介绍分布式消息服务RabbitMQ删除虚拟主机的操作内容。 场景描述 在RabbitMQ中，删除虚拟主机（Virtual Host）的场景描述如下： 应用迁移或清理：当需要迁移应用或进行系统清理时，可能需要删除不再使用的虚拟主机。例如，如果某个应用已经停用或迁移到其他环境，可以删除相关的虚拟主机，以释放资源和减少管理工作。 安全审计和合规性要求：根据安全审计和合规性要求，可能需要删除不再需要的虚拟主机。例如，当某个虚拟主机涉及敏感数据或权限配置存在问题时，可以选择删除该虚拟主机以避免安全风险。 故障处理和恢复：在某些情况下，当虚拟主机发生故障或出现严重问题时，可能需要删除虚拟主机并重新创建。这可以作为一种故障处理和恢复的手段，以解决虚拟主机相关的问题并恢复正常运行。 系统资源管理和优化：如果虚拟主机过多或占用了过多的系统资源，可能需要删除一些不再使用或不需要的虚拟主机。这有助于优化系统资源的利用和提高整体性能。 需要注意的是，在删除虚拟主机之前，务必确保相关的队列、交换机和绑定等对象已经被删除或迁移。否则，删除虚拟主机可能会导致数据丢失或系统异常。 操作步骤 （1）在虚拟主机管理页面，在目标虚拟主机行点击“删除”，即可删除虚拟主机。 注意事项： 删除虚拟主机会删除该虚拟主机内所有数据且不可恢复，请谨慎操作。

本文简述301/302跟随回源功能原理、适用场景、配置方式。 功能介绍 配置301/302跟随回源功能后，边缘节点会代替用户去处理源站响应的301/302状态码内容，即边缘节点会直接跳转到源站301/302响应中的Location地址去请求对应资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。该功能开启后将会减少一次（或多次）用户和边缘节点的301/302交互，用户体验更优。 适用场景 源站使用了重定向的方式去实现资源的获取。希望边缘节点在收到301/302响应时再次请求Location地址，获取到200响应内容，并响应给用户。 注意事项 配置301/302跟随回源，当前可实现根据不同的场景需求匹配不同的效果设置： 期望结果1：源站响应“301/302状态码+Location地址”给边缘节点时，请求Location地址携带的HOST头是源站响应的301/302信息里面的Location域名。 期望结果2：源站响应“301/302状态码+Location地址”给边缘节点时，请求Location地址携带的HOST头也是用户自行配置的“回源HOST”，则在配置301/302跟随回源前，请确认已经配置了“ 回源HOST ”。 支持301/302跟随回源次数设置。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面。 3. 点击目标域名，并点击“编辑配置”。 配置项 配置说明 回源302/301跟随时生效 回源302/301跟随时的回源HOST设置，是按照302/301信息里面的Location域名，还是按照用户自定义配置的“回源HOST”；如为后者，则需开启该配置。 跟随次数上限 回源可跟随Location地址跳转访问的最大次数，如超出限制将直接返回302/301状态码给用户。默认值为1，可配置范围为15。回源次数上限为：跟随次数上限+1，即默认跟随回源次数上限为2次。

数据安全运营中心 数据资产识别与管理：支持数据库、API 接口、应用系统、文件服务等多类型资产的自动发现（探针上报、日志识别、数据对接），消除 “幽灵资产” 监管盲区。 业务合规建模分析：通过数据资产精细化管理与风险可视化，支撑数据合规开发利用，释放数据要素价值。 数据安全全流程运营：标准化处置闭环：构建 “告警采集 智能研判 工单流转 处置归档” 全流程，支持多级审批与角色协同，同时支持自定义工单模板与流程节点，支持风险等级自动匹配处置优先级，实现安全事件 “发现即响应，处置即闭环”，大幅提升事件响应效率。 技术创新灵活高效：通过荧光靶点识别技术（FTRA）实现敏感数据流转全链路可视化，串联用户访问、API 调用、数据库操作等环节，清晰呈现数据从 “产生 传输 存储 使用” 的完整路径，作为数据安全风险评估监测的衡量标准。 数据安全服务 数据安全咨询规划服务：依据《数据安全法》《个人信息保护法》《网络数据安全管理条例》（征求意见稿）等法规要求，为客户制定针对性的数据安全咨询服务内容，提供数据安全咨询服务报告 。 数据分类分级服务：依据各行业数据安全分类分级标准规范，为客户建立统一的数据资产安全等级标准，在企业内部各部门的协同配合下形成涵盖业务、运营、财务、人事、合规等各类型数据资产安全等级清单 。

本节主要介绍数据订阅 AOM支持用户订阅指标或者告警信息，订阅后可以将数据转发到用户配置的kafka或DMS的Topic中，供消费者消费转发的订阅的信息。 说明 最多可创建10个数据订阅规则。 创建订阅规则 步骤 1 在左侧导航栏中选择“配置管理 > 数据订阅”。 步骤 2 单击“创建订阅规则”，设置相关参数后，单击“确定”。 您可根据实际需求，选择订阅目标类型为“自定义Kafka”或“分布式消息服务DMS”。 1、订阅目标类型为“自定义Kafka”。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称。 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 自定义Kafka 订阅目标连接地址 用户自己的kafka地址，需要打通网络。格式为逗号分割的ipv4:port。例如: 192.168.0.1:9092,192.168.0.2:9092 根据实际情况填写。 a.（可选）进入到“规则详情”，单击 ，配置Kafka SASLSSL，参数如下表所示。 说明 AOM当前仅支持Kafka SASLSSL安全认证配置，如果目前实例已经开启Kafka SASLSSL，请打开此开关。 配置Kafka SASLSSL参数 参数 说明 示例 用户名 SASL用户名用于实例访问认证。 demo 密码 SASL密码用于实例访问认证，请妥善管理密码，系统无法获取您设置的密码内容。 客户端证书 请采用.pem格式的客户端证书 b.单击“验证并保存自定义Kafka配置信息”，验证自定义Kafka实例连通性。 c.选择数据发送topic后，单击“确定”。 2、订阅目标类型选择“分布式消息服务DMS”，请参考下表配置参数。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 分布式消息服务DMS 实例 选择DMS实例，如没有DMS实例，请单击“创建DMS实例”，创建DMS实例。 kafkaaom7160 a. 进入到“规则详情”，单击“创建网络连接通道”。 b. 验证DMS实例连通性。 您需要确保在安全组"入方向规则"中，放通9011端口，源地址为"198.19.128.0/20"的网络流量。设置安全组规则操作如下： i. 登录管理控制台。 ii. 在左侧导航栏，单击 ，选择“网络 > 虚拟私有云 VPC”。 iii. 在左侧导航栏单击“访问控制 > 安全组”，在使用DMS所在的安全组右侧，单击“配置规则”。 iv. 在“入方向规则”页签下，单击“添加规则”，放通9011端口、源地址为“198.19.128.0/20”的网络流量。 c. 单击“验证并保存DMS配置信息”。 d. 选择数据发送topic后，单击“确定”。 数据订阅格式说明 AOM格式的指标JSON格式代码片断 package metric type MetricDatas struct { Metrics []Metrics json:"metrics" ProjectId string json:"projectid" } type Metrics struct { Metric Metric json:"metric" Values []Value json:"values" CollectTime int64 json:"collecttime" } type Metric struct { Namespace string json:"namespace" Dimensions []Dimension json:"dimensions" } type Value struct { Value interface{} json:"value" Type string json:"type" Unit string json:"unit" StatisticValues string json:"statisticvalues" MetricName string json:"metricname" } type Dimension struct { Name string json:"name" Value string json:"value" } kafka消息示例 key:, value:{"metrics":[{"metric":{"namespace":"PAAS.NODE","dimensions":[{"name":"nodeName","value":"testvsscopmaster1"},{"name":"nodeIP","value":"1.1.1.1"},{"name":"hostID","value":"75d9711147344c6cae9ef6111111111"},{"name":"nameSpace","value":"default"},{"name":"clusterId","value":"46a7bc0d1d8b11ea9b04333333333333333"},{"name":"clusterName","value":"testvss111"},{"name":"diskDevice","value":"vda"},{"name":"master","value":"true"}]},"values":[{"value":0,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskReadRate"},{"value":30.267,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskWriteRate"}],"collecttime":1597821030037}],"projectid":"111111111111111111111"} 告警数据格式说明 示例： { "events": [{ "id": "4346299651651991683", "startsat": 1597822250194, "endsat": 0, "arrivesat": 1597822250194, "timeout": 300000, "resourcegroupid": "312313123112222222222232131312131", "metadata": { "kind": "Pod", "eventseverity": "Major", "resourcetype": "service", "clusterId": "6add4ef5135811eaa5bf111111111", "eventtype": "alarm", "clusterName": "cceief4516140c96ca4a5f8d851111111", "namespace": "PAAS.NODE", "name": "test15769793809553052f5557bd7fqnfkm", "eventname": "调度失败

本小节介绍日志审计(原生版)新增资产。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您需要先纳管资产，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”。 4. 在弹出的对窗口中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容（下表仅展示必填项，完整的填写内容请参考新增资产）。 注意 日志采集方式、资产类型和IP需要根据实际情况选择。 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 SyslogUdp采集 选择是否开始SyslogUdp采集，默认开启，建议选择开启。 开启 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网

此小节介绍数据库审计的优势。 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 支持海量数据库协议 支持40余种协议，包括关系型协议、非关系型协议、大数据协议及其他常见协议。 支持国内外主流数据库，包括传统的数据库系统、大数据系统和Web系统等。 数据库安全分析 内置丰富的漏洞规则，在审计过程中通过规则匹配发现数据库的配置不合理项和安全漏洞，并可根据漏洞情况提供合理的安全建议和审计规则。 智能关联分析 同时提取Web业务端和数据库端的协议流量，提取出具体业务操作请求URL、POST/GET值、业务账号、原始客户端IP、MAC地址、提交参数等。通过智能自动多层关联，关联出每条SQL语句所对应URL以及其原始客户端IP地址等信息，实现追踪溯源。 双向审计 双向审计不但包含了SQL语句执行状态、返回行数、执行时长等基本信息，同时包含数据库的返回结果内容。 功能简单、易上手 采用数据库旁路部署方式是一种简单且快速上手的数据库审计部署方式，该部署方式是在数据库服务器之外设置一个独立的审计服务器，通过旁路方式捕获数据库的操作和日志信息，实现对数据库的实时监控和记录。同时方便用户快速上手，对数据库实例操作简单。

本文为您介绍创建脚本的具体操作。 概述 脚本管理提供全生命周期脚本管控，涵盖脚本库的创建、验证、变更、停用、编辑、发布等，实现脚本标准化开发与版本控制；通过脚本黑名单机制拦截高风险脚本以强化安全，脚本历史支持操作追溯与审计。系统环境变量管理保障脚本跨环境兼容性，同时支持对云主机和数据库的自动化脚本执行，兼顾运维灵活性与安全性，降低人工干预风险，提升容灾场景下的操作效率和可靠性。 使用条件 多活容灾服务平台当前仅支持在平台侧执行脚本，不支持上传脚本文件到目标资源。 每种资源类型下同一种语言的脚本数量上限为50，若有扩展需要请联系管理员。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“脚本管理”“脚本库”，进入脚本库列表页。 5. 点击右上角“创建脚本”按钮，跳转至脚本创建页。 6. 创建脚本各配置项说明如下： 参数 是否必填 配置说明 脚本名称 √ 填写脚本名称，脚本名称需唯一。 长度为263字符。 脚本语言 √ 选择脚本语言，当前支持Shell、Python2、Python3。 脚本版本 √ 显示脚本版本，脚本创建时系统默认将脚本版本设置为v1.0。 适用资源类型 √ 选择适用资源类型，当前支持主机、数据库两类。 主机支持Linux/Windows；数据库支持MySQL/Redis/PostgreSQL/MongoDB。 脚本分组 × 选择脚本分组，默认无分组。 脚本来源 √ 选择脚本来源，支持本地脚本、手工录入、克隆、内置脚本。 本地脚本 √ 当脚本来源为本地脚本时显示，上传本地脚本文件。 文件类型限制为扩展名为.py或.sh两种。 源脚本 √ 当脚本来源为克隆时展示，选择源脚本，数据来自当前脚本库中所有脚本。 脚本模板 √ 当脚本来源为内置脚本时展示，选择脚本模板后，脚本内容展示相关脚本模板内容。 脚本内容 √ 当脚本来源为本地脚本时，展示本地上传脚本的内容，支持编辑。 当脚本来源为手工录入时，需用户手动录入脚本内容； 当脚本来源为克隆时，展示源脚本的脚本内容，支持编辑； 当脚本来源为内置脚本时，根据用户选择的脚本语言、适用类型和脚本模板展示脚本内容，支持编辑。 脚本内容长度上限为1000个字符。 脚本参数请求参数 √ 填写参数名称，长度不超过64字符。 选择参数类型，可选数值型、字符型、字符串型、布尔型。 填写参数key，长度不超过64字符，不能与系统环境变量key冲突。 选择参数是否必填，可选是、否。 填写参数描述。 脚本参数返回参数 √ 填写参数名称，长度不超过64字符。 选择参数类型，可选数值型、字符型、字符串型、布尔型。 填写参数key，长度不超过64字符，不能与系统环境变量key冲突。 填写参数描述。 成功标准判定方式 √ 选择成功标准判断方式，可选通过表达式判定、无条件成功。 成功标准表达式 √ 判定方式为表达式判定时展示，填写参数名，数据来源于脚本返回的参数名。 填写表达式符号，若参数类型为数值类型，可选等于/大于/小于/大于等于/小于等于；若参数类型为字符或字符串类型，可选等于/大于/小于/大于等于/小于等于/包含/不包含/以...开头/以...结尾；若参数类型为布尔型，可选等于。 填写表达式参数值，若参数类型为数值类型/字符型/字符串类型，需填写参数值；若参数类型为布尔型，可选择真/假。 成功标准表达式生效 √ 判定方式为表达式判定时展示，选择表达式生效方式，可选满足所有表达式、满足任一表达式。 脚本描述 × 填写脚本的描述。 长度为0100个字符。 7. 脚本信息填写完毕后，点击右下角“立即创建”按钮，完成创建脚本操作。

本文详细说明安全与加速扩展服务资费扩展服务资费。 安全与加速扩展服务资费 扩展服务 标准资费（月） 包年折扣 主套餐服务区域 适用版本 功能描述 域名扩展包 1000元/域名（一个一级域名） 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持一个主域名 DDoS防护带宽 详见《DDoS防护带宽服务资费》 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户遭受DDoS攻击的风险大，频率高建议订购DDoS防护带宽扩展服务。 当攻击峰值在防护带宽以内，则在中国内地服务区域提供不限次数的防护，并且不会扣除套餐中的防护次数。 DDoS弹性防护 详见《DDoS弹性防护服务资费》 按需计费方式不支持包年折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户已订购DDoS防护带宽，在中国内地服务区域，仍有遭遇超过DDoS防护带宽的攻击风险，则建议开启DDoS弹性防护。 弹性峰值（即攻击峰值DDoS防护带宽），将按阶梯计费。 若未触发弹性防护，则不收取任何费用。 DDoS防护IP 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 全球（非中国内地）、全球 基础版、高级版、企业版、旗舰版、定制版 在全球（非中国内地）服务区域，提供一个独享的全球Anycast广播的高防IP，支持订购多个 内容审核 1.3元/千张/日 按需计费方式不支持包年折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 对加速内容进行快速智能检测 Bot管理 3500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持通过人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫； 通过分析海量访问数据，利用内置的分析算法，识别智能爬虫； API安全 4500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供API资产高可见性和持续安全检测 态势感知大屏 1500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供网站整体业务及安全状况的可视化大屏分析 专家指导服务 100元/次/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供域名接入配置、安全配置指导服务 专家服务 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 724小时远程指导服务（配置指导、防护策略定制、监控和预警） Web防护 免费版：0元/月 基础版：800元/月 高级版：2500元/月 企业版：7600元/月 旗舰版：18000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 IPv6改造 600元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户给解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 Websockets 500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 定制版 定制版 支持WebSockets协议 注意 适用于定制版的扩展服务为功能费用，需要订购流量或者带宽用于用量计费。

DDoS基础防护封禁通知 当您的IP遭受的DDoS攻击峰值超过IP的防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态，封禁时间持续24小时。 该封禁状态有通知，会通过IP所属账户的站内信、短信、邮箱渠道进行通知，告知封禁信息。除了账户所有人，您还可以在天翼云控制台消息中心消息订阅消息管理安全消息处配置多个消息接收人，比如将您业务的多位值班或运维人员配置到联系人中，此时安全消息短信会通知告知多个人。 通知内容仅有攻击峰值，不包含攻击源信息。DDoS基础防护主要防护IP所在网络的整体稳定，非单个IP的攻击分析产品，仅能提供目的IP级别遭受DDoS大流量攻击的攻击峰值信息，无法提供源IP级别的信息。若客户需要源IP级别的分析，可选择任意渠道和厂商的DDoS高防产品防护自身业务IP并免于触发DDoS封禁，不局限于天翼云的DDoS高防产品。天翼云和其他云厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力。

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云全站加速域名的回源地址可以使用客户自有源站或者天翼云媒体存储或天翼云对象存储。若客户使用媒体存储/对象存储作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储/对象存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Buckt回源功能前，请确认您的私有Bucket内容是否适合作为全站加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为全站加速创建一个独立的AK/SK，仅授权全站加速必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对的存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，全站节点回源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】。否则功能将无效。

安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件。本小节介绍安全专区上线配置。 安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件，用户采购开通后，需要进行以下初始安装配置，才能正常使用。 安全组件 安装内容及步骤 备注 云防火墙 VPC环境调整 请参考云防火墙配置 云防火墙 网络配置 请参考云防火墙配置 云防火墙 访问策略配置 请参考云防火墙配置 云防火墙 安全策略配置 请参考云防火墙配置 云防火墙 网络割接 请参考云防火墙配置 云防火墙 网络测试 请参考云防火墙配置 云堡垒机 运维账号 请参考云堡垒机 云堡垒机 添加资产 请参考云堡垒机 云堡垒机 管理授权 请参考云堡垒机 云堡垒机 映射端口 请参考云堡垒机 云堡垒机 登录运维 请参考云堡垒机 云日志审计 添加资产 请参考云日志审计 云日志审计 采集器配置 请参考云日志审计 云日志审计 客户端安装 请参考云日志审计 终端安全EDR 客户端安装 请参考终端安全EDR 终端安全EDR 策略配置 请参考终端安全EDR 云数据库审计 部署方式 请参考云数据库审计 云数据库审计 添加审计策略 请参考云数据库审计 云数据库审计 添加保护对象 请参考云数据库审计 云数据库审计 客户端安装 请参考云数据库审计 云防火墙：部署在网络边界提供边界防御能力，上线配置工作包括VPC环境调整、网络配置、策略配置、网络割接等几个部分，详细操作指引请参考云防火墙。 云堡垒机： 负责审计业务系统运维操作，配置包括运维账号管理、添加资产及授权，详细操作指引请参考云堡垒机。 云日志审计： 集中收集并审计所有业务系统及安全产品的系统日志，需添加资产、配置采集器、安装配置客户端，详细操作指引请参考云日志审计。 终端安全EDR：部署在业务系统主机，提供防病毒、补丁管理、入侵侦测响应等端点安全防护能力，需要在业务主机系统安装客户端，详细操作指引请参考终端安全EDR。 云数据库审计：集中收集并审计所有数据库系统操作日志，配置包括客户端安装和数据库信息录入，详细操作指引请参考云数据库审计。 安全组件配置完成后，安全管理中心可实时从安全组件收集全网资产的风险、威胁安全数据，关联分析评估用户云环境的安全态势。

本文将帮助您了解TCP监听器获取客户端真实源IP地址的工作原理及操作步骤。 应用场景 在基于TCP的应用程序中，获取客户端真实源IP地址可以用于以下应用场景： 访问控制和安全策略：通过获取客户端真实源IP地址，应用程序可以实施访问控制策略，限制或允许特定IP地址的访问。这可以用于身份验证、防止未经授权访问、限制特定地理区域的访问等。例如，防火墙可以根据客户端IP地址来决定是否允许连接或阻止连接。 防止滥用、攻击和入侵检测：获取客户端真实源IP地址可以用于防止滥用和攻击行为。通过分析IP地址，可以实施阻止流量来自恶意IP地址的策略，如IP黑名单、限制恶意用户的连接速率或引入入侵检测系统。这有助于提高应用程序的安全性，并保护系统免受恶意活动的危害。 统计和分析：获取客户端真实源IP地址可以用于统计和分析访问模式和用户行为。通过分析IP地址，可以了解用户的地理位置、访问频率、使用设备和浏览器等信息。这些数据可以用于优化用户体验、定位目标受众、改进应用程序设计和定制内容。 安全审计和合规要求：获取客户端真实源IP地址有助于安全审计和合规要求的满足。通过记录和跟踪源IP地址，可以提供追溯用户行为的能力，以满足法规和合规性要求。这对于监测和报告滥用行为、保护用户隐私和满足法律要求非常重要。

场景覆盖深广，满足多元需求 无论是高校科研项目、课程教学，还是教育机构的备课与教研，本平台均提供针对性支持： • 教师可在数分钟内生成教案、组卷、自动批改作业； • 研究者可精准搜索近年高质量论文，快速生成脑图、初稿、报告并完成语义润色。 专业模型驱动，兼顾性能与解释性 系统底层采用多智能体架构，通过编排层对意图进行识别和拆解，将拆解后的任务分发给多个专业Agent，结合长短期记忆并融合反思机制，提升整体效果。包含文献理解、章节解析、评分与纠错、OCR识别模型等，具备强大的语义理解与内容生成能力。同时，平台支持结果来源溯源、模型解释与人工干预，确保内容可控、安全、可审计，满足教育科研对合规性与质量的双重要求。 应用场景 学术检索场景：高效链接全球科研资源 适用场景 海量文献查找费时，筛选不精准； 无法动态获取最新研究动态或关联文献； 检索结果呈现单一，缺乏上下游延展性。 解决方案 关键词+领域+时间精准检索：支持多条件组合，自动推荐符合标准的高价值文献与引用信息； 相关搜索推荐机制：用户完成一次检索后，系统自动推送“相关搜索”关键词与文献，形成动态关联阅读路径； 文献知识图谱辅助：结合领域知识图谱展示主题关联性，助力科研人员系统性构建研究框架。

本文带您了解证书格式的具体要求。 证书格式要求 在创建证书时，支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 1. 通过Root CA机构颁发的证书，证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求：以BEGIN CERTIFICATE, END CERTIFICATE开头和结尾。每行64个字符，最后一行长度可以不足64个字符。证书内容不能包含空格。 2. 通过中级CA机构颁发的证书，证书文件包含多份证书，需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求：BEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATE服务器证书放第一位，中级证书放第二位，中间不能有空行。证书内容不能包含空格。证书之间不能有空行，并且每行64字节。符合证书的格式要求。 私钥格式要求 私钥是证书的关键部分，用于加密和解密通信数据。建议在生成和使用私钥时，遵循最佳实践并确保其安全性，以保护您的通信安全。 证书的私钥，私钥扩展名为"key",您可直接输入私钥文件内容或上传符合格式的私钥文件。私钥内容格式为:以“ BEGIN RSA PRIVATE KEY ”作为开头，“ END RSA PRIVATE KEY ”作为结尾。 RSA私钥示例： BEGIN RSA PRIVATE KEY MIICXQIBAAKBgQDFPN9ojPndxSC4E1pqWQVKGHCFlXAAGBOxbGfSzXqzsoyacotu eqMqXQbxrPSQFATeVmhZPNVEMdvcAMjYsV/mymtAwVqVA6q/OFdX/b3UHO+b/VqL o3J5SrM86Veqnjzwu4oCSabuEDiN+tga1syQmEG4OFM6NSmAYSxcZdE6LwIDAQAB AoGBAJvLzJCyIsCJcKHWL6onbSUtDtyFwPViD1QrVAtQYabF14g8CGUZG/9fgheu TXPtTDcvu7cZdUArvgYW3I9F9IBb2lmF3a44xfiAKdDhzr4DK/vQhvHPuuTeZA41 r2zp8Cu+Bp40pSxmoAOK3B0/peZAka01Ju7c7ZChDWrxleHZAkEA/6dcaWHotfGS eW5YLbSms3f0m0GH38nRl7oxyCW6yMIDkFHURVMBKW1OhrcuGo8u0nTMi5IH9gRg 5bH8XcujlQJBAMWBQgzCHyoSeryD3TFieXIFzgDBw6Ve5hyMjUtjvgdVKoxRPvpO kclc39QHP6Dm2wrXXHEej+9RILxBZCVQNbMCQQC42i+Ut0nHvPuXN/UkXzomDHde h1ySsOAO4H+8Y6OSI87l3HUrByCQ7stX1z3L0HofjHqV9Koy9emGTFLZEzSdAkB7 Ei6cUKKmztkYe3rr+RcATEmwAw3tEJOHmrW5ErApVZKr2TzLMQZ7WZpIPzQRCYnY 2ZZLDuZWFFG3vW+wKKktAkAaQ5GNzbwkRLpXF1FZFuNF7erxypzstbUmU/31b7tS i5LmxTGKL/xRYtZEHjya4Ikkkgt40q1MrUsgIYbFYMf2 END RSA PRIVATE KEY EC私钥示例（暂不支持）： BEGIN EC PRIVATE KEY MHcCAQEEIKpAuZ/Wwp7FTSCNJ56fFM4Y/rf8ltXp3xnrooPxNc1UoAoGCCqGSM49 AwEHoUQDQgAEqiRaEw3ItPsRAqdDjJCyqxhfm8y3tVrxLBAGhPM0pVhHuqmPoQFA zR5FA3IJZaWcopieEX5uZ4KMtDhLFu/FHw END EC PRIVATE KEY

本小节介绍云下一代防火墙双向访问控制最佳实践。 背景信息 云下一代防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需整理按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址； 访问互联网业务是否存在限制，是否需要记录上网行为审计； 对外发布业务云主机信息，内网IP及对应公网IP； 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 配置操作 云计算边界扩展要求针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1） 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》 2） 访问互联网业务是否存在限制，是否需要记录上网行为审计； 3） 对外发布业务云主机信息，内网IP及对应公网IP； 4） 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 5） 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 6） 是否有WAF/CDN业务访问，提供源站白名单 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】，详细配置参考配置网络接口属性 3 配置基础准备环境 按需配置对象薄、地址薄等信息登录云墙，【对象】→【服务薄】/【地址薄】，详细配置参考配置服务对象薄 4 配置出向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【源NAT】，详细配置参考配置出站NAT策略 5 配置入向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【目的NAT】，详细配置参考配置入站NAT策略 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考配置出站路由和配置平台默认路由 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本章节主要介绍安全配置。 设置安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道是加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后需要重启对应服务。 详见下表：参数说明 配置参数 说明 缺省值 hbase.rpc.protection 设置HBase通道是否加密，包含HBase客户端访问HBase服务端的RPC（remote procedure call）通道，HMaster和RegionServer间的RPC通道。设置为“privacy”表示通道加密，认证、完整性和隐私性功能都全部开启，设置为“integrity”表示不加密，只开启认证和完整性功能，设置为“authentication”表示不加密，仅要求认证报文，不要求完整性和隐私性。 说明 privacy会对传输内容进行加密，包括用户token等敏感信息，以确保传输信息的安全，但是该方式对性能影响很大，对比另外两种方式，会带来约60%的读写性能下降。请根据企业安全要求修改配置，且客户端与服务端中该配置项需使用相同设置。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 “false” dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。只有在dfs.encrypt.data.transfer配置项设置为true，此参数才会生效。 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 “3des” hadoop.rpc.protection 设置Hadoop中各模块的RPC通道是否加密。包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道。 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 MapReduce访问Yarn，Mapreduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 默认设置为“privacy”表示加密，“authentication”表示不加密。 说明 您可以在HDFS组件的配置界面中设置该参数的值，设置后全局生效，即Hadoop中各模块的RPC通道是否加密全部生效。 安全模式：privacy 普通模式：authentication

本章节为您介绍安全运维相关的内容。 安全运维是对运维人员进行精细化访问控制的模块，包括运维人员管理、数据库账号管理、运维权限管理、实名认证、运维审批等功能。 数据库账号 数据库账号是指访问数据库资产的原始账号。数据库账号模块主要负责管理和配置数据库账号，用户可以创建新的数据库账号，并填写相关信息如资产、数据库类型、账号和密码。同时支持部分数据库类型的密码桥功能，可以通过开启密码桥开关来设置密码桥账号。 说明 目前支持密码桥功能的数据库有：MySQL、Oracle、MSSQL、PostgreSQL、DM、Kingbase、GBase、MariaDB、GaussDB、Greenplum、TiDB、GoldenDB、UXDB、Doris、HighGo、TeledbMySQL、TeledbPostgreSQL。 在左侧菜单栏选择“安全运维 > 数据库账号”进入数据库账号管理页面，您可以进行以下操作： 新增数据库账号：单击列表上方“新增”按钮，填写相关配置，单击“保存”。 配置项 说明 资产 下拉框选择当前系统内已添加的数据库资产。 数据库类型 选定资产后，该字段自动带出。 数据库账号 实现数据模糊化的算法。 密码 非必填项，填写数据库密码。若启用密码桥后，该字段则必填。 密码桥 支持启用或禁用。使用该账号作为密码桥账号。 说明 一个数据库资产有且仅能有一个密码桥账号。 测试连接 测试使用填写数据库账号密码是否能正确连接数据库。 编辑数据库账号：选择需要修改的数据库账号，单击条目右侧的“编辑”，按需修改后单击“保存”。 删除数据库账号：选择需要删除的数据库账号，单击条目右侧的“删除” ；勾选需要删除的数据库账号，单击列表下方的“删除”；在二次确认窗口中单击“确认” 。

本章节为您介绍云安全态势感知基本功能 云安全态势感知页面默认为每天进行扫描并展示最新的扫描结果，其中包括通过率、已通过检查项、全部检查项。 策略管理 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 在页面右上角中，选择“策略管理”。 4. 在页面右侧弹出的对话框中，根据业务需求选择策略管理内容。 5. 策略配置完成后，单击“保存”即可完成策略配置。 检查项扫描 您可以通过人工方式定期执行安全检查项，对云端资产进行全面安全扫描。 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 选择需要执行的检查项，单击“操作”列的“扫描”按钮，在弹出的对话框中，单击“确定”即可开始扫描。 4. 开始扫描后，对应检查项的状态会变为“处理中”。 5. 扫描完成后，状态会变为“已通过”或“未通过”，可单击“操作”列的“详情”查看检查结果。

本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

本文介绍在使用Web应用防火墙（边缘云版）可能出现的问题和排查方法。 上传文件的正常请求被Web应用防火墙（边缘云版）拦截了怎么办？ 正常的上传请求被Web应用防火墙（边缘云版）拦截一般分为以下两种情况 Web应用防火墙（边缘云版）防护节点最大支持300MB的文件上传，当上传大于300MB的文件时就可能会上传失败。建议使用未接入Web应用防火墙（边缘云版）防护的域名上传或者通过FTP攻击上传。 通过浏览器POST请求上传文件时，文件内容会被转码后放在POST请求的body中上传，当转码后的文件出现匹配Web应用防火墙（边缘云版）规则的关键字内容时就有可能被Web应用防火墙（边缘云版）认为有恶意代码触发拦截。遇到这种情况建议将该URL加入到访问控制白名单的放行规则中。 出现登录状态丢失的情况如何解决？ 当接入Web应用防火墙（边缘云版）的域名存在多个源站时，多个源站之间要做登录session同步，不然有可能出现同一个会话请求转发到不同的源站导致登录状态丢失的情况。另外，如果源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 出现长连接请求超时如何处理？ 如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可提交工单联系天翼云客服进行配置。

本文简述如何查看边缘接入服务的计费详情,如何进行服务升级、退订、变更计费方式、变更加速区域等操作。 功能介绍 在计费详情页面，可以查看订购的边缘接入服务的套餐版本、加速区域、套餐内容、套餐内剩余量、已开通的扩展服务、服务生效时间、服务失效时间、当前的服务状态。 在计费详情页面，您还可以对当前订购的边缘接入服务进行服务升级、退订、变更计费方式、变更加速区域等操作。 界面说明 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【计费】【计费详情】页面。 3. 查看已订购边缘接入服务的套餐详情、对边缘接入服务进行服务升级、退订、变更计费方式、变更加速区域等操作。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

vi 1. 源库增加如下内容： logbinmysqlbin serverid1 binlogformatrow 说明： （1）logbin参数的作用是MySQL 会根据这个配置自动设置logbin 为on 状态，自动设置logbinindex 文件为你指定的文件名后跟.index 打开binlog日志。 （2）在生产环境中一般都配置有serverid 值，若该项已有则不做改动，若没有按照上方提供内容添加，且需确保此值为唯一值，不可重复。 （3）仅支持binlog格式级别为row。 1. MySQL 提供一个syncbinlog 参数来控制数据库的binlog 刷到磁盘上去，还需增加如下内容： syncbinlog1 说明： （1）默认syncbinlog0，表示MySQL 不控制binlog 的刷新，由文件系统自己控制它的缓存的刷新。这时候的性能是最好的，但是风险也是最大的。 （2）若syncbinlog>0，表示每syncbinlog 次事务提交，MySQL 调用文件系统的刷新操作将缓存刷下去。最安全的是syncbinlog1，表示每次事务提交，MySQL 都会把binlog刷下去，是最安全但性能损耗最大的设置。 （3）如果是从从库上抽取数据，还需要增加以下的参数值。 logslaveupdates1 根据MySQL 官网介绍，A→B→C。A 作为从B 的master，B 作为从机C 的master。为了使这一点起作用，B 必须既是master 又是slave。必须用log bin 启动A 和B 以启用二进制日志记录，用log slave updates 选项启动B，以便B 将从A 接收的更新记录到其二进制日志中。 2. 修改完以上配置后，重启源库MySQL 服务： systemctl restart mysql 3. 进入到源库MySQL 数据库内，查询并确认binlog 是否开启： mysql> show variables like "log%"; logbin 的value 显示为ON 则表示已开启binlog。 4. 完成MySQL 源机数据库binlog 的开启。 2）源端MySQL 同步DB侧配置 创建远程连接同步用户。 为MySQL 的同步用户的用户名； 为MySQL 的同步用户对应的密码； mysql> create user ' '@'%' identified with mysqlnativepassword by ' '; 2. 赋予源库用户权限： 若授权all privileges 用户权限受阻，则可以参考下发节源MySQL 用户all privileges 权限限制。 mysql> grant all privileges on . to ' '@'%'; 3. 源库刷新权限。 mysql> flush privileges; 4. 可在本机上通过如下命令查看是否可以正常连接： 为源库MySQL 对应的IP 地址。 为源库MySQL 对应的端口号，默认为3306。

vi 1. 源库增加如下内容： logbinmysqlbin serverid1 binlogformatrow 说明： （1）logbin参数的作用是MySQL 会根据这个配置自动设置logbin 为on 状态，自动设置logbinindex 文件为你指定的文件名后跟.index 打开binlog日志。 （2）在生产环境中一般都配置有serverid 值，若该项已有则不做改动，若没有按照上方提供内容添加，且需确保此值为唯一值，不可重复。 （3）仅支持binlog格式级别为row。 1. MySQL 提供一个syncbinlog 参数来控制数据库的binlog 刷到磁盘上去，还需增加如下内容： syncbinlog1 说明： （1）默认syncbinlog0，表示MySQL 不控制binlog 的刷新，由文件系统自己控制它的缓存的刷新。这时候的性能是最好的，但是风险也是最大的。 （2）若syncbinlog>0，表示每syncbinlog 次事务提交，MySQL 调用文件系统的刷新操作将缓存刷下去。最安全的是syncbinlog1，表示每次事务提交，MySQL 都会把binlog刷下去，是最安全但性能损耗最大的设置。 （3）如果是从从库上抽取数据，还需要增加以下的参数值。 logslaveupdates1 根据MySQL 官网介绍，A→B→C。A 作为从B 的master，B 作为从机C 的master。为了使这一点起作用，B 必须既是master 又是slave。必须用log bin 启动A 和B 以启用二进制日志记录，用log slave updates 选项启动B，以便B 将从A 接收的更新记录到其二进制日志中。 2. 修改完以上配置后，重启源库MySQL 服务： systemctl restart mysql 3. 进入到源库MySQL 数据库内，查询并确认binlog 是否开启： mysql> show variables like "log%"; logbin 的value 显示为ON 则表示已开启binlog。 4. 完成MySQL 源机数据库binlog 的开启。 2）源端MySQL 同步DB侧配置 创建远程连接同步用户。 为MySQL 的同步用户的用户名； 为MySQL 的同步用户对应的密码； mysql> create user ' '@'%' identified with mysqlnativepassword by ' '; 2. 赋予源库用户权限： 若授权all privileges 用户权限受阻，则可以参考下发节源MySQL 用户all privileges 权限限制。 mysql> grant all privileges on . to ' '@'%'; 3. 源库刷新权限。 mysql> flush privileges; 4. 可在本机上通过如下命令查看是否可以正常连接： 为源库MySQL 对应的IP 地址。 为源库MySQL 对应的端口号，默认为3306。

采集参数 每个监控项的对应的采集器会定义一些采集参数，用户可以在页面更改采集参数，并且随着心跳参数下发到agent，更改采集行为。比如默认情况，出于安全考虑APM不会采集redis指令里面的内容，如果用户有需求，可以更改监控项的采集参数，实现具体指令数据内容的采集。采集参数也可以定义在环境标签上面，这样打了对应的环境标签自动继承属性，实现配置自动化。 指标集 一个采集器会采集多个指标集的数据。比如Url的采集器会采集Url详情信息，总体调用情况，状态维度的统计等多种维度的统计值，每一种统计值对应一个指标集。同时每一种指标集又包含多种指标，比如Url详情的指标集，会包含url，method，调用次数，错误次数，最慢调用等多种指标，并且每一种指标都对应一种数据类型。 APM指标支持的数据类型包含如下几种： 表 APM指标数据类型 数据类型 描述 说明 ENUM 枚举类型 代表字段为主键类型比如Url监控的url、method指标属于主键，其他调用次数等指标都是与url和method相对应 INT 整数类型 最大支持8字节长整类型 DOUBLE 浮点数据 8字节浮点数 STRING 字符串类型 最大长度1024 CLOB 大字符串类型 最大支持1M DATETIME 时间类型 在显示界面自动展示成时间格式

筛选条件用于筛选符合场景中过滤条件的结果，呈现匹配的结果列表。 例如筛选条件添加产品名称和资源类型两个条件，属性分别为“企业主机安全”和“云服务器”，则匹配的结果必须同时符合这两个条件属性。 目前可添加的条件及属性如下： 标题：检测结果的标题内容，可输入关键字。默认按标题搜索。 严重等级：检测结果的风险等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 业务领域：检测结果所属业务领域，包括“威胁告警”、“漏洞”、“合规检查”、“违法违规”、“风险”、“舆情”、“安全公告”。 状态：用户对检测结果的处理状态，包括“未处理”、“已忽略”、“已线下处理”。 资源名称：检测结果来源资源的名称，需输入资源名称。 资源类型：检测结果来源资源的类型，包括“云服务器”、“虚拟私有云”、“安全组”、“弹性公网IP”、“磁盘”、“其他”。 公司名称：检测结果来源产品所属公司，需输入公司名全称。 产品名称：检测结果来源安全产品，需输入产品名全称。 约束限制 一个筛选条件仅能包含一组“标题”关键字。 一个筛选条件仅能包含一个“资源名称”。 一个筛选条件仅能包含一个“公司名称”。 一个筛选条件仅能包含一个“产品名称”。 创建筛选条件 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 添加筛选条件。 在筛选框添加过滤条件，添加一项或多项过滤条件，并配置相应条件属性。 在时间筛选框中，选择时间范围。 5. 单击筛选框后“保存”，弹出筛选条件保存窗口。 6. 配置筛选条件信息。 设置“场景名称”，自定义筛选条件名称。 （可选）勾选“设为默认筛选条件”。 7. 单击“确定”，返回全部结果列表页面，即可在场景列框查看新建的筛选条件。

本节主要介绍购买分布式关系型数据库的相关内容。 说明 购买前保持天翼云账户余额大于购买资源费用。 第一步：登录天翼云账号； 打开< 第二步：选择分布式关系型数据库，点击立即开通； 第三步：按照购买选项依次选择计费模式，区域、实例名称、节点规格、节点个数、虚拟私有云、安全组、参数模板、订购时长等参数，选择完成确认无误后点击右下角立即购买即可。 下单完成后约35分钟后创建实例成功。

策略条件 配置字段 是否必填 配置说明 触发校验 是 若配置策略触发条件为登录时校验，则该策略会在登录时进行校验。若配置的是周期性检测，则会在访问过程中周期性触发校验。 条件匹配 是 需要根据条件进行配置（可配置维度见下方），可配置“且”或者“或”。 条件匹配内容： 一级 二级 说明 访问行为 访问时间 配置可访问或不可访问的时间。 访问行为 访问IP 设置可访问或不可访问的IP。 访问行为 访问地点 设置可访问或不可访问的地点。 访问行为 异常行为 根据历史常用的登录时间、登录IP、访问IP、登录地点等多维条件进行综合研判，若非常用行为，则判断为异常。 设备信息 操作系统版本 可选择Mac、Windows、Linux、XC等多个不同的操作系统版本。 设备信息 Mac地址 设置可访问或不可访问的Mac地址。 安全风险 指定运行的杀毒软件 可选择常用的杀毒软件。 安全风险 计算机开启高危端口 可选择计算机各类高危端口。 合规风险 合规风险等级 根据合规检测设置的维度进行等级划分。 合规风险 合规风险行为 可选择常用的如开启FTP服务、开启Telnet服务等行为。

3.产品优势 1） 文档解析能力 更适配企业复杂文档（如技术手册、财务报表），支持 Word/Excel等多文件格式及多级标题、复杂表头拆分内容解析（准确率≥96%），无需额外配置或付费。避免知识碎片化，降低人工修正成本。 2）检索能力融合向量检索与全文检索，支持 Query 改写与多源检索（知识库+在线+大模型），秒级返回高关联结果。减少信息遗漏，提升检索精准性与决策效率。 3）权限管控与安全 提供 3 级角色权限，按部门/岗位隔离知识库。无需依赖第三方服务，有效防范数据泄露。 更多产品具体使用方法请参考附件。 如意宝典应用产品使用手册V1.0.pdf

计费流程 标准资费 如果您需要了解关于不同版本支持的基础服务与增值服务的详细情况，请参见套餐和版本说明。 套餐规格 标准资费（元/月） 套餐主要内容 体验版 399 业务带宽：10Mbps；防护域名数：1个域名 基础版 1660 业务带宽: 50Mbps ；防护域名数：1个主域名及该主域名下的9个子域名防护 标准版 3560 业务带宽: 100Mbps ；防护域名数：1个主域名及该主域名下的9个子域名防护 专业版 8560 业务带宽: 150Mbps ；2个防护域名数：2个主域名及该主域名下的18个子域名防护 旗舰版 19660 业务带宽: 300Mbps ；防护域名数：3个主域名及该主域名下的27个子域名防护 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 扩展服务 标准资费（元/月） 功能描述 API安全 13500 API资产高可见性和持续安全检测。 Bot管理 3500 针对自动化攻击/Bot流量的智能防护方案。 智能负载均衡 1000 智能负载均衡，通过多节点智能接入技术，助力客户业务支持多节点、多线路自动调度容灾，提供缓存功能。 可视化大屏服务 1500 提供网站整体业务及安全状况的可视化大屏分析。 安全VIP服务 10000 7×24安全值守服务；对接入域名评估与加固指导；对重点系统进行安全体检；根据业务情况，定制整体防护方案，服务支撑；在重保期间按需提供724小时安全专家在线值守，对安全事件进行及时响应。 带宽扩展 18/Mbps 实际业务带宽超过了产品套餐支持的带宽，可购买带宽扩展进行补充。带宽扩展包不享受包年折扣。 域名扩展基础版 300 支持1个主域名及该主域名下的9个子域名防护。 域名扩展标准版 600 支持1个主域名及该主域名下的9个子域名防护。 域名扩展专业版 1000 支持1个主域名及该主域名下的9个子域名防护。 域名扩展旗舰版 2000 支持1个主域名及该主域名下的9个子域名防护。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云CDN控制台开启HTTPS协议，可实现客户端和天翼云CDN节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在CDN节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向CDN节点发起HTTPS请求。 2. CDN节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给CDN节点。 4. CDN节点使用对应私钥进行解密，得到密钥。 5. CDN节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对CDN节点传输的加密数据进行解密，从而获取相应数据。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 单击【保存】，完成配置。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 通知和告警”，进入“通知和告警”页面。 3. 在右侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4. 单击“保存”完成邮件服务器配置。 5. 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确。 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。