本文为您介绍云搜索服务产品咨询类问题。 云搜索服务如何保证数据和业务运行安全？ 主机安全 云搜索服务提供如下安全措施： 通过VPC+安全组来确保VPC内主机的安全。 通过网络访问控制列表，可以允许或拒绝进出各个子网的黑白名单管控。 内部安全基础设施（包括网络防火墙、入侵检测和防护系统）等。 数据安全 云搜索服务内部，通过多副本、权限管控可对索引数据进行保护隔离。 网络安全 整个网络部署分两个部分进行，两部分物理隔离，保证业务、管理各自网络安全。 业务部分：主要是实例的网络，支持为用户提供业务通道，对外提供数据定义、索引、搜索能力。 管理部分：主要是管理控制台，用于管理云搜索服务。 云搜索服务创建实例时有哪些节点存储选项？ 目前云搜索服务支持高I/O、通用SSD、超高I/O规格，限制最大单盘6T容量。 云搜索服务的实例节点磁盘空间用于存放哪些文件？ 日志文件：Elasticsearch/OpenSearch日志。 数据文件：Elasticsearch/OpenSearch索引文件。 其他文件：集群配置文件、操作系统占用等。 云搜索服务支持哪些搜索功能？ 云搜索服务支持的搜索功能包括强大的全文检索，高亮显示，切面搜索，近实时索引，动态聚类，丰富的文档（如Word、PDF等格式）处理和地理信息搜索等。 云搜索服务使用的数据压缩算法是什么？ 天翼云云搜索服务，除了支持搜索引擎自带的LZ4和DEFLATE算法外，还额外支持了ZSTD压缩算法。具体介绍和使用方法可参考压缩算法章节。

本文介绍域名扩展计费。 安全加速抗D服务域名数量 按量扩展 200元/月 安全加速抗D域名扩展包 包周期，包含10个域名，域名不区分主子域名 1000元/月

参数 说明 示例 名称 事件源名。 source1 请求类型 支持的请求类型： HTTP HTTPS HTTP&HTTPS HTTPS 请求方法 选择支持的HTTP请求方法。取值如下： GET POST PUT DELETE HEAD PATCH GET 安全配置 选择安全配置的类型。取值如下： 无需配置：不配置，接收到的所有URL请求均转换为事件推送到事件总线EventBridge。 IP网段：输入IP网段。只有使用网段内的IP地址访问的URL才能触发事件，其余请求均会被过滤。 安全域名：输入安全的域名信息。只有使用该域名访问的URL才能触发事件，其余请求均会被过滤。 无需配置

参数 说明 备注 区域 必选参数。租户所在的区域，当前区域请在界面右上方选择。 建议选择和云主机同一个区域。 可用区 必选参数。同一区域内，电力和网络互相独立的地理区域。 建议选择和云主机同一个可用区。 存储类型 必选参数。包含标准型、标准型增强版、性能型和性能型增强版。 默认为标准型。说明创建成功后不支持更换存储类型， 如需更换只能新创建另一存储类型的文件系统，请根据业务情况事先规划存储类型。 容量（GB） 单个文件系统的最大容量，当文件系统的实际使用容量达到该值时， 您将无法对文件系统执行写入操作，需要进行扩容。 暂无法直接对SFS Turbo文件系统进行缩容操作，请根据实际需要设置文件系统的容量。 支持范围： 标准型：500GB～32TB 性能型：500GB～32TB 标准型增强版和性能型增强版：10TB～320TB 协议类型 必选参数。SFS Turbo文件系统支持的共享访问协议为NFS。 默认为NFS。 选择网络 必选参数。 选择VPC及其子网。 VPC：云主机无法访问不在同一VPC下的文件系统，请选择与云主机相同的VPC。 子网：子网是VPC内的IP地址块，同一个VPC下，子网网段不会重复。通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 开启IPv6：勾选此参数表示开启IPv6，不勾选表示不开启IPv6，使用IPv4。 如果您想开启IPv6，开启IPv6前，请确保SFS Turbo文件系统所在的VPC和子网已开启IPv6配置。 开启IPv6后，SFS Turbo文件系统可在IPv6下运行，此时SFS Turbo文件系统通过IPv6进行通信。 说明 每个文件系统在创建时只可以添加一个VPC。可通过虚拟私有的VPC对等连接方式将两个或多个VPC互连，实现多VPC、跨VPC下的文件共享。 SFS Turbo文件系统支持创建文件系统的时候开启IPv6，创建完成的SFS Turbo文件系统不支持修改IPv6是否开启的策略。 首次创建IPv6文件系统，请确定“授权权限提醒”弹窗，确定授权后，SFS Turbo将在IAM下创建名称为“ServiceAgencyForSFSTurboIPv6”的委托并授权给账户opsvcefs。未授权将导致无法创建IPv6文件系统。委托创建完成后，请不要删除该委托，否则可能导致文件系统无法读写。 开启IPv6的文件系统需要使用域名挂载，不支持使用IP挂载。 安全组 必选参数。安全组起着虚拟防火墙的作用，为文件系统提供安全的网络访问控制策略。 用户可以在安全组中定义各种访问规则，当弹性文件服务加入该安全组后，即受到这些访问规则的保护。 创建SFS Turbo时，仅支持选择一个安全组。推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 安全组规则的配置会影响SFS Turbo的正常访问与使用，配置方法请参见《虚拟私有云用户指南》的“添加安全组规则”章节。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。 NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 名称 必选参数。用户自定义文件系统的名称。 只能由英文字母、数字和中划线“”组成， 创建的文件系统名称输入长度需大于4个字符并小于等于64个字符。

禁用root用户直接登录 Linux的默认管理员名即是root，只需要知道root密码即可直接登录SSH。禁止root从SSH直接登录可以提高服务器安全性。经过以下操作后即可实现。 1. 新建用户 useradd test 2. 配置密码 使用passwd命令即可给相应帐户设置或修改密码。 passwd test 根据图示，设置或修改密码需要填写两次，第二次为效验密码，输入完毕后请回车确认。 Changing password for user test. New password: Retype new password: passwd: all authentication tokens updated successfully. 3. 配置不允许root用户直接登录，修改相关文件 vi /etc/ssh/sshdconfig 查找 PermitRootLogin yes” 默认为132行 将“ ”去掉，末尾“Yes”改为“No” 并:wq保存 4. 重启SSHD服务 systemctl restart sshd 5. 测试连接，可以看到，直接使用root 连接服务器 ssh会直接拒绝 添加安全组规则 安全组中的入方向规则默认开启了22端口，当云服务器的SSH登录端口修改为2222时，需要为安全组新加一条规则。 登录管理控制台。 1. 选择“计算 > 弹性云主机”，进入云主机控制台。 2. 单击云服务器名称进入详情页面。 3. 选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 4. 添加一条入方向规则。 采用密钥登录 密钥对登录比起密码登录更加安全，因此在创建弹性云主机时您可以选择密钥对登录的方式。 1. 新建密钥对，或者选择已有的密钥对，并下载至本地。 2. 创建云主机时，登录方式选择密钥对。 3. 使用xshell登录弹性云主机 通过弹性公网IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性公网IP 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 在“用户密钥”窗口中，单击“导入”。 选择本地保存的密钥文件，并单击“打开”。 单击“确定”，登录弹性云主机。

本文介绍了通过psql公网方式连接RDSPostgreSQL实例。 RDSPostgreSQL支持客户通过PostgreSQL客户端连接实例。 前提条件 1.绑定弹性IP并设置安全组规则 订购并创建弹性公网IP，请参见申请弹性IP。 获取本地设备的IP地址，以便配置安全组使用。 配置安全组规则，将本地设备IP地址及目标实例端口加入安全组允许访问范围中。安全组设置参见添加安全组规则。 2.安装PostgreSQL客户端 请参见数据库基本使用如何安装PostgreSQL客户端。 命令行连接 通过公网连接RDSPostgreSQL实例。以Linux系统为例，可以执行如下命令： psql h p U d 参数说明： ：主机IP，即控制台页面的“实例管理”页面，选择您的目标实例后，在详情页中，绑定的弹性公网IP。 ：数据库端口，为实例详情页面中的数据库端口。 ：用户名，即RDSPostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即RDSPostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 SSL安全连接 如启用SSL安全连接，请在目标库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

本章节介绍查看配额操作。 您可以在防护配额页面查看配额的使用情况、配额的状态，及时为即将到期的配额进行续费，或对没有使用额配额执行退订操作。 配额列表仅显示在所选区域购买的配额，若未找到您的配额，请切换到正确的区域后再进行查找。 查看主机配额 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理 > 主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 5、在防护配额页面，查看主机安全防护配额，参数详情请参见下表。 主机防护配额参数说明 参数名称 参数说明 配额ID 配额的唯一标识ID。 版本类型 配额的版本类型：基础版 、高级版 、企业版、旗舰版、网页防篡改版。 使用状态 目标配额的使用情况。 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。 配额状态 正常：您购买的服务配额未到期，且能正常使用。 已过期：您购买的服务配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的主机；冻结期满，该配额将被彻底删除。 计费模式 目标主机绑定配额的计费模式及到期情况。 包年/包月 按需计费 说明 绑定主机 您也可以通过在“资产管理 > 主机管理 > 防护配额”页面的“操作”列中，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启防护。 一个配额只能绑定一个主机，且只能绑定agent在线的主机。

天翼云SDWAN为您提供优质的服务体验,本文带您了解产品优势。 灵活接入 支持天翼云自研硬件终端设备、软件vCPE、VPN客户端、政企融合网关、品牌厂商终端等多种接入形态，可根据客户场景灵活适配、即插即用，充分满足小微门店、中大型企业等多元化部署需求。 支持通过各运营商互联网（包括PPPoE拨号方式或配置固定IP方式）、4G/5G无线网络、专线等多种方式实现多链路上联至SDWAN网络接入点 ，满足各类接入需求。 支持同时配置POP组网和IPSec直连组网网络架构，实现混合组网。 成本低廉 利用互联网宽带接入降低成本，同时通过有效利用所有可用网络连接提高链路利用率，满足企业业务需求。 SDWAN网络在客户侧通常采用互联网宽带接入，相比物理专线/专网产品，互联网链路更加便宜，可大幅度降低带宽成本。 SDWAN技术还可以帮助企业有效地利用所有可用的网络连接来满足其业务需求，充分提高链路利用率。 安全传输 通过IPSec VPN加密隧道传输、ACL管理等多项安全措施，保障SDWAN广域网数据传输的安全性和设备接入的安全性。 SDWAN广域网数据通过IPSec VPN加密隧道进行传输，同时支持国产密码算法和商用密码，在链路质量层进行多重安全加固，保障数据传输的安全性； 支持ACL管理，通过配置五元组白名单/黑名单策略，实现对接入流量的管控； 支持容器化部署安全防护能力，可灵活扩容防火墙、入侵检测、访问控制等安全模组，实现安全能力按需加载、弹性扩展。

本文提供了天翼云边缘安全加速平台零信任服务隐私政策(详细版)查看地址。 天翼云边缘安全加速平台零信任服务隐私政策（详细版），详情请参见这里。

查看异常行为智能识别攻击日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务】，进入【安全攻击日志】菜单，攻击类型选择【异常行为智能识别】。

双因子认证 双因子认证是指结合密码以及验证码两种条件对用户登录行为进行认证的方法。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片等类型的文件被黑客、病毒等非法篡改和破坏。 集群 集群是同一个子网中一个或多个弹性云主机（又称：节点）通过相关技术组合而成的计算机群体，为容器运行提供计算资源池。 节点 在容器中，每一个节点对应一台弹性云主机（Elastic Cloud Server，ECS），容器运行在节点上。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 容器（Container）是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，容器安全服务控制台的“运行时安全”页面会显示容器异常。 防护配额 目标主机开启检测防护需要绑定的对象，即防护配额。 在主机安全服务购买的不同版本的数量在控制台中是以防护配额的描述呈现。 示例： 购买了1个企业版，即企业版可用防护配额数量为1个，只能绑定任意1台主机； 购买了10个旗舰版，即旗舰版可用防护配额数量为10个，可分配至10台不同主机进行分别绑定；

天翼云弹性云主机为您提供优质的服务体验,本文带您了解弹性云主机的产品优势。 快捷易用，动态调整计算资源 即开即用：无论一台还是百台，均可在几分钟内开通使用； 大规模开通：通过调用云主机API，可在十分钟内开通千台实例； 弹性伸缩：提供弹性伸缩服务，可根据业务灵活调整云主机数量。 配置丰富，支持根据业务按需选购 多种实例规格：提供通用计算型、计算增强型、内存优化型、GPU型等多种规格，同时支持规格升级，面向各类场景满足用户的实时需求； 多种存储类型：支持单独购买云硬盘挂载到云主机上，并提供多种存储类型，满足不同的 I/O 性能要求。 专有网络，可灵活自定义网络空间 通过隧道技术实现100%二层网络隔离，满足不同行业客户的安全隔离需要； 基于安全组和访问ACL进行三层以上网络双重访问控制，满足行业用户的网络安全规范； 自定义子网网段划分、IP地址及路由策略，按需配置，即开即通； 支持专线、VPN等多种方式接入云端。 安全稳定，多重防护保障数据可靠性 高达99.9999999%的数据持久性； 云硬盘采用三副本技术，支持云硬盘自动备份，进一步保障数据安全性； 提供云主机安全、网站安全服务等精细化专业防护能力。

本文为您介绍Web应用防火墙客户控制台【态势感知】的开启条件以及操作步骤。 功能介绍 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通Web应用防火墙（边缘云版）扩展服务可视化大屏服务，支持使用态势感知，具体请见可视化大屏服务 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【态势感知】，浏览器将跳转至新页面，为您展示目前已接入域名的安全态势

本文介绍如何操作病毒查杀、实时防护、黑白名单等能力。 背景 终端作为企业日常办公、业务处理、系统维护的设备，承载着企业重要的数据。在复杂严峻的外部网络环境中，极易遭遇非法访问、病毒入侵以及信息泄露等诸多安全风险。如今，移动办公与远程办公需求持续攀升，这无疑让终端安全面临着前所未有的挑战。因此，怎样强化终端的安全管理，有效抵御外来攻击，切实保障数据安全，已然成为终端安全领域的共同迫切诉求。 功能说明 企业管理员可以在控制台的终端防病毒页面，手动或者周期性配置病毒扫描策略，远程对员工客户端所在的环境进行扫描检测，最终在控制台对病毒进行统计和管理。 注意 终端防病毒扫描功能客户端版本号为2.3.x及以上，扫描病毒进行自动查杀需客户端版本为2.6.x以上，支持的操作系统为Windows、麒麟、统信。如有需要，请 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务

数据保护手段 简要说明 传输中的数据保护 日志数据采用安全协议HTTPS传输到日志服务，防止数据被窃取；用户的配置数据传输采用安全协议HTTPS，防止数据被窃取。 配置数据完整性 CFW会和配置管理中心检验配置一致性，实时确保配置的准确性和完整性。 数据销毁机制 考虑到残留数据导致的用户信息泄露问题，保留期到期仍未续订或充值，存储在云服务中的数据将被删除，云服务资源将被释放。CFW会清除用户数据，避免用户数据残留造成信息泄露。 数据存储安全 对静态数据进行透明加密，可以保护数据免受可以访问底层文件系统的攻击者的影响。

参数 描述 实例名称 实例名称长度最小为4字符，最大为64个字符，如果名称包含中文，则不超过64字节（注意：一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 设置密码 现在设置（默认），如果您选择创建实例时设置，请填写账户对应的密码。 创建后设置，系统不会为您设置初始密码。 注意： 您在登录数据库前，需要先通过重置密码的方式设置密码，否则实例创建成功后，无法登录数据库。 管理员帐户名 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , ( ) & . 如果您提供的密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 实例创建成功后，如需重置密码，请参见 确认密码 必须和管理员密码相同。 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意： 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 数据库端口 数据库端口默认为3306，实例创建成功后可修改。 RDS for MySQL数据库端口设置范围为1024～65535（其中12017、33071、33062被RDS系统占用不可设置）。 安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 创建实例时，可以选择多个安全组（为了更好的网络性能，建议不超过5个）。此时，实例的访问规则遵循几个安全组规则的并集。 如果不创建安全组或没有可选的安全组，关系型数据库服务默认为您分配安全组资源。

本节介绍漏洞扫描服务支持扫描哪些漏洞。 漏洞扫描服务支持扫描的漏洞有： 前端漏洞 SQL注入、XSS、CSRF、URL跳转等。 信息泄露 端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。 Web注入漏洞 命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。 文件包含漏洞 任意文件读取、任意文件包含、任意文件上传、XXE。

本章节介绍微服务治理中心安全治理相关能力 全局鉴权 微服务治理中心提供全局鉴权能力，通过创建鉴权规则，无需变更所有服务即可便捷地实现多个微服务之间通信的身份验证，搭建微服务架构安全访问体系。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧栏选择安全治理，单击全局鉴权。 相关操作 创建鉴权规则：单击 创建鉴权 ，配置鉴权信息，单击确认完成创建。 查看鉴权规则：单击目标鉴权规则操作列的详情 ，查看鉴权规则信息。 开启鉴权规则：单击目标鉴权规则操作列的开启 ，使鉴权规则生效。 关闭鉴权规则：单击目标鉴权规则操作列的关闭 ，关闭鉴权规则。 编辑鉴权规则：单击目标鉴权规则操作列的编辑 ，编辑鉴权规则。 删除鉴权规则：单击目标鉴权规则操作列的删除 ，删除鉴权规则。 JWT鉴权 JWT（JSON Web Token）用于网络应用间以JSON安全传输信息，该信息可以由使用密钥（使用 HMAC 算法）或使用RSA密钥对进行签名，因此JWT是可以被信任和验证的。 微服务治理中心的JWT鉴权能力基于JWT标准实现了一套服务安全调用的身份验证机制，无需中心化的鉴权服务，只需接入微服务治理中心并配置JWT鉴权，应用即可通过Token验证请求者的身份。

本文介绍如何添加以及停用域名。 1.进入SCDN客户控制台，选择【域名管理】，这个页面您可以查看已添加的域名的信息，包括加速域名、CNAME、域名状态、创建时间、和产品类型等信息。 2.点击右上角【新增域名】； 图 域名管理页面 3.填写加速域名信息，并选择产品类型【安全加速】； 图 添加安全加速域名页 4.根据您的需求，选择您加速域名的【源站设置】、【缓存设置】、【访问控制】功能，并填写您的安全加速域名加速部分的相关配置； 图 域名配置信息页 可以选择填写需要配置的源站信息、HTTPS证书访问、缓存以及访问控制等配置； 5.完成域名加速部分的填写后，需要配置安全配置。 图 安全配置页面 可根据需求进行配置WAF、CC防护，先开启开关后进行对应的相关配置 6.域名配置填写和确认无误后，点击【新增域名】按钮提交您的加速域名配置； 7.完成新增域名操作后，可通过【工单列表】或直接点击查看进度，查看该域名配置过程中所处状态；后台人员审核并执行相关配置，配置最久需要3个工作日； 8.完成新增域名操作后，即域名状态为已完成，可通过【域名列表】查看该域名配置详情；

数据空间新增成功后，如果需要对其描述信息进行修改，可参见本节进行处理。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在待编辑数据空间所在行“操作”列，单击“编辑”。 6. 在弹出编辑数据空间界面，修改数据空间描述信息。 7. 单击“确定”。

本文为您介绍安全使用IAM的建议。 为了帮助您安全地控制对天翼云云资源的访问，请您遵循安全使用IAM的建议。 不给天翼云帐号创建访问密钥 天翼云帐号是您天翼云云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是帐号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高帐号安全性，建议您仅使用密码登录控制台即可，不要给帐号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。 不将访问密钥嵌入到代码中 当您使用API、CLI、SDK等开发工具来访问云服务时，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 创建单独的IAM用户 如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

清理违规内容 您可根据管控通知、或联系客服了解管控原因、获取存在违规信息的具体链接，然后参考《++安全违规信息类型说明++》进一步排查定位违规内容，并自行完成清理。 若您的对象存储OSS文件由于违规信息被冻结或限制访问，可直接删除违规文件。 清理挖矿程序 1. 挖矿程序一般很难清理，强烈建议您在++备份重要数据++后，重新初始化云盘 ，可确保完全清理挖矿程序。 2. 您也可以按以下步骤对您的服务进行排查： 排查是否有异常的CPU占用（注：挖矿木马可能不会占满您的CPU，但CPU占用会长时间持续稳定在一定水平，如20%、50%）； 排查是否有异常的网络连接，如连接非常见端口、连接未知IP/海外IP等； 排查系统定时任务中是否存在未知/恶意命令。 3. 您可以免费试用服务器安全（原生版）、云防火墙（原生版），以辅助您排查挖矿活动。 服务器安全卫士（原生版）清理挖矿程序：登录服务器安全卫士（原生版）控制台→绑定防护配额→ 全盘病毒扫描→ 告警处理； 云防火墙（原生版）防止挖矿程序再植入：登录云防火墙（原生版）控制台→ 登入云防火墙（原生版）实例配置页面 → 网络 → 安全域 → 编辑安全域 → 威胁防护配置 → 打开病毒过滤，攻击防护开关。 说明 申请产品免费试用请联系客户经理，试用扫描结果仅作紧急排查辅助，不能作为唯一参考。

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

限制项 说明 TLS协议 支持TLS1.2协议。 注意 基于安全合规要求，不支持使用TLS1.0/1.1协议。 安全算法套件 支持的安全算法套件如下： ECDHEECDSACHACHA20POLY1305 ECDHERSACHACHA20POLY1305 ECDHEECDSAAES128GCMSHA256 ECDHERSAAES128GCMSHA256 ECDHEECDSAAES256GCMSHA384 ECDHERSAAES256GCMSHA384

虚拟私有云为用户提供完全隔离的虚拟网络环境,可满足不同的应用场景。 虚拟私有云是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。同时，VPC可以灵活搭配其他网络服务，支撑您构建构建多元化网络环境。 构建高安全的云上网络 虚拟私有云VPC是云上的私有网络，您可以将应用程序部署在VPC内的实例上，同时，通过配置安全组和网络ACL策略，可以保障VPC内部署的实例安全运行。 安全组对实例进行防护，将实例加入安全组内后，该实例将会受到安全组的保护。 网络ACL对整个子网进行防护，将子网关联至网络ACL，则子网内的所有实例都会受到网络ACL保护。 您可以根据业务需求设置流量访问控制规则，比如您要部署面向公网提供服务的Web应用程序，则您可以在子网SubnetA01中的ECS上部署应用程序，在另外一个和公网隔离的子网SubnetA02中部署数据库，并且通过不同的安全组和网络ACL控制出入子网的流量。 构建多业务隔离的云上网络 如果您同时有多种业务需要部署在VPC内，并且业务A和业务B需要网络隔离，则您可以将业务A和业务B分别部署在不同的VPC。比如可以将业务A部署在VPCA内，业务B部署在VPCB内，两个VPC之间默认网络隔离，不同VPC内的资源无法直接通信，从而实现了业务间的逻辑隔离。

本节介绍服务器安全卫士（原生版）产品优势。 统一管理和运维 天翼云控制台上统一查看服务器资产和各项风险，快速构建安全可视化运维平台。自动收集云上服务器数据，实现云上安全威胁实时管控，让安全没有死角。 三位一体全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低服务器入侵风险。 防护资源占用少 正常的系统负载情况下，CPU占用率低，内存占用小，消耗极低；在系统负载过高时，Agent会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。 用户使用方便快捷 无需登录云主机进行安装，简单配置防护策略即可实现防护；全部操作都有可视化界面，方便用户使用；平台级产品，用户无需切换资源池即可查看全部情况。 防护机制安全可靠 有先进的检测技术和丰富的检测库，提供精准防御，做到全方位安全防护；对Agent进程加壳防护，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.9%，2分钟内离线自动重启机制，保障系统始终处于检测状态。

网站无法访问怎么办？ 无法访问弹性云主机实例中运行的网站的原因较多，此处列举较为常见的问题原因，具体原因以现场的排查结果为准。 TCP 80端口不可用。 Web服务不可用。 网站未备案。 网站资源或后端服务存在异常。 以CentOS 7.6系统为例，为大家介绍排查思路： 1. 检查80端口配置 plaintext netstat ntulp grep 80 如果端口被正常监听，请执行检查安全组规则。 如果端口没有被正常监听，请检查Web服务进程是否启动或者正常配置。 2. 检查安全组配置 如果安全组没有网站访问使用的端口，需要在云主机实例对应的安全组中添加放行该端口的规则。 1. 在弹性云主机控制，单击主机名称。 2. 选择“安全组”页签，展开安全组规则。 3. 单击“更改安全组规则”。 4. 根据网站使用的端口配置新的安全组规则，放行网站使用的端口。 3. 检查防火墙配置 1. 使用iptables nvL linenumber命令查看已配置的防火墙策略。 2. 依次执行以下命令放行80端口。 3. plaintext iptables A INPUT p tcp dport 80 j ACCEPT 4. plaintext iptables A OUTPUT p tcp sport 80 j ACCEPT 5. 使用service iptables save命令保存添加的规则。 6. 使用service iptables restart命令重启iptables。 7. 使用iptables nvL linenumber命令查看增加的规则是否生效。 8. 关闭防火墙后，重新测试网站访问是否正常。 4. 检查云主机CPU利用率 可以通过云监控查看云主机负载情况，您可以创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。使用Top命令查看系统运行状态，排查异常进程并终止，再次尝试访问。 5. 检查网站备案及域名解析是否正常 无论网站是通过IP地址还是通过域名对外提供服务，都需要进行备案。请检查您的备案信息是否正常。 如果域名已备案，但未正确配置域名解析也可能会导致域名无法Ping通。您可以在域名提供商的控制台查看解析详情。 如果上述排查都没能成功访问网站，请提交工单，联系技术支持人员帮助解决。

本节为您介绍迁移网络与时长相关问题。 CMS迁移的网络需要具备哪些条件？ 源机、目标机需要能访问平台； 源机需要能够访问目标机； 由于迁移环境在公网上，可能会遭遇DDoS攻击，导致目标机PE系统内存溢出，目标机需要配置安全组策略，目标机入方向需放通8000（数据）、8001（控制）端口； 源机无需开通端口，但建议源端检查出方向是否放通所有端口。 具体步骤请参见检测目标机。 如何配置安全组 1. 进入安全组配置界面。 2. 展开安全组并单击“添加规则”。 3. 配置目标机入方向8000端口。 4. 再次单击“添加规则”按钮，配置目标机入方向8001端口。 5. 可以查看创建好的安全组规则。 为什么绑定目标机时提示：错误信息xx：源机IP(xx)：与目标机通信时出错：获取部署结果超时,检查目标机系统是否为linux x8664PE系统？ 您需要检查目标机系统是否正确； 您需要检查安全组是否放通，具体步骤请参见检测目标机。

可修改项 说明 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。

本页介绍了关系数据库MySQL版产品的高级防护优势。 关系数据库MySQL版产品的高级防护主要体现为：访问控制、数据传输加密、网络隔离、数据销毁、防DDoS攻击、安全保护。 访问控制 关系数据库MySQL版实例创建时，可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围，从而提升数据库的安全性。 数据传输加密 通过TLS加密和SSL加密，可以实现对数据传输过程的加密保护。此外，可以使用从服务控制台下载的CA根证书来验证和认证数据库服务端，在连接数据库时提供该证书，从而保证数据传输的安全性和可靠性。 网络隔离 为了实现对数据库服务的网络隔离，可以利用虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组等网络安全技术。使用虚拟私有云可以让租户配置入站IP地址范围，这样就能够控制可以连接数据库的IP地址段。同时，关系数据库MySQL版实例可以运行在租户独立的虚拟私有云内，这样就能够提升数据库实例的安全性。通过综合运用子网和安全组的配置，可以进一步实现对关系数据库实例的网络隔离。 数据销毁 在删除关系数据库MySQL版实例时，存储在数据库实例中的数据都会被删除，并且不会被恢复或重新创建。安全删除不仅包括数据库实例所挂载的磁盘，同时还包括备份数据的存储空间。这样可以确保数据得到完全的清除和保护，防止数据被不当使用或者泄露给未经授权的人员。

尊敬的AOne零信任客户： 您好！ 感谢您长期以来对我司零信任产品的关注与支持！为进一步聚焦零信任核心服务能力，优化服务质量，提升安全防护水平，更好地满足广大用户的专业化、高品质安全需求，经我司慎重研究决定，零信任服务免费版将全面下线。现将相关事宜公告如下： 【订购规则调整】 1. 2026年1月10日00:00起，正式限制零信任服务免费版的新订购业务，不再接受新用户订购。 2. 2026年3月18日00:00起，所有已购买零信任服务免费版的用户，将无法办理任何形式的续订业务，包括手动续订及自动续订（系统将自动取消所有免费版相关自动续订协议，不会产生额外扣费）。 3. 2027年3月20日00:00起，零信任服务免费版将全面正式下线。系统将统一校准未到期套餐的有效期，全程不产生任何额外费用。 【存量服务保障】 用户已购买的零信任服务免费版权益将正常生效，直至服务期限届满；服务期限届满后，将自动终止服务，不产生任何后续费用。因免费版产品于2027年3月20日00:00起全面下线，建议提前进行服务规划与迁移，避免影响产品服务。 【其他说明】 若您仍有零信任相关服务需求，可联系我司客户顾问，了解适配您业务场景的付费版零信任服务。付费版将依托更全面的安全防护能力、更稳定的服务保障及专属技术支持，践行“永不信任、始终确认”的零信任核心理念，为您的业务构建从身份认证到数据防护的全流程安全防线，助力业务安全高效运行。 若您在已订购零信任免费版且在服务中，需退订服务后进行新购其他规格服务，若在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，有效规避恶意订购、违规使用等潜在风险，保障服务生态的合规与有序，更好地守护用户业务安全，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的零信任安全服务。