本文介绍以下内容： 云防火墙提供的两种日志存储方式，请参见日志存储方式。 支持的日志类型，请参见日志类型。 日志中出现了异常拦截，排查方式请参见异常拦截排查。 将日志转储到LTS的操作指导日志管理使用方式。 日志存储方式 功能名称 存储时长 计费方式 接入方式 日志字段说明 日志查询 7天 免费 自动接入 日志查询 日志管理 1~365天 按流量单独计费 需手动对接到LTS服务，具体操作请参见配置日志。 更好的使用LTS日志功能，请参见日志管理使用方式。 日志字段说明 日志类型 提供以下日志： 攻击事件日志：IPS等攻击防御功能检测到的事件记录，出现误拦截时您可以修改防护动作，操作步骤请参见修改入侵防御规则的防护动作，修改病毒防御的防护动作请参见[修改病毒防御动作提升防护效果](

本节介绍如何添加WAF防护策略。 前提条件 已添加防护网站。 约束条件 一个防护域名只能绑定一个防护策略。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在列表的左上角，单击“添加防护策略”。 步骤6 在弹出的对话框中，输入策略名称，单击“确定”。 步骤7 在目标策略所在行，单击策略名称，进入防护规则配置页面。 相关操作 若想修改策略名称，单击目标策略名称后的编辑按钮，在弹出的对话框中，重新输入新的策略名称即可。 若想删除添加的防护策略，在目标策略所在行的“操作”列，单击“删除”。 如果您想批量删除防护策略，勾选需要删除的策略，单击策略列表上方的“批量删除”。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

本文介绍批量注册防护功能。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 边缘云WAF实现批量注册防护的原理 注册行为监控。由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战。通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。 注意 注意：目前控制台尚未开放批量注册防护的功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持批量注册防护相关功能。 相关操作 设置撞库防护 设置暴力破解防护

本章节介绍Nacos的风险管理 概述 Nacos引擎系统支持风险管理功能，可在通过控制台风险管理页面点击一键风险检查按钮来触发，评估当前Nacos引擎的风险。检查结果信息主要包括Nacos引擎的规格、配置、服务、白名单等相关的风险情况，以及针对风险情况提出建议和处理方案，并将结果、评分、建议记录下来供查询。 前提条件 已创建Nacos引擎实例。具体操作请参见章节：创建Nacos实例。 健康度检查 1. 登录微服务引擎MSE注册配置中心管理控制台，并在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表 。 3. 在实例列表页面，单击目标实例名称或者实例ID，进入基础信息页面。 4. 在左侧导航栏，单击风险管理进入风险管理页面。在集群健康度区域，单击一键健康度检查进入异步扫描。点击检查后会提示提交检查操作成功。 5. 检查结果预计需要5~10分钟返回。检查结果显示在集群健康度页面下方区域。左侧为检查到的风险项和对应的建议。右侧为检查历史记录。

标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 标签路由 使用标签路由 1. 在标签路由页单击流量分配，为标签按比例分配流量。 2. 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

弃用和移除 Kubernetes 1.27版本 在Kubernetes 1.27版本，针对卷扩展 GA 特性的以下特性门禁将被移除，且不得再在 featuregates 标志中引用。（ ExpandCSIVolumes，ExpandInUsePersistentVolumes，ExpandPersistentVolumes ） 在Kubernetes 1.27版本，移除masterservicenamespace 命令行参数。该参数支持指定在何处创建名为kubernetes的Service来表示API服务器。自v1.26版本已被弃用，1.27版本正式移除。 在Kubernetes 1.27版本，移除 ControllerManagerLeaderMigration 特性门禁。Leader Migration 提供了一种机制，让 HA 集群在升级多副本的控制平面时通过在 kubecontrollermanager 和 cloudcontrollermanager 这两个组件之间共享的资源锁，安全地迁移“特定于云平台”的控制器。特性自 v1.24 正式发布，被无条件启用， 在 v1.27 版本中此特性门禁选项将被移除。 在Kubernetes 1.27版本，移除 enabletaintmanager 命令行参数。该参数支持的特性基于污点的驱逐已被默认启用， 且在标志被移除时也将继续被隐式启用。 在Kubernetes 1.27版本，移除podevictiontimeout 命令行参数。弃用的命令行参数 podevictiontimeout 将被从 kubecontrollermanager 中移除。 在Kubernetes 1.27版本，移除 CSI Migration 特性门禁。CSI migration 程序允许从树内卷插件移动到树外 CSI 驱动程序。 CSI 迁移自 Kubernetes v1.16 起正式发布，关联的 CSIMigration 特性门禁将在 v1.27 中被移除。 在Kubernetes 1.27版本，移除 CSIInlineVolume 特性门禁。CSI Ephemeral Volume 特性允许在 Pod 规约中直接指定 CSI 卷作为临时使用场景。这些 CSI 卷可用于使用挂载的卷直接在 Pod 内注入任意状态，例如配置、Secret、身份、变量或类似信息。 此特性在 v1.25 中进阶至正式发布。因此，此特性门禁 CSIInlineVolume 将在 v1.27 版本中移除。 在Kubernetes 1.27版本，移除 EphemeralContainers 特性门禁。对于 Kubernetes v1.27，临时容器的 API 支持被无条件启用；EphemeralContainers 特性门禁将被移除。 在Kubernetes 1.27版本，移除 LocalStorageCapacityIsolation 特性门禁。Local Ephemeral Storage Capacity Isolation 特性在 v1.25 中进阶至正式发布。此特性支持 emptyDir 卷这类 Pod 之间本地临时存储的容量隔离， 因此可以硬性限制 Pod 对共享资源的消耗。如果本地临时存储的消耗超过了配置的限制，kubelet 将驱逐 Pod。 特性门禁 LocalStorageCapacityIsolation 将在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 NetworkPolicyEndPort 特性门禁。Kubernetes v1.25 版本将 NetworkPolicy 中的 endPort 进阶至正式发布。 支持 endPort 字段的 NetworkPolicy 提供程序可用于指定一系列端口以应用 NetworkPolicy。 在Kubernetes 1.27版本，移除 StatefulSetMinReadySeconds 特性门禁。对于作为 StatefulSet 一部分的 Pod，只有当 Pod 至少在 minReadySeconds 中指定的持续期内可用（并通过检查）时，Kubernetes 才会将此 Pod 标记为只读。 该特性在 Kubernetes v1.25 中正式发布，StatefulSetMinReadySeconds 特性门禁将锁定为 true，并在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 IdentifyPodOS 特性门禁。启用该特性门禁，您可以为 Pod 指定操作系统，此项特性支持自 v1.25 版本进入稳定。 IdentifyPodOS 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 DaemonSetUpdateSurge 特性门禁。Kubernetes v1.25 版本还稳定了对 DaemonSet Pod 的浪涌支持， 其实现是为了最大限度地减少部署期间 DaemonSet 的停机时间。 DaemonSetUpdateSurge 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 containerruntime 命令行参数。kubelet 接受一个已弃用的命令行参数 containerruntime， 并且在移除 dockershim 代码后，唯一有效的值将是 remote。 Kubernetes v1.27 将移除该参数，该参数自 v1.24 版本以来已被弃用。

功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

如果您需要对云上购买的CTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CTS的使用权限，但是不希望他们拥有删除CTS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CTS，但是不允许删除CTS的权限策略，控制他们对CTS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CTS服务的其它功能。 IAM提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 CTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表 1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √

功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本章节介绍网关治理功能的节点详情 概述 在节点详情页面，可以查看所有节点的通过QPS、限流QPS、异常QPS、RT、并发等指标，并且可以在此页面对接口管理流控规则进行操作。一个节点对应一个JVM进程，当多个JVM接入单机后，即展示为多个节点。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择网关治理。 3. 在网关治理页面的应用卡片页签单击目标网关卡片。 4. 在左侧导航栏中选择节点详情。 功能介绍 节点页面展示了应用的所有节点详细信息以及这些节点当前的通过QPS、限流QPS、异常QPS和RT等数据。同时，该页面还展示5分钟内的流量监控指标，节点所在机器的CPU信息、LOAD信息、物理内存、DISK和网络流量。 此外，该页面还提供了所在节点的5min内的JVM信息，包括堆内存详情，非堆内存详情，元空间详情，JVM线程数，缓冲区详情和GC等数据。

推空保护功能用于处理客户端在请求注册中心订阅服务端地址列表时，在服务端注册异常的场景下，注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。能够在注册中心在进行变更（变配、升降级）或遇到突发情况（例如，可用区断网断电）或其他不可预知情况下的列表订阅异常收到空的地址列表推送时，可以有效保护业务调用，增加业务可靠性。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 推空保护 开启推空保护 1. 在推空保护页面打开开关 查看推空保护事件 若发生推空保护，在推空保护页面即可查看推空保护事件。

CentOS 7系列操作系统解决步骤 1. 在/etc/modprobe.d/firewalldsysctls.conf中设置conntrack的哈希值，执行以下命令： echo "options nfconntrack expecthashsize131072 hashsize131072" >> /etc/modprobe.d/firewalldsysctls.conf 2. 重启firewalld，执行以下命令： systemctl restart firewalld 3. 确认参数修改成功，执行以下命令： sysctl a grep nfconntrackmax 其他说明 本文操作适用于CentOS系统，且系统已开启主机防火墙。其他Linux系统可能存在差异。 本文操作涉及修改CentOS系统内核参数。在线修改内核参数可能会使内核不稳定，建议修改后重启系统。请评估风险后再操作。 注意 .net.netfilter.nfconntrackmax并不是越高越好，通常需要根据内存大小进行设置。nfconntrackmax计算公式（64位）为：CONNTRACKMAX RAMSIZE (in bytes)/16384/2。

GDS导入数据时是否支持使用公网/外网导入？ 不支持。 GDS导入数据的原理是，GDS服务器和DWS在内网互通的前提下，使用集群内每个DN去并行连接GDS服务器，以达到大容量并行导入的目的，因此必须确保GDS服务器与集群在同一个网络内。如果GDS为线下服务器，则需要打通防火墙，并且DWS集群需要使用EIP，但一个集群只能绑定一个EIP，也无法实现GDS的多DN连接导入。 DWS导入性能都和哪些因素有关联？ dws的导入性能受多方面因素影响，主要有以下几点： 1.集群规格：磁盘io、网络吞吐、内存、cpu规格等。 2.业务规划：表字段的类型、是否压缩、行存还是列存。 3.数据存储：集群本地、OBS等。 4.数据导入的方式选择等。

本文介绍SWG网关日志内容。 SWG高阶网关是零信任内网访问与WEB应用防火墙、全站加速能力结合。使用零信任服务SWG高阶网关功能后，对应日志模块的订购限制将根据SWG高阶网关能力开通情况进行限制。具体SWG高阶网关提供的日志功能请查看对应页面详情。 功能说明 日志菜单 日志说明 安全攻击日志 当SWG高阶网关检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 域名安全防护分析 介绍安全报表模块，支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。在SWG高阶网关场景，仅需关注Web安全报表，您可以在这里查看实时或历史的攻击防护情况。

态势感知的数据来源。 态势感知（专业版）基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知（专业版）通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【高级防护】页面 — 【广告防护】模块 配置说明 配置项 说明 开关 设置广告防护策略开启或者关闭 高级js动态检测开关 关闭。只检测页面已有广告内容（静态嵌入广告检测） 开启。将检测页面通过js动态添加元素内容，判断动态添加元素是否在白名单内，不再白名单则移除对应元素 处理动作 触发广告防护的处理动作，可选择告警或者清除 防护范围 设置要配置广告防护的URI； （1）URI：设置防护要包含/不包含的URI，例如：/home.jsp支持填写多个URI，用英文分隔符分隔； （2）PATH：设置防护要包含/不包含的路径，例如：/匹配请求URI前缀，/表示全站，用英文分隔符分隔； （3）多个粒度为且的逻辑；多个条件为或的关系； 白名单 外链白名单，当资源请求的链接来自设置的白名单时，不会进行广告处理，允许正常显示广告、图片

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持防护敏感信息泄露功能 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

sectionb6d9c8a71f3e57cf)。 目的IP地址 支持以下格式： 地址段，使用“/”隔开掩码，如：192.168.2.0/24 IP地址簿名称。IP地址簿为多个IPv4地址的集合，添加IP地址簿请参见添加IP地址簿。 目的端口 支持以下格式： 端口号。 端口地址簿名称。端口地址簿为多个端口的集合，添加端口地址簿请参见添加端口地址簿。 协议类型 支持：TCP、UDP、ICMP、Any。 应用 在下拉框中选择应用，可选择“全部应用”或其中一个应用，包括MySQL、中国工商银行、维基百科、58同城、京东商城、滴滴出行、POP3、smtp、ssh、telnet、ftpdata、HTTPS、HTTP、IMAP、TeamViewer、必应和酷狗音乐等。 动作 设置防火墙对流量的处理动作，支持选择“放行”或者“阻断”。 描述 自定义规则描述。 启用状态 选择该规则是否启用规则。 开：表示启用，规则生效。 关：表示关闭，规则不生效。 2. 表格填写完成后，进入目标防护规则页面，单击防护规则列表上方的“导入”，弹出导入对话框。 3. 将填写好的表格文件上传到配置文件框。 4. 单击“确定”，导入防护规则表。

本节介绍创建IPsec VPN的操作说明。 注：目前仅支持部分资源池开启IPsec VPN的功能，如当前资源池的AI云电脑（政企版）控制台没有IPsec VPN的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.点击“创建IPsec VPN”，填写相关信息； 在创建IPsec VPN页面中填写相关信息，下面以客户侧网段192.168.10.0/24为例，带宽为5M创建，选择主VPC。其中“标识符类型”可选“IPV4”和“FQDN”，若选择IPV4，则云端标识符会默认填充为云侧公网IPV4地址，客户侧标识符则需用户填写客户设备的公网IPV4地址。若选择“FQDN”则填写对应的标识符，这些隧道信息在配置客户侧防火墙过程中使用到。 详细参数解析： （1）IPsec VPN名称：用户自定义，比如“IPSecVPN”。 （2）客户侧私网网段：客户办公区私网网段，与IPsec VPN绑定的云侧VPC子网网段不可重叠。 （3）客户侧公网地址：客户侧有固定公网地址则填写固定公网地址，无固定公网地址可以在客户内网打开浏览器百度搜索“IP”获取出口公网地址。 （4）IKE版本：只支持IKEv2版本。 （5）预共享密钥：密码强度826位，须同时包含英文字母、数字和特殊字符。客户侧防火墙与IPSec VPN实例预共享密钥需配置一致。 （6）标识符类型：支持IPV4与FQDN（域名）两种类型，默认选择IPV4。 （7）云端标识符与客户侧标识符：若使用IVP4，云端标识符会自动填充为云侧公网IPV4地址，客户端标识符需要填写客户侧设备公网IPV4地址。若填写FQDN，则需要用户填写对应的FQDN信息。用户需要注意填写 标识符顺序，假设创建IPsec VPN实例时标识符类型选用FQDN，云端标识符设置为cloud.responder，客户侧标识符设置为customer.initiator，那么客户侧VPN设备，如strongswan，leftid应设置为 @customer.initiator，rightid应设置为@cloud.responder，类型为IPV4同理。 （8）选择主VPC：客户端需要与云侧互通的VPC 4.确定创建后，IPsec VPN实例创建成功。

本节介绍创建IPsec VPN的操作说明。 注：目前仅支持部分资源池开启IPsec VPN的功能，如当前资源池的AI云电脑（政企版）控制台没有IPsec VPN的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.点击“创建IPsec VPN”，填写相关信息； 在创建IPsec VPN页面中填写相关信息，下面以客户侧网段192.168.10.0/24为例，带宽为5M创建，选择主VPC。其中“标识符类型”可选“IPV4”和“FQDN”，若选择IPV4，则云端标识符会默认填充为云侧公网IPV4地址，客户侧标识符则需用户填写客户设备的公网IPV4地址。若选择“FQDN”则填写对应的标识符，这些隧道信息在配置客户侧防火墙过程中使用到。 详细参数解析： （1）IPsec VPN名称：用户自定义，比如“IPSecVPN”。 （2）客户侧私网网段：客户办公区私网网段，与IPsec VPN绑定的云侧VPC子网网段不可重叠。 （3）客户侧公网地址：客户侧有固定公网地址则填写固定公网地址，无固定公网地址可以在客户内网打开浏览器百度搜索“IP”获取出口公网地址。 （4）IKE版本：只支持IKEv2版本。 （5）预共享密钥：密码强度826位，须同时包含英文字母、数字和特殊字符。客户侧防火墙与IPSec VPN实例预共享密钥需配置一致。 （6）标识符类型：支持IPV4与FQDN（域名）两种类型，默认选择IPV4。 （7）云端标识符与客户侧标识符：若使用IVP4，云端标识符会自动填充为云侧公网IPV4地址，客户端标识符需要填写客户侧设备公网IPV4地址。若填写FQDN，则需要用户填写对应的FQDN信息。用户需要注意填写 标识符顺序，假设创建IPsec VPN实例时标识符类型选用FQDN，云端标识符设置为cloud.responder，客户侧标识符设置为customer.initiator，那么客户侧VPN设备，如strongswan，leftid应设置为 @customer.initiator，rightid应设置为@cloud.responder，类型为IPV4同理。 （8）选择主VPC：客户端需要与云侧互通的VPC 4.确定创建后，IPsec VPN实例创建成功。

主机迁移服务是否支持迁移自建的数据库、大数据以及网站等服务 主机迁移服务是整机迁移，只要自建服务部署在主机磁盘中都支持迁移，比如数据库、大数据及网站等服务。如果涉及以上自建服务的迁移，在割接之前需要先暂停服务（源端主机不能停机），否则会出现目的端主机启动时间久、数据不一致以及服务在目的端无法正常启动等情况。 源端服务器SSH端口非默认，是否影响迁移？ 源端服务器SSH端口非默认不影响迁移。 如何获取SMS域名？ 操作场景 启动迁移Agent时，需要填写目的端服务器所在区域的SMS域名，以便获取最新的配置文件。 操作步骤 1. 登录天翼云管理控制台。 2. 在页面左上角，选择目的端服务器所在的区域。 3. 单击“服务列表”，选择“迁移 > 主机迁移服务”，进入“主机迁移服务”页面。 4. 在左侧导航树中，单击“迁移Agent”，进入“迁移Agent”页面。 5. 在Linux服务器Agent安装或Windows服务器Agent安装区域，均可以获取所在区域的SMS域名。 关于迁移完成后，Windows系统、软件的激活说明 主机迁移服务是整机迁移，使用SMS把一台Windows系统的源端服务器迁移到目的端服务器上后，源端服务器中需要许可证（License）的产品需要重新激活。常见的如Windows系统的激活、付费软件的License激活，主机迁移服务无法提供相应的激活服务，Windows系统激活参照如下步骤，其他需要您自行联系软件提供方进行激活。 1. 登录Windows操作系统。 2. 单击“开始”菜单，在“搜索程序和文件”中输入“cmd”，并按“Enter”，打开命令提示符。 3. 执行命令 slmgr.vbs skms 100.125.0.31，配置KMS服务器地址。 4. 执行命令 slmgr.vbs ato，查看是否激活。如果出现错误：0xC004F074 软件授权服务器报告无法激活该云主机。密钥管理服务（KMS）不可用，说明无法激活，需要执行5。 5. 查看云主机时间与标准时间是否一致，时间相差较大会出现无法激活的情况，将其设置为一致。 6. 执行命令 telnet 100.125.0.31:1688，检查物理机到KMS服务器端口是否可达。如果无法连接，说明物理机内部防火墙没有放通1688端口，需要关闭或者放通防火墙TCP 1688端口。如果有安全狗之类的安全软件也请暂时停止使用。 7. 执行命令 Slmgr.vbs ato，重试云主机是否激活。

本章节主要介绍如何设置网卡的源/目的检查。 操作场景 开启网卡的源/目的检查，系统会检查物理机服务器发送的报文中源IP地址是否正确，否则不允许物理机服务器发送该报文。这有助于防止伪装报文攻击，提升安全性。 操作步骤 1.登录管理控制台。 2.选择“计算 > 物理机服务”。 进入物理机页面。 3.单击待设置网卡的物理机的名称。 系统跳转至该物理机的详情页面。 4.选择“网卡”页签，单击待设置网卡前的图标。 5.选择打开或关闭“源/目的检查”开关。 默认情况下，“源/目的检查”状态为“ON”，系统会检查物理机发送的报文中源IP地址是否正确，否则不允许物理机发送该报文。这有助于防止伪装报文攻击，提升安全性。当物理机作为NAT服务器、路由器或防火墙时，此开关应该设置为“OFF”。

服务名称 服务类别 关联与区别 防护对象 态势感知（专业版）（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 Web应用防火墙（独享版）（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。

安全体检连通性检测说明。网络不可达将导致体检失败，请您根据以下提示对体检IP展开全面检测。 体检IP连通性检测是开始体检任务前的一项重要工作。体检IP与体检引擎互联网IP网络不通将会导致体检失败。 您可以点击体检IP列表右上角“检测联通性”，检测所有体检IP与体检引擎互联网IP的网络连通性。 当单个体检IP网络不可达时，您可以点击此体检IP的刷新按钮，完成单个IP的检测。 注意 当前体检引擎IP到此IP地址网络不可达，建议您检查： 1. 安全组策略是否限此IP访问。 2. 防火墙配置是否限制此IP访问。 3. 体检引擎互联网IP是否添加至白名单。 4. 此弹性IP是否正确绑定云主机。 5. 云主机是否正常开机。

本文主要介绍了合同管理的常见问题。 电子版合同显示验证签名错误，应该怎么处理? 要支持国密算法的阅读器才可以正常解析签章（大背景是国家号召关键技术自主可控，也就是信创），推荐支持sm1/2/3/4国密算法的阅读器。可尝试下福昕办公PDF软件。 申请电子合同，确认选择订单时未显示已完成的预付费订单？ 订单完成需要满24小时后显示，建议用户耐心等待。 由于下一代防火墙需要绑定云主机才可以下待付订单，没办法申请请款合同，请问怎么解决这类问题？ 需要先开通云主机，然后申请请款合同。 官网申请电子合同时，甲方抬头系统默认为实名认证名称，如何将甲方抬头更改成企业的名称？ 合同抬头默认与实名认证名称一致的，建议更改实名认证信息后尝试重新申请。

Web防护支持的QPS上限是多少？ 边缘安全加速平台提供的Web防护基于边缘节点，并且结合智能调度，支持动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模。 并依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。区别于传统WAF需要在源站前端部署，Web应用防火墙把安全能力赋能在所有边缘节点。 利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。 CC防护支持的QPS上限是多少？ 边缘安全加速平台提供的CC防护能力不限制QPS上限。

手动执行激活，同时开启抓包软件进行抓包(推荐使用wireshark)，确认报文正常发送和收到 1. 这里使用的轻量抓包工具IPOP（下载请点击：工具IPOP） 2. 先打开IPOP抓包软件，设置好后“开始捕获” 3. 然后点击“开始捕获”，同时在cmd窗口执行手动激活“slmgr /ato” 4. 下图可以看到有TCP+目的IP：169.254.169.254+目的端口:1688的报文，证明激活报文已发出；同时也发现有收到的服务器报文（如图）： 如果没有发出，属于客户侧自身问题，需要自行排查是否有安全软件或者防火墙等阻断激活。如果有发出但是没有收到响应报文，可能是激活服务侧问题，可以提工单协助排查。

手动执行激活，同时开启抓包软件进行抓包(推荐使用wireshark)，确认报文正常发送和收到 1. 这里使用的轻量抓包工具IPOP（下载请点击：工具IPOP） 2. 先打开IPOP抓包软件，设置好后“开始捕获” 3. 然后点击“开始捕获”，同时在cmd窗口执行手动激活“slmgr /ato” 4. 下图可以看到有TCP+目的IP：169.254.169.254+目的端口:1688的报文，证明激活报文已发出；同时也发现有收到的服务器报文（如图）： 如果没有发出，属于客户侧自身问题，需要自行排查是否有安全软件或者防火墙等阻断激活。如果有发出但是没有收到响应报文，可能是激活服务侧问题，可以提工单协助排查。

OOS与自建服务器存储有如下区别： 弹性扩展：OOS按使用量计费，用户无需考虑由于业务需求的增长而扩充初期投资成本。 降低成本：使用OOS，您可以根据业务需求确定资源投入，避免投资和运营成本（电费、维护成本等）浪费。 安全可靠：云存储通过以下几种方式来保证数据安全： 通过数据自动切片、分布保存、每片签名等技术，保障数据存储的安全。 通过SSL加密技术和MD5校验技术，保障数据传输的安全。 通过用户鉴权、ACL访问控制等方式，保障数据使用的安全。 通过724的专业运维团队、原厂的金牌服务，保障数据运维的安全。 自建存储需要开发者自己从技术角度去实现安全防护，比如防火墙配置、加密技术等，对开发者要求较高，而且容易出现安全漏洞。而 OOS有专业的技术安全团队进行安全防护，同时运维团队724小时的安全监控也能及时得弥补安全漏洞。

本章节介绍应用治理中的概览情况 概述 应用概览主要是方便用户直观的看到当前应用请求的整体状态，通过应用概览页面可以查看应用错误请求数、总请求数、平均响应时间、应用基础信息和服务列表等数据。 功能入口 1. 登录微服务治理中心控制台。 2. 在控制台左侧栏选择应用治理。 3. 在应用治理页面的应用卡片页面单击目标应用卡片。 4. 在左侧导航栏选择应用详情。 功能介绍 应用概览页面会展示错误请求数、总请求数、平均响应时间、应用基础信息和服务列表等数据。其中错误请求数、总请求数、平均响应时间都是应用入口接口的统计，不包括应用内部方法调用的统计。 错误请求数：展示近5分钟请求异常的总数。 总请求数：展示近5分钟应用入口接口的请求总数。 响应时间：展示近5分钟应用入口接口的平均响应时间。 应用信息：当前应用的基础信息，包括应用ID、应用名称、接入方式和应用框架类型。 服务列表：当前应用的服务列表，内容与服务查询页面一致。