步骤二：添加数据库并开启审计 购买数据库安全审计后，您需要先将目标数据库添加至数据库安全审计实例并开启该数据库的审计功能。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。 3. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 4. 在“选择实例”下拉列表框中，选择需要添加数据库的实例，并单击“添加数据库”。 5. 在弹出的对话框中，如图所示。 6. 单击“确定”，该数据库添加到数据库列表中，且“审计状态”为“已关闭”。 7. 在该数据库所在行的“操作”列，单击“开启”，开启审计功能。 步骤三：添加Agent 1. 在数据库所在行的“Agent”列，单击“添加Agent”，如图所示。 2. 在弹出的对话框中，选择添加方式。在数据库端添加Agent 3. 单击“确定”，Agent添加成功。 步骤四：添加安全组规则 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（70007100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。 注意 安全组规则也可以在成功安装Agent后进行添加。 1. 在数据库列表的上方，单击“添加安全组规则”。 2. 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图所示。 3. 单击“前往处理”，进入“安全组”界面。 4. 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 5. 单击“default”，进入“基本信息”页面。 6. 选择“入方向规则”页签，单击“添加规则”，如图所示。 7. 在“添加入方向规则”对话框中，为安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为70007100）规则，如图所示。 8. 单击“确定”，完成添加入方向规则。

云防火墙和安全组、网络ACL的访问控制有什么区别？ 云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略，为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。 云防火墙和安全组、网络ACL的主要区别如下所示。 类别 云防火墙 安全组 网络ACL 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持AI提升智能防御能力满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 防护场景 互联网边界 VPC边界 SNAT场景 弹性云服务器 子网 功能特性 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。 支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统（IPS）、病毒防御（AV）功能。 支持三元组（即协议、端口和对端地址）过滤。 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。

本小节介绍Web应用防火墙产品优势。 灵活的部署与应用方式 通过DNS解析方式接入，不需要安装任何软件，更不需要修改网站的任何代码，光速生效，一键启停，方便快捷。 灵活回源支持 WAF可以在云防护节点将HTTPS业务流量转化为HTTP业务流量回源，降低源站负载消耗，优化业务性能。 实时更新、智能学习的安全资料库 中国电信每天都在主动收集来自全世界的网站攻击手段、最新漏洞、补丁信息等安全资料，会比用户网站更早发现各类安全问题和攻击手段。一旦被认定为未知的安全问题和新型攻击手段，云防护平台将会自动更新所有安全节点的防护规则和监测范围，使所有加入云防护的网站免受未知攻击、漏洞等的危害。另外还会定期学习用户网站访问日志，不断细化为每一个网站量身定制的安全规则，无需用户人工干预，完善用户网站安全。 服务应急响应指标 网站安全防护服务为您提供7×24小时的专家团队技术支持，具备完善的故障监控、自动告警、快速响应等一系列应急响应机制。 专家级定制化安全报告 权威规则库，覆盖各类主流Web入侵类型，专业攻防团队实时更新防护系统。 特殊行为防护主动激励 主动识别绕过标准检测方法的恶意程序，在它们造成破坏之前减轻威胁。

配置项 说明 状态 开启或关闭无线网络 SSID 配置无线网络名称，用于区分不同的WiFi网络 SSID广播 开启SSID广播，设备在搜索WiFi时会显示SSID 安全认证 支持WPA2PSK(强安全性)、WPAPSK(弱安全性)、无加密(开放网络) 密码 当安全认证选择WPA2PSK(强安全性)、WPAPSK(弱安全性)时，需要配置密码

本文介绍如何申请免费证书部署至边缘安全加速平台。 功能介绍 如果您的网站没有购买HTTPS证书，可以通过边缘安全加速平台提供的免费证书来支持HTTPS访问。 注意 目前控制台尚未开放自助申请，如有免费证书需求，请 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。您需要完成CNAME配置并且等待CNAME状态生效，才能为该域名申请免费证书。 开通套餐为基础版及以上版本，支持免费证书相关功能。 免费证书由Let's Encrypt机构颁发。 目前边缘安全加速平台只支持申请单域名证书，并且是精确域名；不支持泛域名、多域名证书。 证书有效期为3个月，到期边缘安全加速平台将会为您申请续期，无需手动更新。 免费证书不支持下载。 配置说明 该功能目前暂不支持控制台自助申请，如有需求，请提工单给天翼云客服，由其人工操作申请与部署。 提交工单时，请说明如下信息： 参数 说明 示例 域名 提供需要申请免费证书的域名。目前边缘安全加速平台只支持申请单域名证书，并且是精确域名；不支持泛域名、多域名证书。 example.ctyun.cn 注意 如果域名有以下配置，请在工单中提供： 1. 域名配置了网关直接响应文件。 2. 特定请求响应特定状态码。

解决方案 内网无法连接数据库 1. 检查ECS云主机和MySQL实例是否在同一区域和VPC内。 2. 对等连接和虚拟专用网络VPN：不同区域的VPC可以互连，跨区域连接实现全球云上网络。具体操作，可参见VPC连接。 3. 检查安全组规则，ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。可参见设置安全组规则。 4. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 5. 连接时所使用的数据库密码是否正确，可通过数据库管理控制台界面进行重置密码。 外网无法连接数据库 1. 检查安全组规则，为MySQL实例绑定弹性IP后，需要为MySQL实例设置安全组规则。可参见设置安全组规则。 2. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 MySQL实例绑定公网IP后无法ping通 1. 检查安全组规则。在 网络控制台的安全组 页面中，找到属于目标数据库实例的安全组，检查入方向规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。在相同区域的弹性云主机去尝试ping，如果可以正常ping通弹性公网IP说明虚拟网络正常，如果仍然没有ping通请联系技术支持。

解决方案 内网无法连接数据库 1. 检查ECS云主机和MySQL实例是否在同一区域和VPC内。 2. 对等连接和虚拟专用网络VPN：不同区域的VPC可以互连，跨区域连接实现全球云上网络。具体操作，可参见VPC连接。 3. 检查安全组规则，ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。可参见设置安全组规则。 4. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 5. 连接时所使用的数据库密码是否正确，可通过数据库管理控制台界面进行重置密码。 外网无法连接数据库 1. 检查安全组规则，为MySQL实例绑定弹性IP后，需要为MySQL实例设置安全组规则。可参见设置安全组规则。 2. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 MySQL实例绑定公网IP后无法ping通 1. 检查安全组规则。在 网络控制台的安全组 页面中，找到属于目标数据库实例的安全组，检查入方向规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。在相同区域的弹性云主机去尝试ping，如果可以正常ping通弹性公网IP说明虚拟网络正常，如果仍然没有ping通请联系技术支持。

本文介绍AOne于在线教育场景的最佳实践。 背景信息 在在线教育场景中，AOne安全与加速服务的最佳实践旨在提供全面的安全防护和性能优化，为在线教育平台和学习者提供稳定、高效、安全的学习环境。随着在线教育的迅速发展，越来越多的学生和教育机构转向在线学习，但在线教育也面临一系列挑战，包括网络安全威胁、带宽需求、延迟问题以及高并发等。 天翼云边缘安全加速平台AOne基于全球部署的1800+边缘节点，帮助在线教育平台和学习者克服网络安全、带宽、延迟和高并发等挑战，提供更加安全、高效和稳定的学习环境。 技术架构 应用场景 学习内容加速传输 业务挑战：在线教育平台通常提供大量的学习内容，包括视频、课件、教材等，这些内容需要快速传输到学习者的设备上。然而，由于网络延迟和带宽限制，学习内容可能加载缓慢，影响学习体验。 方案优势：通过内容分发网络（CDN）加速技术，AOne在全球各地部署服务器节点，将学习内容缓存在离学习者最近的节点上。这样可以大大减少学习内容的加载时间，提高传输速度，优化学习体验。

产品名称 规格类型 功能适用 系统支持 普通AI云电脑 2核4G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 2核8G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 4核8G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 4核16G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 8核16G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 8核32G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 16核32G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 16核64G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 32核64G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 32核128G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 普通AI云电脑 64核128G 120GB SAS 系统盘 性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求 Windows、Ubuntu、CentOS 120 GB SAS 系统盘 80 GB 默认系统盘 + 40 GB 赠送存储

本文介绍边缘接入服务IP应用加速的DDoS攻击防护能力及配置。 功能介绍 边缘接入服务的DDoS防护可有效防御SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL攻击。 前提条件 已经订购边缘安全加速平台边缘接入服务，若未订购，请参见服务开通。 在控制台新增域名/实例，请参见添加域名/实例。 注意事项 1. 需要开启对应区域的DDoS防护开关，才会进行对应区域的DDoS防护。 2. 超量处置仅对DDoS防护中国内地生效。 配置说明 新增接入时开启DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 点击左上角【新增接入】，完成加速配置后，点击右下角【下一步】进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 修改DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 找到您要防护的域名/实例，点击操作列的安全防护，进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 5. 【安全防护配置】页面还可修改DDoS攻击峰值超出订购规格后的超量处置规则，用户可选择将业务解析回源站或者解析至黑洞地址。默认解析至源站地址。 配置界面 1. 新增接入时，DDoS防护配置界面： 2. 修改安全防护时，DDoS防护配置和超量处置配置界面：

态势感知的数据来源。 态势感知基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

本章节主要介绍身份认证与访问控制。 身份认证 翼MR支持安全协议Kerberos，通过同步IAM账号使用LDAP作为帐户管理系统，并通过Kerberos服务对帐户信息进行安全认证。 Kerberos安全认证原理和认证机制具体介绍请参见安全认证原理和认证机制。 访问控制 翼MR提供基于角色的权限控制模型。翼MR基于用户和角色的认证统一体系，遵从帐户/角色RBAC（RoleBased Access Control）模型，实现通过角色进行权限管理，对用户进行批量授权管理，同时提供单点登录能力，统一了系统用户和组件用户的管理及认证。

态势感知（专业版）支持对云上资产全面自动盘点，也可灵活纳管云外各种资产，点清所有资产，并呈现资产实时安全状态。 在资产管理中，可以查看当前工作空间所在region中所有资源的安全状态统计信息，包括资源的名称、所属服务、安全状况等，帮助您快速定位安全风险问题并提供解决方案。

安全规则 流量镜像不采集ACL丢弃流量、安全组丢弃流量和被过滤器过滤掉的流量。ACL和安全组丢弃流量遵循以下规则： 报文在从镜像源复制时，出方向不受安全组和网络ACL的限制。 报文在复制至镜像目的时，入方向不受网络ACL的限制，但是会受目的安全组策略的限制。 为了防止流量被安全组丢弃，需要在镜像目的所在安全组配置以下规则： 可用区资源池：入方向允许源IP为镜像目的所在子网的网关IPv4地址，目的端口为4789的UDP协议报文。 地域资源池：入方向允许源IP为镜像源网卡的内网IPv4地址，目的端口为4789的UDP协议报文 支持地域 华东1、华南2、华北2、西南1、西安7、南昌5、南宁23、太原4、芜湖4、上海17、郑州5、西南2贵州、杭州7、庆阳2、呼和浩特3、乌鲁木齐7、上海20、武汉41

本章节主要介绍集群（未启用Kerberos认证）安全配置建议。 Hadoop社区版本提供两种认证方式Kerberos认证（安全模式）和Simple认证（普通模式），在创建集群时，MRS支持配置是否启用Kerberos认证。 在安全模式下MRS集群统一使用Kerberos认证协议进行安全认证。 而普通模式下MRS集群各组件使用原生开源的认证机制，一般为Simple认证方式。而Simple认证，在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”等）自动完成认证，管理员或业务用户不显示感知认证。而且客户端在运行时，甚至可以通过注入UserGroupInformation来伪装成任意用户（包括superuser），集群资源管理接口和数据控制接口在服务端无认证和鉴权控制，很容易被黑客利用和攻击。 所以在普通模式下，必须通过严格限定网络访问权限来保障集群的安全。操作建议如下： 尽量将业务应用程序部署在同VPC和子网下的ECS中，避免通过外网访问MRS集群。 配置严格限制访问范围的安全组规则，禁止对MRS集群的入方向端口配置允许Any或0.0.0.0的访问规则。 如需从集群外访问集群内组件原生页面，请参考创建连接MRS集群的SSH隧道并配置浏览器进行配置。

本章介绍添加告警白名单后进程被隔离的原因。 告警白名单仅用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 隔离查杀恶意程序 方式一：在“安装与配置 > 安全配置 > 恶意程序隔离查杀”中，开启自动隔离查杀。 方式二：在“入侵检测 > 安全告警事件 > 主机安全告警 > 事件列表”中，将恶意程序手动隔离查杀。 隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 恢复隔离查杀文件 在“入侵检测 > 安全告警事件 > 已隔离文件”中，选择“主机安全告警”，单击“已隔离文件”的“查看详情”，单击目标服务器的“恢复”，恢复隔离文件。 被隔离查杀的程序恢复隔离后，文件的“读/写”权限将会恢复，但被终止的进程不会再自动启动起来。

准备资源 要求 创建指导 VPC和子网 不同的Kafka实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。 在创建VPC和子网时应注意如下要求： 创建的VPC与Kafka实例在相同的区域。 子网开启IPv6后，Kafka实例支持IPv6功能。Kafka实例开启IPv6后，客户端可以使用IPv6地址连接实例。 创建VPC和子网的操作指导请参考《虚拟私有云 用户指南》的 安全组 不同的Kafka实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用Kafka实例前，添加下表中的安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加下表中的规则。 创建安全组的操作指导请参考《虚拟私有云 用户指南》的 弹性IP地址 在创建弹性IP地址时，应注意如下要求： 创建的弹性IP地址与Kafka实例在相同的区域。 弹性IP地址的数量必须与Kafka实例的代理个数相同。 Kafka控制台无法识别开启IPv6转换功能的弹性IP地址。 创建弹性IP地址的操作指导请参考《弹性IP 用户指南》的“

云下一代防火墙安全产品能否进行规格变更？ 支持单节点升级至主备部署模式，支持扩展功能的变更。以上两种变更每次只能变更一个，不允许同时变更。 产品版本（标准版、高级版、旗舰版）暂不支持变更。 我已经购买了云下一代防火墙安全产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如准备承载机资源、导入授权、配置引流、开启安全防护策略、设置告警通知等配置。

本章节为您介绍UKEY的相关功能。 UKEY模块提供UKEY管理的相关功能，如：UKEY初始化、UKEY信息查询和备份历史查询等。 说明 首次使用UKEY需要在综合安全网关登录页面下载UKEY插件。 UKEY初始化 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“系统管理 > UKEY管理”，进入UKEY管理页面。 3. 单击“UKEY初始化”，进入UKEY初始化步骤。 4. 将UKEY设备连接，单击“刷新”按钮获取UKEY序列号。 5. 获取UKEY序列号后，输入PIN码并且二次输入进行确认完成初始化。 6. 重复第4步和第5步操作，完成后续步骤。 查看UKEY信息 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“系统管理 > UKEY管理”，进入UKEY管理页面。 3. 选择“UKEY信息”即可查看已经对接的信息。

接口功能介绍 查询虚机网卡与可绑定安全组信息v3 接口约束 无 URI GET /v3/securityGroup/desktop/describe 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx desktopOid 是 String 虚机ID 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 portList Array of Objects 虚机网卡信息，当portOid为0，代表全部网卡 portList securityGroupList Array of Objects 虚机可绑定安全组信息 securityGroupList portSgList Array of Objects 虚机网卡和安全组的关联，portOid为0时代表全部网卡 portSgList 表 portList 参数 参数类型 说明 示例 下级对象 portOid String 网卡id portName String 网卡名称 portNickName String 网卡别名 ipAddress String 网卡IP subnetName String 所属子网名称 表 securityGroupList 参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名称 表 portSgList 参数 参数类型 说明 示例 下级对象 portOid String 网卡id securityGroupOid String 安全组id

本节介绍天翼云电脑在移动客户端的账户与安全模块。 换绑手机号 如需换绑/绑定手机，我账号与安全点击“手机号”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 换绑邮箱 如需换绑/绑定手机，我账号与安全点击“邮箱”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 修改密码 如需修改密码，我账号与安全点击“修改密码”。 账号注销 如需账号注销，我账号与安全点击“账号注销”。 设备管理 如需查看AI云电脑登录的设备或移除设备，我账号与安全点击“设备管理”。 点击对应的设备，进入设备详情，点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 自动退出登录 登录后，客户端可设置AI云电脑账号自动退出时间，即客户端超过设置的时间内没有进行相关操作，客户端将自动退出AI云电脑账号。

本节介绍了天翼云电脑移动客户端的账户与安全模块。 换绑手机号 如需换绑/绑定手机，我账号与安全点击“手机号”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 换绑邮箱 如需换绑/绑定手机，我账号与安全点击“邮箱”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 修改密码 如需修改密码，我账号与安全点击“修改密码”。 账号注销 如需账号注销，我账号与安全点击“账号注销”。 设备管理 如需查看AI云电脑登录的设备或移除设备，我账号与安全点击“设备管理”。 点击对应的设备，进入设备详情，点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 自动退出登录 登录后，客户端可设置AI云电脑账号自动退出时间，即客户端超过设置的时间内没有进行相关操作，客户端将自动退出AI云电脑账号。

参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如果没有可选的虚拟私有云，TaurusDB数据库服务默认为您分配资源。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建TaurusDB实例的子网默认开启DHCP功能，不可关闭。 创建实例时TaurusDB会自动配置内网地址。创建实例时支持选择IPv6子网。选择IPv6子网后，实例的数据浮动IP地址将绑定IPv6地址，连接数据库时也可使用IPv6地址进行连接。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 IPv6实例的约束限制：创建实例所选规格需要支持IPv6；创建实例所选的可用区支持IPv6。

本章节为您介绍综合安全网关日志审计相关的内容。 日志审计功能是记录机构用户的操作日志，并提供查看详情，审核，批量审核，验签等功能。 查看日志操作记录并审核 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“管理审计日志”，进入“管理审计日志页面”。 3. 查看“操作名称”列的操作情况，进行审计。 4. 单击“操作”列的“验签”按钮，若验签成功则单击“审核”按钮进行审计。 导出日志 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“管理审计日志”，进入“管理审计日志页面”。 3. 若您需要导出所有日志可单击“导出全部”按钮，若您需要导出部分日志可勾选需要导出的日志后单击“导出所选”。

本文介绍保护直播内容安全的多种策略。 背景信息 视频直播提供了完善的内容安全保护机制，用于保护用户直播源站的资源不被非法下载盗用。用户根据不同场景，可选择IP黑白名单、Referer防盗链、UA防盗链、URL鉴权、HTTPS、远程鉴权以及禁推等策略，保障直播内容安全。 实现原理 视频直播支持在主播推流、用户拉流播放阶段，提供完善的内容保护机制，保障直播内容不被非法下载和非法盗链，如下图所示。 主播推流 支持通过URL鉴权、IP黑白名单和推流禁推等机制确保直播流内容安全。 用户拉流播放 支持通过URL鉴权、IP黑白名单、UA防盗链、referer防盗链、远程鉴权、HTTPS等机制确保直播流内容安全。 详细信息，请参见HTTPS配置、访问控制和流管理。

本章节介绍了云上使用分布式消息服务RocketMQ需要准备的云主机、网络等相关环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RocketMQ实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RocketMQ实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。 创建VPC和子网时，配置参数建议使用默认配置。 2. 在创建RocketMQ实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用分布式消息服务RocketMQ必须添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 通过内网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 说明 安全组创建后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。此时使用内网通过同一个VPC访问RocketMQ实例，无需添加表1的规则。

配置示例 示例一： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 关闭 取值 结果说明：全站加速响应头部固定响应“AccessControlAllowOrigin:”。 示例二： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 开启 取值 结果说明： 1.用户请求携带的Origin头是 2.用户请求携带的Origin头是

配置CNAME完成后，客户端发起的请求将被自动解析至边缘云节点上，可通过探测CNAME来验证加速是否生效。 前提条件 您已经完成添加服务域名并配置CNAME，如果您未配置，请参考配置CNAME。 验证方式 1、您可以 ping 或 dig 您接入边缘安全加速平台安全与加速服务的域名（例如www.ctyun.cn），在返回的解析结果中查看是否指向分配的CNAME域名。 2、如果CNAME状态为“已生效”，即代表当前站点域名已被边缘安全加速平台—安全与加速服务加速。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

此小节介绍云堡垒机产品定义。 云堡垒机（原生版）是一款运维安全管理产品，提供云上安全运维通道，集中管理云上资产及特权账号，统一监控审计运维操作行为，帮助企业满足等保合规测评要求。 产品功能 资产账密管理 支持统一管理、授权资产特权账户，账户在堡垒机中统一存储管理。 特权账户由堡垒机统一代理单点登录， 运维人员登录堡垒机后，无需输入资产账密即可自动登录服务器等资产，降低账密泄漏风险。 资产运维 支持WEB运维，支持主流浏览器无插件化运维，让运维脱离工具和操作系统束缚，随时随地远程运维。 支持PuTTY、SecureCRT、Xshell、WinSCP、Mstsc等专业运维工具完成运维。 安全认证 支持账密+OTP+短信双因子身份认证，保证运维用户登录堡垒机及资产的认证安全。 运维安全管控 支持命令控制、文件操作控制，对服务器中敏感、高危操作进行管控。 支持工单管理审批模式，重要运维需要授权人审批授权才能执行运维指令，保障敏感核心资源安全。 资产访问授权 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。

本文介绍了如何通过内网连接RDSPostgreSQL实例。 RDSPostgreSQL支持客户通过PostgreSQL客户端连接实例。 前提条件 1.登录弹性云主机 创建并登录弹性云主机。 通过弹性云主机连接RDSPostgreSQL实例，需要具备以下条件： 该弹性云主机与目标实例在同一个VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例安全组为default，则无需特别设置。（仅部分资源池支持实例安全组变更，其余资源池默认为default安全组规则，具体可参见功能加载说明）。 如果目标实例安全组为非默认安全组，请查看安全组规则是否允许该弹性云主机访问。安全组相关内容可参考安全组概述。 2.安装PostgreSQL客户端 请参见数据库基本使用如何安装PostgreSQL客户端。 命令行连接 登录云主机后执行如下命令： psql h p U d 参数说明： ：实例IP，即控制台页面的“实例管理”/“实例列表”页面中，该集群的“vip”列所显示的ip。 ：数据库端口，为“实例信息”/“实例详情”页面中的“数据库端口”。 ：用户名，即RDSPostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即RDSPostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的一键关站功能。 功能介绍 一键关站允许客户在紧急情况下快速关闭站点，并自定义响应状态码和页面内容。该功能帮助客户在系统维护、故障处理或安全事件中，快速控制站点访问权限，同时提供灵活的响应内容配置。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力设置页。 4. 单击一键关站。 配置说明 一键关站 开关开启后，域名所有访问将会被拒绝（响应码为403）。 自定义响应页面 如果您有定制化的响应状态码和响应页面，请在开关右侧【自定义响应页面】中配置。 以下是配置自定义页面的字段及说明： 字段 字段说明 响应码 必填，选项200、222、206、300、301、302、304、400、402、403、404、405、408、499、500、502、503、504，默认值：403。 页面类型 非必填，页面类型包括以下三种：HTML、HTML;charsetutf8、JSON。 页面响应内容 必填，输入页面响应的内容。