本节介绍高可用云桌面的创建说明。 开通“高可用AI云电脑”功能服务的用户，可直接订购高可用AI云电脑。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.选择规格类型“高可用版”，跳转到高可用桌面订购页； 4.高可用桌面有两个版本： AI云电脑高可用（通用版） 提供零配置、标准化的高可用方案，支持存量AI云电脑一键升级。 进行定期整机数据高可用保障，可提供与故障前10分钟完全一致的AI云电脑服务。 注意：“通用版”无需任何配置，可直接单实例订购和资源包订购方式。 AI云电脑高可用（个性版） 支持自定义高可用策略，满足个性化业务场景需求。 提供实时高可用保障，可提供与故障前高可用策略范围内一致的AI云电脑服务。 注意：“个性版”则需用配置“高可用策略”和“高可用带宽”，暂只支持资源包订购方式。 5.选择系统类型； 6.选择规格类型“高可用版”的AI云电脑规格； 7.选择AI云电脑的“镜像类型”； 8.选择AI云电脑的“磁盘选择”； 9.根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。高可用AI云电脑默认已包含80GB高IO系统盘。 10.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。 11.选择账号类型，并填写分配电脑的账号信息； 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 12.其它电脑实例配置信息，根据需要自行配置； 13.确认相关的配置信息，点击“创建桌面”，即完成电脑开通。

本节主要介绍了ECX相关的术语。 实例 实例若无特指一般指虚拟机实例；若增加特指例如裸金属实例、NAT网关实例，则指具体的某一类型的边缘云资源对象。 地域 ECX用于方便进行节点管理划分的逻辑分区，通常按照数据中心所在城市划分，如内蒙古自治区呼和浩特高可用A表示数据中心所在的城市是呼和浩特。用户可按需选择就近的地域进行业务部署，以降低业务的访问时延。 可用区 可用区是指在同一地域内，电力和网络互相独立的物理区域，在相同的地域内，不同可用区之间内网互通。若用户的应用有较高容灾要求，可将实例部署在同一地域的不同可用区内，以实现更好的故障隔离及灾备恢复。 云盘快照 云盘快照是指在云存储服务中，将存储的数据和文件系统的状态进行备份的一种方法。它可以记录云盘中特定时间点的数据和文件系统状态，以便在需要时还原到该时间点的状态。 云盘备份 云盘备份是指将重要数据上传至其它云存储空间，以便在本地设备出现故障、丢失或遭受损坏时仍能够恢复数据。备份具有异地容灾的能力，快照属于本地容灾。 虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是基于智能边缘云构建的专属边缘节点网络空间，为用户在边缘集群上的资源提供网络服务，不同虚拟私有云之间完全逻辑隔离。

修改域名DNS解析 若用户网站前使用了代理类服务（高防、CDN服务等），则需要将代理类服务的回源地址修改为该域名对应的WAF CNAME地址。 注意 为保证WAF的安全策略能够对真实的源IP生效，请确保网站接入时的“代理情况”参数已配置为“是”。 若用户网站前未使用代理类服务（高防、CDN服务等），则应到该域名的DNS服务商处，配置防护域名的别名解析，具体操作请咨询您的域名服务提供商。 以下以天翼云云解析产品为例，介绍修改域名DNS解析记录的方法，仅供参考。如与实际配置不符，请以各自域名服务商的信息为准。 使用天翼云云解析DNS修改域名DNS解析 1. 进入云解析产品控制台。 2. 点击“解析管理”，进入域名维护页面。 3. 在域名维护页面，点击要修改的域名进入记录管理页。 4. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 5. 填写以下信息： 主机记录：一般是指子域名的前缀。（如需实现www.ctyun.cn, 主机记录输入“ www”；如需实现ctyun.cn，主机记录输入“@”）。 记录类型：选CNAME记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析)。 记录值：填写刚获取的WAF CNAME地址。 TTL：缓存时间，默认为3600秒。 6. 单击“✓”完成记录添加。 7. DNS解析修改完成之后，待DNS记录生效，云WAF即可对访问网站的流量进行防护了。

操作 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“网页防篡改”配置框中，用户可根据自己的需要更改“状态”，单击“自定义网页防篡改”，进入网页防篡改规则的配置页面。 步骤7 在“网页防篡改”规则的配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，添加网页防篡改规则，参数说明如表所示。 参数说明 参数 参数说明 取值样例 ::: 域名 设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/” /admin 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认添加”，添加的网页防篡改规则展示在网页防篡改规则列表中。

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）具有广泛的应用场景，以下是三种常见的应用场景。 场景一：网站实时监管 政府、金融、交通等行业需要对网站进行实时监测，防止网站被植入涉恐、涉政、暗链、后门等，否则一旦网站出现被篡改问题，会严重影响政府、交通等单位形象，造成企业巨大损失。 场景二：重大活动保障 在重大活动保障期间，各行业的官网、业务系统等网站出现非法关键词，导致被监管单位通报，其声誉将受到影响，评分会受到严重影响。 场景三：等保合规 信息安全等级保护是我国信息安全保障的一项基本制度，要求网络经营者应符合网络安全等级保护制度的要求。天翼云网页防篡改（原生版）帮助有等保需求的用户，进行安全测评，满足等保合规的要求。

本文提供了边缘安全加速服务平台服务协议查看地址。 边缘安全加速服务平台服务协议，详情请参见这里。

本文提供了边缘安全加速平台服务等级协议查看地址。 边缘安全加速平台服务等级协议，详情请参见这里。

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况

开启网页防篡改后，为什么刷新页面失败？ WAF网页防篡改仅支持对网站的静态网页进行缓存。如果您配置网页防篡改规则后，刷新页面访问的还是未更新的页面，请参考以下步骤处理： 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 >Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 步骤6 在“网页防篡改”配置框中，检查是否已开启网页防篡改。 如果状态为打开，表示已开启，请执行步骤7。 如果状态为关闭，表示已关闭，单击打开按钮开启网页防篡改，等待几分钟后，刷新页面后重新访问。 步骤7 单击“自定义网页防篡改”，进入网页防篡改规则的配置页面，查看规则域名和路径是否配置正确。 如果配置正确，请执行步骤8。 如果配置不正确，在目标网页防篡改规则所在行的“操作”列中，单击“删除”，删除该防护规则后，在列表上方单击“添加规则”，重新配置网页防篡改规则。 规则添加成功，等待几分钟后，刷新页面后重新访问。 步骤8 在目标网页防篡改规则所在行的“操作”列中，单击“更新缓存”。 当防护页面内容进行了修改，请务必更新缓存，否则WAF将始终返回最近一次缓存的页面内容。 此时，刷新页面后重新访问，如果还是未更新的页面，请联系技术支持。

本文介绍AOne在游戏行业的最佳实践。 背景信息 游戏行业是一个高度竞争和快节奏的行业，吸引了大量的在线玩家。在这个行业中，游戏运营商需要提供高性能、稳定可靠的游戏体验，同时保护游戏服务器和用户数据免受安全威胁。游戏服务的安全和性能直接影响到用户满意度、用户留存率以及游戏收入。为了满足游戏行业的挑战，许多游戏运营商都在寻求安全与加速服务解决方案来保护游戏服务器和提高游戏性能。 天翼云边缘安全加速平台AOne基于DDoS攻击防护、CC攻击防护和高性能CDN动静态加速能力，保障游戏的稳定性和可用性。 技术架构 应用场景 在线多人游戏服务器的安全防护 业务挑战：在线多人游戏服务器常常成为DDoS攻击和CC攻击的目标，这些攻击可能导致游戏服务器的过载和服务不可用，影响玩家的游戏体验。 方案优势：AOne提供强大的DDoS防护和CC攻击防御功能，可以实时监测和过滤恶意流量，确保游戏服务器免受攻击。这样可以保障游戏的稳定性和可用性，提高在线游戏的安全性。 在线游戏内容的全球加速传输 业务挑战：玩家分布在全球各地，下载游戏客户端或更新内容时，可能会面临较长的下载时间和高延迟。 方案优势：通过内容分发网络（CDN）技术，AOne在全球各地部署服务器节点，将游戏的静态资源缓存在离玩家最近的节点上。这样可以大大减少资源加载时间和延迟，提高玩家下载游戏内容的速度，优化玩家的游戏体验。

对于首次使用边缘安全加速平台的初次使用者，如果在熟悉各模块之前，又希望快速实现业务接入，一次配置就获得较优的加速效果，可通过参照本实践案例，从服务开通、域名配置、业务验收、CNAME切量等步骤入手，实现一步到位完成业务接入的目的。 背景信息 对于首次使用边缘安全加速平台的初次使用者，如果在熟悉各模块之前，又希望快速实现业务接入，一次配置就获得较优的加速效果，可通过参照本实践案例，从服务开通、域名配置、业务验收、CNAME切量等步骤入手，实现一步到位完成业务接入的目的。 前提说明 本实例，针对加速场景同时有动静态内容，如文字，图片，视频等静态可缓存内容，以及接口类、在线交易类需要实时回源的动态内容的加速。 业务场景 加速域名：ctyun.cn1 加速内容：文字、图片、接口等。 加速区域：仅中国内地，即该网站的用户都集中在中国内地。 业务要求：客户自己提供源站，对传输安全性要求高，因此推荐客户使用https安全传输协议。 操作流程 步骤一 ： 在创建域名之前，需要先通过天翼云官网进行注册和实名制认证、开通边缘安全加速平台的安全与加速服务。步骤详见：开通安全与加速服务。 步骤二 ：安全与加速服务开通后，就可以通过客户控制台来进行创建域名，点击进入客户控制台。 步骤三 ： 在客户控制台的域名管理页面可以添加域名并配置。域名创建成功的标志是，在域名列表中，域名状态为已启动并且可以查到新建域名的CNAME地址。 为获得更优的加速效果，建议如下配置方案： 1. 指定CDN回源请求访问到源站上的具体站点。 源站是域名时，例如，源站为www.ctyun.cn1，回源HOST为www.ctyun.cn，那么实际回源是请求到www.ctyun.cn1解析到的IP: A，对应IP为A主机上的站点www.ctyun.cn。 源站是IP时，例如，源站为1.1.1.1，回源HOST为www.ctyun.cn2，那么实际回源的是1.1.1.1对应主机上的站点www.ctyun.cn2。 2. 开启HTTPS功能，提高数据传输安全。 3. 开启IPv6功能，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 4. 通过配置静态缓存策略提升静态内容缓存命中率。 5. 通过动态加速配置多种回源策略实现动态内容最优路径提速回源。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。目前客户控制台上默认所有源站权重相同，如您需要对不同源站配置不同的权重，请提交工单申请。 保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 步骤四 ： 在客户控制台成功添加加速域名后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 具体流程如下： 1.获取加速域名CNAME 在天翼云客户控制台的域名管理页面，复制加速域名对应的CNAME记录值。 2.获取CNAME对应的边缘节点IP 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3.本地HOST绑定边缘节点IP 用户修改本地电脑“C:WindowsSystem32Driversetc”的hosts文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景；如遇到修改后的host文件无法访问，可参考如下步骤： Hosts文件无法保存解决方法： Hosts文件无法修改可能是因为没有管理员权限所致的，完成以下的设置后，当我们修改了Hosts文件后就可以顺利保存了。 1. 打开“计算机”，依次进入“C:WindowsSystem32Driversetc”（不同系统不同版本下，该文件的位置可能不同，仅供参考），找到hosts文件。 2. 先选择“hosts”文件，打开其“属性”。 3. 切换到“安全”选项卡，点击“高级”。 4. 在“权限”下，点击“更改权限”。 5. 点击“添加”，增添一个新权限。 6. 点击“高级”进入高级设置。 7. 选择“立即查找”，并在下方选择当前的系统账户，点击“确定”将其打开。 8. 将“完全控制”勾上允许，并点击“确定”。 9. 此时弹出一个安全警告窗口，点击“是”即可。 4.验证内容： 成功绑定hosts文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在hosts文件中绑定的IP一致，表示配置正确。如果访问到的IP和您在hosts文件中绑定的IP不一致，表示配置不正确，您需要检查hosts文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性，如果功能验证不如预期，请提工单联系运维处理。 步骤五 ：如果您在步骤四的验证均正常，或者您通过其他方式已完成功能的验收测试，证明配置已经符合切量解析条件。为了实现正式的全站加速，您需要在域名解析服务商处将加速域名的DNS解析记录指向天翼云为您分配的CNAME域名，访问请求才能转发到CDN节点上，实现加速。 配置CNAME的步骤如下： 1.在天翼云客户控制台的域名管理页面，复制加速域名对应的CNAME记录值。 2.前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 3.验证CDN服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录需要较长时间生效。您可以 ping 或 dig 您所添加的加速域名，如果被指向配置的CNAME即表示配置已经生效。

本文提供了天翼云边缘安全加速平台零信任服务隐私政策（详细版）查看地址。 天翼云边缘安全加速平台零信任服务隐私政策（详细版），详情请参见这里。

本文介绍当边缘接入服务套餐内使用量不足时，如何加购。 购买边缘接入套餐后，流量/带宽超出套餐内流量/带宽后，自动按需付费。 若已购买的域名、端口、DDoS防护不够，也可以按需购买扩展服务，但需另外付费，详情参见：边缘接入套餐超出资费。

本文介绍什么是边缘函数、产品优势、核心功能、相关术语、函数工作原理、使用说明等。 为什么选择边缘函数 千人千面，个性化定制，源站计算成本高： 企业网站为了提升用户转化率，往往需要在源站服务器根据用户历史数据，计算出千人千面的个性化推荐结果。一方面给源站服务器带来较大的计算成本，另一方面由于中心化部署带来的网络时延，企业更加容易错失商机。 应对流量洪峰，资源无法弹性伸缩： 中心源站为了应付突发场景预留较多的计算服务器，往往出现资源冗余。如果预留资源不够，则更加容易导致服务出错。 业务上线周期长： 新业务上线、活动页面搭建，在传统模式里需要调动研发、运营、运维多方人力，整体上线周期较长，人力成本高。 什么是边缘函数 针对以上三大挑战，天翼云CDN加速产品推出边缘函数。 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云全球2000多个边缘节点上，就近生成千人千面的个性化响应结果。 研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 产品优势 在边缘节点就近响应用户请求，大大减少回源带来的网络时延。 采用WebAssembly技术，将函数冷启动优化到5微秒，把对网络时延的影响降到最低。 相对于传统的容器技术，无需预留实例资源。 按照用户实际的使用量计费，并且精确到请求调用次数。对比传统的云虚拟机，提供更大的资源利用率和更低的成本。 当业务流量突增时，边缘函数全网快速调度，弹性伸缩，支持全网上百万QPS的超高并发。 企业研发人员使用边缘函数部署业务时，无需关注部署地区，无需进行资源规划，彻底免去底层机器的运维和管理，释放人力成本。

本文介绍边缘安全加速平台的首页。 简介 边缘安全加速平台服务首页，整体展示所有产品的开通情况、概览指标、计费余量等。 操作步骤 1. 登录 边缘安全加速平台控制台首页 。 2. 首页内容分为：已开通产品、产品优惠、全部产品、帮助文档、产品推荐、AOne助手共六个模块。 内容介绍 消息中心 顶部支持查看平台推送的未读消息，点击则进入消息中心，对历史消息进行浏览，并支持一键已读。 目前支持推送域名配置、规则更新动态、系统公告。 态势大屏 顶部支持查看态势大屏，点击顶部的【态势大屏】，选择”点击前往“后进入对应产品的态势大屏。 已开通产品 具体字段的说明如下： 产品 概览指标 说明 安全与加速 域名防护数 目前已开启防护策略的域名数以及总域名数占比 安全与加速 已订购流量/剩余流量 已订购流量套餐内流量+资源包总量；剩余流量已订购流量中剩余可用流量 安全与加速 已订购请求数/剩余请求数 已订购请求数套餐内动态请求数+动态请求数资源包总量；剩余流量已订购请求数中剩余可用量 边缘接入 今日/本月总流量 域名今日已使用流量和本月已使用流量 边缘接入 今日/本月带宽峰值 域名今日带宽峰值和本月带宽峰值 开发者平台 函数数量 开发者服务中已使用的边缘函数的数量 开发者平台 本月调用次数 本月函数的调用次数 开发者平台 本月出流量 本月已使用函数的出流量大小 零信任 已添加/已购买用户数 统计目前零信任服务中已购买的用户数和已使用的用户数 零信任 套餐剩余流量 零信任套餐内剩余的流量 零信任 本月带宽峰值 零信任本月用户的带宽峰值 终端管理 已用授权点数 终端设备列表中已使用的端点总数 终端管理 总授权额度 终端管理已购买的端点总数 学术加速 用户总数 学术加速已使用的用户数 学术加速 剩余流量 学术加速套餐内剩余的流量

本文将为您介绍边缘安全加速平台提供的态势感知大屏功能。 功能介绍 边缘安全加速平台安全与加速服务提供态势感知大屏功能，从安全与加速、Web防护、DDoS防护、CC防护以及Bot防护帮助用户全方位掌握业务安全的整体态势。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，态势感知将对已接入域名进行数据监测，请参见添加服务域名。 购买大屏服务扩展项，支持态势感知大屏功能。 态势感知首页 首页从运营管理>态势大屏进入，为具备动态科技感的边缘安全加速平台拓扑图，主要功能有： 若统计期间内有攻击流量产生，此页面将出现红色告警提示并有红色线条指向对应的安全边缘节点，绿色线条则为正常流量； 标题：标题支持自定义，支持输入中英文字符，最多可输入20个； 提供五个大屏的入口，分别为：安全与加速大屏、DDoS态势感知大屏、CC安全态势感知大屏、Web安全态势感知大屏、BOT安全态势感知大屏，点击对应的大屏悬浮框，将跳转至新页面为您展示安全态势。

零信任服务 限制项 具体要求 说明 连接器部署 企业内网应用添加后，需要将连接器部署到对应的网络环境内，才能登录零信任客户端远程访问局域网应用。 详情请参考连接器管理 禁止跨境连接 天翼云边缘安全加速平台零信任网络在相关政策法规内提供服务，不支持建立跨境连接，请勿把连接器部署到非中国内地地域。 客户端IP限制 鉴于安全监管要求，默认开启非中国内地访问限制（即非中国内地用户将无法使用VPN内网连接功能），如有此类业务场景需求，需提交工单申请放开限制。注意：若服务区域为中国内地，未订购全球高性能网络线路，则非中国内地访问质量无法保障。 连接器数量限制 根据不同套餐版本对连接器集群或是部署的连接器实例数进行限制，详细请参考零信任服务版本差异对比。 边缘接入服务 限制项 具体要求 说明 加速域名 中国内地： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 全球加速（不含中国内地）： 1. 已在天翼云进行实名认证。 2. 域名接入时需要经过内容审核。 全球加速： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 1. 全球加速（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2. 加速范围为：中国内地、全球加速的域名必须已完成ICP备案且备案信息准确有效才能使用边缘接入服务。 加速节点IP限制 边缘接入服务提供的加速节点IP为共享IP，即同一个加速节点的IP将被您的域名和其他客户的域名共同使用，不同客户的域名通过不同的请求端口区分。 例如：访问IP1:8081是客户A的加速业务，访问IP1:8082可能是客户B的加速业务。 域名接入端口限制 不能加速的端口： 1. TCP端口：2123、135、137139、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528。 2. UDP端口：135139、445、1434、4000、4444、17185。 不能加速的端口为平台内部占用端口，无法对外提供服务。 无域名接入端口限制 不能加速的端口： 1. TCP端口：2123、80、135、137139、443、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528。 2. UDP端口：135139、445、1434、4000、4444、17185。 80、443、8080、8443端口必须使用域名接入方式接入，其他不能加速的端口为平台内部占用端口，无法对外提供服务。 DDoS防护 边缘接入服务中的DDoS防护支持TCP、UDP、ICMP网络协议防护和SSL攻击防护，如SYN Flood、ACK Flood、空连接、SSL攻击等；但不提供CC防护等其他应用层防护能力。

本文介绍边缘接入服务业务实例。 背景信息 对于首次使用边缘接入服务的用户，虽然帮助中心对各个模块都有详细介绍。但是，针对初次使用者，较难快速熟悉各模块，但又希望快速实现业务接入，一次配置就获得较优的边缘接入IP应用加速效果的情形，可通过参照本实践案例，从服务开通、域名配置、业务验收、CNAME切量等步骤入手，实现一步到位完成业务接入的目的。 前提说明 本实例针对加速场景为办公应用类系统，如OA、Salesforce等，或者业务系统类如ERP，库存分销系统等纯动态内容的加速。 业务场景 加速域名：example.ctyun.cn。 加速内容：应用系统，业务系统。 加速区域：仅中国内地，即该网站的用户都集中在中国内地。 业务要求：客户自己提供源站，需要支持TCP/UDP协议的加速。 操作流程 步骤一：完成前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 未实名认证的用户完成实名认证后才能开通全站加速服务。确认账号是否已实名认证，详情请参见：实名认证。 步骤二：订购边缘接入服务 首先完成天翼云官网注册和实名制认证后，即可开通IP应用加速服务。步骤如下： 1. 进入边缘安全加速平台产品详情页，单击【立即开通】，进入订购页面。 2. 选择边缘接入服务页面。选择加速区域、计费方式、套餐版本、扩展服务、购买时长。点击立即购买后，进入订单确认页面。阅读并同意服务协议后，点击提交订单。 3. 完成支付，即可开通成功。边缘接入服务开通后，就可以通过客户控制台来进行创建域名。

本文介绍什么是边缘接入服务。 边缘接入服务介绍 边缘接入服务依托天翼云CDN平台的优质节点及线路，通过智能调度、传输优化等核心技术，为基于TCP/UDP协议的各类应用提供性能优化服务，包括企业办公系统（如OA、邮箱等）、业务系统（如ERP、DMS等）、金融及游戏行业的各种动态指令及接口等，可有效解决公网链路抖动、拥塞等问题，大幅提升办公系统、业务系统、生产系统等各类应用的访问速度与稳定性。 功能介绍 边缘接入服务的功能及其详细介绍，详见：功能概述。 使用限制 客户业务接入边缘接入服务的基本条件，详见：使用限制。 应用场景 办公应用加速 常见的OA、邮箱、Salesforce等办公应用，实测常规动态传输性能平均提升100%。 支持多种视频会议架构，保障音视频画质清晰流畅，不掉线，性能提升510倍。 保障多分支机构、移动办公人员通过VPN访问内网的稳定性，如SSL VPN。 业务系统加速 适用于制造业日常使用的ERP、CRM、SCM、DMS等业务系统。 保障常见库存、订单、客户数据的及时同步，显著提高效率及产能。 金融类加速 适用于手机银行、网银支付、在线交易、股票买卖等场景，大大降低交易延时。 可实现WebSocket协议的应用加速，如行情数据推送等。

本节介绍云电脑高可用的使用说明。 支持的操作系统 AI云电脑高可用（通用版）：Windows 10、Windows server 2008、Windows server 2016、Windows server 2019、统信uos v20、麒麟 v10、Ubuntu18.04、centos7.6。 AI云电脑高可用（个性版）：Windows 10、Windows server 2008、Windows server 2016、Windows server 2019。 支持的资源池 目前支持的资源池有：芜湖2、重庆2、福州4。 性能规格 性能规格 AI云电脑高可用（通用版） AI云电脑高可用（个性版） RPO（恢复点目标） 10分钟 系统文件30分钟、数据文件<10秒 RTO（恢复时间目标） <10分钟 <10分钟 使用限制 规格 限制 AI云电脑高可用（通用版） 1、不支持AI云电脑加入和退出并发桌面池； 2、故障期间，AI云电脑绑定的弹性IP会变化； 3、故障期间，已开通的增值服务：翼甲卫士、翼共享、安全云应用不可用； 4、故障期间，已创建的对等连接不可用； 5、故障期间，已开通的VPN不可用； AI云电脑高可用（个性版） 1、不支持AI云电脑加入和退出并发桌面池； 2、不支持AI云电脑变更VPC和子网； 3、故障期间，AI云电脑绑定的弹性IP会变化； 4、故障期间，已开通的增值服务：翼甲卫士、翼共享、安全云应用不可用； 5、故障期间，已创建的对等连接不可用； 6、故障期间，已开通的VPN不可用； 7、故障期间，系统盘Windows、Program Files、Program Files(X86)目录的文件修改（包括系统配置修改、应用安装卸载）在故障恢复后不保留； 8、故障期间，删除的文件在故障恢复后会被还原；

本节介绍如何升级和取消高可用桌面。 升级高可用桌面 开通“高可用云电脑”功能服务的用户，也可对已创建的普通云电脑升级为高可用云电脑。 1.进入“云电脑（政企版）”管理控制台； 2.在“桌面管理”页面，选择需要升级为高可用的桌面的所在行，选择“管理”“升级到高可用版”； 3.高可用桌面有“通用版”和“个性版“； “通用版”无需任何配置，扣费方式按原普通云电脑订购时的支付方式。 “个性版”则需用配置“高可用策略”和“高可用带宽”，暂只支持资源包订购的普通云电脑升级。 4.其它电脑实例配置信息，根据需要自行配置； 5.确认相关的配置信息，点击“确认开通”，即完成升级。 取消高可用桌面 高可用桌面也可以恢复为普通桌面。 1.进入“云电脑（政企版）”管理控制台； 2.在“桌面管理”页面，选择需要取消高可用的桌面的所在行，选择“管理”“取消高可用版”； 3.确认相关的配置信息，点击“确认”，即完成高可用桌面的取消。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持使用Cookie防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“Cookie防护”页面，可以配置Cookie防护策略； 配置说明 配置项 说明 开关 控制策略的处理动作，可以选择开启或关闭 防护模式 触发Cookie防护后的执行动作，可以选择告警或拦截 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 （1）加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 （2）签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie； 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTPonly和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值HttpOnly，若源站响应已存在HttpOnly，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送 白名单 如果有特殊的业务无法通过Cookie防护策略，可以不同粒度的请求进行加白，则符合加白条件的请求不会进行Cookie防护策略

类别 云防火墙（原生版） Web应用防火墙（原生版） 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL 注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。

本文简述了边缘安全加速平台如何批量启用、停用、删除域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.点击列表上方的【批量操作】。 4.单击【批量启用】，您可以选择多个域名，调整域名状态为启用。 5..单击【批量停用】，您可以选择多个域名，调整域名状态为停用。 6.单击【批量删除】，您可以选择多个域名删除。 注意 批量操作限制单次最多操作20个域名，如您有多个域名需要启用、停用或删除，可以分多次批量操作。

本文介绍了DDoS防护开关的配置。 功能介绍 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击。 背景信息 边缘安全加速平台安全与加速服务中的DDoS防护能力（中国内地区域）将默认开启，若站点受到DDoS攻击将为您提供防护并消耗DDoS防护次数。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【DDoS防护】菜单，并在左侧域名列表选择您要防护的域名。 防护域名 为您展示接入安全与加速服务的域名，并支持查看域名的DDoS防护状态以及域名配置状态。点击防护域名数统计区域，可筛选域名列表已防护或未防护的域名，您也可以通过下方查询框对域名进行其他条件的筛选。 点击右上角【新增域名】可进入域名新增页面，点击支持收起域名列表。 注意 当域名为配置中、已停用状态，不支持编辑防护配置。

云服务类别 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 边缘安全加速平台 全局 是 是 是 是 有

本文介绍了云防火墙（原生版）产品的使用限制。 C100使用限制 扩展包上限 防护互联网边界的流量峰值： 高级版：10Mbps~2000Mbps。 企业版：50Mbps~2000Mbps 防护互联网边界公网IP数： 高级版：20个~1000个。 企业版：50个~1000个。 访问控制规则上限 互联网边界防火墙和VPC边界防火墙分别支持10000条访问控制规则。 规避架构风险 使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

本节介绍态势感知的应用场景。 云安全的理念是“三分建设，七分运营”，态势感知（专业版）的应用场景即是占了七分的安全运营。主要有以下几个应用场景： 日常安全运营 日常过程中，基于安全运营中关注的要素，对各个安全目标，执行各安全运营流程剧本，从而发现并消减风险，并对流程进行持续改进，避免风险再次发生。 重大保障 重大节日、假日、活动、会议期间，进行高强度724的安全保障，侧重于防攻击，保障业务可用性不因安全攻击受影响。 防护演练 国家机关单位、地方政府、企业组织的攻防演练中，进行高强度的安全防守保障，侧重于防入侵，保障不因入侵失分被问责（通报、批评等）。 安全评估 重大保障及防护演练前，信息全面的脆弱性盘点，包括白盒方式的基线评估、黑盒方式的攻击面、攻击路径探测。

本文介绍了云防火墙（原生版）产品的最佳实践，从EIP防护带宽选择、开启资产保护、配置访问控制策略等方面提供指导。 如何选择合适的EIP防护带宽？ 云防火墙（原生版）C100型实例提供高级版和企业版供用户选择，不同版本支持的EIP防护带宽不一样，建议EIP防护带宽不小于VPC内EIP总带宽。 EIP防护带宽支持范围如下： 高级版：10Mbps~2000Mbps 企业版：50Mbps~2000Mbps 开启公网资产保护 互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后，您才可以使用云防火墙分析和控制云上主机的互联网访问流量。 您可以在“防火墙开关 > 互联网边界防火墙开关”页面，对指定的公网IP资产开启互联网边界防火墙，如下图所示。 配置外到内的访问策略 在“访问控制 > 互联网边界规则 > 入向规则”页面可进行配置，如下图所示。 在入向规则的访问策略中，不要对公网IP全部端口开放访问，对外仅开放必要的互联网IP和端口，其他端口请全部设置为拒绝。 放行需要对外开放的应用或端口 在访问控制页面入向规则列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，目的选择要放开的IP，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。 例如，80端口为Web服务，对全网开放，因此访问源为0.0.0.0/0；1433、3389端口分别为SqlServer、RDP服务，对特定源开放，因此访问源为特定源。 将除放行策略之外的流量设置为拒绝放行 在访问控制页面入向规则列表中，将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。

边缘重保服务产品将于2025年6月10日00时正式开始收费，本章节介绍了边缘重保服务商用的计费标准，并提供了详细示例予以说明。 产品版本 体验版 基础护航服务 尊享护航服务 基础安全护航服务 尊享安全护航服务 价格（元/次） 0 20000 30000 30000 45000 重保方式 远程护航 远程护航 驻场值守 远程护航 驻场值守 服务人员 高级技术支持工程师 高级技术支持专家 资深技术支持专家 高级安全专家 资深安全专家 说明 1. 每订购1次，可提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务。 2. 若活动在单个自然日内涉及多个场次，则按1次计服务次数；若活动多个场次分布在不同自然日，则按实际涉及的自然日天数计算服务次数。 3. 体验版限时开放，自上线起截止至2025年12月31日，单账号可订购上限为2次。 4. 尊享护航服务、尊享安全护航服务默认仅提供1名专家到场进行保障，若需要多名专家驻场，则需要根据驻场专家数量×驻场天数计算服务次数。 示例 【示例一】 某天翼云客户计划在5月20日分三次进行优惠券发放活动，发放时间分别在9:00、12:00、18:00，希望通过基础安全护航服务为本次活动进行保障，则仅需订购1次基础安全护航服务即可。 【示例二】 某天翼云客户计划在5月20日5月25日之间，转播五场国际型赛事，赛程安排依次为5月20日 9:0012:00、5月22日 14:0018:00、5月24日 14:0018:00、5月25日 9:0012:00、14:0018:00，希望通过基础护航服务为本次活动进行保障，则需要订购4次基础护航服务。 【示例三】 某天翼云客户计划在10月1日10月3日期间开展某项重大活动，需要两名专家驻场进行重点保障，则需要根据客户使用的具体产品，订购 2名驻场专家×3天 6次 尊享护航服务 或 尊享安全护航服务。

本文通过图文介绍如何新增边缘接入服务IP应用加速服务。 接入说明 边缘接入服务IP应用加速有两种接入方式：域名接入、无域名接入。推荐优先使用域名接入方式；无域名的应用也可以使用无域名接入方式，配置完成后同样会生成一个CNAME，您可以直接使用该CNAME提供服务。 方式一：域名接入方式 前提条件 已经订购边缘安全加速平台边缘接入服务，并且套餐+域名扩展包支持的域名数量未超过限制。 使用域名接入方式时，国内加速的域名需要完成ICP备案，才可以接入边缘安全加速平台边缘接入服务。 域名基本概念 域名级数：域名的各个级别被分开，级数指一个域名由多少级组成，最右边的那个词称为顶级域名。 域名后缀：又被称为顶级域名，比如：.com、.net、.cn等，也存在带两个层级的域名后缀，比如：.com.cn、.net.cn等。 一级域名：也被称为根域名，例如："ctyun.cn"。 二级域名：在一级域名前再加一级，例如："example.ctyun.cn"。 三级域名：在二级域名前再加一级，例如："www.example.ctyun.cn"。 操作步骤 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】页面，这个页面您可以查看已添加的域名/实例的信息，包括域名/实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、DDoS防护、操作等信息。点击左上角【新增接入】。 2. 接入方式选择"域名接入"，选择"域名接入"时必须填写加速域名信息，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。基本信息详细介绍详见：基本信息。 3. 根据您的需要，配置您加速域名的【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。回源配置详细介绍详见：回源配置。IP黑白名单详细介绍详见：IP黑白名单。传递用户IP回源详细介绍详见：传递用户IP回源。 4. 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 5. 新增接入完成后，可通过【IP应用加速接入】首页列表查看该域名所处状态。 6. 域名配置完成，生成域名CNAME，域名状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。

告警名称 威胁告警说明 DDoS “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为