接口功能介绍 服务器详情修改主机显示名称 接口约束 无 URI POST /v1/host/editDisplayName 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 displayName 是 String 实例名称 test agentGuid 是 String agentGuid 11111111 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"displayName": "test", "agentGuid": "11111111"}

介绍HBlock部署的环境要求。 项目 描述 支持 Linux OS CentOS 7/8/9 64位，CTyunOS 2/4 64位。 硬件 x86服务器、ARM服务器或者龙芯服务器。 最低配置：单核CPU、2GB内存。可根据实际业务需要增加配置。 带宽 客户端到HBlock的带宽：读写带宽能力大于业务读写带宽。 数据目录对应磁盘分区的写带宽能力大于用户实际写入数据的带宽。 上云带宽大于业务写入带宽。 安装目录所在盘 10GB以上，建议配置为RAID 1或者RAID 10。 数据目录 最小配置：5GB，可根据实际业务需要增加配置。 根据存储容量和副本模式配置数据目录对应分区的容量。 对于HBlock使用到的目录，建议设置开机自动挂载，或使用已设置自动挂载的目录或子目录。 网络设定 可以与对象存储进行网络连接（部署本地模式的卷则不需要）。 若HBlock与OOS之间配有专线，须在HBlock服务器 /etc/hosts配置OOS资源池的内网域名解析（请联系我们获取），以确保是通过专线访问OOS，保证访问速度。若您使用互联网，则不需要配置。 网络整体架构如下： HBlock内部各节点之间通过内网互联。 HBlock与上层应用之间通过内网或专线或公网互联。 HBlock与对象存储之间通过专线或公网互联（部署本地模式的卷则不需要）。 图1 单机版网络拓扑图 图2 HBlock集群版网络拓扑图 注意 在部署HBlock前，需要明确使用“单机版”还是“集群版”，因为一旦部署后，不支持通过增减服务器进行模式切换。

接口功能介绍 操作审计可疑操作详情接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/audit/overview/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 timeRange 是 Integer 时间间隔 1最近一周 2最近一月 3最近三月 1 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 data 表 data 参数 参数类型 说明 示例 下级对象 initCount Integer 未审核事件 1 passCount Integer 审核通过事件 1 noPassCount Integer 审核不通过事件 1 threatHostCount Integer 存在风险的服务器 1

接口功能介绍 查询最近一次扫描结果，包括任务ID、漏洞数、扫描时间。 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/vulnerability/lastScan 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 taskId String 任务ID testtaskid num Integer 任务扫描出来的漏洞数 0 time String 扫描时间 20220610 10:10:10

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 list 表 list 参数 参数类型 说明 示例 下级对象 total String 服务器名称 0 list Array of Objects data data 表 data 参数 参数类型 说明 示例 下级对象 ruleName String 规则中文名 ruleType String 规则类别 0：系统规则 1：自定义规则 threatLevel String 威胁等级 0：低危 1：中危 2：高危 loginUser String 登录用户 currProc String 执行命令进程 loginTTY String 产生命令的登录终端(TTY) cmd String 命令内容 loginIP Object 登录IP parentProc String 实际执行命令进程 pid String pid

接口功能介绍 服务器列表查询配额自动绑定开关 接口约束 无 URI GET /v1/host/queryAutoBindQuota 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 quotaBindSwitch Boolean 是否自动绑定 true 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {}

本节介绍如何查看告警信息及处理告警。 查看告警列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“安全告警”，进入安全告警页面。 3. 在页面上方切换云防火墙实例。 说明 默认展示近一天的告警，可在页面右上角自定义查看的时间范围。 查看告警详情 单击告警列表操作列的“详情”，进入告警详情页面。在该页面可以查看告警的详细信息。 处理告警 若您已手动处理告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 操作步骤：单击“标记为已处理”，在弹出的确认框中，单击“确定”。

本章节介绍如何创建云原生API网关实例 概述 云原生API网关支持多种服务发现方式（如云容器引擎CCE、注册配置中心RCCNacos引擎、注册配置中心RCCEureka引擎、函数计算FaaS等），并集成安全运维能力。本文介绍如何创建云原生API网关实例。 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在概览页，点击新建实例；或者在左侧导航栏，选择实例，单击新建实例。 3. 跳转至订购页，选择相关配置（参见下方配置项说明），然后点击下一步。 4. 跳转至配置总览页，确认配置信息，点击提交订单， 5. 跳转至支付页，完成费用支付， 6. 返回云原生API网关控制台，左侧导航栏选择实例，刷新列表查看创建的网关信息和状态。 7. 实例创建大约需要5~10分钟，当网关信息和创建时一致，且状态为运行中，则表示网关创建成功。 实例配置说明 配置项 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生API网关到期后无法使用。 自动续期购买时长 开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 部署方式 实例节点将按单可用区、多可用区部署方式，分布在单个或者多个可用区中。多可用区部署可增强实例的容灾能力。注意：基础版规格不具备高可用、多AZ容灾能力。 可用区 选择单可用区部署方式时，可用区可任选其一；选择多可用区部署时，必须选择至少3个可用区。 CPU架构 部署实例的主机架构。 主机类型 部署实例的主机类型。 网关规格 参见产品简介产品规格介绍 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 择所在子网，若您还没有所在子网，请参照创建所在子网。 启用ipv6 若子网已开启ipv6访问，在此处可选择启用ipv6。未启用ipv6时，将通过ipv4访问。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 指标监控 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息。您可通过委托授权的方式开通此服务。 云日志服务 启用后，可在控制台观测分析中查看访问日志。您可通过委托授权的方式开通此服务。

此章节为您介绍如何登录云堡垒机（原生版）。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 登录的时候可选“外网地址登录”或“内网地址登录”。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 通过Html5登录堡垒机只支持进行简单的运维操作，复杂运维可能出现卡顿，显示异常等问题，建议您安装插件并且使用使用mstsc，vnc等方式进行运维。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1.在“云堡垒机实例”列表条目录中选择要管理的实例，单击“管理”。 2.根据您自身的网络环境选择“内网地址登录”或“外网地址登录”。 3.登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用本地认证、AD认证等方式登录。 前置条件 已登录过云堡垒机并完成密码初始化。 本地认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为“本地认证 ”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索”天翼云“，下载安装天翼云手机APP。

本小节介绍云防火墙（原生版）双向访问控制最佳实践。 背景信息 云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址。 访问互联网业务是否存在限制，是否需要记录上网行为审计。 对外发布业务云主机信息，内网IP及对应公网IP。 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 配置流程 云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1. 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。 2. 访问互联网业务是否存在限制，是否需要记录上网行为审计。 3. 对外发布业务云主机信息，内网IP及对应公网IP。 4. 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 5. 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 6. 是否有WAF/CDN业务访问，提供源站白名单。 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】。 3 配置基础准备环境 按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】。 4 配置出向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】。 5 配置入向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】。 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】。 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】。 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

接口功能介绍 网页防篡改防护配额统计 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/tamperProof/quota/overview 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 expirationDate String 到期时间 20200101 00:00:00 bindingCount Integer 企业版配额或者网页防篡改配额绑定配额数 0 normalCount Integer 企业版配额或者网页防篡改配额正常配额数[未绑定+已绑定配额数] 0 expirationCount Integer 企业版配额或者网页防篡改配额到期配额数 0 cancelCount Integer 企业版配额或者网页防篡改配额退订配额数 0 quotaTotal Integer 企业版配额或者网页防篡改配额配额总数[正常+过期+退订+冻结配额数] 0

本页介绍了关系数据库MySQL版如何设置SSL数据加密。 关系数据库MySQL版设置SSL数据加密指引如下。 操作场景 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 前提条件 只有数据库状态为运行中的实例才可以执行设置SSL数据加密。 操作步骤 开启SSL加密 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 选择数据安全 二级目录，选择SSL加密页签，点击SSL设置按钮。 若开关关闭，单击图标，在提示框中，单击确定，开启SSL加密。 5. 单击服务器证书右侧的下载证书，下载ca.pem。 6. 将根证书（ca.pem）上传到ECS（弹性云主机）或本地机器。 7. 在ECS或本地机器上执行以下命令连接MySQL实例。 a. mysql h P u p sslca 参数 说明 1.如果在关系数据库MySQL版同资源池同vpc下开通了ECS主机，通过ECS主机连接数据库，则hostName为连接地址。 2.如果在关系数据库MySQL版同个资源池下未开通ECS主机，则需要绑定弹性IP，hostName为目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 b. 使用root用户SSL连接数据库实例，示例如下： mysql h P 13049 u root p sslcaca.pem 8. 出现如下提示时，输入数据库帐号对应的密码： Enter password:

本小节介绍服务器安全卫士的相关术语。 Agent 指服务器安全监测与防护代理软件，运行在客户服务器操作系统，该安全代理具备严格的权限和运行负载控制，保护服务器的同时对业务运行不产生影响。 弱口令 容易被别人猜测（包括信息泄露导致）或被破解工具破解的口令均为弱口令。 软件漏洞 应用软件、中间件软件或操作系统软件在设计、实现上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个服务器，窃取服务器中的重要资料和信息，甚至破坏系统服务。 Web后门 Web后门是一段网页代码，主要以ASP、PHP、JAVA代码为主。由于这些代码都运行在Web服务器端，攻击者通过插入这段精心设计的代码，在Web服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权。 POC POC（Proof of Concept）的中文意思是“观点证明”。漏洞报告中的POC是指一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。 CVSS CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。 Rootkit Rootkit是一种特殊的恶意软件，它的功能是在目标服务器上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

接口功能介绍 服务器列表设置配额自动绑定开关 接口约束 无 URI POST /v1/host/autoBindQuota 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 quotaBindSwitch 是 Boolean 是否自动绑定 true 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"quotaBindSwitch": "true"}

本章节主要围绕云原生网关为入口,介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以云原生网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版 需开通云原生网关实例 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 配置云原生网关转发规则 在左侧导航栏，资源管理 > 云原生网关。查看已导入云原生网关列表，点击资源ID跳转到云原生网关界面配置规则。不存在云原生网关实例需先订购，然后点击导入按钮，进行导入。 1. 配置服务来源 进入左侧服务来源导航栏。点击创建服务按钮，来源类型选择MSE Nacos，集群名称选择provider 和 consumer 应用注册到nacos集群。 2. 配置服务列表 进入左侧服务列表导航栏。点击创建服务按钮，服务来源选择MSE Nacos，命名空间选择provider 和 consumer注册到nacos的命名空间。勾选上msap.nacos.provider和msap.nacos.consumer。 3. 创建路由配置 进入左侧导航栏。点击创建路由，匹配路径填写/nacos/consumer/,目标服务选择标签路由，目标服务选择msap.nacos.consumer，版本选择base，权重 100。

本小节介绍服务器安全卫士新建检查以及查看检查结果方法。 新建检查 1.单击“新建检查”按钮，进入新建检查页面。 添加主机规则 新建检查功能说明 功能 说明 检查名称 输入基线的检查名称 执行范围 全部主机：主账号可选全部主机，子账号不可选全部主机。（子账号不显示“全部主机”选项） 选择业务组：可选择该账号管辖范围内的业务组。 选择主机：选择该账号管辖范围内的主机 IP，也可手动输入主机IP。 【说明】需要先选择检查范围后，才能选择基线规则。选择了检查范围后，将根据所选主机匹配出适用的应用基线，有多少主机缺少账号授权，并提供设置入口。 【提示】例如：您选择的主机中包含20台主机缺少账号授权，点击设置。 基线规则 系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类，每类下又细分为CIS 和等保基线，基线可多选。 【说明】基线选择后，若为数据库类型应用基线，则提示该规则中是否有需要添加账号授权的基线，若有，则提示，例如：该规则中的60个检查项需要账号授权 目前支持的系统基线有：centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有：Apache Apache2 MySQL MongoDB Nginx 定时检查 打开定时检查开关，则可以输入定时表达式，且定时表达式为必填。定时表达式为 crontab 格式，点击“创建并执行”时，需要校验该格式是否正确，校验规则请参考“任务系统》新建作业中 crontab 格式”。 鼠标移动到定时表达式后的 i，则显示定时表达式的输入说明。 关闭定时检查开关，则不可以输入定时表达式。 描述 输入对该基线的描述。

本节为您介绍公共镜像相关概念及特点。 公共镜像是标准的操作系统镜像，向所有用户开放，包括操作系统以及预装的公共应用。公共镜像的维护由天翼云提供，公共镜像具有高度稳定性，请放心使用。 公共镜像类型 天翼云提供的公共镜像覆盖电信自研操作系统CTyunOS，国产化操作系统KylinOS、openEuler等、第三方开源及商业镜像等公共镜像，您可以根据实际需要选择。 公共镜像类型 描述 技术支持 CTyunOS镜像 天翼云针对ECS实例提供的定制化原生操作系统镜像。CTyunOS镜像均经过严格测试，确保镜像安全、稳定，保证您能够正常启动和使用镜像。 天翼云将为您在使用CTyunOS操作系统过程中遇到的问题提供技术支持。 第三方及开源公共镜像 由天翼云严格测试并制作发布，确保镜像安全、稳定，保证您能正常启动和使用镜像。第三方公共镜像包括： Windows系统：Windows Server。 Linux系统：龙蜥（Anolis）OS、Ubuntu、CentOS、CentOS Stream、Debian、Rocky Linux和AlmaLinux等。 对于开源操作系统镜像，请联系开源社区获得技术支持。同时，天翼云将对问题的调查提供相应的技术协助。 CTyunOS CTyunOS 2操作系统基于openEuler 20.03 LTS版本、CTyunOS 3基于openEuler 22.03SP1版本自主研发，包含天翼云完全自研的虚拟化增强组件和云平台组件，完善的编译工具链及开发环境等特性，具有高性能、高可靠、强安全和易扩展的特点。 CTyunOS操作系统 CTyunOS 2.0.1 64 位 CTyunOS 2.0.1 64 位 ARM 版 CTyunOS 22.06 64 位 CTyunOS 22.06 64 位 ARM 版 CTyunOS 23.01 64 位 CTyunOS 23.01 64 位 ARM 版 CTyunOS V2.0 25.05 64 位 CTyunOS V2.0 25.05 64 位 ARM 版 CTyunOS V4.0 25.07 64 位 CTyunOS V4.0 25.07 64 位 ARM 版

接口功能介绍 防护配置配额绑定 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/tamperProof/config/bind 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 custName 否 String 主机名称 testservername serverIp 是 String 防护服务器IP 192.168.1.1 quotaId 是 String 配额ID abdeasaaas agentGuid 否 String agentGuid 111111111111 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

本节介绍如何升级全流量分析服务规格。 购买全流量分析服务后，若需要扩容规格，可执行升级操作，增加规格数量。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“全流量分析服务”，点击服务列表操作列的“升级”按钮，跳转到升级界面。 3. 在升级页面，选择需要增加的规格数量。 单个规格支持500Mbps网络层吞吐量授权，250Mbps应用层吞吐量授权。 4. 在“产品配置”模块配置“订购规格数量”。确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。

接口功能介绍 网页防篡改防护总览 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/tamperProof/statistics 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 todayFileCount Integer 今日文件变动数 1 recentFileCount Integer 最近15天文件变动数 1 defendServerCount Integer 防护服务器数 1 allDefendServerCount Integer 所有防护服务器数（开启、关闭） 1 defendDirectoryCount Integer 防护目录数 1 defendFileCount Integer 防护文件数 1 authCount Integer 授权总数 1

接口功能介绍 报表统计及报表订阅人数查询接口 接口约束 签约服务器安全卫士 URI POST /v1/safetyReport/event/statistics 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 timeRange 是 String 时间类型 LASTONEMONTH最近一月 LASTTHREEMONTH最近三月 LASTSIXMONTH最近六月 LASTONEMONTH 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 subscribeUserCount Integer 订阅用户数量 0 reportStatisticsList Array of Objects 用户列表 reportStatisticsList 表 reportStatisticsList 参数 参数类型 说明 示例 下级对象 type String 报表类型 DAYREPORT日报 MONTHREPORT月报 WEEKREPORT周报 DAYREPORT isOpenGenerate Boolean 是否开启生成功能 true count Integer 报告数量 0 lastCreateTime String 最后更新时间 20200101 00:00:00

接口功能介绍 防护配置备份目录修改 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/tamperProof/config/updateBackup 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 serverIp 是 String 防护服务器IP 192.168.1.1 backupDirectory 是 String 本地备份目录，字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 bWl2L25pYi9yc3Uv 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

接口功能介绍 根据id批量删除告警数据 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/tamperProof/alarmLog/deleteByIdList 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

接口功能介绍 服务器列表删除业务分组 接口约束 无 URI POST /v1/business/group/delete 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String 业务分组id，修改时传输 BG0001 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Boolean 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"id": "BG0001"} 响应示例 {"message": "success", "traceId": "asaadasd11111", "statusCode": "200", "error": "CTCSSCN000000", "returnObj": ""}

接口功能介绍 执行基线检测任务。 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/sca/event/run/check 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 scaRuleId 是 Integer 基线策略id 1 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 描述 filename file 或 f file 当前服务器升级的目标版本HBlock安装包具体路径和具体文件名称。 说明 当前服务器升级使用的安装包，必须保证与该服务器使用的安装包类型匹配。 注意 安装包的具体路径不要含有 、及空格。 archfile PACKAGE 需升级的集群中其他不同架构服务器的安装包路径及文件名（仅集群版支持）。如果有多种不同类型服务器，应添加多个安装包，使用英文逗号隔开。 注意 当集群内存在与执行升级服务器架构不同的服务器时，才需指定此参数，用于指定相应架构服务器的HBlock安装包。 key VALUE 升级至HBlock目标版本时，若该版本需导入参数，则须设置此项。具体参数设置应依据目标版本而定。若目标版本需多个参数，可多次按“key VALUE”格式添加，其中“key”为参数名，“VALUE”为参数值。

本文介绍扫描镜像的详细步骤。 为了保障云原生供应链安全，您需要购买容器安全卫士实例，并进行安全扫描，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：扫描镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像管理”，在镜像管理页面可以对仓库镜像、节点镜像进行安全扫描。 3. 进入“仓库管理”页面，单击“添加仓库”，添加镜像仓库。 4. 扫描节点镜像。 1. 进入“节点镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 5. 扫描仓库镜像。 1. 进入“仓库镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 6. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入页面配置镜像策略，配置漏洞、文件、软件包规则，防止风险流入供应链。 7. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入页面配置镜像扫描规则、历史镜像保留时长、及周期性扫描规则。

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。

本章节为你介绍如何添加告警过滤规则。 若您资产的一些告警可以忽略，您可以设置告警过滤规则，对符合告警规则的日志再进行一层过滤。 配置告警过滤规则 告警过滤规则，对符合告警规则的日志再进行一层过滤。 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“风险分析 > 告警过滤规则”，单击“新增”，填写告警过滤条件。 参数 参数说明 取值样例 规则名称 自定义输入告警过滤规则名称。 Test 告警等级 在下拉框中选择需要过滤告警的告警等级。 轻微 开始时间 填写该告警过滤规则生效的开始日期。 结束时间 填写该告警过滤规则生效的结束日期。 告警名称 填写需要过滤告警的告警名称。 Test 3.填写完成后，单击“确认”完成过滤规则创建。

本小节介绍日志审计(原生版)产品实时图标分析。 如何进行实时图表分析？ 解决方案 点击菜单“事件分析”>日志检索，进入检索界面。通过事件检索模块，事件统计功能，选择对应的图表以及事件字段属性进行实时图表生成。 在查询框中输入想要查看的日志，建议使用csl查询，选择查询时间，点击，页面展示筛选后的日志信息。 点击“事件列表”tab，通过列表的方式展示日志，对日志进行分析。 点击事件统计，同样可以根据csl查询日志结果，并且选择不同的图表类型，展示字段，更能直观看到日志数据情况。其中支持折线图、面积图、柱形图、横向柱形图、饼形、环状图、地图、散点图、数值图。