此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

本节介绍N100管理类常见问题。 N100过期后无法配置？ N100授权过期后会锁定配置，需导入续订授权后重启恢复。如过期时间较长会影响业务正常访问。 建议：过期后还请尽快续订，如不续订，还请解绑弹性IP至业务主机，防止出现业务影响。 N100如何创建管理员用户？ 要创建管理员用户，请登录N100的Web管理页面，导航到系统设备管理选项，然后选择管理员管理。在此处，您可以新建管理员用户，分配唯一用户名和强密码，以及为其分配适当的角色和权限。 注意 创建管理员用户涉及系统权限，因此确保定期审计管理员用户，启用多因素身份验证，并使用最小权限原则来降低管理上的风险。 N100是否满足三权分离？ 三权分离用于确保权力不会集中在一个单一的实体或个人手中，以防止滥用权力、促进监督和平衡，从而维护公共机构的透明性和效力。在信息安全领域，三权分离原则通常应用于管理系统和数据的访问和操作，以保护网络安全和防止内部滥用权力。 N100提供内置的管理员、操作员和审计员权限，允许实现三权分离。您可以登录N100的Web管理页面，导航到系统设备管理选项，然后选择管理员管理并分配相应权限，以确保合适的角色和职责，但需要定期审计和管理用户权限，以最大程度地减少潜在的管理上风险。

实践 描述 介绍如何选择最适宜用户使用场景和带宽的防火墙规格，以及介绍如何启用防护配置策略，配置防护规则，适用于初次使用防火墙，不知道如何选择适宜自己场景的防火墙规格以及不知道如何启用防火墙产品的用户及场景。 介绍如何进行访问控制策略配置，在日常生产场景中，常用哪些访问控制策略应该需要配置，适用于安全应用了解较少，需要进行标准化策略防护的用户及场景。

接口功能介绍 给防火墙定义一个随机名称 接口约束 传参规范 URI GET /vfw/v2firewallrandomfirewallname 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj String 接口返回结果 枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj":"CFW8540" } 状态码 请参考 状态码 错误码 请参考 错误码

本文指导您如何自定义网站响应页面。 当访问者触发WAF拦截时，系统默认会显示WAF内置的响应页面。 若您需要自定义响应页面的内容和样式，可以参照本文准备自定义页面的内容，然后提交工单联系技术支持进行配置。 前提条件 网站已接入WAF进行防护。 准备工作 您需要准备自定义页面的如下信息： 响应码：自定义页面的返回码。 页面类型：支持text/html、text/xml、application/json类型。 页面内容：根据页面类型准备对应的页面内容。 操作步骤 1. 进入提交工单页面。 2. 在工单页面填写已准备好的自定义页面内容，并提交工单。 3. 等待工单审核，工单审核通过后，技术支持会联系您确认并配置自定义响应页面。 4. 配置完成后，您可以参考以下步骤验证修改效果。 1. 配置Web基础防护规则，将处置动作配置为“拦截”。 2. 模拟攻击者访问防护网站，若攻击被拦截后的返回页面为自定义响应页面的内容，则表示配置成功。

本文介绍如何查看WAF账单。 客户可以在费用中心按月查看在天翼云的消费概况，详情请参见账单概览。 账单说明 WAF产品为包年包月计费产品，包年包月产品采用预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 说明 当月最终账单将在次月3日生成，在次月4日10点后可查看和导出。 WAF属于按月结算的产品，当月消费可在次月3日查看账单。 操作步骤 1. 登录天翼云控制中心。 2. 在页面右上角用户名称处，选择“费用中心”。 3. 在左侧菜单栏选择“账单管理 > 账单概览”，进入账单概览页面，可按产品类型汇总查看产品账单。 4. 在左侧菜单栏选择“账单管理 > 账单详情”，进入账单详情页面。按如下筛选条件，即可查看到产品的账单详情。 统计维度选择“产品”。 统计周期选择“按账期”。 计费模式选择“包周期”。 账期选择需要查看的账单时间。

本节介绍网页防篡改服务协议。 自2021年11月11日起，新版天翼云网页防篡改服务协议生效。详情请参见天翼云网页防篡改服务协议。 历史版本请参见天翼云网页防篡改服务协议 历史版本（20195）。

本章节为您介绍系统状态模块的相关内容 系统状态可以帮助您确认堡垒机系统的运行状况，可监控系统CPU、内存、磁盘的使用状态，及时了解系统的运行状况。 查看系统状态 1. 使用管理角色账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 系统状态”，进入“系统状态”页面，即可查看系统状态。 系统监控可查看堡垒机的“CPU利用率”、“内存利用率”和“磁盘利用率”的情况，每1个小时记录一次数值。

本章节指导如何审批工单 前提条件 相关账号拥有工单审批的权限，若需要配置相关权限请参考规则配置章节。 工单审批 1. 登录云堡垒机系统。 2. 在左侧导航栏单击“工单管理”>“工单审批”，进入工单审批页面。 3. 查找需要待审批的工单，单击“操作”列的“审批”按钮。 4. 在弹出的“工单审批”对话框中，查看待审批的工单内容，选择是否批准。

本小节介绍云堡垒机资产运维两种方式。 堡垒机运维员可以通过客户端运维和网页运维方式对已授权的资产进行运维。 客户端运维 前置条件： 堡垒机成功纳管资产，且堡垒机与资产的网络可连通。 运维账号已开通且分配了运维角色，同时对账号进行了资产访问授权。 本地终端已安装访问控件并且正确对访问控件进行设置。 操作步骤 1. 用户账号登录云堡垒机系统。 2. 角色身份切换到“访问角色”。 3. 在左侧导航栏，选择“资产访问”。 4. 单击目标运维主机，在右下方访问图标选择访问方式（xshell/putty/secureCRT/vnc/mstsc/Filezila/WinSCP）访问。 网页运维 用户可通过网页直接访问资产，无需安装运维客户端即可完成运维。 操作步骤 1. 用户账号登录云堡垒机系统。 2. 角色身份切换到“访问角色”。 3. 在左侧导航栏，选择“资产访问”。 4. 单击目标运维主机，在右下方访问图标选择webterminal方式访问。

无法正常启用客户端运维工具运维资产一般是因为未下载或未在云堡垒机系统中配置需要使用的客户端工具，用户可根据以下步骤排查。 确认是否配置需要使用的客户端工具 打开运维设置，勾选要调用的客户端，保存配置。 确认是否已正确安装并配置客户端工具。 > 云堡垒机不提供Xshell、vnc等客户端运维工具下载，用户需要自行去官网下载安装需要使用的软件。 Windows的客户端路径配置，需要将软件启动程序文件路径严格配置到运维设置客户端路径配置中。例如：Xshell默认安装路径C:Program Files (x86)NetSarangXshell 7Xshell.exe，其他的软件或者安装到了其他的路径，根据自己的实际情况配置即可。 Mac OS不需要客户都按照路径配置，使用的应用安装在应用程序（Application）路径中就可以，例如下图FileZilla。

访问资产提示“登录设备失败，设备账号或密码错误”，如果使用托管的账号密码，则需联系资产管理员，确认托管的账号和密码是否正确。 资产管理员需要将正确的资产账号和密码重新添加到资产，运维用户才能正常登录设备运维。 操作步骤 1.管理员登录云堡垒机实例控制台，访问角色切换为管理角色。 2.进入 资产管理>资产 页面，按资产IP或资产名搜索需要修改资产账号密码的资产。 3.点击资产数据操作栏【编辑】，在账号项选择需要修改的资产账号点击【编辑】。 4.进入 资产管理>资产账号 页面，选择需要修改的资产账号点击【编辑】。 5.更新资产账号、密码及应用的协议。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 访问授权 1.管理员登录堡垒机。 2.左侧菜单选择“授权管理>资产访问授权”。 3.选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 命令授权 1.左侧菜单选择“授权管理>字符命令授权”。 2.在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3.在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4.配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5.文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6.数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至“审计角色”，打开 “系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

此小节介绍云堡垒机字符审计。 审计对象为授权的资产数据角色产生的字符访问会话（ssh、telnet），支持查看命令列表，回放访问录屏，中断活动会话，实时播放会话，下载会话审计文件。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 字符审计”。 2.单击“操作”列的“查看”可打开详细命令列表。 3.单击“操作”列的“播放”可使用浏览器在线播放会话。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本小节主要介绍如何创建工单。 当运维用户不具备某些资源访问控制权限时，可主动提交工单，申请相应资源访问控制权限。 约束条件 已被纳入审批规则的用户名单内。 创建工单 1. 使用运维用户登录云堡垒机。 2. 在左侧导航栏选择“工单管理”>“工单申请”，进入工单申请页面。 3. 单击左上角的“新增”按钮，弹出“工单申请”对话框。 4. 在弹出的对话框中输入相关信息，具体填写参数可以参考下表，填写完成后单击“提交”。 工单名称 输入您待提交工单的名称。 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 资产 选择您需要访问的资产或者命令，可多选。 资产账号 选择您需要授权的资产账号。 提示符正则式 （仅工单类型选择“命令授权”时可填写）输入待授权命令的提示符正则式。 命令正则式 （仅工单类型选择“命令授权”时可填写）输入待授权命令的正则式。 生/失效日期 填写权限生效的起始日期和时间。 描述 填写申请工单的相关描述

本章节为您介绍堡垒机首页相关内容 管理角色首页 使用管理角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数及待审批的工单数量。 审计角色首页 使用审计角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数以及历史会话数。 会话统计：图表显示目前堡垒机正在连接的会话数。 剩余会话：目前堡垒机剩余可连接的会话总数。 活跃人数：目前登录堡垒机的总用户数。 活动主机：目前正在连接的主机总数。

配置项 说明 开关机审计 审计用户的开关机行为，管理员可配置审计时间段。 系统登录防护 对系统账户登录进行细粒度的精准访问控制。 文件访问监控 监控目标文件、目录的改写操作。

选择入侵防御页签，可对终端设置暴力破解行为、扫描行为检测。 防暴力破解是指对系统登录行为进行一定的限制，防止账号被爆破。 配置防暴力破解 功能 ：通过AI哨兵引擎提供的多种异常检测算法，根据真实的业务数据对暴力破解行为进行AI大模型上下文分析、跨终端关联分析。支持SSHFTPRDPSMBMSSQLWINRM多种类型。 使用场景：适用于需要自定义修改配置策略模板防暴力破解场景。 1. 选择防暴力破解页签。 2. 点击防暴力破解图标，置于开启状态（开启AI哨兵模式、开启普通模式），即可开启防暴力破解。 配置效果验证 1. 在防暴力破解策略中自定义配置并下发策略至客户端。 2. 对终端的系统账户进行登录操作，并且多次使用错误的口令尝试。 3. 在管理平台日志查看日志。 1. 当登录失败次达到设置阀值后锁定该IP地址。 2. 用户可以查看并解除已临时锁定的IP清单。 3. 生成防爆力破解日志。

流量画像 功能：采集终端流量，绘制全景流量图展示主机之间的通讯关系。 使用场景：适用于需要自定义修改配置策略模板流量画像场景。 1. 选择流量画像页签。 2. 点击流量画像 后的图标置于开启状态，即可开启流量画像功能。

配置 说明 系统性能监控 用于监控系统性能监控，支持配置CPU监控、内存监控、网络IO监控和磁盘使用监控。 开启报警：监控项匹配达到规则阈值进行日志记录。 开启熔断：监控项匹配达到规则阈值进行自动熔断，客户端不提供处理能力。 开启恢复：达到熔断条件后匹配达到预设规则将自动恢复客户端能力。 Agent性能监控 用于监控Agent性能监控，支持配置CPU监控、内存监控。 开启报警：监控项匹配达到规则阈值进行日志记录。 开启熔断：监控项匹配达到规则阈值进行自动熔断，客户端不提供处理能力。 开启恢复：达到熔断条件后匹配达到预设规则将自动恢复客户端能力。

参数 说明 开关 启用/禁用：控制是否启用抗DDoS功能 每分钟请求次数 限制每分钟的最大请求数 每小时请求次数 限制每小时的最大请求数 每天请求次数 限制每天的最大请求数

配置系统登录防护 对系统账户登录进行细粒度的精准访问控制。适用于需要自定义修改配置策略模板系统登录防护场景。 1. 选择系统登录防护页签。 2. 点击系统登录防护后的图标置于开启状态，即可开启系统登录防护。 3. 点击“新增”。 4. 弹出新增规则对话框，编辑相关信息后，点击“确定”。 详细配置请参见下表： 参数 说明 登录账号 支持输入“”，表示所有账号都记录。 IP/IP范围 访问来源IP或者IP段。 支持的格式如下： 192.168.1.1 192.168.2.1/24 192.168.3.1192.168.3.255 域名 访问来源域名例：ctyun.cn。 计算机名 访问来源计算机名例：localhost。 时间策略 访问来源开始时间至结束时间节点。 处理方式 （满足所有策略）允许登录：满足所有配置策略时，允许登录。 （满足任意策略）禁止登录：满足任意一条策略时，禁止登录。 状态 策略启用状态：启用/不启用。

内容检测配置 配置内容检测的详细参数，适用于需要精细控制检测行为的场景。 参数 说明 严格模式 开启后禁用流式输出，提升检测效果但可能影响响应时间和响应体验。 开启审计 记录所有内容的检测日志，无论是否开启引擎、内容是否违规。 内容检测配置示例 关闭流式输出： 1. 开启严格模式（关闭流式输出），点击“保存”。 2. 确保策略绑定到代理，并且代理是开启状态。 3. 向代理提问测试，如“给我编写一个歌赞祖国的诗歌，要求内容中带有大一统 ”。 4. 可见大模型本次响应时间较长，并且只有被拦截的违规信息。 开启流式输出： 1. 关闭严格模式（开启流式输出），点击“保存”。 2. 再次向大模型提问测试，如“给我编写一个歌赞祖国的诗歌，要求内容中带有大一统 ”。 3. 可见大模型本次响应较快，逐句输出，当检测到违规内容时，输出终止。

参数 说明 开关 响应模版：启用/禁用自定义响应模版 模版内容 设置违规时的响应文本 占位符 支持使用{category}、{explanation}、{engineType}、{score}等占位符

支持将大模型客户端识别检测到的恶意进程进行实时阻断，防止恶意软件继续执行其恶意行为，如窃取数据或损坏系统。

可在操作日志页面查看用户、操作 IP、日志类型、描述、时间、状态等日志信息。 查询操作日志 点击“操作日志”，设置查询条件（如关键字、日期等），点击“查询”，即可查询符合该条件的操作日志。 导出操作日志 支持导出 CSV 格式和 Excel 格式。 支持最多导出10万条，当前总数超过10万条则导出最新的10万条。 点击“导出日志”，选择文件格式（CSV 或 Excel），可将所查询的操作日志导出至本地。

基于iptables，阻止已知的恶意IP地址，如那些属于僵尸网络或已知攻击者的地址；点击 可以取消当前IP的隔离。

新增基线检查任务 1. 登录实例。 2. 在菜单栏选择“主机安全 > 基线检查”。 3. 单击“新增任务”。 4. 在弹出的新增任务窗口中，配置任务参数。 添加任务名称，选择对应终端，选择基线策略及执行时间。 5. 配置完成后，单击“确定”。 执行基线检查任务 在任务操作列，单击“执行”待扫描完成后查看扫描结果。 查看扫描结果 点击“查看”具体扫描结果展示。 如下图所示，根据终端名称风险项可查看具体风险建议及方法。

基于iptables，将特定域名列入黑名单。当用户尝试访问这些域名时，请求将被拒绝，实现恶意域名访问及回连的阻断；点击 可以取消当前域名的隔离。