本文介绍了如何配置对WebSocket应用进行加速。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持对WebSockett协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有WebSocket加速，您无需拆分域名，使用天翼云边缘安全加速平台安全与加速服务就可以实现对域名下http/https协议的应用和WebSocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，WebSocket协议的应用多为动态业务，对实时性要求很高，天翼云边缘安全加速平台安全与加速服务的动态探测选路能力可以为WebSocket应用选择最快的回源路径，提升WebSocket业务的访问效果。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版以及以上版本。 配置说明 1.登录边缘安全加速平台控制台。 2.在【域名】【基础配置】页面，点击目标域名。 3.进入WebSocket页面，单击“编辑配置”。 4.开启WebSocket功能开关，开启后默认连接超时时间5秒、请求超时时间15秒。 配置页面 参数名 说明 WebSocket回源连接超时时间 WebSocket回源连接超时时间的配置范围支持1~300秒。

本节主要介绍修改实例安全组。 操作场景 GeminiDB Influx支持修改安全组。 使用须知 对于进行节点扩容中的实例，不可修改安全组。 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在左侧导航树，单击“连接管理”。 5. 在“内网安全组”区域，单击，选择实例所属安全组。 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 6. 稍后可在“安全组”区域，查看修改结果。

步骤3：网络配置 设置网络，包括“虚拟私有云”、“安全组”、“网卡”等信息。 参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

海光安全增强型（邀测中） 海光安全增强型搭载海光处理器，云主机实例独享CPU，支持海光最新一代安全加密虚拟化技术CSV3.0，确保敏感数据在计算全流程中可用不可见，满足企业国产化转型的安全需求。 海光安全增强型适用于涉及个人身份信息、医疗保健、金融和知识产权数据等敏感信息的场景，多方计算中需要共享机密数据场景，区块链场景，机密机器学习场景，高安全可信要求场景（如金融、政务、企业等），各种类型与规模的安全企业级应用。 规格特点 格名称 计算 磁盘类型 网络 安全 海光安全增强计算型hc4t（邀测） 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2128 3.处理器：Hygon C86 7493 4.基频：2.9GHz 1.普通IO 2.高IO 3.通用型SSD 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：300万PPS 3.最大内网带宽：30Gbps 支持安全加密虚拟化（China Secure Virtualization，简称 CSV) 海光安全增强内存型hm4t（邀测） 1.CPU/内存配比：1:8 2.vCPU数量范围：264 3.处理器：Hygon C86 7493 4.基频：2.9GHz 1.普通IO 2.高IO 3.通用型SSD 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：250万PPS 3.最大内网带宽：25Gbps 支持安全加密虚拟化（China Secure Virtualization，简称 CSV)

本节主要介绍VPC内访问DCS缓存实例时如何配置安全组。 安全组配置和选择 由于Redis 3.0和Redis 4.0/5.0/6.0实例的部署模式不一样，DCS在控制访问缓存实例的方式也不一样，差别如下： Redis 3.0：通过配置安全组访问规则控制，不支持白名单功能。安全组配置操作请参考本章节操作。 Redis 4.0/5.0/6.0：不支持安全组，只支持通过白名单控制。 VPC内访问Redis 3.0实例 客户端只能部署在与DCS缓存实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（ECS）上。 除了ECS、DCS缓存实例必须处于相同VPC和相同子网之外，还需要将安全组分别配置了正确的规则，客户端才能访问DCS缓存实例。 如果ECS、DCS缓存实例配置了相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。 如果ECS、DCS缓存实例配置了不同的安全组，可参考如下配置方式： 说明 假设ECS、DCS缓存实例分别配置了安全组：sgECS、sgDCS。 假设DCS缓存实例服务端口为6379。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 a. 配置ECS所在安全组。 ECS所在安全组需要增加出方向规则，以保证客户端能正常访问DCS缓存实例。如果出方向规则不受限，则不用添加。 b. 配置DCS缓存实例所在安全组。 DCS实例所在安全组需要增加入方向规则，以保证能被客户端访问。 注意 缓存实例的入方向规则中，远端地址建议使用与子网同网段的IP地址。 慎用“0.0.0.0/0”，避免绑定相同安全组的弹性云主机遭受Redis漏洞攻击。

边缘安全加速平台—安全与加速服务提供一站式安全与加速服务,支持DDoS防护、WAF、Bot防护、访问控制/限流等。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景： 功能模块 功能说明 详情链接 DDoS防护 依托于边缘清洗节点，能够承载T级以上DDoS攻击，百G抗D节点地市级覆盖，全网总防护能力可达10Tbps。 DDoS防护 Web防护 实时检测恶意请求并及时处理，帮助用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 Web防护 Bot防护 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫。 Bot防护 访问控制/限流 []( 访问控制/限流 API安全 支持管理和识别API资产、帮助用户实时查看API的业务运行情况，同时帮助用户发现和分析业务异常。 API安全 漏洞扫描 []( [](

约束与限制 默认策略不支持删除。 停用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“停用策略”，弹出“停用策略”对话框。 6、确认信息无误后，单击“确认”，完成停用。 启用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“启用策略”，弹出“启用策略”对话框。 6、确认信息无误后，单击“确认”，完成启用。 编辑策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“编辑策略”，弹出“编辑防护策略”对话框。 6、配置策略。可修改策略名称、防护端口、源IP白名单。 7、单击“下一步”。 8、选择绑定服务器。 9、单击“确认”，完成编辑。

托管检测与响应服务（原生版）应用场景介绍，帮助您了解如何选购本产品。 日常安全运营支撑 监控用户资产安全状况，发现各类安全威胁进行及时响应；提供产品咨询、技术支持、产品联动处置问题支持、产品故障/BUG解决等服务。 安全运营托管场景 基于丰富的云安全运营经验积累，面向云环境提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力，集威胁分析、攻击面梳理、漏洞管理、应急响应等功能于一体，为用户及时发现、有效分析、闭环处理安全问题，有效防护威胁，降低用户运营成本，为用户资产提供持续有效的安全保障。 关键时期重保场景 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。包括：监测分析、应急处置、攻击反制、设备布防、漏洞加固、基线评估、弱口令评估、敏感信息评估、安全意识培训、蜜罐运营等。 应急响应场景 针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。在客户已知或怀疑系统被攻击的情况下，可委托我方工程师对系统进行排查和处置。

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

本章节为您简单介绍数据安全运营中心内容。 天翼云数据安全运营中心是一个针对大数据汇聚、流动及交换共享过程中产生的数据安全风险推出的数据全流域安全管控方案，管控平台利用复杂系统建模方法和大数据智能分析，提供流动数据风险治理、数据安全合规监管能力。从数据、接口、人员三个视角建立规则模型，对数据归集、处理、共享、交换场景下的数据风险进行全域治理和合规监管，对发现的网络风险和数据安全风险进行及时预警和通报，建立适应数据动态流动的安全管控机制。 以管控平台为基础工具，可以建立数据层面从【资产识别】→【风险分析】→【监测预警】→【响应处置】→【工单管理】的数据安全监督管控闭环。

创建安全组 说明 仅Redis 3.0实例需要安全组。 步骤 1 登录虚拟私有云管理控制台。 步骤 2在左侧导航选择“访问控制 > 安全组”，单击“创建安全组”。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 创建安全组时，“模板”选择“自定义”。 安全组创建后，请保留系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。 使用DCS服务要求必须添加下表所示安全组规则，其他规则请根据实际需要添加。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 6379 0.0.0.0/0 通过内网访问Redis 3.0。 结束 申请弹性公网IP（可选） 说明 仅创建Redis 3.0实例，且需要通过公网访问DCS时，需要申请弹性公网IP，否则不需要申请弹性公网IP。 步骤 1 登录管理控制台。 步骤 2 单击页面上方的“服务列表”，选择“网络 > 弹性公网IP”。 步骤 3 单击“购买弹性IP”。 结束

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

本章节为您介绍证书相关的内容。 API安全网关支持通过TLS扩展 SNI 实现加载特定的SSL证书以实现对https的支持，即添加证书后可通过证书配置的SNI域名发送请求。 新增证书 注意 为了安全考虑，API安全网关默认使用的加密套件不支持TLSv1.1以及更低的版本。 1.登录API安全网关。 2.在左侧导航栏选择“资源 > 证书”，进入证书列表页面。 3.单击页面的“新增”按钮，即可开始新增证书信息。 配置证书加密请求 以下为配置证书测试步骤以及证书使用场景： 1. 添加证书 ，进入“资源 > 证书”页面 ，单击 按钮 ，上传证书。 2. 创建服务 ，参考创建服务章节； 3. 创建 API ，参考创建 API章节； 4. 配置域名解析 ，使得该域名能正确解析到本机。 如编辑/etc/hosts ，添加如下内容：127.0.0.1 test.com 5. 配置完成，可对网关发起 https请求，如：curl

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本文为您介绍启用安全引流服务的操作步骤。 操作场景 用户选择需要引流的智能网关实例，并开启安全引流。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经开通安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击“添加智能网关”。 5. 选择需要引流的智能网关实例。 6. 单击“确定”，完成添加目标智能网关实例。 7. 添加成功后，单击“操作”列的“开启安全引流”，即可为该智能网关实例启用安全引流服务。

服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

本文简述了边缘安全加速平台如何批量启用、停用、删除域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.点击列表上方的【批量操作】。 4.单击【批量启用】，您可以选择多个域名，调整域名状态为启用。 5..单击【批量停用】，您可以选择多个域名，调整域名状态为停用。 6.单击【批量删除】，您可以选择多个域名删除。 注意 批量操作限制单次最多操作20个域名，如您有多个域名需要启用、停用或删除，可以分多次批量操作。

本文介绍批量新增域名的方式使客户快速、便捷的接入多个配置相同的域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1、登录边缘安全加速控制台，选择安全与加速进入工作台域名域名管理页面。您可以在该页面查看已添加的域名信息，包括域名、CNAME、状态、开启/关闭IPv6解析。单击【批量新增】。 2、【新增域名】按钮默认置灰，第1个域名填写完成且域名归属权校验通过后，才可以点击【新增域名】按钮继续添加域名。需要填写网站基础信息、网站安全配置。 注意 限制单次最多新增20个域名，如您有多个域名需要新增，可以分多次批量操作。 同一批次批量新增的域名会下发相同的配置。

OOS与自建服务器存储有如下区别： 弹性扩展：OOS按使用量计费，用户无需考虑由于业务需求的增长而扩充初期投资成本。 降低成本：使用OOS，您可以根据业务需求确定资源投入，避免投资和运营成本（电费、维护成本等）浪费。 安全可靠：云存储通过以下几种方式来保证数据安全： 通过数据自动切片、分布保存、每片签名等技术，保障数据存储的安全。 通过SSL加密技术和MD5校验技术，保障数据传输的安全。 通过用户鉴权、ACL访问控制等方式，保障数据使用的安全。 通过724的专业运维团队、原厂的金牌服务，保障数据运维的安全。 自建存储需要开发者自己从技术角度去实现安全防护，比如防火墙配置、加密技术等，对开发者要求较高，而且容易出现安全漏洞。而 OOS有专业的技术安全团队进行安全防护，同时运维团队724小时的安全监控也能及时得弥补安全漏洞。

本节介绍了如何创建所需的VPC和安全组。 创建VPC和安全组，为创建云数据库GaussDB 实例准备网络资源和安全组。 创建VPC 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 单击“创建虚拟私有云”购买VPC。 5. 单击“立即创建”。 6. 返回VPC列表，查看创建VPC是否创建完成。 当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 选择“访问控制”>“安全组”。 5. 单击“创建安全组”。 6. 填写安全组名称等信息。 7. 单击“确定”。 8. 返回安全组列表，单击安全组名称“sgd1ce”。 9. 选择“入方向规则”，单击“添加规则”。 10. 配置入方向规则，添加源库的IP地址。

本小节介绍查看入侵告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。 全部：展示发生的总的告警数。 告警事件：展示各告警事件发生的告警数。 5、单击事件类型的告警名称，可查看告警的详细信息

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

介绍关系数据库MySQL版在安全上的表现。 关系数据库MySQL版是天翼云自研的新一代高性能企业级关系数据库。MySQL 支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展关系型数据库。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 MySQL 为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署、按时间点恢复数据等功能。这些特性可以帮助租户更好地管理和保护数据库。 网络隔离 MySQL 实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，MySQL 会为租户分配此子网的 IP 地址，用于连接数据库。MySQL 实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

本文介绍零信任办公组网。 什么是办公组网 办公组网为边缘安全加速平台网络服务中的一个产品能力，依托中国电信优质的节点资源，是旨在为企业提供安全、高效、智能的网络连接，满足企业分支互访、多云互联等多种场景。 办公组网可以解决什么问题 全球组网 深度融合“零信任安全架构”与CDN全球化网络能力，为企业提供安全高效的组网及加速一体化解决方案，助力企业无缝连接全球业务节点，优化跨境访问体验，保障数据传输的安全性与合规性。 其中，天翼云AOne零信任服务以“安全无界、加速无阻”为核心，为企业全球化发展构建智能、可靠的新型网络基础设施，实现跨境业务安全与效率的双重突破。 云间互联互通 AOne零信任服务支持混合云组网，轻松构建企业分支、私有云、公有云不同地域VPC 、用户IDC 等多云互联。同时天翼云拥有全球2800+个节点，TB级网络，保证大带宽和低时延通信。只需要在私有云或者公有云之间部署连接器，全程数据加密，多路负载均衡，提供云间安全、高速、稳定的专用网络。 办公组网功能优势

本文介绍了边缘安全加速平台安全与加速服务API防护模块下合规性检测的使用方法。 功能介绍 支持根据用户实际配置的规则，对API请求的参数、长度等信息进行检测，对不符合的请求进行拦截或告警。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【合规性检测】详细设置页。 配置说明 新增检测项 配置项 说明 防护模式 必填，分为三种模式：关闭、告警、拦截。 规则名称 设置规则的名称，仅支持中文、英文、数字和下划线。 规则描述 输入规则的描述。 防护对象 防护对象有三种配置方式：标签、API、URI。 检测行为 检测行为主要分为以下七种：允许HTTP请求方法、上传合规检测、%00检测、chunked攻击检测、请求头参数限制、请求参数限制、请求体限制。 例外 最多支持新增5条例外规则，新增例外为或的逻辑。

本节介绍安全日志中的相关功能。 在“安全日志”菜单，可以查看应用阻止日志、我的申请和处理事项等相关记录。 当桌面处于管控状态，用户可在此查看被阻止运行的应用的历史纪录。 阻止日志 阻止历史 在此页面，可对阻止日志进行类型与状态的筛选，并支持搜索。 发起申请 点击阻止记录右侧的“推荐应用”，可向管理员推荐上架或申请放行该应用 我的申请 用户可以查看当前桌面用户向管理员提交的程序放行与应用推荐记录。 程序放行 在此页面，用户可以看到自己向管理员申请放行的历史记录。 应用推荐 在此页面，可以看到自己向管理员推荐应用的历史记录。 处理事项 管理员可以在这里处理“程序放行”、“应用推荐”和“应用发布”三种类型的申请。

概述 MSE注册配置中心支持切换实例的安全组配置，便于用户进行网络配置。在实例开通完毕后，您可以在控制台修改实例安全组。本节主要介绍如何切换注册配置中心实例的安全组。 前提条件 已开通微服务引擎MSE注册配置中心实例，参考章节：创建Nacos实例 、创建ZooKeeper引擎 开通MSE注册配置中心实例并且状态正常； 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行"管理"按钮均可跳转至实例基础信息页面； 4. 在实例基础信息页面，点击安全组属性后的编辑图标； 5. 在修改安全组的弹框中，选中要修改的安全组并点击修改按钮；

配置安全防护（WAF防护） 操作步骤 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。并点击进入一个具体的负载均衡器名称进入详情页面。 3. 在“负载均衡器”列表页面，点击负载均衡器的名称，进入负载均衡器详情页面。 4. 点击“添加监听器”，当选择协议为“HTTP”或“HTTPS”、可以在底部通过按钮打开“安全防护”。 1. 当未购买WEB应用防火墙时、无法打开“安全防护”。 2. 购买了WEB应用防火墙时、可以打开“安全防护”。 5. 继续点击下一步、直至监听器创建。 6. 当前创建WEB应用防火墙的默认基础规则为阻断、会拦截经过监听器的非法请求；如需调整防护规则，请进入WEB应用防火墙产品进行调整。 7. 另外，如果需要关闭安全防护，请在监听器修改页面关闭“安全防护”开关即可。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本节介绍了如何在控制台停用域名。 使用场景 如果您需要停止针对某个域名的防护，您可以在边缘安全加速控制台进行停用操作。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意： 1、对域名进行停用操作后，边缘安全与加速服务节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 2、边缘安全加速平台套餐内默认包含一些流量，若套餐有效期内流量用尽，边缘安全加速平台安全与加速服务将会停止加速服务，将CNAME入口解析至客户源站地址，对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 3、边缘安全加速平台客户退订套餐或套餐到期，边缘安全加速平台安全与加速服务会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态将变更为“已停止，1天后将加速域名的CNAME解析至不可用地址。 前提条件 域名状态为“已启用”。 停用域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云，调整为解析至其他CNAME或A记录 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要停用的域名，在操作栏点击【停用】按钮后，会进行弹窗提示，再次确认后，域名会进入停用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已停止”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

删除防护策略 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 勒索病毒防护 > 防护策略”。 5、单击目标策略“操作”列的“删除”。 说明 删除策略后，关联的服务器将不再被防护，风险系数将会升高，建议删除策略前将目标策略关联的服务器绑定其他策略开启防护。 6 、在弹窗确认正在删除的策略信息，确认无误，单击“确认”，完成删除。 关闭勒索防护 前提条件 已购买主机安全版本为旗舰版或网页防篡改版。 防护服务器列表至少有一台服务器处理防护中状态。 约束限制 开启勒索病毒防护时，需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份，遭受攻击后较大概率无法恢复业务。 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。 按需计费模式下，不支持勒索病毒防护。 关闭服务器防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 勒索病毒防护 > 防护策略”。 5、单击目标服务器“操作”列的“关闭防护”，在弹窗中选择需要关闭的防护功能。 关闭所有防护：关闭后目标服务器的勒索防护和备份功能都将关闭。 仅关闭勒索防护：仅关闭目标服务器的勒索病毒防护。 仅关闭备份功能：仅关闭目标服务器的数据备份功能。 6 、确认关闭信息无误，单击“确认”，完成关闭。