扩展服务 标准资费（月） 包年折扣 主套餐服务区域 适用版本 功能描述 域名扩展包 1000元/域名（一个一级域名） 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持一个主域名 DDoS防护带宽 详见《DDoS防护带宽服务资费》 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户遭受DDoS攻击的风险大，频率高建议订购DDoS防护带宽扩展服务。 当攻击峰值在防护带宽以内，则在中国内地服务区域提供不限次数的防护，并且不会扣除套餐中的防护次数。 DDoS弹性防护 详见《DDoS弹性防护服务资费》 按需计费方式不支持包年折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户已订购DDoS防护带宽，在中国内地服务区域，仍有遭遇超过DDoS防护带宽的攻击风险，则建议开启DDoS弹性防护。 弹性峰值（即攻击峰值DDoS防护带宽），将按阶梯计费。 若未触发弹性防护，则不收取任何费用。 DDoS防护IP 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 全球（非中国内地）、全球 基础版、高级版、企业版、旗舰版、定制版 在全球（非中国内地）服务区域，提供一个独享的全球Anycast广播的高防IP，支持订购多个 内容审核 1.3元/千张/日 按需计费方式不支持包年折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 对加速内容进行快速智能检测 Bot管理 3500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持通过人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫； 通过分析海量访问数据，利用内置的分析算法，识别智能爬虫； API安全 4500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供API资产高可见性和持续安全检测 态势感知大屏 1500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供网站整体业务及安全状况的可视化大屏分析 专家指导服务 100元/次/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供域名接入配置、安全配置指导服务 专家服务 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 724小时远程指导服务（配置指导、防护策略定制、监控和预警） Web防护 免费版：0元/月 基础版：800元/月 高级版：2500元/月 企业版：7600元/月 旗舰版：18000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 IPv6改造 600元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户给解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 Websockets 500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 定制版 定制版 支持WebSockets协议

核心功能 我们提供易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少回源次数，分担中心源站的计算压力。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型。开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与BaaS不同，FaaS可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到CDN加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问CDN加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本节介绍如何升级全流量分析服务规格。 购买全流量分析服务后，若需要扩容规格，可执行升级操作，增加规格数量。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“全流量分析服务”，点击服务列表操作列的“升级”按钮，跳转到升级界面。 3. 在升级页面，选择需要增加的规格数量。 单个规格支持500Mbps网络层吞吐量授权，250Mbps应用层吞吐量授权。 4. 在“产品配置”模块配置“订购规格数量”。确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本节介绍服务器安全卫士（原生版）服务器列表。 您可以在服务器列表页面查看所有主机资产的防护状态和服务器详细信息。 注意 仅支持对Agent状态 为“在线”，防护状态为“防护中”的云主机进行检测。云主机离线后将不会进行检测。 查看服务器防护状态 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. （可选）选择业务分组，服务器列表将只展示该分组中的服务器。 4. 服务器列表包括以下字段：服务器、操作系统、地域、服务器状态、Agent状态、防护状态、风险状态、配额版本。 参数 说明 服务器 包括主机名称、实例名称、私网IP、公网IP。 操作系统 服务器的操作系统。 地域 服务器所属地域。 服务器状态 包括已关机、运行中。 Agent状态 包括在线、离线。 在线：Agent控制通路和数据通路均连接正常。 离线：Agent控制通路或数据通路连接异常。 防护状态 包括防护中、未防护。 防护中：表明该服务器处于正常防护中，此时Agent状态为在线且已经为该台服务器开启防护。防护中又分为“高级防护”和“免费防护”。 未防护：表明该服务器未开启防护或Agent已离线。 风险状态 包括安全、风险、未知3种状态。 无风险：表明该服务器无基线、漏洞、入侵和网页篡改的风险。 风险：表明该服务器有基线、漏洞、入侵和网页篡改的一种或几种风险。 未知：表明该服务器未开启防护或Agent已离线。 配额版本 服务器使用的防护配额版本，包括免费版、企业版、旗舰版。 Agent版本 服务器当前安装的Agent版本，版本过低时会显示为“升级”提示按钮。

本节介绍安全云应用的管理员指南。 服务开通 管理员可以在AI云电脑（政企版）控制台的扩展功能中选择“开通”安全安全云应用服务。 1.登录AI云电脑（政企版）控制台，进入菜单“协同套件”，打开安全云应用，点击“开通功能” 2.功能开通后，左侧菜单栏出现安全云应用子菜单。 注意 服务开通后还需要创建应用池、上架应用、关联用户后才可使用安全云应用。 创建应用池 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“安全云应用”菜单栏，选择“应用池管理”，点击“创建应用池”，进入“新增应用池”页面； 3.版本类型选择“独享版”； 独享版：每个用户独占一个虚机，适用于对数据和外设隔离要求比较高的场景； 4.选择规格类型“基础版”、“标准版”或“旗舰版”； 基础版：2C4G，适用于简单办公、文档编辑、客户服务等场景； 标准版：4C8G，适用于视频娱乐，在线会议，OA办公等场景； 旗舰版：8C16G，适用于高效办公，开发设计，视频监控等场景； 5.选择开通数量； 注：独享版此处开通数量要不小于使用安全云应用的用户数。应用池创建后可在应用池管理中通过“新增桌面”增加数量。 6.选择AI云电脑的“镜像类型”； 注：只能选择安全云应用镜像，管理员可先使用安全云应用基础镜像开一台AI云电脑，安装所需的应用软件并对软件进行个性化设置后，基于此AI云电脑创建自定义镜像。操作方法可参考镜像管理。 7.选择“vpc”和“业务子网”； 注：所选的业务子网需要绑定带宽，安全应用才能连接网络。详情可参考管理上网带宽； 8.确认相关的配置信息，点击“确定”，即完成应用池创建。 费用扣减：目前安全云应用仅支持资源包方式订购，有基础版（2C4G）、标准版（4C8G）、旗舰版（8C16G）三种规格可选，根据虚机规格和开通数量扣减资源包。 容量设置：系统盘只能使用默认规格，暂不支持更改。

删除白名单规则 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 白名单管理”，进入白名单管理页面。 3. 搜索需要删除的白名单规则，单击“操作”列的“删除”按钮即可删除白名单规则，若您需要批量删除可勾选白名单规则，单击页面左上角的“批量删除”按钮进行删除。

参数 描述 行为名称 该行为的名称。长度不超过128个字符，同个应用内名称不能重复。 针对的资源类型 支持Web和Rpc两种类型，此处仅为Web。 Web限流处理策略 定义Web接口访问触发某种规则后的行为表现。目前支持以下两种策略： 1，自定义返回： 需设置HTTP返回状态码、返回内容的格式和返回的内容。表示Web接口访问触发规则后返回自定义的内容。 2，跳转到指定页面： 需设置指定跳转的URL。表示Web接口访问触发规则后系统会跳转指定的页面URL。 HTTP返回状态码 默认为429。当Web限流处理策略为自定义返回时，需要填写。 返回contenttype 设置返回内容的格式为普通文本（TEXT）或JSON。当Web限流处理策略为自定义返回时，需要填写。 HTTP返回文本 输入当Web接口访问触发规则后返回的内容。当Web限流处理策略为自定义返回时，需要填写。 跳转地址 输入当Web接口访问触发规则后系统会跳转的页面URL。当Web限流处理策略为跳转到指定页面时，需要填写。

参数 描述 行为名称 该行为的名称。长度不超过128个字符，同个应用内名称不能重复。 针对的资源类型 支持Web和Rpc两种类型，此处仅为Web。 Web限流处理策略 定义Web接口访问触发某种规则后的行为表现。目前支持以下两种策略： 1，自定义返回： 需设置HTTP返回状态码、返回内容的格式和返回的内容。表示Web接口访问触发规则后返回自定义的内容。 2，跳转到指定页面： 需设置指定跳转的URL。表示Web接口访问触发规则后系统会跳转指定的页面URL。 HTTP返回状态码 默认为429。当Web限流处理策略为自定义返回时，需要填写。 返回contenttype 设置返回内容的格式为普通文本（TEXT）或JSON。当Web限流处理策略为自定义返回时，需要填写。 HTTP返回文本 输入当Web接口访问触发规则后返回的内容。当Web限流处理策略为自定义返回时，需要填写。 跳转地址 输入当Web接口访问触发规则后系统会跳转的页面URL。当Web限流处理策略为跳转到指定页面时，需要填写。

本节介绍扫描任务的得分是如何计算的。 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描： 高危漏洞，一个扣10分，最多扣60分（6个）。 中危漏洞， 一个扣3分，最多扣45分（15个）。 低危漏洞， 一个扣1分，最多扣30分（30个）。 无漏洞或提示漏洞不扣分。 扫描分数最低为10分。 说明 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。

冻结/解冻资产账号 您可以在云堡垒机控制台冻结已纳管的资产账号，处于“冻结”状态的资产账号无法登录资产。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 资产账号”，进入“资产账号”页面。 3.勾选需要冻结/解冻的账号，单击“冻结”/“解冻”按钮。 4.在弹出的对话框中单击“确定”完成操作。

部署示例 Java代码包部署示例 类型：Web 应用框架，企业级 框架：Spring Boot 4.0.2 运行环境：Java 17 启动命令：java jar hellocaejava0.0.1SNAPSHOT.jar 代码包：hellocaejava.zip 验证：进入终端，执行 curl Python代码包部署示例 类型：Web 应用框架，轻量级 框架：Flask 2.2.0 运行环境：python 3.9 启动命令：python3 run.py 代码包：hellocaepython.zip 验证：进入终端，执行 curl Go 代码包部署示例 类型：高性能 Web 应用框架，企业级 框架：Hertz 0.9.6 运行环境：go 1.24 启动命令： shell chmod +x hellocaegolinux ./hellocaegolinux 代码包：hellocaego.zip 验证：进入终端，执行 curl

部署示例 Java代码包部署示例 类型：Web 应用框架，企业级 框架：Spring Boot 4.0.2 运行环境：Java 17 启动命令：java jar hellocaejava0.0.1SNAPSHOT.jar 代码包：hellocaejava.zip 验证：进入终端，执行 curl Python代码包部署示例 类型：Web 应用框架，轻量级 框架：Flask 2.2.0 运行环境：python 3.9 启动命令：python3 run.py 代码包：hellocaepython.zip 验证：进入终端，执行 curl Go 代码包部署示例 类型：高性能 Web 应用框架，企业级 框架：Hertz 0.9.6 运行环境：go 1.24 启动命令： shell chmod +x hellocaegolinux ./hellocaegolinux 代码包：hellocaego.zip 验证：进入终端，执行 curl

本页介绍了关系数据库MySQL版产品节省成本优势。 关系数据库MySQL版产品的节省成本主要体现为：即开即用、弹性伸缩、全面兼容、维护方便。 即开即用 即开即用MySQL数据库服务是天翼云提供的一项优质服务，您不需要自行搭建和配置环境，仅需通过官网控制台快速生成目标实例，通过内网连接MySQL数据库能够有效节省公网流量并降低响应时间，还能够提高运维效率。 弹性伸缩 您可以根据业务情况对数据库实例资源进行弹性伸缩，按需计费，帮助您有效节省成本。 全面兼容 无需再次学习，关系数据库MySQL版支持各种原生数据库引擎的操作方法，让您能够快速上手。此外，MySQL版还兼容现有的程序和工具，您不必担心兼容性问题。 维护方便 关系数据库MySQL版提供了全面的日常维护和管理，包括软硬件故障处理等工作，确保数据库运转正常。专业的数据库管理控制平台，提供一键式功能，如重启、重置密码、参数修改、查看错误日志和慢查询日志、恢复数据等。此外，MySQL版的实例信息能够实时监控CPU利用率、IOPS、连接数、磁盘空间等，帮助您随时了解实例的动态情况。

主机漏洞 态势感知（专业版）支持实时呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 主机漏洞共支持以下漏洞项的检测： 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、Mysql等）是否存在的漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 Windows系统漏洞检测 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 WebCMS漏洞检测 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 应用漏洞 通过检测服务器上运行的软件及依赖包发现是否存在漏洞，将存在风险的漏洞上报至控制台，并为您提供漏洞告警。 集成后，态势感知（专业版）中漏洞的等级和企业主机安全中修复优先级的说明如下： 企业主机安全：显示漏洞的修复优先级，它是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出，反映了漏洞修复的紧急程度。 漏洞修复优先级主要分为紧急、高、中、低四个等级，您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。 态势感知（专业版）：显示漏洞的等级，等级是根据漏洞最高CVSS分值得出的，反映漏洞的严重程度。 漏洞等级主要分为高危、中危、低危、提示四个等级，您可以根据漏洞的严重程度（由高到低）进行修复。

本节介绍服务器安全卫士（原生版）功能特性。 安全概览 全方位查看服务器安全数据及状态，包括服务器数量统计、服务器安全状态统计、待处理告警、服务器运行状况统计、服务器资产清点统计及排名。 资产管理 查看服务器列表信息及服务器详情信息，支持为服务器开启/关闭防护；自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 基线检测 对系统基线进行全面检查，支持一键检测和定时检测方式，可自定义基线策略，支持对基线进行白名单设置。 漏洞扫描 精准扫描Linux和Windows漏洞，支持一键扫描和定时扫描方式，可查看漏洞详细信息，并提供漏洞修复建议。 入侵检测 包括异常登录和爆破登录，和查看各类入侵防御记录及拦截结果。实时异常登录监控，发现异常IP、区域、时间等的异常登录，并发送告警通知；实时暴力破解多层次监控，支持暴力破解拦截功能，支持查看拦截记录。 弱口令检测 检测系统中的弱口令，包括常见弱口令、空口令、系统默认口令、口令中包含用户名等场景。 病毒查杀 支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。

本小节介绍微隔离防火墙的术语解释。 微隔离 微隔离（IdentityBased Segmentation），亦称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等；其基于工作负载身份，通过访问控制策略或加密规则，对位于本地或云端数据中心的工作负载（物理机/虚拟机/容器等）、应用、程序进行细粒度隔离和精细化访控，从而实现缩减暴露面、阻止攻击横向侧移的安全目的。 南北向流量 进出互联网边界的流量称为南北向流量。 东西向流量 数据中心中不同服务器之间的流量称为东西向流量。 授权码 指安装客户端时所验证匹配的校验码。 工作负载 泛指承载业务的主机，包含物理机、虚拟机、容器等一系列计算主机的统称。 工作组 通过“位置”、“应用”、“环境”三维标签来确定一个工作负载的集合。 连接线 工作负载之间互相访问的路径，通过计算引擎计算后显示在Web界面的线。 策略 针对工作负载之间，工作组之间的访问流量设置白名单的方法。 策略状态 指创建策略应用至工作负载或工作组的状态，分别为建设状态、测试状态、防护状态。 建设状态 只在管理中心生效的策略状态，用于策略制定，该状态下策略不会应用至工作负载。 测试状态 策略下发至工作负载，但不生效，会记录所创建的策略，不对业务产生影响，该状态下适用于测试策略是否正常的情况。 防护状态 在工作负载上应用，且只允许创建的策略通过，未指定策略的访问流量将无法通过。

使用redisexporter出错怎么办？ 通过在命令行启动redisexporter，根据界面输出，查看是否存在错误，根据错误描述，进行问题排查。 [root@ecsswk /]./redisexporter redis.addr 192.168.0.23:6379 INFO[0000] Redis Metrics Exporter V0.15.0 build date:2018011904:08:01 sha1: a0d9ec4704b4d35cd08544d395038f417716a03a Go:go1.9.2 INFO[0000] Providing metrics at :9121/metrics INFO[0000] Connecting to redis hosts: []string{192.168.0.23:6379} INFO[0000] Using alias:[]string{""} Redis的安全加固方面有哪些建议？ 在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意攻击，导致数据泄露和丢失。 针对DCS的Redis实例，您在使用过程中，可参考如下建议： 网络连接配置 a. 敏感数据加密后存储在Redis实例。 对于敏感数据，尽量加密后存储。 b. 对安全组设置有限的、必须的允许访问规则。 安全组与VPC均是用于网络安全访问控制的配置，以端口最少放开原则配置安全组规则，降低网络入侵风险。 c. 客户端应用所在ECS设置防火墙。 客户端应用所在的服务器建议配置防火墙过滤规则。 d. 设置实例访问密码。 e. 配置实例白名单。 Rediscli使用 f. 隐藏密码 安全问题：通过在rediscli指定a参数，密码会被ps出来，属于敏感信息。 解决方案：修改Redis源码，在main方法进入后，立即隐藏掉密码，避免被ps出来。 g. 禁用脚本通过sudo方式执行 安全问题：rediscli访问参数带密码敏感信息，会被ps出来，也容易被系统记录操作日志。 解决方案：改为通过API方式（Python可以使用redispy）来安全访问，禁止通过sudo方式切换到dbuser帐号使用rediscli。

本节介绍漏洞扫描服务的相关术语。 术语 说明 漏洞（Vulnerability） 硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。 网站（Website） 网站(Website)开始是指在因特网上根据一定的规则，使用HTML（标准通用标记语言下的一个应用）等工具制作的用于展示特定内容相关网页的集合。简单地说，网站是一种沟通工具，人们可以通过网站来发布自己想要公开的资讯，或者利用网站来提供相关的网络服务。 Web应用（Web App） Web应用程序是可使用任何Web浏览器访问的软件或程序。Web应用程序是具有功能和交互式元素的网站。 主机（Host） 连接了硬盘、硬盘子系统或者文件服务器，并能在其上存储数据和I/O访问的计算机系统。大型机、服务器、工作站以及个人电脑，甚至多处理器机器和集群计算机系统都被称为主机。 安全配置基线（Security Configuration Baseline） 安全配置基线即针对不同的产品或者系统，依据安全评估标准，形成一系列固化的检查规则、评估方法，为安全管理人员在实际的安全配置工作中提供参考和标杆。 NVD National Vulnerability Database国家安全漏洞库。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 安全通告（Security Advisory） 安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。一般用于厂商披露器产品直接相关的漏洞。

白名单模式 白名单模式添加防护目录、防护文件类型和本地备份目录，配置完成后，即开始对配置的文件进行防护。 黑名单模式 黑名单模式支持添加防护目录、排除子目录、排除文件类型、排除指定文件和本地备份目录，配置完成后，即开始防护目录下所有未排除的子目录、文件类型和指定文件。 设置特权进程 特权进程拥有对防护目录进行操作的权限，请确保特权进程安全可靠。 单击“添加”，弹出新增特权进程窗口，配置特权进程路径后，单击“确定”，完成特权进程配置。 设置远端备份 启用远端服务器备份功能后，可有效避免备份在本地的文件被攻击者破坏后无法恢复。 单击“添加”，在弹出的窗口中选择远端备份服务器、配置备份目录，单击“确认”，完成远端备份配置。 开启防护 完成防护设置后，用户即可对服务器开启网页防篡改防护。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护管理”，进入防护管理页面。 3. 单击防护状态开关，为服务器开启防护。

本节介绍如何配置VPC边界防护的内网互访规则。 添加内网互访规则 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 > VPC边界规则”，进入VPC边界规则页面。 3. 选择“内网互访规则”页签，单击“添加规则”，在弹出的添加规则页面中，填写防护规则信息。 规则参数说明如下： 参数名称 参数说明 名称 自定义防护规则名称。名称长度不能超过100个字符。 源IP地址 支持输入IPv4地址或使用已添加的地址簿： 输入IPv4：使用“/”隔开掩码，例如192.168.2.0/24，0.0.0.0/0表示任意地址。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见添加IP地址簿。 源端口 支持输入端口号或使用已添加的地址簿： 输入端口：输入单个端口号或连续的端口号，例如10或110，0表示任意端口。 地址簿选择：通过下拉框选择已添加的端口地址簿，添加端口地址簿请参见添加端口地址簿。 目的IP地址 支持输入IPv4地址或使用已添加的地址簿： 输入IPv4：使用“/”隔开掩码，如192.168.2.0/24，0.0.0.0/0表示任意地址。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

本页为数据传输服务DTS的安全白皮书。 天翼云DTS是一种集数据迁移和数据实时同步于一体的数据传输服务。它支持关系型数据库间的数据传输，致力于解决远距离、毫秒级异步数据传输难题。 DTS秉承天翼云对用户的安全承诺，通过完善的账号权限体系、网络隔离与防护、数据加密传输、断点续传、数据校验，保障用户在进行数据迁移、同步过程中的安全性、可用性和数据一致性。 完善的账号权限体系 DTS在天翼云完善的账号权限体系的基础上，为用户提供严格的租户隔离，以及对各种资源进行了精细的权限控制，保障了用户的账号、数据和进行各项操作的安全性。 网络隔离与防护 DTS借助天翼云的Web应用防火墙和主机安全，以及基于HTTPS加密传输，实现了可靠的网络防护和Web访问的安全性。DTS实例通过VPC实现不同用户资源的网络隔离，以及通过网络ACL和安全组实现了资源粒度，如ECS、数据库实例的严格、精细的出入流量控制，保障了资源访问的安全性。 数据加密传输 DTS对于数据传输的源端和目标端之间的连接，提供了可选的SSL加密传输的连接方式，保障了数据迁移、同步过程中数据传输的安全性。 断点续传 DTS实现了断点续传功能，保障了数据迁移、同步的稳定性和高效性。

本章节主要介绍故障演练服务产品类问题。 故障演练服务解决什么问题？ 故障演练服务是云原生混沌工程平台，深度融合云原生应用产品体系，提供标准化引导、正确性约束和自动化运行的实验管理，支持大规模、低成本、影响可控、形式多样的应用故障演练，帮助企业增强应用系统的容错能力和恢复能力，提升客户应用云上运行的稳定性。 产品能力： 标准化流程管理：固化演练流程，提供组织、人员、应用、资源等多维度的数据与权限管理规范。 丰富的故障场景：实现涵盖应用不同分层的原子故障注入能力，并提供具备业务含义的故障场景组合。 完备的演练防护：实现隔离与熔断双重演练防护，包括权限隔离、环境隔离和范围隔离，以及主动熔断、指标熔断和超时熔断等多种保护机制。 一站式接入管理：深度整合现有应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。 解决痛点： 技术要求高：异构的故障源，从基础设施到操作系统，从容器环境到应用进程，以及依赖的中间件，都需要理解其原理才能模拟故障。 实施难度大：跨团队、长流程、多权限，故障演练不仅是技术问题，更涉及组织流程与制度，需要建立相应规范。 影响不可控：故障是已知的，影响是未知的。如何感知并最小化“爆炸半径”，既要有处置预案，又要有工具支持。

本章节主要介绍天翼云大数据平台 翼MapReduce产品的安全增强特性。 天翼云大数据平台 翼MapReduce支持海量数据存储、海量数据分析、实时处理等行业应用，平台具备高安全性。该产品主要从以下几个方面保障用户可以安全地存储、使用数据以及运行业务。 网络隔离 系统部署在用户在公有云上专享的虚拟私有云中，提供安全隔离的网络环境，保证用户大数据集群的业务、管理的安全性。通过结合虚拟私有云的子网划分、路由控制、安全组等功能，可以为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务目前支持用户在天翼云4.0资源池内专属化部署，服务使用到的云主机在IaaS层保证资源隔离，资源组合上确保专属计算资源+专属存储资源。 主机安全 翼MR支持与天翼云官网安全服务集成，支持漏洞扫描、安全防护、应用防火墙、云堡垒机、网页防篡改等。针对云主机，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 云主机监控 防DDoS攻击 定期备份数据 增加登录密码强度 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别与认证 Web应用安全 访问控制 审计安全 密码安全

资源管理是用户定义SSL VPN内网的可用网络资源。本小节介绍SSL VPN的资源管理。 VPN设备提供四种类型资源，资源类型说明如下： WEB应用：支持无任何插件的Web资源，建议仅对移动终端开放。 TCP应用：支持TCP协议的业务，如果没有移动终端接入需求，大部分TCP协议的应用建议使用该类型的资源，如HTTP、FTP等。 L3VPN：使用隧道支持全IP协议，支持TCP、UDP、ICMP等应用，支持Android4.0，iOS9.0以上版本的移动终端的VPN接入，如需考虑移动终端接入，建议使用该类型资源。 远程应用：需借助Windows server搭建终端服务器，可发布服务器上的应用程序访问内网系统。 注意事项 非必要场景（无插件），不建议使用Web应用添加资源。 HTTP类型的系统，如果访问地址有带文件路径，在创建资源时，地址列表应该填写带HTTP前缀的完整路径，如下图： 创建资源 1. 在“资源管理”页面，点击“新建”按钮，VPN设备提供四种类型资源可选，为支持移动终端VPN直连业务系统，本次资源全部选择L3VPN类型。 2. 选择一种应用类型，如“L3VPN”，弹出“编辑L3VPN资源”对话框。 3. 设置资源名称，设备预定义了一些资源类型，如果没有可选择Other即可，选择协议类型以及地址，保存立即生效即可。

云日志服务是天翼云打造的一款云原生日志观测分析平台产品,可为应用的海量日志数据提供大规模、低成本、集中式的平台化服务,具备一站式的日志采集、加工、查询分析、可视化、告警等能力,全面满足应用研发、运维、服务监控与业务分析等应用场景。

云日志服务是天翼云打造的一款云原生日志观测分析平台产品,可为应用的海量日志数据提供大规模、低成本、集中式的平台化服务,具备一站式的日志采集、加工、查询分析、可视化、告警等能力,全面满足应用研发、运维、服务监控与业务分析等应用场景。

响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 vulAnnouncementId String 漏洞公告id ctcass vulAnnouncementTitle String 漏洞公告标题 ctcass fixLevel String 修复优先级 LOW低 MIDDLE中 HIGH高 LOW timestamp String 时间戳 20250101 00:00:00 vulType String 漏洞类型 LINUXlinux漏洞 WINDOWSwindows漏洞 WEBCMSwebcms漏洞 APPLICATION应用漏洞 EMERGENCYVUL应急漏洞 EMERGENCYVUL rebootRequired Boolean 是否需要重启 false cveList Array of Strings cveList ["111","222"] affectedAgentCount Integer 影响主机数量 10 dealDetail Object 状态统计 dealDetail status Integer 漏洞状态 0未处理 1已处理 2已加白 3修复中 4修复成功 5修复失败 6已忽略 7验证中 8修复成功需要重启 9扫描中 1 cve String cve,逗号峰哥 CVE20251111,CVE20252222 highRisk Integer 高危漏洞数 10 publishTime String 披露时间 20250101 checkType Integer 检测方式 0版本比对 1POC验证，vulTypeEMERGENCYVUL时有效 0 表 dealDetail 参数 参数类型 说明 示例 下级对象 unHandledNum Integer 未处理数量 10 fixedNum Integer 修复成功数量 10 ignoreNum Integer 已忽略数量 10 markHandledNum Integer 标记为已修复成功数量 10 fixingNum Integer 修复中数量 10 fixFailedNum Integer 修复失败数量 10 verifyingNum Integer 验证中数量 10 needRestartNum Integer 需要重启数量 10 whiteNum Integer 加白数量 10

功能解释 应用识别 全新一代基于应用特征、行为和关联信息的应用识别 支持应用类别、风险等级、应用技术等多维度的应用定义 支持多达几千种的应用特征库 应用特征库支持网络实时更新 监控统计 支持URL日志、NAT日志、会话日志、威胁日志等 支持实时流量统计和分析功能 支持安全事件统计功能 支持iQoS管道策略实际流量情况监控，支持子管道叠加情况监控 支持应用的多维度统计监控，包括应用风险、类别、特征、所用技术等 支持报表功能，报表可自定义 支持日志本地存储 支持设备、接口的流量统计将IPv6和IPv4分开统计呈现 用户认证 本地用户支持Web认证 支持外部服务器用户认证（RADIUS、LDAP、MS AD） 支持AD/LDAP用户/组织结构同步 支持MS AD用户组同步 支持Web认证后的SSO 支持导入本地用户名密码列表 访问控制与隔离 基于深度应用识别的访问控制 基于应用/角色/国家地理IP的安全策略 丰富的路由特性 强大的NAT及ALG 安全策略支持导入、导出 攻击防护 多种畸形报文攻击防护，SYN Flood、DNS Query Flood等多种DoS/DDoS攻击防护 支持ARP攻击防护 支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护

本小节介绍日志审计(原生版)产品排查日志未采集常见问题。 如何排查日志未采集？ 问题描述 日志审计（原生版）采集日志配置配好后，仍未采集到日志，如何排查？ 可能原因 采集日志相关程序未正常启动。 中间件出现故障。 采集资产未配置。 解决方案 了解采集日志程序作用 Logc（日志采集）接收日志并通过kafka将接收的日志转发logp。 Logp（日志解析分类）接收logc转发的原始日志根据解析规则等进行解析，并通过kafka将解析后的日志发送给esinsert。 Esinsert（录入elasticsearch）将解析后的日志录入elasticsearch。 Coresvr（页面更新程序）将页面下发的规则等变更，通过kafka下发给对应的服务。 查看程序是否启动 点击“系统配置”>“系统运维”,在服务管理中，查看相关服务状态，出现异常时，点击重启程序，过1min，刷新页面，查看服务状态是否正常。 查看程序日志 点击“系统配置”>“系统运维”,在服务管理中，点击导出日志，可导出服务日志。将logc、logp、coresvr、esinsert等服务日志按流程步骤依次查看是否有异常信息。 中间件故障 各程序报告日志出现如下报错：Broker transport failure: 127.0.0.1:9092/0:Connect to ipv4127.0.0.1:9092 failed。 日志分析，9092为kafka服务端口，该提示为kafka出现异常。

本章节为您介绍如何添加资产类型。 您可以在日志审计（原生版）控制台添加资产的类型，资产类型可以方便您对需采集日志的设备类型的管理。 日志审计已经内置了部分资产类型；您可以根据自己的业务需求添加自定义资产类型。 添加资产类型 说明 仅支持在已有资产类型中添加子类。 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产类型管理”，进入“资产类型管理”页面。 3. 选择需要添加子级的资产类型，单击“操作”列的“添加子级”。 4. 在弹出的对话框中填写相关参数。 参数 参数说明 取值样例 父级资产类型 系统自动选择，根据您选择添加的节点自动选择。 根节点 资产类型名称 填写需要新增的资产类型名称，建议用中文说明。 服务器 资产类型值 填写需要新增的资产类型值，建议用英文说明。 Windows 描述 填写需要新增的资产类型的描述。 5. 填写完成后单击“提交”，即可添加新的资产类型。 编辑资产类型 说明 仅支持编辑添加的自定义资产类型。 点击“编辑”按钮，弹出编辑界面，修改资产类型。 删除资产类型 说明 仅支持删除添加的自定义资产类型。 已经被引用的资产类型和内置的设备类型无法进行删除操作。 删除父级资产类型会将底下的子级资产类型一并删除。 点击“删除“按钮，弹出提示框，确定后，资产类型被删除。