1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、通过以下任意一种方式实现编辑操作。 单击待编辑的配置集ID右侧“操作”列的“编辑”。 单击待编辑的配置集ID，在配置详情页面，单击“编辑”。 6、在“编辑配置”页面可修改配置内容、配置格式、描述、所属应用及标签，单击“发布”弹出“配置内容对比”弹框，查看历史版本和当前版本内容差异。 7、单击“发布”编辑配置完成。编辑配置页面还提供了灰度发布特性，具体操作参见配置灰度发布。

本节介绍WAF的使用说明等问题。 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口？ 问题现象：域名接入WAF通过第三方漏洞扫描工具扫描后，扫描结果显示了域名的标准端口（例如443）和非标准端口（例如8000、8443等）。 可能原因：由于WAF的非标准端口引擎是所有用户间共享的，即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测，应以源站IP开通的端口为准，即引擎的端口检测并不影响源站的使用安全，且WAF保证客户解析CNAME返回的引擎IP的安全性。 处理建议：无需处理。 使用Web应用防火墙对邮件收发和邮件端口有影响吗？ WAF是对Web应用网页进行防护，当您的网站接入WAF后，对邮件收发和邮件端口不会产生影响。 Web应用防火墙如何拦截请求内容？ WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测，WAF通过检测对不符合防护规则的请求内容进行拦截。 什么是并发数？ 并发数指系统能够同时处理请求的数目。对于网站而言，并发数即网站并发用户数，指同时提交请求的用户数目。 如果证书挂载在ELB上，WAF可以根据请求内容进行拦截吗？ 如果证书挂载在ELB上，通过WAF的请求都是加密的。对于HTTPS的业务，您必须将证书上传到WAF上，WAF才能根据解密之后的请求判断是否进行拦截。

本节介绍Web应用防火墙（独享版）证书管理类常见问题。 配置泛域名时，如何选择证书？ 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 ELB已上传的证书，在Web应用防火墙上需要重新导入上传吗？ 在选择证书时，您可以选择已创建证书或选择导入的新证书。在ELB上已上传的证书，还需要在WAF上导入上传。 如何将非PEM格式的证书转换为PEM格式？ WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表在本地将证书转换为PEM格式，再上传。 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 in cert.pfx nocerts out key.pem nodes 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 in cert.pfx nokeys out cert.pem P7B 1. 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 printcerts in cert.p7b out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa inform DER outform PEM in privatekey.der out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 inform der in cert.cer out cert.pem 说明 执行openssl命令前，请确保本地已安装 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。

本文为您介绍BOT防护功能说明，以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

WAF支持配置泛域名吗？ 在WAF中添加防护的域名时，您可以根据业务需求配置单域名或泛域名。配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器IP地址相同：配置防护的泛域名。例如：子域名a.ctyun.cn，b.ctyun.cn和c.ctyun.cn对应的服务器IP地址相同，可以直接添加泛域名.ctyun.cn。 注意 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、a.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在单域名和泛域名，则单域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 域名添加到WAF后，是否可以修改？ 防护域名添加到Web应用防火墙后，用户可以针对所防护的域名配置对应的安全防护策略，同时当对应域名产生请求数据和安全防护数据时，Web应用防火墙也会存储对应的日志数据，考虑用户所做的安全配置、对应的安全数据都与所防护的域名强相关，为了保证用户能够准确地对域名进行防护，故已经配置的域名不能修改。 如果需要增加新的防护域名但所购买的授权不足时： 您可以通过购买域名扩展包的方式增加防护域名的授权，一个域名扩展包包含10个域名，详情请参见升级扩容。 也可以删除原域名后再重新添加待防护的域名。

本文为您介绍如何续订Web应用防火墙（原生版）实例。 为避免Web应用防火墙（原生版）实例到期后，防护服务自动停止，需要在实例到期前为实例手动续费，或设置到期自动续费。 到期说明 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 说明 保留期内，平台会冻结WAF服务，用户配置的各类防护策略将不再生效，云WAF只转发流量。 保留期满，用户若仍未续费，平台会清除实例资源，用户所添加域名的所有配置将会被删除，同时云WAF将不再转发业务流量，若用户未及时将DNS指回服务器源站IP，网站业务流量将无法正常转发。 续订说明 服务支持手动续订，需要在服务到期前进入控制台操作。 在购买云WAF时，支持开启“自动续订”，开启自动续订后，在服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 说明 若购买云WAF时勾选了“自动续订”，系统将会默认设置续费周期： 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期，当自动续订周期达1年或以上时，将可享受包年折扣。

本文将介绍爬虫情报规则，从背景信息、相关配置项、相关操作帮助您更好地理解爬虫情报规则。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 注意 目前控制台尚未开放爬虫情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 边缘云WAF安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本文为您介绍飞塔防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctForti IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录飞塔防火墙命令行。 2. 添加IPsec VPN第一阶段的IKE配置。 config vpn ipsec phase1interface edit "Fotrictyun" set interface "wan" set peertype any set netdevice disable set proposal aes128sha1 set dpd onidle set dhgrp 5 set keylife 86400 set remotegw 121...152 set psksecret ctForti next end 3. 添加IPsec VPN第二阶段的IPsec配置。 config vpn ipsec phase2interface edit "Fotrictyun" set phase1name "Fotrictyun" set proposal aes128sha1 set dhgrp 5 set keylifeseconds 3600 set autonegotiate enable set srcsubnet 192.168.0.0 255.255.255.0 set dstsubnet 192.168.3.0 255.255.255.0 next end 4. 配置防火墙策略。 config firewall address edit "Local192.168.0.0/24" set subnet 192.168.0.0 255.255.255.0 next edit "Remote192.168.3.0/24" set subnet 192.168.3.0 255.255.255.0 next edit "ctyunVPNGateway" set subnet 121...152 255.255.255.255 next end config firewall policy edit 4 set srcintf "lan" set dstintf "toctyun" set action accept set srcaddr "Local192.168.0.0/24" set dstaddr "Remote192.168.3.0/24" set schedule "always" set service "ALL" next edit 5 set srcintf "toctyun" set dstintf "lan" set action accept set srcaddr "Remote192.168.3.0/24" set dstaddr "Local192.168.0.0/24" set schedule "always" set service "ALL" next end 5. 配置访问VPC的静态路由。 config router static edit 3 set dst 192.168.3.0 255.255.255.0 set device "toctyun" next edit 4 set dst 192.168.3.0 255.255.255.0 set distance 254 set blackhole enable next end 6. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本章节主要介绍翼MapReduce服务的Web UI便捷访问特性。 大数据组件都有自己的WEB UI页面管理自身系统，但是由于网络隔离的原因，用户并不能很简便地访问到该页面。如访问HDFS的WEB UI页面，传统的操作方法是需要用户创建ECS，使用ECS远程登录组件的UI，这使得组件的页面UI访问很是繁琐，对于很多初次接触大数据的用户很不友好。 翼MR提供了基于内网IP地址来便捷访问开源组件UI。 操作步骤 1.登录翼MR控制台，点击正常运行的集群名称或“管理”按钮，进入集群详情页面。 2.点击“访问链接与端口”。 3.集群服务名称：具有WEB UI的集群服务有HDFS、YARN、HBase、Spark、Ranger、Doris、ElasticsearchKibana等，详情请参考开源组件Web站点。 4.原生UI地址：当集群部署了具备WEB UI的集群服务后，在“原生UI地址”列会默认显示相关集群服务的信息，原生UI地址展示的是“内网地址：端口号”的格式。 5.获取外网访问地址：外网地址展示的是“外网地址：端口号”的格式。要成功访问开源组件UI，需要在安全组页面开启该端口并放开出、入方向规则，同时需要开通部署了该集群服务的节点的外网IP，如何绑定外网IP请参考“绑定/解绑弹性IP”。 6.访问WEB UI地址：成功开启安全组和外网IP，在“外网地址”列会展示出可以访问的外网地址。通过访问外网地址就可以便捷访问开源组件UI。 7.WebUI登录：组件密码可前往Manager配置管理的vars.yaml高级配置中查询。LDAP用户名与密码可前往ManagerLDAP租户管理中查询。 注意 使用时需要先开通安全组端口才能访问；使用后需要及时关闭，避免安全泄漏风险。安全组访问规则配置方法可参加“ 说明 访问TezUI站点时，请参考下述步骤更新配置。 1. 前往Manager，在TezUI的配置管理中，将configs.js文件中的timeline地址更换为外网IP。即下图中划红线部分替换为控制台节点管理中TezUIServer所在节点的外网IP。修改后保存并同步配置，同步成功后重启TezUIServer实例。 2. 前往YARN的配置管理页面，在yarnsite.xml配置中开启yarn.timelineservice.enabled开关。保存更改并同步配置后，重启YARN与Hive服务。

本文帮助您快速熟悉快速添加多条安全组规则的操作场景和操作流程。 操作场景 安全组支持快速添加多条不同协议端口的安全组规则，可以用于ping云服务器之间的通讯情况、远程连接实例等场景，方便您快速创建多条具备相同授权对象、授权策略等信息的规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 在安全组详情页，点击“快速添加规则”，根据页面提示配置规则。 参数说明如下： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。 1 常用端口 提供一些常用的协议端口支持快速选择。 SSH (22) 授权对象 授权对象(源地址/目的地址)支持类型：IP地址、安全组、前缀列表。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 7. 点击“确定”按钮。

本文介绍QUIC协议的工作原理、应用场景、支持的QUIC类型、注意事项及配置说明等。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于HTTP协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 握手建连更快：QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本章介绍 Agent安装失败处理方法。 若为首次安装Agent出现安装失败，需根据命令安装、脚本安装不同的安装方式来分别做处理。 使用安装命令安装Agent失败 问题现象 使用命令安装失败，安装Agent后，控制台防护列表页面仍然显示“未安装”。 可能原因 解决方案 1、确认是否已关闭主机Selinux防火墙。 已关闭：请执行2。 未关闭：请关闭Selinux防火墙后重新安装。 2、确认主机是否已绑定弹性IP。 是：请执行3。 否：请绑定弹性IP后重新安装。 3、请根据主机所在区域、主机操作系统，确认安装命令是否正确。 ① 正确地选择主机所在的区域。 ② 根据主机操作系统复制正确的安装命令。 主机中32位的系统，只能使用32位系统对应的操作命令。 主机中64位的系统，只能使用64位系统对应的操作命令。 是：请执行4。 否：请使用正确的命令重新安装。 4、确认安装帐号是否为root帐号。 是：请执行5。 否：请使用root帐号重新安装。 5、使用root帐号如何卸载Agent？后强制安装。 安装成功：结束操作。 安装失败：请联系技术支持。

本章节为您介绍如何快速部署证书至天翼云服务上。 证书管理服务支持将已签发的证书一键部署至天翼云服务上，减少您去手动部署证书的相关操作，提升业务的便捷性。 约束条件 当前支持将证书一键部署到如下产品： 产品 说明 支持的证书 Web应用防火墙（原生版） 单次最多可部署5个资源。 国际证书 弹性负载均衡 仅支持部分资源池，请以控制台提示为准。 单次最多可部署5个资源。每次部署会自动为您在弹性负载均衡平台中创建一个证书。 每个用户在弹性负载均衡平台的证书限制为10个，如果超出限制请访问弹性负载均衡平台手动删除多余证书。 国际证书 CDN相关产品 “CDN相关产品”服务为集成产品，一键部署证书将同时生效于其包含的 CDN、Aone边缘安全加速平台、Web应用防火墙（边缘云版）。 单次最多可部署5个资源。 国际证书、国密证书 综合安全网关 单次最多可部署5个资源。 国际证书、国密证书 若您使用的子账号进行一键部署，需要在IAM给相关子账号配置default企业项目权限。 部署“证书管理服务签发的证书”至天翼云服务 前提条件 已在证书管理服务中申请SSL证书且状态为“已签发”。

本文汇总了使用虚拟私有云产品时常见的路由类问题。 路由表可以跨VPC存在吗？ 不可以。 路由就是指导IP数据报文转发的路径。路由表由一系列路由规则组成，配置路由规则需要指定目的地址、下一跳类型、下一跳实例。通过路由条目，生成路由表，根据路由表中的条目，进行路径选择。路由表用于管理VPC内的实例流量走向，只能存在于某个VPC内。 路由表收费吗？ 不收费。 路由表由一系列路由规则组成，配置路由规则需要指定目的地址、下一跳类型、下一跳实例。默认路由表随着VPC自动创建，您也可以根据业务流量规划自定义路由表及路由规则。默认路由表、自定义路由表均不收费。 默认路由表的作用是什么？ 路由表用于控制虚拟私有云的流量走向。对于可用区资源池来说，在新建VPC时，会默认生成一个默认路由表，每个VPC都会对应一个默认路由表。新建的子网也会关联到默认路由表下，您也可以创建自定义路由表，将子网关联到自定义路由表。 从对等连接、专线网关、VPN网关过来的流量且目的地址不在本VPC时，会自动匹配本VPC的默认路由表。通过默认路由表可以实现跨VPC防火墙引流场景，具体参考如何通过对等连接部署第三方公共防火墙。

根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

本章节介绍推送轨迹的相关功能 概述 推送轨迹是指客户端注册了Listener监听Nacos的配置或者服务，当服务端的配置或服务发生变化时，主动推送给客户端，轨迹就是记录推送过程中的相关情况，包括触发时间、客户端、服务或者配置、推送耗时等信息。通过查询推送轨迹信息，可以清晰的确认服务或配置的推送情况，有利于提高问题排查效率。本节介绍推送轨迹的具体功能以及如何在控制台查看推送轨迹数据。 前提条件 1. 已开通微服务引擎MSE，参考章节：创建Nacos实例 2. 已开通Nacos实例并且状态正常 3. 已注册服务 注册中心推送轨迹 注册中心推送轨迹数据记录了服务推送的信息。当您在使用Nacos作为注册中心监听注册的服务后，当服务发生变化，客户端却没有收到变更推送时，就可以通过推送轨迹数据来确认时推送的动作没有触发、推送失败抑或是客户端返回了错误信息。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前Nacos注册的服务列表。 5. 找到目标服务所在行，点击推送轨迹按钮，可以快速查看该服务的推送轨迹。也可以直接点击服务管理> 推送轨迹，然后选择命名空间，选择服务和分组，查看对应服务的推送轨迹数据。 6. 在推送轨迹页面，还可以根据需要选择查询维度：服务或者IP。服务维度查询需要输入或选择分组和服务名称，选择时间或者自定义时间，点击查询。IP维度查询客户端收到的全部推送信息,需要输入客户端IP作为查询参数. 配置中心推送轨迹 配置中心推送轨迹数据记录了配置推送的信息。当您在使用Nacos配置后，当配置发生变化，某台客户端配置却没有生效等场景，就可以通过配置推送轨迹数据来辅助定位问题。

本章节介绍如何使用istio资源实现版本流量路由 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云应用服务网格实例。 3. 开通天翼云微服务引擎，并在服务网格控制面集群同VPC内创建云原生网关实例。产品入口：微服务引擎MSE。 操作步骤 部署多版本reviews服务 这里以bookinfo应用里面的reviews服务为例，使用istio资源实现对reviews服务的多版本路由，首先到云容器引擎控制台部署reviews服务的v2和v3版本，yaml如下： apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv2 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv2 template: metadata: labels: app: reviews version: v2 name: reviewsv2 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv2:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv3 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv3 template: metadata: labels: app: reviews version: v3 name: reviewsv3 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv3:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} 通过云原生网关持续访问bookinfo应用可以看到前端页面在三种效果内跳变，分别对应reviews服务的三个版本： （1）Review内没有评分。 （2）Review内有评分信息，评分的星星颜色是黑色。 （3）Review内有评分信息，评分的星星颜色是红色。

本文介绍如何根据业务场景选择合适的天翼云弹性云主机实例。 规格选型背景介绍 进行弹性云主机选型之前，您需要根据资源需求、可用性和可靠性、成本等因素，做出性价比最优的决策。通常需要考虑以下几个方面： 预估资源需求：针对不同的业务需求，结合业务的使用场景、负载大小、流量等因素，预估需要的CPU、内存、存储等资源，以此来选择合适的弹性云主机实例类型。 可用性要求：根据业务可用性要求，选择不同可用区或者不同地域的弹性云主机部署业务，提高业务系统的容灾能力。 可靠性要求：选择弹性云主机实例时，综合考虑业务架构整体的可靠性要求，选择与数据库、中间件等产品相匹配的弹性云主机，确保实例能够持续稳定地运行。 考虑成本：不同的实例类型价格不同，一般来说更大的内存、vCPU、带宽价格更高，需要权衡性价比，根据实际需求选择合适的实例类型。 场景选型 常见业务选型推荐 业务场景 选型原则 推荐实例类型 Web服务器、开发测试环境以及小型数据库应用等场景。 计算、存储、内存等资源需求平衡，无特定配置要求。 通用型，推荐最小规格为2核4G通用型云主机 计算性能高且稳定的企业级应用，如大规模数据处理、在线游戏等。 对CPU 或内存等计算资源要求较高，具有性能稳定且资源独享的特点。 计算型，推荐最小规格为2核4G计算型云主机 大型数据库、高性能计算、NoSQL等场景。 内存要求较高、需要大量数据计算。 内存型，推荐最小规格为2核16G内存型云主机 在深度学习、高性能数据库、计算流体动力学、计算金融、地震分析、分子建模、基因组学等领域场景，适用于科学计算等。 采用GPU直通技术，能够提供超高的通用计算能力。选型详见：NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云 (ctyun.cn)。 GPU计算加速型，推荐最小规格为16核64G GPU计算加速型云主机 高清视频、图形渲染、远程桌面等场景。 提供图形处理器(GPU)及较高的计算性能配置，镜像默认安装GRID驱动可以适用于图形渲染要求较高的应用。选型详见：NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云 (ctyun.cn)。 GPU图形加速基础型，搭配GRID驱动，推荐最小规格为8核24G GPU图形加速基础型云主机 注意 选择区域：不同区域的云服务之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。具体操作请参见如何选择区域。 选择可用区：同一可用区内网互通，不同可用区之间物理隔离。如果您需要提高应用的高可用性，建议您将弹性云主机创建在不同的可用区内。具体操作请参见如何选择可用区。

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 l 键：subnetkey1l 值：subnet01

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。 该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 键：subnetkey1 值：subnet01

特性维度 SaaS化部署模式（使用天翼云边缘节点网关能力） 混合部署模式（独享网关） 核心架构 使用天翼云共享的全球边缘节点作为网关。 客户本地私有化部署独享网关。 业务数据流访问链路 用户 > 天翼云边缘节点 <连接器（反向建连到网关） > 内网应用。 1、未启用连接器： 独享网关直接访问到内网，无需安装连接器，适用于只有一个数据中心的场景。 数据流：用户 > 独享网关（客户网络机器） > 内网应用。 2、启用连接器场景： 连接器反向连接到独享网关，不同数据中心，通过连接器集群的关联应用功能，管理不同的网络数据中心访问内网的链路。 用户 > 独享网关（客户网络机器）< 连接器 > 内网应用。 控制数据链路 经过天翼云（仅用于认证和策略下发）。 经过天翼云（仅用于认证和策略下发）。 业务数据流链路差异 业务流量经过天翼云节点（数据加密、不同客户的网络空间严格隔离）。 业务流量完全不经过天翼云，直达客户内网，保障客户数据隐私安全。 网络要求 客户侧无需暴露公网IP和端口对外开放，通过连接器反向代理，连接器需放行出口方向流量。 客户需为独享网关提供公网接入IP和端口开放，用于不同网络区域的客户端接入。 独享访问出方向流量需放行访问天翼云AOne中心的流量，用于对接AOne零信任中心获取配置和策略，作为控制面管理。 部署连接器场景，独享网关需放行连接器建连的流量。 SPA单包认证 SaaS模式对客户侧无端口暴露，天翼云边缘节点支持SPA单包认证机制。 支持SPA，客户侧公网开放的IP和端口遵循SPA单包认证机制，需要客户端完成可信认证后，网关才允许客户端方对该IP端口进行连接请求。 说明 若外部使用扫描工具对客户侧公网接入点进行扫描时， 独享网关开放IP和端口不会响应扫描器，端口开放标识为DOWN 。 时延性能 依托天翼云 全球2800+边缘节点 ，智能调度能力，保障不同区域接入天翼云节点的网络质量，整体接入效果更佳。 无天翼云边缘节点加速效果，时延根据客户提供的享网关节点链路和客户端接入距离有不同差异， 若客户端接入地点和独享网关属于同区域同运营商，可达到本地本网直连的最佳效果 。 安全性与合规 依托天翼云高等级安全保障。 满足对数据不出域、金融场景、政务监管的合规要求。 运维成本 轻运维，天翼云负责网关运维、高可用和迭代更新。 客户需负责独享网关的运维、高可用、安全补丁等。 适用客户 适用于众多场景客户，使用天翼云安全、加速、连接能力。需要标准、快速交付、对远程安全性办公要求较高的企业 。 对数据业务流向有要求的客户； 本地直连场景的客户，且客户可提供公网接入点的设备，可满足对本地时延敏感性极高的客户使用需求。

版本介绍 应用服务网格CSM按照不同的功能及支撑能力划分为基础版、标准版。 版本 说明 基础版 支持50以内Pod数规模，无企业级增强能力，不推荐生产使用。 标准版 支持1000Pod数规模。 使用方式 为了更好的使用应用服务网格CSM产品，建议您先开通以下产品： 1. 开通云容器引擎，至少有一个云容器引擎集群实例。 2. 开通天翼云微服务引擎，并在服务网格控制面集群同VPC内创建云原生网关实例。 相关云服务 云产品名称 开通类型 产品说明 云容器引擎 必选项 云容器引擎 弹性负载均衡ELB 必选项（开通服务网格时自动开通） 弹性负载均衡

Nacos引擎支持命名空间关联企业项目，关系为N:1，即N个命名空间可关联到一个企业项目。 默认在创建命名空间中创建的命名空间是没有关联企业项目，可以通过编辑企业项目操作，将命名空间同企业项目进行关联。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待操作的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 在“控制台资源管理”页签下，单击待操作的命名空间右侧“企业项目”的，在“编辑企业项目”弹出框中，在下拉框中选择企业项目，单击“确定”，编辑成功。 说明 编辑企业项目时，只支持更换企业项目，不可将企业项目置空。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z attackApp 否 Array of Longs 攻击应用 [1] attackType 否 Array of Strings 攻击类型 ["VulnerabilityCSRF"] attackLevel 否 Array of Strings 攻击等级 ["LOW"] sourceType 否 Array of Strings 判断来源 ["BASE"] attackDirection 否 Array of Strings 方向 ["1"] attackIp 否 String 攻击ip 1.1.1.1 affectedIp 否 String 受影响ip 2.2.2.2 page 否 Integer 页码 1 size 否 Integer 页大小 10

本节介绍如何退订WAF云SaaS型实例。 购买云SaaS型实例后，在实例到期被删除前，您可以随时在WAF控制台退订实例。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“退订”，进入退订页面。 6. 确认退订信息后，单击“立即退订”。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

设置应用控制策略后，业务云主机访问互联网需要对防火墙分配弹性IP地址。本小节介绍安全专区源地址转换方法。 配置方法： 点击【策略】→【地址转换】→【IPV4地址转换】→【新增】→【源地址转换】，进行相关策略配置。 原始数据包 源区域：选择“L3untrustA”； 网络对象：勾选区域，填写需要访问互联网的业务云主机对象； 目的区域/接口：选择“L3untrustA”； 网络对象：全部互联网对象。 转换后数据包 源地址转换为：指定IP； IP地址：eth0地址（与绑定弹性公网IP对应的私有地址）。

安全告警 安全告警展示了告警的总体情况，包括告警总次数、受影响资产、攻击IP。支持查看最近一天、最近三天、最近七天的统计数据。 告警总次数：展示了近期资产触发的告警的总次数。 受影响资产：统计存在告警的资产数量。同一资产不重复统计，当同一资产有多个告警时，仅统计一次。 攻击IP：展示了攻击IP的数量。同一IP不重复统计。 点击数字时会跳转至“安全告警”界面。 实例状态 展示实例的版本，互联网边界防火墙实例、VPC边界防火墙实例的规格和配额。 单击“配额管理”，进入配额管理页面查看更多配额信息。 资产防护监控 资产防护监控展示了防护总体情况，包括已开启和未开启防护的资产数量。鼠标悬浮在弹性IP、弹性负载均衡对应数字上，会展示对应的IPv4和IPv6资产数量。 绿色图标表示已开启防护的资产总数量。 红色图标表示未开启防护的资产总数量。 防护配置 展示入侵防护策略的配置情况，包括防护模式、虚拟补丁、病毒防御、DDoS防护。 访问控制策略 展示访问控制策略的配置情况，包括白名单规则数、黑名单规则数、VPC边界规则数、入向规则数、出向规则数的配置情况及周同比百分比。 白名单规则数：分别展示互联网边界和VPC边界添加的白名单规则数量，点击数字时会跳转至“访问控制”对应页面。 黑名单规则数：分别展示互联网边界和VPC边界添加的黑名单规则数量，点击数字时会跳转至“访问控制”对应页面。 VPC边界规则数：展示添加的VPC边界规则数量，点击数字时会跳转至“访问控制 > VPC边界规则 > 内网互访规则”页面。 入向规则数：展示入向规则数量，点击数字时会跳转至“访问控制 > 互联网边界规则 > 入向规则”页面。 出向规则数：展示出向规则数量，点击数字时会跳转至“访问控制 > 互联网边界规则 > 出向规则”页面。

系统影响 升级服务版本和购买资源扩展包时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 升级云SaaS型实例规格 云SaaS型实例支持从较低版本的主套餐升级至任一更高版本。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“升级扩容”，进入“升配”页面。 6. “规格选择”默认为当前实例版本，可以对当前实例版本进行升级。 7. 选择升级的版本后，在页面下方确认支付费用，单击“立即购买”。 8. 在订单页完成订单确认并支付，付费成功后，购买的版本将生效。 扩增云SaaS型实例资源扩展包 云SaaS型实例支持扩增资源扩展包的数量，扩展包规格请参见产品规格。 说明 若需要购买规则扩展包提升重保防护场景配额，购买后，请联系技术支持进行配置。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“升级扩容”，进入升配页面。 6. 在“升配”页面下方，单击“去增项”，进入增项页面。 7. 设置资源扩展包数量，需高于当前已购买数量。 8. 设置完成后，在页面下方确认支付费用，单击“立即购买”。 9. 在订单页完成订单确认并支付，付费成功后，购买扩展包将生效。

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

本文为您介绍CC防护功能说明，以及如何配置系统默认、自定义防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 配置CC防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，可以选择开启/关闭防护状态；同时可以直接选择防护模式，配置信息如下。 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求的基础上，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见下文[配置自定义CC防护策略](

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

本文为您介绍Web应用防火墙（原生版）的标准资费及计费模式。 适用场景 Web应用防火墙（原生版）支持包年包月付费模式。用户根据需要，一次性支付一个月/多个月/一年/多年的费用，支付成功后，WAF将被系统分配给用户使用，直到超过保留期后被系统回收。 WAF SaaS版 标准资费 根据开通实例时选购的主套餐版本、资源扩展包个数、购买时长生成预付费账单。 计费项 基础版 标准版 企业版 旗舰版 适用范围 适合个人网站、小型网站等只需要满足基础安全需求对业务没有特殊安全需求用户，不适用于商业用户 适用于对少量用户提供业务服务，没有大量高频访问中小型网站，没有特殊安全需求，仅需要满足基础防护能力 适用中大型企业或服务对互联网公众开放，有较高访问频率，并有较高数据安全与网络安全防护需求的网站防护 适用于大型及超大型复杂业务网站防护或有特殊定制安全需求的用户（支持定制需求，定制需求需要和客户经理联系） 主套餐 99元/月 3880元/月 9800元/月 29800元/月 域名扩展包 600元/个/月 1000元/个/月 2000元/个/月 业务扩展包 1000元/个/月 2000元/个/月 2000元/个/月 规则扩展包 70元/个/月 70元/个/月 70元/个/月 关于不同主套餐版本的规格参数，请参见产品规格。 针对一次性包年付费，标准价格如下： 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格×12×85% 包月标准价格×24×70% 包月标准价格×36×50% 注意 一个账号支持购买一个包周期实例，实例必须绑定一个主套餐版本，可叠加购买资源扩展包。 基础版最多支持一次性付费1年，不支持一次性付费2年、3年。