说明：本章节会介绍如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本章节主要介绍如何添加安全组规则。 安全组的默认规则是在出方向上的数据报文全部放行，安全组内的物理机无需添加规则即可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 说明 在创建物理机时只能添加一个安全组。物理机创建完成后，可以在详情页面修改每个网卡对应的安全组。 当需要从安全组外访问安全组内的物理机时，需要为安全组添加相应的入方向规则。建议将不同公网访问策略的物理机划分到不同的安全组。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的物理机。 1．登录天翼云，进入控制中心。 2．在系统首页，单击“计算 > 物理机服务”。 3．在物理机列表，单击待变更安全组规则的物理机名称，系统跳转至该物理机详情页面。 4．选择“安全组”页签，并单击 ，查看安全组规则。 5．单击安全组ID，系统自动跳转至安全组页面。 6．单击“添加规则”，添加安全组规则，相关参数说明如下表所示。 参数 说明 取值样例 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 方向 安全组规则生效的方向，取值范围：入方向，出方向。入方向指从外表进入安全组的流量，出方向指从安全组内出去的流量。 Inbound 端口范围 规则的端口范围，取值范围为：0～65535。 22或2230 源地址 当方向为入方向时，需要填入此参数。源地址可以是IP地址，也可以是安全组。 0.0.0.0/0 目的地址 当方向是出方向时，需要填入此参数。目的地址可以是IP地址，也可以是安全组。 0.0.0.0/0

安全原则 定期审查和更新安全组规则：定期审查安全组规则，确保只有必要的端口和IP地址被允许访问。如果某些规则不再需要或存在安全风险，及时进行更新和删除。 启用日志记录和监控：开启安全组的日志记录功能，对网络流量进行审计和监控。及时发现潜在的安全问题，并采取相应的措施。 使用网络安全组合ACL：结合使用网络安全组合ACL（Access Control List），可以在更细粒度的网络层面控制流量，提供额外的安全层。 变更安全组规则 用户可以参照配置安全组规则来进行安全组规则的配置，如果要变更安全组规则，需要注意变更安全组规则可能会影响用户实例间的网络通信，通常我们会选择放行必要的实例，再执行安全组策略收紧变更来保证必要的网络通信。 将需要互通访问的实例加入到一个新建的安全组，再执行变更操作。 如果授权类型为安全组访问，则将需要互通访问的对端实例所绑定的安全组ID添加为授权对象。 如果授权类型为地址段访问，则将需要互通访问的对端实例内网IP添加为授权对象。

分类和映射 分类和映射是指对云服务告警进行类型匹配和字段映射。 安全编排 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力（即应用）和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。 安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。 剧本 剧本（Playbook）是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 流程 流程（Workflow）是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。

本文将为您介绍边缘安全加速平台提供的态势感知大屏功能。 功能介绍 边缘安全加速平台安全与加速服务提供态势感知大屏功能，从安全与加速、Web防护、DDoS防护、CC防护以及Bot防护帮助用户全方位掌握业务安全的整体态势。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，态势感知将对已接入域名进行数据监测，请参见添加服务域名。 购买大屏服务扩展项，支持态势感知大屏功能。 态势感知首页 首页从运营管理>态势大屏进入，为具备动态科技感的边缘安全加速平台拓扑图，主要功能有： 若统计期间内有攻击流量产生，此页面将出现红色告警提示并有红色线条指向对应的安全边缘节点，绿色线条则为正常流量； 标题：标题支持自定义，支持输入中英文字符，最多可输入20个； 提供五个大屏的入口，分别为：安全与加速大屏、DDoS态势感知大屏、CC安全态势感知大屏、Web安全态势感知大屏、BOT安全态势感知大屏，点击对应的大屏悬浮框，将跳转至新页面为您展示安全态势。

本章节主要介绍天翼云大数据平台 翼MapReduce产品的安全增强特性。 天翼云大数据平台 翼MapReduce支持海量数据存储、海量数据分析、实时处理等行业应用，平台具备高安全性。该产品主要从以下几个方面保障用户可以安全地存储、使用数据以及运行业务。 网络隔离 系统部署在用户在公有云上专享的虚拟私有云中，提供安全隔离的网络环境，保证用户大数据集群的业务、管理的安全性。通过结合虚拟私有云的子网划分、路由控制、安全组等功能，可以为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务目前支持用户在天翼云4.0资源池内专属化部署，服务使用到的云主机在IaaS层保证资源隔离，资源组合上确保专属计算资源+专属存储资源。 主机安全 翼MR支持与天翼云官网安全服务集成，支持漏洞扫描、安全防护、应用防火墙、云堡垒机、网页防篡改等。针对云主机，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 云主机监控 防DDoS攻击 定期备份数据 增加登录密码强度 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别与认证 Web应用安全 访问控制 审计安全 密码安全

本文帮助您快速熟悉修改安全组规则的操作场景和操作流程。 操作场景 当安全组规则创建成功后，针对不满足当前业务需求的访问控制规则，您可以选择修改规则操作，保障云服务器的安全及正常业务运行。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要复制规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在“安全组”详情界面，选择安全组规则所属方向，找到需要修改的安全组规则所在行。 7. 单击操作列的“修改”，根据页面提示信息进行修改。安全组规则参数的详细介绍，请参见添加安全组规则页面。 8. 点击“确定”按钮。修改完成后，安全组中的云服务器将根据修改后的规则进行业务流量控制。

此小节介绍什么是企业主机安全。 企业主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 HSS不受地理位置影响，为主机、容器等提供统一的可视化和控制能力。 HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等，保护工作负载免受攻击。 主机安全 主机安全是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

本文主要介绍安全组检查。 检查项内容 检查当前用户节点安全组是否允许Master节点使用ICMP协议访问节点。 解决方案 请登录VPC控制台，前往“访问控制>安全组”，在搜索框内输入集群名称，此时预期过滤出两个安全组： 安全组名称为“集群名称nodexxx”，此安全组关联CCE用户节点。 安全组名称为“集群名称controlxxx”，此安全组关联CCE控制节点。 单击node用户节点安全组，确保含有如下规则允许Master节点使用ICMP协议访问节点。 若不含有该规则请为node安全组添加该放通规则，源地址选择control安全组，描述信息为"Created by CCE,please don't modify! Used by the master node to access the worker node."。

此章节为您介绍如何更改云堡垒机的安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 使用云堡垒需要设置安全组，详见安全组策略设置： 方式一：配置安全组规则，具体操作请参见修改安全组规则。 方式二：切换安全组，若因安全组限制无法修改安全组规则，可以选择更改安全组。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需要更改安全组的堡垒机实例，在实例详情页单击按钮。 4. 在弹出的对话框中选择需要更改的安全组，选择完成后单击“保存”即可完成安全组的修改。

本文帮助您快速熟悉删除安全组规则的操作场景和操作流程。 操作场景 当您不再需要某些安全组规则去控制云主机之间的访问控制，您可以删除掉相应的安全组规则并创建新的规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页。 6. 在安全组详情界面，选择目标安全组规则，执行删除动作： 批量删除：选择需要删除的多条安全组规则，单击左上方的【删除】按钮，支持批量删除安全组规则。 单次删除：选择需要删除的单条安全组规则，单击目标规则所在行的【删除】按钮，支持逐条删除规则。 7. 确认目标安全组规则选择无误后，单击“确定”按钮。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 6 （可选）参考角色管理，根据业务需要，创建角色。 步骤 7 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 8 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 9 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 10 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本节介绍管理员可以在安全组中定义各种访问规则，以及管理安全诅。 操作场景 云手机如果需要加强安全防护，实现访问控制，则需要管理员在安全组中定义各种访问规则，当云手机加入该安全组后，即受到这些访问规则的保护。 新增安全组 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.单击“新增安全组”，弹出“添加安全组”对话框； 4.设置出方向和入方向的访问控制； 5.确认相关的配置信息，点击“确定”，即完成安全组的新增。 删除安全组 当需要删除指定安全组时，如果该安全组已绑定策略使用，则需要先从策略管理中解除该安全组的绑定。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要删除的安全组所在行，单击“删除”。弹出“安全组删除”对话框； 4.单击“确定”，安全组即删除成功。 配置规则 当需要修改定安全组配置规则时，可以进行安全组规则的添加、修改、删除。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要修改的安全组所在行，单击“配置规则”。进入“安全组详情”页面； 4.在“安全组详情”页面，管理员可以对已有规则进行”修改“或”删除“； 5.在“安全组详情”页面，管理员可以单击”添加规则“，弹出“添加方向规则”对话框，进行规则配置； 6.单击“确定”，即可以完成安全组规则修改。

漏洞扫描服务有哪些扫描 IP？ 安全体检产品需要对互联网IP进行安全扫描。如果您的服务器有相关防护措施或者限制了访问的IP，为保证体检的正常进行，建议您将以下IP地址加到白名单。 安全体检产品扫描出口IP为：117.88.244.141。 安全体检的结果应该如何处理？ 一旦安全体检完成，组织需要采取以下步骤： 1. 优先级排序：根据漏洞的严重程度和潜在影响为每个漏洞分配优先级。 2. 制定计划：创建一个具体的行动计划来修复漏洞，包括分配资源和设定修复期限。 3. 修复验证：修复后重新进行扫描，确保漏洞已被成功解决。 4. 持续监测：建立持续的安全监测机制，确保系统的安全状态。 安全体检会对业务运营产生影响吗？ 大多数现代的安全体检工具设计为尽量减少对业务运营的影响。然而，在进行安全体检时，仍然需要注意以下几点： 计划时间：选择非高峰时段进行体检，以减少对正常业务的影响。 性能考量：确保工具的使用不会导致网络拥塞或系统性能下降。 资源调配：合理安排人力资源，确保体检过程中出现问题时能够迅速响应。 安全体检可以完全防止数据泄露吗？ 虽然安全体检是预防数据泄露的重要步骤之一，但它并不能保证完全防止数据泄露。这是因为新的漏洞可能随时出现，而且安全体检工具只能检测到已知的安全问题。为了进一步增强安全性，组织还需要结合其他安全措施，例如员工培训、访问控制策略、加密技术和事件响应计划等。

本文站在新手的角度,从了解安全与加速基本概念开始,到基础的开通和域名接入,再深入到安全策略配置,递进式指引帮助零基础用户快速上手和使用安全与加速服务。 安全与加速基本概念 面向对象：首次使用边缘安全加速平台—安全与加速服务的客户。 初识WAF 说明 相关文档 ::: 什么是边缘安全加速平台？ 通过介绍边缘安全加速平台，主要功能和应用场景，帮助首次使用边缘安全加速平台的客户全面认识产品。 什么是边缘安全加速平台 为什么需要边缘安全加速平台？ 通过详细介绍产品优势，帮助客户全面了解边缘安全加速平台能解决的业务问题。 产品优势 安全与加速服务如何计费？ 详细介绍天翼云边缘安全加速平台—安全与加速服务支持的计费方式，指导客户如何选择合适的计费方式。 产品计费 基本概念 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼相关专业术语并提供解释说明。 基本概念

本文介绍流量包资费。 销售品名称 规格（GB） 标准资费价格 安全加速流量包 100 17元 安全加速流量包 500 85元 安全加速流量包 1000 170元 安全加速流量包 5000 850元 安全加速流量包 10000 1700元 安全加速流量包 50000 7650元 安全加速流量包 200000 25500元 安全加速流量包 1000000 127500元

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 说明：安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

安全评估接入流程说明，帮助您全面检查业务脆弱性。 托管检测与响应服务团队通过安全评估服务，对用户托管服务范围内的资产安全状况进行整体评估，扫描分析资产脆弱性。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见购买安全评估 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见获取安全评估服务序列号 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

本章节为您介绍如何登录综合安全网关实例。 综合安全网关是一款专为解决网络间安全互联而设计的高性能安全产品。 它基于SSL协议，能够在不可信的公共网络上建立安全、加密的通信隧道，确保数据的机密性和完整性。 该产品提供了强大的身份认证机制，支持多种认证方式，如密码、智能卡和生物识别等，有效防止未经授权的访问。 此外，综合安全网关还具有灵活的访问控制策略，可以根据用户身份和设备类型授予不同的访问权限，保护企业内部资源的安全。它易于部署和管理，支持各种操作系统和移动设备，满足远程办公和移动办公的需求，广泛应用于企业、政府机构和教育领域。 您成功购买综合安全网关服务实例后，可在天翼云密码服务管理控制台登录。 开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络配置是否允许访问综合安全网关，并参考下表配置实例安全组。 注意 您需要在对接综合安全网关实例的安全组下放通以下IP： 100.89.0.0/16 如何添加安全组规则请参考：添加安全组规则章节。 端口 端口用途 18443 使用综合安全网关的SSL VPN服务必开的端口。 1844418454 此端口范围为您新增网关安全服务时预留的端口范围，请您按需选择。

本文主要介绍更改集群节点的默认安全组。 操作场景 集群在创建时可指定自定义节点安全组，方便统一管理节点的网络安全策略。对于已创建的集群，支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个，否则可能引起安全组性能下降。 不支持指定Master节点的安全组，同时请谨慎修改集群Master节点的安全组规则。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理”。 步骤 2 单击集群名称，查看“集群信息”页面。 步骤 3 在“网络信息”中单击“节点默认安全组”后的按钮。 步骤 4 选择一个已有的安全组，并确认安全组规则满足集群要求后，单击“确定”。 注意 请确认选择的安全组设置了正确的端口规则，否则将无法成功创建节点。安全组需要满足的端口规则根据集群类别存在差异，详情请参见帮助中心> 常见问题> 网络规划。 新安全组只对新创建或纳管的节点生效，存量节点需要手动修改节点安全组规则，j即使对存量节点进行重置，也仍会使用原安全组。

此小节介绍企业主机安全创建安全报告。 若已有模板的报告类型和报告内容无法满足您对安全报告的订阅需求，您可通过该章节创建需要生成报告的周期和内容。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、创建新报告 按模板创建按月或按周的安全报告 单击按月或按周模板报告中的“复制”（按需选择即可），进入报告基本信息配置页面。 自定义创建其他周期的安全报告 单击页面中的“创建新报告”，进入报告基本信息配置页面。 自定义创建报告 6、对报告基本信息进行配置，参数说明如表所示。 编辑报告基本信息 报告基本信息参数说明 参数名称 参数说明 取值样例 报告名称 默认的报告名称。 ecs security report 报告类型 报告的统计周期类型名称。 安全日报（统计周期为每天00：0024：00） 安全周报（统计周期为周一00：00周日24：00） 安全月报（统计周期为每月1号00：00月度最后一天24：00） 自定义报告（自定义统计周期，周期范围应介于1天（包含）至3个月（包含）之间。 所有类型报告将在生成后的次日自动发送至您设置的报告接收人。 安全月报 报告发送时间 报告自动发送时间。 报告接收方式 生成的安全报告接收方式。 消息中心：使用消息中心和其它安全服务共同使用“安全事件通知”的信息接收人。需登录控制台，在右上角信箱查看。 消息主题：为HSS单独创建的主题，设置告警通知接收人。可选择短信或邮件接收通知。 无需发送到邮箱：不发送报告至邮箱。 消息中心 7、确认信息无误，单击页面右下角“下一步”，配置报告内容。 8、在左侧勾选需要生成的报告项，右侧可预览，确认无误，单击右下角“保存”，开启安全报告的订阅。

本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

边缘安全加速平台—安全与加速服务的计费项有哪些？ 边缘安全加速平台安全与加速计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 如何申请免费试用边缘安全加速平台？ 边缘安全加速平台暂时不支持官网自助开通试用，如果您需要开通试用，请通过提交工单给天翼云客服，天翼云技术支持将会为您开通。 如何关闭边缘安全加速平台安全与加速服务或停止计费？ 开通边缘安全加速平台安全与加速服务后，只要不添加域名，就不会产生计费。 如果您已经添加了域名，您可以登录边缘安全加速控制台，进入接入管理域名接入域名管理页面，可参考以下方式停止计费： 停用域名：对域名进行停用操作后，天翼云接入层CNAME将立刻解析至不可访问地址。请参见停用域名。 删除域名：删除按钮只能在域名状态为“已停止”时可见，请参见删除域名。

本章节会介绍如何修改数据库安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 注意事项 开启读写分离功能后，如果需要修改实例安全组，请联系客服申请。 读写分离开启状态下修改主实例的安全组，会同时修改只读实例的安全组，只读实例不允许单独修改。请提前检查修改后的安全组配置是否符合预期，避免对现有业务产生影响。 RDS实例所绑定的安全组可以进行添加、修改安全组规则、删除等操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“安全组”处，单击“管理”。 您可以同时勾选多个安全组，数据库实例的访问规则先根据绑定安全组的顺序，再根据组内规则的优先级生效。 如需创建新的安全组，请单击“创建安全组”。 说明 使用多个安全组可能会影响网络性能，建议您选择安全组的数量不多于5个。 步骤 6 单击“是”，提交修改。 结束

本文介绍了访问RDSPostgreSQL实例应该如何配置安全组。 RDSPostgreSQL配置安全组具体步骤如下： 1. 如要连接RDSPostgreSQL实例，则需要配置安全组规则，实例默认绑定默认安全组和规则。 2. 将ECS或本地设备IP地址及目标实例端口加入安全组允许访问范围中。 3. 安全组配置可参考安全组简介。 4. 关于修改实例安全组的方法，详见修改实例安全组。

本文主要介绍如何更改安全组。 背景说明 安全组是一个逻辑上的分组，为同一个虚拟私有云VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用应用一致性备份需要的端口，以免应用一致性备份失败。 操作说明 使用应用一致性备份前需要先更改安全组。云主机备份为了您的网络安全考虑，在使用前未设置安全组入方向，需要您手动进行配置。 安全组的出方向需要设置允许100.125.0.0/16网段的165535端口，入方向需要设置允许100.125.0.0/16网段的5952659528端口。出方向规则默认为0.0.0.0/0，即数据报文全部放行。若未修改出方向默认规则，则无需重新设置。 操作步骤 步骤1、登录弹性云主机控制台。 登录管理控制台。 单击管理控制台右上角的，选择区域和项目。 选择“计算 > 弹性云主机”。 步骤2、单击左侧导航树中的“弹性云主机”，在服务器界面选择目标服务器。进入目标服务器详情。 步骤3、选择“安全组”页签，选择目标安全组，弹性云服务器界面单击列表右侧“更改安全组规则”。 步骤4、在安全组界面，选择“入方向规则”页签，单击“添加规则”，弹出“添加入方向规则”对话框。选择“TCP”协议，在“端口”中输入“5952659528”，在源地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成入方向规则设置。 步骤5、选择“出方向规则”页签，单击“添加规则”，弹出“添加出方向规则”对话框。选择“TCP”协议，在“端口”中输入“165535”，在目的地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成出方向规则设置。

本章节介绍如何为数据库安全审计实例所在的安全组添加TCP协议（8000端口）和UDP协议（70007100端口）。 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（70007100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 说明 安全组规则也可以在成功安装Agent后进行添加。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 添加安全组规则 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入“数据库列表”界面。 5. 在“选择实例”下拉列表框中，选择需要添加安全组规则的数据库所属的实例。 6. 在数据库列表的上方，单击“添加安全组规则”。 7. 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default）。 8. 单击“前往处理”，进入“安全组”列表界面。 9. 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 10. 单击“default”，进入“基本信息”页面。 11. 选择“入方向规则”，检查安全组的入方向规则。请检查该安全组的入方向规则是否已为

本文介绍Redis如何配置安全组 客户端只能部署在与Redis缓存实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（CTECS）上。 除了CTECS、Redis缓存实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问Redis缓存实例。 如果CTECS、Redis缓存实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。 如果CTECS、Redis缓存实例配置了不同安全组，可参考如下配置方式： 说明： 假设CTECS、Redis缓存实例分别配置了安全组：sgsCTECS、sgsDCS。 以Redis访问端口33016为例，其它实例请以实际情况为准。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Redis缓存实例。如果出方向规则不受限，则不用添加。 配置Redis缓存实例所在安全组。Redis实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。

修改ECS的安全组规则（管理控制台） 本节介绍登录管理控制台后修改ECS安全组规则的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在ECS详情页，单击安全组页签。 进入安全组列表页。 2. 单击具体的安全组名。 3. 单击“更改安全组规则”。 进入安全组详情页。 注：BMS的操作步骤： 1. 请单击表格中左上角的安全组ID。 2. 在对应安全组“操作”列单击“配置规则”。 3. 在“出方向规则”页签下单击“添加规则”。 4. 按下表所示添加规则。 表 安全组规则 协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。

使用数据库备份前需要先更改安全组。本章节介绍如何手动配置更改安全组。 背景说明 安全组是一个逻辑上的分组，为同一个虚拟私有云VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用数据库备份需要的端口，以免数据库备份失败。 操作说明 使用数据库备份前需要先更改安全组。云主机备份为了您的网络安全考虑，在使用前未设置安全组入方向，需要您手动进行配置。 安全组的出方向需要设置允许100.125.0.0/16网段的165535端口，入方向需要设置允许100.125.0.0/16网段的5952659528端口。出方向规则默认为0.0.0.0/0，即数据报文全部放行。若未修改出方向默认规则，则无需重新设置。 操作步骤 步骤1、登录弹性云主机控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“计算 > 弹性云主机”。 步骤2、单击左侧导航树中的“弹性云主机”，在服务器界面选择目标服务器。进入目标服务器详情。 步骤3、选择“安全组”页签，选择目标安全组，弹性云服务器界面单击列表右侧“更改安全组规则”。 步骤4、在安全组界面，选择“入方向规则”页签，单击“添加规则”，弹出“添加入方向规则”对话框。选择“TCP”协议，在“端口”中输入“5952659528”，在源地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成入方向规则设置。 步骤5、选择“出方向规则”页签，单击“添加规则”，弹出“添加出方向规则”对话框。选择“TCP”协议，在“端口”中输入“165535”，在目的地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成出方向规则设置。

介绍分布式消息服务RocketMQ的安全方案,包括支持TLS传输加密、权限控制、Topic资源访问权限控制等内容。 安全价值 RocketMQ的安全对用户有以下几个重要价值： 1. 保护数据安全：RocketMQ的安全机制可以保护消息的机密性和完整性，防止敏感数据泄露或被篡改。这对于处理包含个人信息、商业机密等敏感数据的应用程序非常重要。 2. 防止未经授权的访问：RocketMQ的访问控制功能可以限制对消息队列的访问权限，只有具有相应权限的用户才能发送和消费消息。这可以防止未经授权的用户访问和操作消息队列，保护系统的安全性。 3. 合规性要求：对于一些行业和法规要求较高的场景，如金融、医疗等，RocketMQ的安全特性可以帮助用户满足合规性要求，确保数据的安全和合规性。 4. 提供安全审计功能：RocketMQ的安全审计功能可以记录和追踪对消息队列的操作，包括发送、消费、订阅等。这可以帮助用户监控和检测潜在的安全风险，及时发现和应对安全事件。 5. 增强用户信任：通过提供安全性能和功能，RocketMQ可以增强用户对系统的信任感。用户可以放心地使用RocketMQ来处理重要的消息传输和处理任务，而不必担心数据的安全问题。 综上所述，RocketMQ的安全性对用户来说具有重要的价值，可以保护数据安全，防止未经授权的访问，满足合规性要求，提供安全审计功能，并增强用户对系统的信任感。