本小节介绍支持云审计的HSS操作列表 企业主机安全通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的HSS操作列表 操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

本小节介绍Web应用防火墙术语解释。 域名解析 域名解析（Domain Name Resolution）指互联网上服务器相互间通过IP地址来建立通信，但是为了方便记忆，采用域名代替IP地址标识站点地址，让人们通过注册的域名可以方便地访问到业务的一种服务。域名解析就是域名到IP地址的转换过程。 常用域名解析类型： A记录：用来指定域名的IPv4地址。 AAAA记录：用来指定域名的IPv6地址。 CNAM记录：将域名指向另一个域名，再由另一个域名来提供IP地址。最常用CNAME的场景包括使用CDN、云WAF、企业邮箱与高防DDoS等。 MX记录：用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 TXT记录：用于对域名进行标识和说明，进行SPF反垃圾邮件。 Web应用 Web应用（Web Application）指通过浏览器即可访问的应用程序。 源站 源站（Source Application Server）指实际业务所处的站点，通常也代指源站公网IP及后端到达真实应用服务器间的整个网络拓扑环境。 回源IP 回源IP（Return Source IP Address）指开启云WAF防护后，云WAF用来与源站服务器建立网络连接的公网IP地址。 CC攻击 CC攻击（Challenge Collapsar Attack）指攻击者借助自动化工具脚本模拟多个用户持续向网站发送大量合法请求，造成服务器资源耗尽直至业务不可用。 SSL 证书 SSL 证书（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是网络通信的一种安全协议，具有服务器身份验证和数据传输加密功能，为互联网间的数据传输提供安全性与完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

本节主要介绍在已有路由表上添加、查看路由和删除自定义路由。 使用说明 在对整体网络路由做好规划后，使用自定义路由，确保符合业务需求。 在已有路由表中添加自定义路由。 自定义路由的下一跳类型支持虚机实例、边缘云专线、对等连接、IPsec VPN网关、SSL VPN网关、EEN以及自定义类型等。 自定义路由的目的地址建议不与虚拟私有云内的地址重叠，不能与子网网段完全相同，不同自定义路由的目的地址不能重叠。 在删除对应的自定义路由时，确保该路由不再使用，否则会影响对应的业务。 添加自定义路由 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>路由表】，选择对应的地域，查看当前地域下已创建的路由表。 3. 单击对应路由表列表中操作栏的【添加路由】或者单击路由表的名称，进入路由表的详情页面，单击【路由条目>添加路由】，在添加路由弹框中单击【+添加】，填入相关参数。 添加路由的相关参数： 参数 说明 目的地址 路由的目的地址，该目的地址为网段，需包含掩码，目前支持IPv4类型网段，目的地址不能与现有路由的目的地址冲突，建议目的地址不与VPC下子网网段冲突。 下一跳类型 路由的下一跳类型，当前支持虚机实例、边缘云专线、对等连接、IPsec VPN网关、SSL VPN网关、EEN、自定义类型等。 下一跳 路由的具体下一跳，根据所选下一跳类型下拉选择该类型下的相关实例。当下一跳类型为“自定义类型”，则下一跳需要手动输入。 描述 可选，对该路由的描述信息。 4. 若一次需要添加多个路由，则可继续单击【+添加】来添加下一个路由，单击操作栏下的【删除】可删除多余的路由条目。 5. 配置完相关参数后，单击【提交】执行添加。 注意 下一跳类型为边缘云专线时，路由配置成功与否请在边缘云专线列表查看“交换机配置状态”。

本文介绍AOne开发者平台计费模式 计费构成 开发者平台计费由以下部分构成：基础套餐+套餐外超量费用。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的边缘接入开发者平台服务。 套餐外超量费用（超量计费）：如果套餐内请求数用尽，可按需付费。 计费描述 开发者平台计费详细描述如下： 计费构成 计费方式 计费项 计费描述 参考链接 基础套餐 预付费包月 请求数 免费版：10万次函数请求数 高级版：100万次函数请求数 开发者平台套餐资费 套餐外超量费用 请求数按需 请求数 按照函数请求数收费 开发者平台套餐超出资费 计费区域 AOne开发者平台的计费区域目前仅支持中国内地。 套餐资费说明 开发者平台套餐分为免费版、高级版。您可以通过官网开通套餐，若有需要可通过提交工单或拨打4008109889热线电话联系客服进行咨询。 套餐规格 套餐内容 生效区域 标准价格（元/月） 免费版 函数请求数：10万次（无实例预留） 函数规格：10ms 中国内地 0 高级版 函数请求数：100万次（支持实例预留，0ms冷启动） 函数规格：10ms/50ms/100ms 中国内地 40

本文介绍云备源的适用场景、注意事项和使用说明。 功能介绍 云备源服务可帮助天翼云客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则AOne安全与加速可无缝切换至云备源，实现网站业务高可用。 适用场景 如源站需要割接或源站服务能力不稳定，希望边缘安全加速平台安全与加速提供一站式备源能力，保障网站服务高可用时，可使用云备源服务。 注意事项 云备源为付费服务，公测期间暂不收费，收费时间另行通知。 云备源服务仅实现定期将网站内容从客户网站同步至备源，如需实现AOne安全与加速业务高可用，需同步在客户控制台将其配置为备源。 使用说明 该功能目前为公测期间，暂不支持控制台自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请说明如下信息： 参数 说明 示例 任务类型 触发云备源的任务类型，分为即时和定时两种： 1. 如为即时类型，请说明任务的具体开始时间。 2. 如为定时类型，请说明任务的开始时间和结束时间，以及任务间隔周期，间隔周期支持按周、日、小时、分、秒来进行设置。 1. 即时任务示例： 按如下时间开始： 开始时间：2023年11月28日17:00分00秒。 效果：该任务于2023年11月28日17:00分00秒开始执行文件同步，后续不再执行。 2. 定时任务示例： 按如下周期执行任务： 开始时间：2023年11月28日17:00分00秒。 结束时间：2025年11月28日17:00分00秒。 间隔周期：每日。 效果：该任务于2023年11月28日17:00分00秒开始执行同步，后续会在每天17:00分00秒自动同步新文件至备源。 备份入口地址 待备份内容的入口地址。 例如： 备份层级 备份地址的层级深度。 例如：3，表示从入口地址往下同步三层。 备份域名 待备份网站中需备份内容对应域名。 www.ctyun.cn，img1.ctyun.cn，img2.ctyun.cn，支持多个；默认为入口地址对应域名。 备份资源类型 待备份网站中的文件资源类型。 html、htm、jpeg，支持多个；默认为html、htm、shtml、js、css、jpg、jpeg、png、gif、svg、ico、ttf、woff2、asp、jsp、php、perl、cgi。如需备份无后缀名的文件，请单独说明。 是否存在同名文件更新 若存在同名文件更新，请给出对应文件后缀或其他特征。 是，html文件后缀。 备份文件量级 指同步任务需要备份的文件量级大小。 20GB。

边缘安全加速平台——安全与加速服务 该产品可有效实现核心业务静态资源的缓存管理，并对动态请求实施优化回源机制。同步启用分布式DDoS防御、境外恶意请求拦截及境内异常攻击防护策略，在显著降低客户机房运行负载的同时，构建云端防护体系与客户本地安全系统的联动联防机制，形成覆盖网络传输层与应用层的立体化纵深防御架构。 服务流程 为有效保障服务的持续稳定与高效运转，由资深技术专家组成的专项团队秉承卓越运维理念，经深入调研行业最佳实践，牵头设计了体系化的服务质量管理规范。团队深谙行业特性及业务痛点，经过多维度评估论证，综合考量业务模式、技术基础设施及潜在风险因素，最终构建出覆盖全流程的标准化服务保障框架，配套涵盖需求调研、服务设计、部署实施、测试优化、保障值守、全面复盘等关键环节的全周期管理机制。 针对本次客户的业务保障需求，严格遵循了内部服务质量管理规范的要求，将执行力落地到流程中的每个细微环节中： 服务效果 为了确保真实报考时业务系统稳定运行，客户组织某地市考生模拟志愿填报，当天QPS峰值达到1.26万，并遭受了CC攻击。因运营专家团队前期做了大量的策略准备工作，本次模拟全程稳定，CC攻击100%拦截。 6月23日6月29日该省全省高考志愿填报期间，峰值带宽达到473 Mbps，请求数峰值达75.99 万次，峰值并发QPS 2533 次，总计请求数 34132.91 万次，安全防护9553 次，全程业务稳定0 故障、0 安全事件，服务得到了客户的高度认可。

安防监控 安防监控摄像头每天产生海量视频数据，全部传回数据中心处理，数据中心带宽成本和并发压力大，响应处理不及时。具备以下优势： 缓解压力：智能边缘云将推拉流、视频处理模块下沉至边缘，有效降低中心带宽成本和并发压力，提升分析处理时效性。 按需使用：按量付费，弹性扩容，减轻客户资金压力和运维压力。 在线教育 在线教育场景为老师与学生提供实时互动的视频教育体验，需要在边缘侧提供区域间稳定互联的低时延通信链路，从而有效支撑师生间多点对多点实时互动。具有以下优点： 低时延：用户就近接入边缘计算节点，最大限度减少公网损耗。 弹性灵活：新业务敏捷启动，有效应对业务洪峰。

接口功能介绍 防护配置可用服务器列表查询接口 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/host/queryFilterHostList// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 currentPage 是 Integer 页码 pageSize 是 Integer 每页数量 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 agentStateCode 否 String agent状态 12在线 13离线 12 custName 否 String 主机名称 testhostname type 否 String 服务器类型：vm 虚机；pm 物理机 vm agentIp 否 String 服务器ip 192.168.1.1 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 每页数量 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 hostname String 实例名称 testdisplayname custName String 主机名称 testservername agentGuid String agentGuid 111111111111 agentIp String 私有ip 192.168.1.1 osType String 操作系统 Linux/Windows Linux status Integer 服务器运行状态 5:运行中 其他为已关机 5 vpcName String vpc名称 testvpcname vpcId String vpcId testvpcid

本节介绍云防火墙的服务版本差异。 云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。 版本差异说明如下表： 功能 标准版 专业版（包周期） 防护对象 IPv4 ✓ ✓ 防护对象 IPv6 ✓ ✓ 防护规格 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护规格 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 防护规格 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5000Mbps） 50Mbps（可扩容，最大扩容至5000Mbps） 防护规格 VPC边界防护带宽 × 200Mbps（随VPC数量扩容） 访问流量控制 公网资产ACL访问控制（基于IP、域名、域名组、地理位置等） ✓ ✓ 访问流量控制 南北向流量防护，统一隔离防护云上资产在互联网的暴露风险（例如EIP） ✓ ✓ 访问流量控制 南北向流量审计，日志查询 ✓ ✓ 访问流量控制 东西向流量防护，VPC间的资产保护、全流量分析 × ✓ 访问流量控制 东西向流量监控，实时获取VPC间流量数据 × ✓ 防护策略 入侵防御IPS ✓ ✓ 防护策略 自定义IPS特征库 × ✓ 防护策略 虚拟补丁 ✓ ✓ 防护策略 敏感目录、反弹Shell ✓ ✓ 防护策略 病毒防御AV × ✓

本节介绍天翼AI云电脑(政企版)在网络流量方面的常见问题。 天翼AI云电脑使用的网络带宽和稳定的要求有多高？ AI云电脑普通办公大概5Mbit/s的带宽。对网络稳定性有一定要求，网络不稳定容易引起连接断开和卡顿，影响使用体验。因此为不影响使用，请确保网络处于良好的状态。 天翼AI云电脑会消耗我的手机流量吗? 连接天翼AI云电脑后，传输画面是需要消耗手机流量。 建议在WIFI网络环境下使用天翼AI云电脑APP，如果使用手机流量，可安装流量监控软件，以免造成流量消耗过多。 如何检测天翼AI云电脑网络状况？ 可以根据天翼AI云电脑工具栏网络状态查看网络数据，具体如下： 绿色：优良，网络时延0ms50ms，使用体验良好，无迟滞感； 黄色：一般，网络时延51ms100ms；使用体验一般，有轻微的迟滞感和卡顿； 红色：较差，网络时延101ms以上，使用体验差，有严重的迟滞和卡顿。 天翼AI云电脑可以访问互联网吗？ 天翼AI云电脑（政企版）默认是不可以，如果需要上网需要在控制台订购带宽，进行组网配置操作。带宽网络请参考上网带宽 天翼AI云电脑（公众版）提供配置的上网带宽，默认50M下行，2M/4M上行，可以访问互联网。

本文介绍AOne在传媒行业的最佳实践。 背景信息 随着数字化媒体的崛起和互联网的普及，传媒行业正经历变革。人们越来越倾向于通过在线平台获取新闻、音频、视频和其他媒体内容，这为传媒公司提供了更广阔的市场机会。然而，传媒行业面临着一系列独特的挑战，包括内容分发的效率、用户体验、内容安全和网络攻击等问题。 天翼云边缘安全加速平台AOne基于全球部署的1800+边缘节点提供极致性能提升和安全防护能力，帮助传媒行业提供更好的媒体内容交付和用户体验。 技术架构 应用场景 内容分发与加速 业务挑战：传媒公司需要在高流量时期，如热门新闻报道、直播活动，保证内容的高效传输，避免加载缓慢影响用户体验。 方案优势：AOne的内容分发网络（CDN）技术可以将内容缓存到离用户更近的边缘节点，提高内容加载速度，减少网络延迟，确保用户能够流畅访问多媒体内容。 社交媒体优化场景 业务挑战：社交媒体平台需要快速加载图片、视频和链接，同时点赞评论快速响应，以提供流畅的用户体验。 方案优势：AOne的优化服务可以加速社交媒体内容的加载速度，增强用户在平台上的互动和参与。

本页主要介绍关系数据库MySQL版的性能概述以及指标说明。 性能概述 天翼云关系数据库MySQL版是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备、只读四种实例类型，提供备份、恢复、扩容、监控等数据库服务。 具有即开即用、稳定可靠、安全运行、弹性伸缩等特点，您仅需要简单的几步配置，就可在分钟级获得可用的生产数据库。天翼云关系数据库MySQL版不断优化RDS的各项参数，不断提升服务质量，保证产品的高稳定、高可靠和高可用性。 指标说明 实例性能测试的指标包括： 每秒执行事务数TPS（Transactions Per Second） 数据库每秒执行的事务数，以COMMIT成功次数为准。 SysBench标准OLTP读写混合场景中一个事务包含18个读写SQL。 SysBench标准OLTP只读场景中一个事务包含14个读SQL（10条主键点查询、4条范围查询）。 SysBench标准OLTP只写场景中一个事务包含4个写SQL（2条UPDATE、1条DETELE、1条INSERT）。 每秒执行请求数QPS（Queries Per Second） 数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DETELE、COMMIT等。

本节介绍iBox边缘盒子产品在加油站的应用实践。 客户场景 针对加油站，对客户的传统摄像头进行智能化升级。通过设备连接、可视化探索分析、高性能算法推理，可以实时分析视频内容，自动探测异常信息，主动进行风险防控。 iBox边缘盒子快速开通入门 参考iBox边缘盒子（标准版） 卸油作业记录统计 卸油合规算法支持区分每次卸油作业的开始及结束时间，按每次作业分析合规及违规情况，支持统计自定义时间范围内的卸油次数以及合规率。 卸油作业全流程19项合规检测 卸油作业专项抓拍 针对每个检测项实时抓拍违规或合规画面，并标注画面中检测目标。 目标区域绘制，适用更多相机角度 通过绘制目标分析区域，可有效避免各个加油站操作的差异。例如锥桶平时放在画面左侧，卸油时放在画面右侧；通过绘制区域即可避免卸油时检测到左侧锥桶导致误判为合规。

本节介绍了什么是云数据库TaurusDB。 产品定义 云数据库TaurusDB是最新一代企业级高扩展海量存储分布式数据库，完全兼容MySQL。采用计算存储分离架构，128TB的海量存储，故障秒级切换，既拥有商业数据库的高可用和性能，又具备开源低成本效益。 TaurusDB支持的版本请参见数据库引擎和版本。 产品架构 云数据库TaurusDB整体架构自下向上分为三层。 1. 存储层：基于DFV存储，提供分布式、强一致和高性能的存储能力，此层来保障数据的可靠性以及横向扩展能力，保证数据的可靠性不低于99.999999999%。DFV (Data Functions Virtualization)是提供的一套通过存储和计算分离的方式，构建以数据为中心的全栈数据服务架构的解决方案。 2. 存储抽象层（Storage Abstraction Layer）：将原始数据库基于表文件的操作抽象为对应分布式存储，向下对接DFV，向上提供高效调度的数据库存储语义，是数据库高性能的核心。 3. SQL解析层：与MySQL 8.0开源版100%兼容，客户业务从MySQL生态可以平滑迁移， 从其他数据库迁移也能使用MySQL生态的语法、工具，降低开发、学习成本。基于原生MySQL，在100%兼容的前提下进行大量内核优化，以及开源加固，开源生态，商用能力。 图 架构图

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

本文介绍边缘网页渲染场景下的产品价值。 业务特点 在电商大促场景或热门演唱会/大会电子票务场景，用户区域分散、访问瞬时爆发、千人千面的个性化内容网页响应，需要大批量的实时动态运算渲染。 基于AOne边缘函数的解决方案，在边缘进行短时缓存和个性化网页渲染，分散请求压力，提高响应速度，提升用户体验。 客户痛点 客户端网页渲染：客户端压力大，请求多延时不可控。 服务端网页渲染：中心服务器压力大、白屏长、成本高。 产品价值 将服务器级渲染下沉至边缘节点，边缘阶段分布式计算，压力小，结果可缓存复用。

本章节介绍天翼云边缘重保服务的常见计费类问题。 边缘重保服务如何计费？ 边缘重保服务按“次”计费，每次提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务，若需要保障的活动跨多天，或需要多人驻场支持，则需根据实际情况订购多次。详细说明见计费标准说明与示例内容。 边缘重保服务是否支持退订？ 暂不支持退订，请确认具有保障需求后，仔细对照服务版本差异一览表，选择合适的服务版本。 边缘重保服务是否支持升降配？ 暂不支持升降配，下单前请仔细对照服务版本差异一览表，选择合适的服务版本。

本文对分布式消息服务RocketMQ的计费项进行说明。 4.0版本 以下适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 分布式消息服务RocketMQ费用计算分为两部分，一部分为实例费用，一部分为存储空间费用。 计费项 含义 适用的计费模式 实例费用 用户选择的选择的实例规格节点数计费，实例规格单价请参考产品资费，节点数为Name Server集群固定3节点+Broker（代理） 2节点。 按需/包周期 存储空间费用 用户选择的实例存储空间计费（每个实例规格您都可以选择高IO、超高IO等多种不同的云硬盘类型以满足您的业务需求）。 按需/包周期 3.0版本 以下适用于南京3、上海7、重庆2、乌鲁木齐27、石家庄20、内蒙6、晋中、北京5 节点。 分布式消息服务RocketMQ按照消息队列的规格版本可分为基础版、中级版和高级版。 计费项：消息队列的规格版本。

接口功能介绍 展示未操作（操作包括加入白名单、标记为已处理、忽略）的异常登录、暴力破解、漏洞风险、基线检测、弱口令、网页防篡改（若未订购网页防篡改则不显示）的实时事件，分服务器和分风险类型进行展示，包括服务器、事件行为、发现时间、操作，每页最多展示5条，每个事件最多展示5条。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/index/dynamics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 limit 是 Integer 每页数量，如5 pageNo 是 Integer 页码，如1 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 custName String 主机名称 test1 agentGuid String 主机guid 1111 publicIp String 公网ip 192.168.1.1 agentIp String 私有ip 192.168. eventAction String 事件编码 BASESCACOLLECTION基线风险 VULNERABILITY漏洞风险 WEAKPWMONGODBCOLLECTION弱口令风险 MONGOWEBPAGECHECK网页防篡改 VIRUSMONGODBCOLLECTION病毒文件 PROCESSABNORMALBEHAVIOR进程异常行为 MALICIOUSSOFTWARE恶意软件 USERABNORMALBEHAVIOR用户异常行为 MALICIOUSNETWORKCONNECTION恶意网络连接 FILEABNORMALMODIFY文件异常篡改 INSUOTHER入侵检测其他行为 BASESCACOLLECTION eventActionValue String 事件名称 基线风险 createTime String 创建时间 20200101 00:00:00 displayName String 实例名称 test1

本章节介绍如何创建一个 Nacos引擎实例 概述 Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 为了方便您开通实例，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面，点击左侧菜单栏的注册配置中心>实例列表，进入注册配置中心控制台。本文将介绍如何创建一个Nacos引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”或“企业版”，推荐您开通集群版或企业版，以保障实例的高可用性； 引擎类型：若您需要开通Nacos引擎，则选中“Nacos”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

XPack功能排查 如果原集群使用了XPack功能，云搜索的Elacticsearch不提供XPack，需要转换到对应的开源版功能。 插件功能排查 先确认原集群用到的插件，天翼云提供的实例是否默认具备。如不具备则需确认该插件在不同的版本中是否有功能和使用上的差异，即跨版本是否兼容。 Java 客户端 6.x兼容的TransportClient在7.x中废弃，如果业务仍使用TransportClient，需要修改相应的业务代码。 Elasticsearch 7.X迁移Elasticsearch 7.10.2 XPack功能排查 如果原集群使用了XPack功能，云搜索的Elacticsearch不提供XPack，需要转换到对应的开源版功能。 高版本7.X个别功能不可用 若迁移源版本≥ 7.11，可能有个别功能在7.10.2不可用，例如runtime fields等。 插件功能排查 先确认原集群用到的插件，天翼云提供的实例是否默认具备。如不具备则需确认该插件在不同的版本中是否有功能和使用上的差异，即跨版本是否兼容。 Java 客户端 7.17.X版本已经可以使用Elasticsearch Java API Client，如果使用了，需要重写相应的代码，使用Java REST High Level Client。 Elasticsearch 8.X迁移Elastisearch 7.10.2 快照迁移不支持 Elasticsearch不支持版本降级，需要重建数据。快照不可用于降级还原；只能通过reindex/Logstash等方法。 8.X引入的各项高级功能不兼容 比如runtime fields、densevector、searchablesnapshot、向量等高级功能语法不兼容。 XPack功能排查 如果原集群使用了XPack功能，云搜索的Elacticsearch不提供XPack，需要转换到对应的开源版功能。

请参见天翼云Web应用防火墙（独享版）服务等级协议。

天翼云云防火墙（原生版）服务等级协议

网络扫描仪工具 开启后，用户可在AI云电脑桌面内使用本地扫描仪，使用方法如下： 1、在管理台上开启网络扫描仪工具。 2、退出桌面并重新进入。 3、运行AI云电脑桌面内网络扫描仪代理工具，填写扫描仪IP地址，并点击启动按钮，保持运行状态。 4、使用扫描仪驱动程序正常扫描即可。 注意 适用于Windows Sever 2008及以上或Windows 7及以上版本桌面镜像。 文件与剪贴板 管理员可以通过配置“剪贴板”、“文件重定向”、“文件拷贝”等策略来控制用户终端与电脑之间的数据传输和外设接入的权限。 屏幕安全 管理员可启用自动锁屏设置，超过特定时间没操作桌面，则自动锁屏。也可以设置桌面防截屏和桌面水印功能，加强数据安全管理。可对水印的内容进行设定样式。用户接入虚拟机后，在电脑屏幕上显示水印。 终端登录管理 管理员可以对终端设备进行管理，具体支持下列功能： 客户端重连的时间间隙：可设置间隔N秒后再次进行客户端重连。 客户端重连的总时间：可设定客户端重连的总时间。 关闭终端电源：超过设定时间没操作桌面，则自动关闭。 说明 1. 瘦终端电源终端关机策略目前只对Windows和Linux系统的终端生效，其他終端暂不支持。 2. 天翼AI云电脑（政企版）支持电源策略和时间策略配置，实现定时开关机等功能。租户按以下操作申请：翼连工作台AI云电脑附加功能申请新建电源策略和时间策略开通。 自动断开桌面连接：超过设定时间没操作桌面，则自动断开桌面连接。 禁止终端设备类型：可对终端设备类型进行设置，禁止用户使用该类设备登录使用AI云电脑。 关闭设置：用于设置客户端在工具栏点击“关闭”或在桌面列表点击“关机”时初始化执行操作，适用于瘦终端、一体机、云笔电、电脑端。 重启设置：用于设置客户端在工具栏或桌面列表上点击“重启”时初始化执行操作，适用于瘦终端、一体机、云笔电、电脑端。

本文介绍如何使用边缘函数阻止其他网站盗链您的内容。 阻止其他网站盗链您的内容。 示例代码 javascript const HOMEPAGEURL " const PROTECTEDTYPE "image/" async function handleRequest(request) { // Fetch the original request const response await fetch(request) // If it's an image, engage hotlink protection based on the // Referer header. const referer request.headers.get("Referer") const contentType response.headers.get("ContentType") "" if (referer && contentType.startsWith(PROTECTEDTYPE)) { // If the hostnames don't match, it's a hotlink if (new URL(referer).hostname ! new URL(request.url).hostname) { // Redirect the user to your website return Response.redirect(HOMEPAGEURL, 302) } } // Everything is fine, return the response normally. return response } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 当一个请求到达时，首先检查其ContentType是否是图像类型。 如果是图像类型，再检查 Referer头部是否指向当前域名。 如果 Referer头部指向的域名与当前域名不一致，则重定向到主页。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

DDoS安全报表 DDoS安全报表统计展示了攻击趋势、攻击类型分布、全国攻击分布、攻击来源地区排行四块报表的内容。 总览统计：展示了攻击事件数、DDoS防护峰值、DDoS攻击峰值时间信息。 攻击趋势统计：展示总攻击、SYNFlood、ACKFlood、UDPFlood、ICMPFlood的趋势信息。 攻击类型分布统计：展示各种攻击类型的占比信息。 全国攻击分布统计：展示全国的攻击分布信息。 攻击来源地区排行统计：按照传输速率展示攻击来源地区排行信息。 CC安全报表 CC安全报表统计展示了攻击趋势、TOP攻击URL、TOP攻击域名、TOP攻击源IP、全国攻击分布五个报表内容。 总览统计：展示攻击事件数、CC攻击峰值、峰值取值时间、CC攻击网站数信息。 攻击趋势统计：展示QPS峰值带宽趋势信息。 TOP攻击URL统计：展示攻击URL的请求数、占比排行信息。 TOP攻击域名统计：展示攻击域名的攻击次数排行信息。 TOP攻击源IP统计：展示攻击IP的所属区域、所属运营商、攻击次数及占比信息。 全国攻击分布统计：展示各个省份的攻击分布信息。 态势感知 态势感知大屏，分为安全与加速平台、网络层DDoS安全态势、CC攻击态势、Web应用安全、BOT攻击态势五个态势大屏。态势感知大屏的数据会根据用户的实时数据进行汇总更新，帮助您从全局统计分析的视角直观地查看网站各维度统计数据。您可通过边缘安全加速平台订购态势感知大屏服务，订购完成后即可查看各个大屏的统计分析的实时数据。

功能 说明 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。 Referer防盗链功能，是通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略的，从而能可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息。因此UserAgent是访客身份的象征，标志访客访问时所使用的工具。通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可以配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 全站加速的有序回源功能是一种流量求并发回源时控制方法，用于大量请的排队管理。 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。

本文介绍如何使用边缘函数阻止其他网站盗链您的内容。 阻止其他网站盗链您的内容。 示例代码 javascript const HOMEPAGEURL " const PROTECTEDTYPE "image/" async function handleRequest(request) { // Fetch the original request const response await fetch(request) // If it's an image, engage hotlink protection based on the // Referer header. const referer request.headers.get("Referer") const contentType response.headers.get("ContentType") "" if (referer && contentType.startsWith(PROTECTEDTYPE)) { // If the hostnames don't match, it's a hotlink if (new URL(referer).hostname ! new URL(request.url).hostname) { // Redirect the user to your website return Response.redirect(HOMEPAGEURL, 302) } } // Everything is fine, return the response normally. return response } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 当一个请求到达时，首先检查其ContentType是否是图像类型。 如果是图像类型，再检查 Referer头部是否指向当前域名。 如果 Referer头部指向的域名与当前域名不一致，则重定向到主页。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent 运行时API：Web Standard 运行时API：Fetch

此小节介绍企业主机安全编辑策略内容。 当您创建策略组后，需要修改策略内容时，可按照本文档的指导完成策略内容的修改。 策略内容的修改，只在当前所修改的策略组生效。 默认策略组有默认配置，不建议修改。 Windows的HIPS策略目前不支持修改。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 进入策略管理 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如下所示： 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击目标策略组名称，进入策略详情列表，单击策略名称对不同策略进行修改。 Linux策略组详情

本文为您介绍密钥管理服务的开通流程。 密钥管理服务（KMS）包周期版提供基础版、企业版两个规格，本章为您介绍如何购买KMS服务。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 基础版、企业版单基础实例计算性能（应用接入点）默认为2000QPS。 基础版、企业版单基础实例最多可创建2000个密钥、1000个证书。 操作步骤 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，单击“立即开通”。 3. 进入到密钥管理服务订购页面，选择云服务区、服务版本、实例数量、扩展资源数量，设置订购时长，确认参数配置后，阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击“立即购买”。 4. 进入订单详情 页面，确认支付金额，点击 立即支付 。 5. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表服务已开通。 6. 服务开通后，您可进入密钥管理服务控制台创建资源。