 AD 域名： 说明：您的 Active Directory 域的全称。 格式：符合 DNS 命名规范（例如：example.com）。 示例：corp.yourcompany.com 主域控制器 DNS： 说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.10 或 dc01.corp.yourcompany.com 备域控制器 DNS (可选)： 说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.11 或 dc02.corp.yourcompany.com AD 认证账号： 说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。 格式：支持以下格式： UPN 格式：username@domainname (例如：admin@corp.yourcompany.com) DN 格式：CNUsername, OUSomeOU, DCcorp, DCyourcompany, DCcom (例如：CNsvcbind, OUService Accounts, DCcorp, DCyourcompany, DCcom) 权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。 AD 认证密码： 说明：上述认证账号对应的密码。 安全提示：输入密码通常以掩码显示。 用户组织单元 (OU)： 说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUEmployees, DCcorp, DCyourcompany, DCcom 云电脑加入的 OU： 说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUCloud PCs, DCcorp, DCyourcompany, DCcom 必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。 共享公网出口 IP： 地址： 182.42.7.245 作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。 网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。 防火墙端口要求： 目的： 允许云服务通过指定的协议端口与您的域控制器通信。 必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口： LDAP (明文/StartTLS)： 端口 389 (TCP) LDAPS (SSL/TLS 加密)： 端口 636 (TCP) 注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。 目录访问协议： 可选协议： LDAP： 标准轻型目录访问协议。默认使用端口 389。 StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 域控制器服务器地址： 说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。 格式：IP地址:端口 或 完整域名(FQDN):端口 要求： 主域控制器地址： (必填) 备域控制器地址： (可选) 端口选择： 如果选择 LDAP (无 StartTLS)，端口填 389。 如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。 关键说明： 服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。 示例 (使用公网IP)： 主：203.0.113.10:636 (假设使用 LDAPS) 备：203.0.113.11:636 示例 (使用FQDN)： 主：dc01.corp.example.com:636 备：dc02.corp.example.com:636 重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。 第二步：选择场景 在第二步中，选择希望和AD实现的场景能力。 登录未关联用户配置： 企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败； 选择自动创建用户则创建用户并登录成功 增量同步：从所选择的时间点开始进行同步 数据同步时间：从所选择的时间点开始进行同步 同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步 委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验 用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClassuser 的对象视作AD 中的用户。 用户登录标识：可使用;对属性进行分割，此时为或关系 用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤 第三步：字段映射 如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。 配置其它AD 用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。 配置系统：Windows 系统 、银河麒麟、中标麒麟 其它配置项参考绑定AD

内置流程 安全防线 流程名称 描述 数据类 主机安全 主机告警状态同步 自动同步主机告警状态 Alert 主机安全 高危漏洞自动通知 对威胁等级为High的漏洞进行邮件或者短信通知 Vulnerability 主机安全 漏洞处理 调用主机安全接口修复主机漏洞 Vulnerability 主机安全 策略管理安全组阻断 将目标IP添加到所有安全组中 Policy 主机安全 策略管理安全组取消阻断 将目标IP从所有安全组中取消 Policy 主机安全 主机一键隔离 将目标主机进行全端口的隔离 Alert 主机安全 主机一键解封 将目标主机从隔离安全组中移除 Alert 主机安全 攻击链路分析告警通知 针对攻击链路分析，主机告警影响资产关联网站资产有对应攻击告警进行告警通知 Alert 应用安全 WAF一键拦截 对目标IP封堵在该账号的WAF服务里的所有中策略 Alert 应用安全 WAF一键解封 对目标IP从该账号的WAF服务里的目标策略组中解封 Alert 应用安全 WAF攻击自动化安全封堵 将告警里的源IP研判后封堵在WAF中 Alert 应用安全 策略管理WAF阻断 将目标IP添加到WAF的黑名单中 Policy 应用安全 策略管理WAF取消阻断 将目标IP从WAF的黑名单中移除 Policy 网络安全 CFW一键拦截 将目标IP添加到CFW的黑名单中 Alert 网络安全 CFW一键解封 将目标IP从CFW的黑名单中移除 Alert 网络安全 策略管理CFW阻断 将目标IP添加到CFW的黑名单中 Policy 网络安全 策略管理CFW取消阻断 将目标IP从CFW的黑名单中移除 Policy 其他/通用 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 Alert 其他/通用 告警指标提取 将告警中ip信息抽取，进行微步外部验证，置成指标，并与源告警相互关联 Alert 其他/通用 重复告警自动关闭 7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 Alert 其他/通用 自动更新告警名称 根据客户需要，筛选关键字段信息，拼接告警名称 Alert 其他/通用 告警打ip标签 告警添加告警关联攻击源IP及目标IP的标签信息 Alert 其他/通用 一键解封 根据不同的告警数据源产品选择执行不同的解封子流程 Alert 其他/通用 一键阻断 根据不同的告警数据源产品选择执行不同的阻断子流程 Alert 其他/通用 态势感知（专业版）报告通知 态势感知（专业版）日报按钮或定时发送订阅人员 CommonContext

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对云间高速EC服务的访问。 操作步骤 创建用户组和IAM用户 1. 创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2. 创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 创建自定义策略 天翼云提供了访问天翼云云间高速（标准版）资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

网站扫描查看漏洞修复建议的方法。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 查看网站资产列表，相关参数说明如下表所示。 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” ：目标域名已完成域名认证。 “未认证” ：目标域名未完成域名认证。单击“去认证”进行域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 5. 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 6. 选择“漏洞列表”页签，查看漏洞信息。 7. 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，用户可以根据修复建议修复漏洞。

本节将介绍用户通过管理控制台查看工作空间的信息，包括名称、类型和创建时间等。 约束与限制 新创建的工作空间需要初始化，工作空间创建完成后需要等待约10分钟后刷新查看。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在工作空间界面，查看已有工作空间的信息。 当工作空间较多时，可以通过搜索功能，选择搜索条件并在搜索框中输入关键词，单击，即可快速查询指定工作空间。 工作空间参数说明： 参数名称 参数说明 名称 工作空间的名称。 类型 工作空间的类型。 工作空间分为普通工作空间和托管视图。 普通工作空间 未托管：未被托管视图纳管的工作空间，工作空间名称后不携带标签。 已托管：已经被托管视图纳管的工作空间，工作空间名称后会有“已托管”标签。 托管视图 托管视图：可用于纳管其他工作空间，实现多个工作空间集中管理，实现跨账号安全运营。托管视图更多信息请参见创建空间托管。 ID 工作空间的ID。 区域 工作空间所属区域。 项目 工作空间所属的项目。 更多 将鼠标悬停在“更多”上，可查看工作空间ID、区域、项目、企业项目、创建时间等信息。 托管状态 工作空间是否托管。 事件 该工作空间中的事件数量。事件更多信息请参见查看事件信息。 漏洞 该工作空间中的漏洞数量。漏洞更多信息请参见漏洞管理概述。 告警 该工作空间中的告警数量。告警更多信息请参见告警概述。 情报 该工作空间中的情报数量。情报更多信息请参见查看情报指标。 资产 该工作空间中已有资产的数量。资产管理更多信息请参见资产管理概述。 安全分析 该工作空间中已有数据空间数量。 实例 该工作空间中已有实例的数量。 剧本 该工作空间中已有剧本的数量。剧本更多信息请参见安全编排概述。 5. 如需查看某个工作空间的详细信息，可单击待查看工作空间右侧的，进入工作空间基本信息页面查看详细信息。 在工作空间详情页面，可查看工作空间的名称、创建时间、所属项目等信息。另外，还支持修改工作空间名称和描述信息。 在“标签”页签中，支持“编辑标签”，标签的详细操作请参考管理工作空间标签。 在“导航设置”页签，可以设置当前工作空间的目录，导航设置页签的参数含义如下： 参数名称 参数说明 面包屑导航显示开关 按钮默认开启。该开关用于控制是否允许用户返回外层导航目录。 开关打开：用户可返回外层空间管理导航目录。 开关关闭：用户无法返回外层空间管理导航目录。 工作空间导航设置 新增：用户自定义新增目录。 批量编辑：支持批量编辑，设置“落地页”，设置“是否显示”按钮。落地页即单击工作空间名称后进入空间详情的默认页面。 批量删除：支持批量删除目录，仅用户自定义的目录支持删除，系统内置目录不支持删除。 导航名称 导航目录所属的一级目录名称。单击一级目录名称前方的按钮可展开该一级目录下的二级目录名称。 目录状态 目录所属的类型。 发布者 目录的发布者。 布局 目录关联的布局。 目录地址 目录所在地址。系统自动生成的访问目录页面的地址。 中文别名 目录的中文名称。 英文别名 目录的英文名称。 落地页 设置单击工作空间名称后进入空间详情的默认页面。 一个工作空间必须有一个落地页。 只能设置允许显示的目录中的一个作为落地页。 一级目录不支持设置为落地页。 是否显示 控制该目录是否在导航栏显示。 操作 可对目录进行编辑、更换布局等操作。 编辑：支持编辑目录的“中文别名”、“英文别名”、“落地页”、“是否显示”。 更换布局：用户自定义的目录，或系统内置的关联了布局的目录支持更换布局。仅支持更换相同布局类型的其他布局。

本文介绍零信任服务态势大屏。 背景说明 零信任态势大屏功能可协助企业快速查看对应的办公态势，内容包括企业终端安全、风险设备数、软件运行情况、设备资产、内网应用访问情况、内网安全防护、用户分布。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【态势大屏】。 功能说明 注意 零信任态势大屏功能需零信任服务套餐版本为企业版，详细版本差异可查看 基本设置 管理员可选择统计周期，刷新间隔，支持切换到边缘安全加速平台其他产品的态势大屏。 终端安全 统计企业终端设备的安全情况，展示合规检测、待处理病毒个数。 风险设备数 软件运行情况

1.3 产品优势 快速交付：EATP套件以标准化产品形态，将传统自建方案3至6个月的交付周期压缩至2至3周，大幅缩短AI推理服务上线时间，帮助企业快速抢占业务窗口。 提升资源效能：通过精细化GPU调度与推理加速引擎，EATP将GPU集群平均利用率从传统模式的30%~50%提升至70%~90%，有效摊薄单位算力成本；引入自动化运维机制后，日常运维人力投入降低60%以上，在AI业务规模化过程中实现显著降本增效。 安全合规：依托天翼云安全可信的基础设施底座，EATP套件提供兼顾合规遵从、性能极致与商业敏捷的AI Token全生命周期管理方案，确保企业AI服务安全、高效、可持续运营。 更多产品使用方法请参考附件。EATP单机版用户手册.pdf 说明 首次登录EATP默认用户名为：admin，密码为：Eatp123@ 登录后，应用中可修改账号用户名及密码。

本节主要介绍如何查看事件信息。 操作场景 通过查看事件列表，您可以了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面上方，查看事件统计情况。 急需处理事件 ：呈现事件等级为致命或高危，且状态为非关闭的事件总数。 超期事件 ：呈现已超过事件设置的计划关闭时间，且还未关闭的事件总数。 事件状态 ：呈现“打开”、“阻塞”、“关闭”状态的事件总数及对应状态下事件数量。 事件数量 ：当前工作空间内的事件总数，以及各个等级对应的事件数量。 6. 在事件列表中，查看事件详细信息。 页面最多可查看9999条事件信息。 参数 说明 事件名称 事件名称。 事件ID 事件对应的ID。 事件等级 事件严重等级，分为以下等级：提示、低危、中危、高危、致命。 类型 事件类型。 状态 事件状态，分为以下状态：打开、阻塞、关闭。 影响资产 受此事件影响的资产。 验证状态 此事件的验证状态，即事件的准确性。分为以下状态：未知、确认、误报。 责任人 此事件的主要责任人。 创建时间 此事件的创建时间。 首次发生时间 此事件首次发生时间。 最近发生时间 此事件最近一次发生的具体时间。 计划关闭时间 此事件的计划关闭时间。 描述 事件的描述信息。 数据源产品名称 事件来源产品的名称。 标签 事件的标签信息 操作 可对事件进行编辑、关闭等操作。 7. 如需查看某个事件详概览，可单击告警名称，页面右侧将展示事件的概览信息。 在事件概览页面可以查看事件的处置建议、基本信息和关联信息（包括关联的威胁指标、告警、事件、攻击信息等）。 如果需要查看事件详情，可以在事件概览页面右下角单击“事件详情”，进入事件详情页面。 在详情页面除了可以查看概览页面的信息外，还可以查看事件的时间线和攻击信息。例如：事件首次发生时间、检测时间、攻击进程ID等。 在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。 在事件概览/详情页面可以关联或取消关联告警、事件、情报，还可以查看受影响资产相关信息。

本文向您介绍如何修改企业版VPN网关策略模板。 场景描述 若VPN网关规格为“专业型1非固定IP”或“专业型2非固定IP”，您可以在VPN网关页面修改策略模板。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，选择目标VPN网关所在行，单击操作列“查看/修改策略模板”，在“策略模板”页签下单击“修改策略模板”进行修改。 说明 修改策略模板后，以非固定IP接入的对端网关需要更新对应配置重新接入，否则会导致连接中断。 表策略模板参数说明 参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √ 4. 单击“确定”完成修改。

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。