本章节主要介绍跨源认证概述。 什么是跨源认证？ 跨源分析场景中，如果在作业中直接配置认证信息会触发密码泄露的风险，因此推荐您使用“数据加密服务DEW”或“DLI提供的跨源认证方式”来存储数据源的认证信息。 数据加密服务（Data Encryption Workshop, DEW）是一个综合的云上数据加密服务，为您解决数据安全、密钥安全、密钥管理复杂等问题。推荐使用数据加密服务DEW来存储数据源的认证信息。 跨源认证用于管理访问指定数据源的认证信息。配置跨源认证后，无需在作业中重复配置数据源认证信息，提高数据源认证的安全性，便于DLI安全访问数据源。 本节操作为您介绍DLI提供的跨源认证的使用方法。 约束与限制 仅Spark SQL、和Flink OpenSource SQL 1.12版本的作业支持使用跨源认证。 DLI支持四种类型的跨源认证，不同的数据源按需选择相应的认证类型。 −CSS类型跨源认证：适用于“6.5.4”及以上版本的CSS集群且集群已开启安全模式。 −Kerberos类型的跨源认证：适用于开启Kerberos认证的MRS安全集群。 −KafkaSSL类型的跨源认证：适用于开启SSL的Kafka。 −Password类型的跨源认证：适用于DWS、RDS、DDS、DCS数据源。。 跨源认证类型 DLI支持四种类型的跨源认证，不同的数据源按需选择相应的认证类型。 CSS类型跨源认证：适用于“6.5.4”及以上版本的CSS集群且集群已开启安全模式。配置时需指定集群的用户名、密码、认证证书，通过跨源认证将以上信息存储到DLI服务中，便于DLI安全访问CSS数据源。详细操作请参创建CSS类型跨源认证。 Kerberos类型的跨源认证：适用于开启Kerberos认证的MRS安全集群。配置时需指定MRS集群认证凭证，包括“krb5.conf”和“user.keytab”文件。详细操作请参考创建Kerberos跨源认证。 KafkaSSL类型的跨源认证：适用于开启SSL的Kafka，配置时需指定KafkaTruststore路径和密码。详细操作请参考创建KafkaSSL类型跨源认证。 Password类型的跨源认证：适用于DWS、RDS、DDS、DCS数据源，配置时将数据源的密码信息存储到DLI。详细操作请参考创建Password类型跨源认证。

子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 目前，天翼云已在全国多个地域开放，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

组播 由于Oracle RAC的private network需要组播功能的支持，因此需要配置VPC虚拟网络的组播功能。可以通过“网络控制台>组播”选项进入组播配置。创建组播域的配置中，选择“组播域来源”为“云内”，选择之前步骤创建的VPC虚拟网络，“成员加入方式”选择“动态加入”，协议支持版本选择IGMPv2和IGMPv3，如示例所示： 安全组 由于默认安全组，仅开通22端口和ping服务，子网内的集群节点无法进行正常的TCP、UDP包通信，需要单独设置安全组，放行子网内的网络通信（需配置新的安全组oracleracsg，并应用于public和private网络的网卡）。

本文介绍AOne在金融行业的最佳实践。 背景信息 数字化发展使得金融机构的业务更加依赖于信息技术和网络通信。用户期望能够在任何时间、任何地点通过互联网进行交易，并且希望能够获得流畅、高效的体验。这也意味着大量敏感数据（如个人身份信息、账户信息等）通过互联网传输和处理。随着数字化交易的增加，网络犯罪活动也在不断演进，金融机构必须采取强大的安全措施来防止数据泄露、欺诈行为和黑客攻击。 天翼云边缘安全加速平台AOne基于CDN动静态加速、WAF、DDoS防护能力，帮助保护客户数据和防范网络攻击，满足监管要求，并确保业务连续性；同时，加速服务优化网络性能，提供快速、流畅的用户体验，增强金融机构的竞争力和客户信任。 技术架构 应用场景 网络安全防护场景 业务挑战：金融机构面临各种网络安全威胁，如DDoS攻击、Web应用攻击、数据泄露等，这可能导致网络中断、敏感数据泄露和业务损失。 方案优势：AOne提供强大的边缘安全防护，通过全球部署的边缘节点，及时检测和缓解DDoS攻击，使用WAF技术监控和过滤恶意请求，实现数据加密和安全访问控制，保护网络和应用程序免受攻击。

复制策略 通过复制策略，可以快速添加一个和已有策略类似的策略。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“复制策略”，进入复制策略页面。 4. 策略配置的详细说明请参考添加策略。 编辑策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“编辑”，进入编辑策略页面。 4. 在策略编辑界面，可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。 批量管理策略 支持批量对策略进行管理，包括启用、禁用、删除。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，勾选入侵行为名称前的复选框，选择要操作的策略。 4. 单击选择列表上方的“批量”按钮，展开批量操作。 5. 根据需要选择执行的操作，支持批量启用、禁用、删除。

本节介绍云安全中心威胁攻击态势大屏。 用户可以查看不同级别的告警的数量统计、异常资产、高危待处理等态势。 前提条件 威胁攻击态势需要购买态势大屏扩展资源，具体操作请参见购买扩展资源。 查看威胁攻击态势大屏 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入产品服务页面。 3. 在左侧导航栏，选择“安全态势 > 威胁攻击态势”，进入威胁攻击态势大屏页面。 在右上角支持选择时间范围，也可以设置定时刷新时间。 单击右上角的图标，进入全屏模式。 单击左上角的图标，返回“安全概览”页面。 设置定时刷新时间 威胁攻击态势大屏支持定时刷新大屏数据，定时刷新时间最小为5分钟刷新一次，最大为720分钟刷新一次，进入大屏默认为30分钟刷新一次。 您可以执行以下步骤修改定时刷新时间： 1. 在威胁攻击态势大屏页面，单击右上角时间范围。 2. 单击“停止”，间隔时间变为可配置。配置完时间后，再单击“开始”，即可完成修改。

本文向您介绍如何使用边缘安全加速平台安全与加速服务提供的IPv6支持度检测功能。 功能介绍 支持IPv6支持度检测功能，能够针对IPv6域名解析、网站首页IPv6访问、网站二级/三级链接IPv6支持度进行检测，并输出检测结果以及改进建议。 注意：仅针对已接入域名提供IPv6支持度检测服务。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 检测对象 检测网址：可以从域名列表选择需要IPv6检测的域名，也可以自定义输入已接入域名下的网址，支持输入域名或URL格式。 检测项 IPv6域名解析：支持检测域名是否支持IPv6解析，若不支持，则建议前往域名列表开启IPv6解析功能。 网站首页IPv6访问：支持检测网站首页是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站二级链接IPv6支持度:支持检测网站二级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站三级链接IPv6支持度:支持检测网站三级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。

本小节介绍渗透测试知识类常见问题。 天翼云渗透测试有哪些优势? 业内领先的咨询顾问团队 参考国际和国家规范，对系统进行科学有效的风险评估，顾问团队拥有CISP、CISSP、ISO27001、 Security+等专业资质和多年丰富的项目经验。 运营商级别的实践能力 技术顾问具备多年的信息系统安全评估和保障服务经验，具有丰富的网络和系统整改项目经验。 通过科学、标准的服务流程，以及完善的项目管理和质量保障机制，提供全面可靠的安全服务。 天翼云渗透测试有哪些规格? 不同企业建议根据实际情况分成三种规格： 小型应用系统，最多1个应用系统。 中型应用系统，最多5个应用系统。 大型应用系统，最多10个应用系统。 其他规格需要根据实际情况协商确定。 天翼云渗透测试服务内容包括哪些? 身份认证测试 检査是否满足安全设计要求中的身份认证要求，检查是否存在密码被破解、登录被回放、登录被绕过的缺陷，确保登录验证安全有效。 授权管理测试 检查页面是否满足安全设计要求中的访问控制要求，检查用户在未授权的情况下是否成功办理需要授权的业务。 检查是否存在跨站请求伪造、路径遍历、授权绕过、会话重放等。 数据验证测试 检查是否满足安全设计要求中输入验证的要求，确保应用系统正常显示业务办理信息。 检查是否存在SQL注入、跨站脚本攻击、 XPATH注入、SSI注入、命令注入、缓冲区溢出、上传文件验证、未经验证的URL重定向。 可用性测试 检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。 配置管理测试 检查存在中间件配置缺陷导致的应用系统漏洞。 检查是否存在SSL漏洞、敏感信息泄露、默认文件和目录、基础结构配置管理、非必要文件检索、HTTP请求方法滥用、目录索引。 后门测试 检查应用系统各页面是否存在后门程序。

本文介绍了边缘安全加速平台域名管理操作基础配置的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【基础配置】。 3.点击需要配置的模块，跳转至对应配置页面。 功能模块 说明 回源配置 包括源站配置、回源协议、回源端口、回源HOST、回源URL改写配置项。 请求协议 包括请求协议、证书、强制跳转配置项。 HTTPS配置 包括HTTP2.0配置项。 头部修改 包括HTTP响应头、回源HTTP请求头配置项。 文件处理 包括文件压缩等配置项 IPv6外链改造 包括IPv6外链改造、网站首页IPv6标识。 Websocket 包括Websocket开关。

本小节介绍镜像漏洞。 本章节指导用户查看私有镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 前提条件 已开启容器节点防护。 检测方式 用户开启容器节点防护后，容器安全服务自动执行对Linux镜像的安全扫描。 约束限制 仅支持查看Linux镜像存在的漏洞。 查看私有镜像仓库漏洞 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航树中，选择“风险预防 > 容器镜像安全”，选择“容器镜像漏洞 > 私有镜像仓库漏洞”页签，查看私有镜像窗口漏洞。 说明 单击风险镜像名称，可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、受影响镜像个数、漏洞描述等信息。 漏洞参数说明 参数名称 说明 操作 漏洞名称 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见步骤3。 修复紧急度 提示您是否需要立刻处理该漏洞。 受影响镜像数（个） 显示受该漏洞影响的镜像个数。 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 3、 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表。

本小节介绍手动解除误拦截IP。 在30秒内，账户暴力破解次数达到5次及以上，或者3600秒内，账户暴力破解次数达到15次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入。若已拦截IP为合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），您可以参照本章节手动解除拦截IP。 手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。若再次发生多次密码输错，该IP仍会被HSS拦截。 说明 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 当HSS检测到拦截IP超过默认拦截时间后，主机不再被暴力破解攻击，将会自动解除拦截。 手动解除拦截IP 1、登录管理控制台。、 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航树中，选择“入侵检测 > 事件管理”。 4、在安全告警统计区域中，单击“已拦截IP”。 5、在弹出的“已拦截IP”页面，勾选误禁IP后，单击列表上方的“解除拦截”，解除拦截IP。

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id azName 否 String 可用区编码，若资源池无可用则不传 cnxinan12A vpcId 是 String vpc Id subnetId 是 String 子网id zoneId 是 String 区域id，值同regionId zoneType 是 String 是否为蒙贵资源池，1：蒙贵，2：非蒙贵 2 cpuNum 是 String CPU核数，取值范围:[2,4,8,16] 2 memSize 是 String 内存大小，取值范围:[4,8,16,32] 4 flavorType 是 String 云主机规格类型 CPUS7 flavorUuid 否 String 云主机规格id 注：自研池云主机必传此参数 flavorRef 否 String 合营池云主机规格名称，资源池为合营池时必传 c7.large.2 sysVolumeSize 否 String 系统盘大小(G)，取值范围:401000 注：自研池必传此参数 40 version 否 String 云主机销售品版本，取值范围：[v1，v2] 注：自研池时必传 v1 securityGroupIdList 否 String 安全组id，需要在下单前创建好安全组 安全组命名规则：cfwssoxxxxxx 安全组入向规则：指定端口、访问源，TCP协议 安全组出向规则：全放通 securityGroups 否 Array of Objects 安全组id列表 合营池下单传此参数 securityGroups vmName 是 String 云主机实例名称，命名规则：CFWxxxx CFWa4f0 publicIpId 否 String 开通资源所在资源池下未绑定的弹性IP的id 注：自研池传此参数 publicIp 否 String 开通资源所在资源池下未绑定的弹性IP地址 注：合营池传此参数 adminPass 否 String 云主机初始化密码 cpuArch 是 String 云主机cpu架构，取值范围：x86，arm x86 networkCards 是 Array of Objects 网卡信息 networkCards projectId 否 String 企业项目id 自研池必传，无企业项目时传默认值：0 合营池非必填参数 0

本章节主要介绍如何创建Elasticsearch集群。 场景描述 当创建的集群类型不同时，需要关注如表1所示的关键参数的配置。 表1 集群创建差异 集群类型 “安全模式” “HTTPS访问” “公网访问” “Kibana公网访问” 非安全模式的集群 关闭 不涉及 不支持启用 不支持启用 安全模式+HTTP协议的集群 开启 关闭 不支持启用 支持启用 安全模式+HTTPS协议的集群 开启 开启 支持启用 支持启用 前提条件 已经完成待创建的Elasticsearch集群规划。 创建集群 1. 登录云搜索服务管理控制台。 2. 在总览页面单击右上角的“创建集群”，进入“创建集群”页面。 或者左侧导航栏单击“集群管理> Elasticsearch”，单击右上角的“创建集群”，进入“创建集群”页面。 3. 在“基础配置”页面，完成Elasticsearch集群的基本信息和资源配置。 表2 Elasticsearch集群的基础配置 参数 说明 计费模式 集群支持包年/包月和按需计费两种模式。 l 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为3年。如果购买时长超过9个月，建议包年购买，价格更优惠。 l 按需计费：按实际使用时长计费，计费周期为一小时，不足一小时按一小时计费。 订购周期 选择包年/包月模式后，需要选择购买时长。 您可以根据需求，选择是否需要“自动续费”。 当前区域 选择集群的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 选择集群工作区域下关联的可用区。 最多支持配置3个“可用区”。 集群类型 选择“Elasticsearch”。 集群版本 选择所需的集群版本，支持的版本以界面可选项为准。 集群名称 自定义集群名称，可输入的字符范围为4～32个字符，只能包含数字、字母、中划线和下划线，且必须以字母开头。 节点数量 集群中的数据节点个数。可选节点数为1~32，建议节点数为3或3以上，以提升集群可用性。 l 当集群未启用Master节点和Client节点时，数据节点将同时承担集群管理、存储数据、提供接入集群和分析数据的职责。此时，为保证集群中数据的稳定性，建议设置节点数量大于等于3个。 l 当集群启用了Master节点但未启用Client节点时，数据节点将用于存储数据并提供接入集群和分析数据的功能。 l 当集群未启用Master节点但启用了Client节点时，数据节点将用于存储数据并提供集群管理功能。 l 当集群同时启用了Master节点和Client节点时，数据节点将仅用于存储数据。 说明 当集群中数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 CPU架构 支持“X86计算”和“鲲鹏计算”两种类型。具体支持的类型由实际区域环境决定。 节点规格 集群中数据节点的规格。您可以根据需求，选择对应的规格。每个集群只能选择一个规格。 节点存储 当“节点规格”选择的是云硬盘时，需要选择集群数据节点的云硬盘类型。节点存储支持普通I/O、高I/O、超高I/O。 节点存储容量 设置数据节点的存储空间大小，其取值范围与“节点规格”关联，不同的规格允许的取值范围不同。 节点存储容量只支持配置为20的倍数。 启用Master节点 Master节点负责管理集群中所有节点任务，如元数据管理、索引创建与删除、分片分配等。在大规模集群的元数据管理、节点管理、稳定性保障和集群操作控制中发挥着至关重要的作用。 启用Master节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”必须是不小于3的奇数，最多设置9个节点。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用Client节点 Client节点负责接收并协调外部请求，如search和write请求，在处理高负载查询、复杂聚合、大量分片管理以及优化集群扩展性方面发挥着重要作用。 启用Client节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用冷数据节点 冷数据节点用于存储对查询时延要求不高，但数据量较大的历史数据，是管理大规模数据集和优化存储成本的有效方式。 启用冷数据节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储类型和存储容量可以根据实际情况选择。 开启冷数据节点之后，支持切换集群的冷热数据，详情请参见2.7.9 切换Elasticsearch集群冷热数据。 说明 当集群中冷数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 企业项目 如果开通了“企业项目”，在创建集群时可以给集群绑定一个企业项目。 在下拉框中选择企业项目，单击“查看项目管理”跳转到“企业项目管理”管理控制台，查看已有的企业项目。 4. 单击“下一步：网络配置”。 5. 在“网络配置”页面，完成Elasticsearch集群的网络和安全模式配置。 表3 Elasticsearch集群的网络配置 参数 说明 虚拟私有云 指定集群节点使用的虚拟专用网络，实现不同业务的网络隔离。 单击“查看虚拟私有云”跳转到虚拟私有云列表，查看已创建的VPC名称和ID。 如果没有合适的VPC，建议联系CSS服务管理员新建VPC，具体请参见。 说明 此处选择的VPC必须包含网段（CIDR），否则集群将无法创建成功。新建的VPC默认包含网段（CIDR）。 子网 集群使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下集群需要的子网。 当选择的虚拟私有云支持IPv6，则在下拉框中选择是否分配IPv6地址。只有7.6.2和7.10.2版本的Elasticsearch集群支持分配IPv6地址。 安全组 安全组起着虚拟防火墙的作用，为集群提供安全的网络访问控制策略。 选择集群需要的安全组，单击“查看安全组”跳转到安全组列表，可以了解安全组详情。 说明 请确保安全组的“端口范围/ICMP类型”为“Any”或者包含端口9200的端口范围。 如果创建的集群为7.6.2及以上版本，则需要确保同安全组内节点之间的端口全放通。如果无法放通同安全组内节点之间的全部端口，请至少确保9300端口的通信。 放开9300端口通信后，如果集群磁盘使用率较高，可清理过期数据，释放磁盘存储空间。 安全模式 选择是否开启集群安全模式。 l默认开启，则创建的是安全模式的集群。安全模式的集群会对集群进行通讯加密和安全认证。因此必须配置集群的“管理员账户名”和“管理员密码”。 − 管理员账户名 默认为admin。 − 设置并确认管理员密码 。要记住设置的密码，后续访问集群需要输入密码。 l不开启，则创建的是非安全模式的集群。非安全模式的集群无需安全认证即可访问，并且采用HTTP明文传输数据。建议确认访问环境的安全性，勿将访问接口暴露到公网环境上。 HTTPS访问 只有开启集群的安全模式才可以启用HTTPS访问，开启HTTPS访问后，访问集群将进行通讯加密。 说明 安全集群使用HTTPS通信，相比非安全集群使用HTTP通信在读取性能上会降低，预期相对HTTP集群在大并发压力下有20%的性能劣化。如果想要读取性能快，又想要使用安全集群所提供的用户权限隔离资源（索引、文档、字段等）的功能，则可以关闭HTTPS访问。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 公网访问 仅当集群开启了“安全模式”和“HTTPS访问”时，才可以选择是否配置“公网访问”。配置公网访问后，用户可以获得一个公网访问的IP地址，通过这个IP地址可以在公网访问该安全集群。 6. 单击“下一步：高级配置”。 7. 在“高级配置”页面，完成Elasticsearch集群的快照和其他高级配置。 a. 设置集群快照。 系统默认打开集群快照开关，如果您不需要启用自动快照，可以在“集群快照开关”右侧关闭。自动快照会创建委托访问对象存储服务OBS，快照存储在OBS标准存储中需额外计费。 表4 集群快照基础配置 参数 说明 OBS桶 在下拉框中选择存储快照的OBS桶。也可以单击右侧的“创建桶”新建OBS。 创建或者已存在的OBS桶需满足如下条件： l“存储类别”为“标准存储”。 l“区域”须与创建的集群所在区域相同。 备份路径 快照在OBS桶中的存放路径。 备份路径配置规则： l备份路径不能使用符号“:?"<>”。 l备份路径不能以“/”开头。 l备份路径不能以“.”开头或结尾。 l备份路径的总长度不能超过1023个字符。 IAM委托 指当前账号授权云搜索服务访问或维护存储在OBS中数据。如果没有合适的委托可以联系CSS服务管理员新建IAM委托。 所选的IAM委托需满足如下条件： l“委托类型”选择“云服务”。 l“云服务”选择“Elasticsearch”或者“云搜索服务 CSS”。 l必选策略：“Tenant Administrator”或“OBS Administrator” 表5 设置自动创建快照 参数 说明 快照名称前缀 快照名称前缀的长度为1～32个字符，只能包含小写字母、数字、中划线和下划线，且必须以小写字母开头。快照名称由快照名称前缀加上时间戳组成，例如自动生成的快照名称为“snapshot1566921603720”。 时区 指备份时间对应的时区，不支持修改。基于此时区选择备份开始时间。 备份开始时间 指每天自动开始备份的时间，只能指定整点时间，如00:00、01:00，取值范围为00:00～23:00。请在下拉框中选择时间。 8. 单击“下一步：确认配置”，确认完成后单击“立即创建”开始创建集群。 9. 单击“返回集群列表”，系统将跳转到“集群管理”页面。您创建的集群将展现在集群列表中，且集群状态为“创建中”，创建成功后集群状态会变为“可用”。 如果集群创建失败，请根据界面提示重新创建集群。

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 a.双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 b.配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 c.重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。放通的端口请参考表。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024 65535间的端口（例如50006000） 0.0.0.0/0

此小节介绍勒索防护 云平台推荐HSS+CBR的勒索防护最佳实践，帮助企业打好事前、事中、事后的勒索攻防“组合拳”。 事前：安全能力前置，勒索入口“早发现、早治疗” 根据云平台安全历史入侵事件数据表明，90%的勒索攻击入口集中在弱口令、漏洞利用、基线风险配置，提前识别风险并修复可显著提升系统防御能力。 企业主机安全能帮助您快速识别风险入口，提供便捷一键修复功能降低企业运维成本。 弱口令检测详细操作请参见“查看基线检查详情”章节。 漏洞检测详细操作请参见“查看漏洞详情”章节，漏洞的修复与验证操作请参见“漏洞修复与验证”章节 基线检查风险修复操作请参见“基线检查风险项修复与验证”章节。 事中：及时阻断攻击，实时检测、隔离勒索攻击 在应对勒索攻击时，及时识别并隔离勒索攻击和备份、恢复业务数据的重要性进一步凸显。 企业主机安全首创防入侵、防加密、防扩散的三防勒索检测引擎和动态诱饵欺骗技术，实现勒索病毒秒级查杀，业务数据分钟级备份和恢复，勒索防治竞争力业界领先。 勒索病毒防护策略配置操作请参见“勒索病毒防护策略管理”章节。 查看勒索防护备份操作请参见“查看勒索病毒防护”章节，修改备份策略操作请参见“查看勒索病毒防护”章节。 勒索病毒事件处理操作请参见“处理主机告警事件”章节。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性云主机 用户若需要自己客户应用接入RocketMQ发送、消费消息，需先购买弹性云主机并确保和RocketMQ实例在同一VPC下。创建操作说明请参见创建弹性云主机。 订购实例 实例介绍 RocketMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RocketMQ实例，可根据业务需要可定制相应规格的RocketMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息RocketMQ页面。 2、点击创建实例进入对应页面，左上角选择目标资源池。 1）填写实例名称，系统默认实例名称，用户可直接修改。 2）选择引擎类型，目前默认选择RocketMQ引擎，完全兼容开源客户端的高性能低延时的消息队列。 3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、1年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、1年。 计费模式为按需计费，则该选项隐藏无需选择。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署，单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）设置主备节点对数，可输入1~16。主备节点通常是指主题（Topic）的生产者和消费者之间的角色切换。当主节点发生故障或不可用时，备节点可以自动接管并继续提供服务。这种主备节点的设计可以确保系统的稳定性和可靠性。 7）主机类型为计算增强型。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 8）选择实例规格，分布式消息服务RocketMQ提供计算增强型2C4G、4C8G等一系列规格，各规格详细说明参见弹性云主机规格。 9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 13） 填写完上述信息后，单击“下一步”，进入费用确认页面。 14）确认实例信息无误后，提交请求。 15）在实例列表页面，查看RocketMQ实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

私网NAT网关支持SNAT规则和DNAT规则共用一个中转IP吗？ 支持，SNAT规则、DNAT规则可以共用同一个中转IP，实现服务开放和主动访问使用同一私网地址。 私网NAT网关是否支持网络ACL？ 私网NAT网关本身不支持ACL，可以通过配置私网NAT后端的主机安全组和ACL来进行访问控制。 网络ACL：可以通过网络ACL来配置子网出入流量的规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建ACL。 安全组：安全组是一种虚拟防火墙，可以在弹性云主机中配置。通过安全组，可以定义允许和拒绝的流量规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建安全组。 私网NAT网关配置完成后，网络不通如何处理？ 私网NAT网关配置完成后，网络不通可以通过以下步骤进行处理： 1. 检查私网NAT网关状态是否处于运行中，如果不是运行中，可以通过以下方法解除异常。 1. 私网NAT网关到期，显示已到期，可以点击续订，让私网NAT网关恢复正常。再次进行连接测试。 2. 私网NAT网关按需欠费后，会处于冻结状态，可以进行续费处理，让私网NAT网关恢复正常。再次进行连接测试。 2. 检查SNAT规则和DNAT规则配置是否正确。 1. 在SNAT规则配置页面确认SNAT规则是否已经配置生效，且确认弹性云主机在SNAT规则子网内，或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则，具体操作步骤请参见管理SNAT规则。 2. 在DNAT规则配置页面确认DNAT规则已经配置生效，DNAT规则配置未生效会访问不通。关于如何配置DNAT规则，具体操作步骤请参见管理DNAT规则。 3. 检查是否由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。 1. 找到VPC对应的子网关联的路由表。 2. 查看路由表是否有到私网NAT网关的路由，如果不包含，请添加对应的路由。具体操作步骤请参见管理私网NAT网关，再次进行连接测试。 4. 检查云主机安全组配置，如果安全组没有放通弹性云主机访问和对外提供服务使用的端口，需要在对应的安全组中添加放行该端口。 1. 点击云主机名称，进入云主机详情页，选择安全组页签，展开安全组规则。 2. 出方向放通所有端口，地址为0.0.0.0/0，入方向端口放通DNAT绑定的应用端口，具体操作步骤请参加添加安全组规则。再次进行连接测试。 5. 检查网络ACL设置，如果VPC的业务子网关联了网络ACL，可能导致网络不同。 1. 点击子网名称，进入子网详情页，选择ACL页签，查看是否有绑定网络ACL，检查入方向规则和出方向规则是否添加了放通子网流量的规则。 2. 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。 6. 检查私网NAT网关业务量是否超过规格上限。 1. 在云监控云服务监控中找到私网NAT网关名称，点击查看监控指标，查看私网NAT网关业务指标情况。 2. 如果超过上限，可以点击私网NAT网关操作栏的“变配”，变更私网NAT网关的规格。再次进行连接测试。 7. 检查弹性云主机端口，以CentOS为例可使用以下命令行查看端口监听是否正常。 1. netstat ntulp grep 云主机端口。 2. 如果端口没有被正常监听，请重新开启弹性云主机端口。 8. 如果上述排查后，网络依然不通，可以提交工单，联系技术支持人员帮助解决。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 说明 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址。 说明 目前支持选择IPV4和IPV6网段的子网。 内网安全组 内网安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 数据库端口 数据库端口默认8635，实例创建成功后可修改。文档数据库服务访问的数据库端口与数据库缺省值有区别，且需在安全组中添加相应规则，以免影响使用。 跨网段访问配置 现在设置 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以配置“对等连接”。 跨网段访问配置当前最多可支持配置9个源端网段， 源端网段之间允许重叠但不能重复。即设置的源端网段之间可以有交集但不能完全一样，禁止使用127开头的网段，允许的IP掩码范围为832。 创建后设置 暂不配置源端对应网段。 IPV6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。

本小节介绍态势感知产品定义。 态势感知为用户提供统一的威胁检测平台。态势感知能够帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 态势感知系统通过资产管理、脆弱性评估、威胁检测等手段完成用户网络的安全检查、风险评估、可视化呈现。同时，通过与国家应急响应中心（CNCERT）权威监测平台的威胁情报、知识库对接，动态实时地完成应急协同、威胁情报接入、信息流转、防护规则更新等信息交换，做到用户安全风险的快速发现和信息闭环。

优势 概括词 简介文案 丰富 域名种类丰富 天翼云域名服务提供了丰富的域名种类供用户注册，可以提供中文、英文等几十种域名类型。 实时 实时注册 天翼云域名服务在注册时直连注册管理机构API，实现实时的注册和查询服务。 管理 完善的域名管理 在域名管理中心您可看到域名注册日期、到期日期、DNS配置、实名认证、域名证书信息等 安全 安全可信 天翼云域名服务提供一个安全可信的域名服务平台，保障用户个人隐私数据安全 性价比 高性价比 天翼云域名服务致力于让用户花最少的钱，为用户提供最好的产品和最优质的服务。

介绍安装HSS Agent影响。 安装HSS Agent不影响在线业务，也不会影响服务器的运行状态。 企业主机安全服务（HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 更多有关HSS Agent的信息，请参见：什么是HSS的Agent？。

尊敬的天翼云用户： 您好！ 天翼云于2025年12月26日更新《天翼云边缘安全加速平台服务等级协议》，新版协议将于2026年1月10日正式生效。请您尽快阅读更新后的协议内容：《天翼云边缘安全加速平台服务等级协议》，此次更新内容主要包括：安全与加速第二条服务承诺2.2.3条和边缘接入服务第二条服务承诺2.2.3条，您可以点击协议链接访问最新协议。 您在本次更新生效后继续使用服务将被视为您接受修改后的条款。如您不同意遵守新服务等级协议，您可在2026年1月10日前退订并停止使用天翼云产品及服务。 感谢您对天翼云一直以来的支持，如有任何问题可随时通过服务热线（4008109889）与我们联系，给您带来不便，敬请谅解。 天翼云服务团队

本文介绍了边缘安全加速平台如何启用域名。 使用场景 如果您需要启用针对某个域名的防护，您可以在控制台进行启用操作。域名启用后，请求流量将会解析到边缘节点进行攻击防御，并进行相关费用统计。 前提条件 域名状态为“已停止”。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才能启用。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要启用的域名，在操作栏点击【启用】按钮后，会进行弹窗提示，再次确认后，域名会进入启用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

切换镜像 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要切换镜像的实例所在行，点击“管理”，选择“切换镜像”操作； 4. 选择执行时间； 立即执行：实例立即执行切换镜像的程序； 暂不执行：用户或管理员选择系统重装操作时，实例才执行切换镜像的程序； 5. 点击“确认”，即完成实例的镜像切换。 注意 镜像切换后，安装在系统盘的程序、数据将清除，数据盘的数据将保留，若非实例故障，通常不建议使用此功能。 安全组管理 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要管理安全组的实例所在行，点击“管理”， 选择“安全组管理”操作； 4. 点击新建，选择需要绑定的安全组和对应的网卡，点击“确定”，即完成实例的安全组绑定。 网卡管理 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要管理网卡的实例所在行，点击“管理”， 选择“网卡管理”操作； 4. 点击添加网卡，选择 VPC 子网并填写 IP 地址，点击“确定”，即完成实例网卡的创建。

说明：本章节会介绍如何通过弹性云主机通过内网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 登录弹性云服务器。 通过弹性云服务器连接关系型数据库实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC、子网内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 2 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 3 在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmpseq1 ttl64 time0.849 ms 64 bytes from 172.17.0.21: icmpseq2 ttl64 time0.455 ms 64 bytes from 172.17.0.21: icmpseq3 ttl64 time0.385 ms 64 bytes from 172.17.0.21: icmpseq4 ttl64 time0.372 ms ... 172.17.0.21 ping statistics 注意 本示例中ECSA01和RDSB01位于同一个安全组内，因此只要VPCA和VPCB之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。

本章节主要介绍约束与规范。 在使用翼MapReduce前，您需要认真阅读并了解以下使用规则。 1. 集群必须创建在VPC子网内。 2. 创建集群时，从下拉框中选择已有的安全组。集群创建完成后，请勿随意删除或更改已使用的安全组，否则可能导致集群异常，影响集群的使用。 1. 集群使用的安全组请勿随意放开权限，避免被恶意访问。 2. 创建安全组时，出、入方向规则中的端口需要放开，授权策略不能选择“拒绝”，否则会导致不能部署集群和拉起服务。 3. 部署Hive/Ranger/Amoro/Hue/DolphinScheduler组件时，元数据配置的数据库与集群需要在同一个VPC下，并通过内网地址进行连接。 4. 请根据业务需要规划集群节点的磁盘，如果需要存储大量业务数据，请增加云硬盘数量或存储空间，以防止存储空间不足影响节点正常运行。 5. 集群节点仅用于运行翼MapReduce集群，其他客户端应用程序、用户业务程序建议申请独立弹性云服务器部署。

修改密码 如需修改登录密码，用户中心点击“修改密码”，输入原密码验证，再次输入新密码即可修改登录密码。 安全中心 如需查看云电脑登录的设备或移除设备，用户中心点击“安全中心”。 进入到安全中心，找到对应的设备，点击进入设备详情。 点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 退出登录 如需退出云电脑登录账号，用户中心点击“退出登录”，二次确认之后即可退出云电脑登录账号。

本文向您介绍使用IE9导入时如何启动ActiveX插件。 问题描述 使用的是IE9浏览器，为了支持预定义标签导入功能，需要启动ActiveX插件。 解决方案 1. 在浏览器主界面，选择“Internet选项”。 2. 单击选择“安全”页签。 3. 单击“Internet”。 4. （可选）单击“默认级别”。 如果安全级别显示为“自定义”，请将设置还原为默认级别。 5. 滑动安全级别滑块，将安全级别调到“中”级别。 6. 单击“应用”。 7. 单击“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本节介绍云下一代防火墙产品优势。 具有全面适应能力的软件防火墙 在云计算环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙可在云主机上实现快速灵活的部署，支持在VMware、KVM、HyperV、XEN等主流虚拟化平台运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。 以虚拟机形式部署设备，能够克服物理防火墙的限制，在云计算环境中可部署于更加靠近云主机的位置，对于云主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥云计算优势。 拥有专业NGFW安全防护功能 云下一代防火墙拥有与NGFW相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。 具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问，攻击防护以及应用识别和控制等需求。 具备HA组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营。

资源 说明 操作指导 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 添加安全组规则： 添加入方向规则：“源地址”选择IP地址组。 添加出方向规则：“目的地址”选择IP地址组。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 添加网络ACL规则： 添加入方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。 添加出方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。