本节介绍如何以终端视角和病毒视角查看病毒信息。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 病毒查杀”，选择“终端视角”页签。 3. 选择对应终端。 4. 点击“快速扫描”，待扫描完成后查看扫描结果。 5. 选择“病毒视角”页签，可对相应病毒文件进行处理。 6. 点击“终端名称”查看具体扫描结果展示。 如下图所示，可以查看终端名称、病毒路径及处理结果。

Linux系统漏洞 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 漏洞管理 > Linux系统漏洞”。 3. 在“终端视角”页签，选择对应终端。 4. 点击“开始扫描”，待扫描完成后查看扫描结果。 5. 选择“漏洞视角”可查看当前漏洞影响终端数及漏洞详情。 6. 点击在漏洞管理查看具体扫描结果展示。 如下图所示，在“漏洞视角”页签可显示当前检测出的所有漏洞信息。

本小节介绍态势感知国家能力中心，包括国家信誉库、威胁情报、规则库。 国家信誉库 基于国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称CNCERT或CNCERT/CC）拥有的国内最为先进且独一无二的公共互联网网络安全监测平台，能够将诸如僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据等网络安全事件及信誉数据同步至本系统，与国家级监测平台形成联动能力，及时发现用户单位网络安全威胁。 国家中心云平台配置，在“系统管理 > 系统设置 > 功能配置”菜单页面，统计数据上传云平台开关默认关闭，国家信誉库自动更新开关默认开启。 威胁情报 对接国家中心的威胁情报和安全资讯，及时更新，包括：网络安全信息与动态周报、国家信息安全漏洞共享平台周报、CNCERT互联网安全威胁报告、突发漏洞安全公告等。 规则库 为了保障威胁检测能力，我方会每个月更新一次威胁规则库，规则文件会以邮件的形式发送到用户邮箱，用户只需要在此界面点击上传，将文件上传至设备即可。

数据库类型 数据库OS 数据库版本 加密方式 加密套件 DBAudit Oracle Linux 11.2.0.4 12.1.0.2 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH ЗDES EDE CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA 支持

port 22 这一行的井号注释符去掉，修改22为2020。 图 修改为2020端口 3. 按“ESC”退出编辑模式，输入“:wq!”保存退出。 4. 执行以下命令重启sshd服务。 service sshd restart 或 systemctl restart sshd 5. （可选）配置防火墙。如防火墙关闭，可以忽略防火墙的配置操作。 CentOS 7的防火墙是firewalld，CentOS 6版本用的iptables，两者使用上有些差别，以下操作以CentOS 7为例。 执行如下命令查看防火墙状态：firewallcmd state 方法一：关闭防火墙并取消开机自启。 systemctl stop firewalld systemctl disable firewalld 方法二：在firewalld服务中添加新的端口。 i. 执行以下命令，添加2020端口规则。 firewallcmd zonepublic addport2020/tcp permanent firewallcmd reload ii. 查看添加的端口。在ports中已添加端口2020 tcp连接。 firewallcmd listall iii. 修改完成后重启防火墙。 systemctl restart firewalld.service 6. 修改安全组规则。 在“入方向”添加协议为“TCP”，端口为“2020”的规则。 使用2020端口验证远程登录云主机。 修改Linux弹性云主机的默认SSH端口后，使用新端口无法登录？ 问题现象 修改默认的SSH端口后，无法使用新的端口登录云主机 。 可能原因 安全组未放通新的端口。 防火墙未放通新的端口。 ssh配置文件中未添加新的端口信息。 hosts文件配置错误。 检查安全组规则 检查安全组是否设置正确。 以新的SSH端口号为2020为例，安全组规则在确保“出方向”Any、Any的情况下，“入方向”需要放通2020端口。 检查防火墙规则 检查iptables防火墙是否放通新的SSH端口，以2020端口为例。 1. 登录Linux弹性云主机。 2. 以CentOS 7.3操作系统为例，执行以下命令编辑iptables文件。 vi /etc/sysconfig/iptables 3. 添加2020端口规则 A INPUT m state state NEW m tcp p tcp dport 2020 j ACCEPT 4. 修改完成后重启iptables服务。 systemctl restart iptables 检查ssh配置文件 登录弹性云主机检查ssh配置文件。 1. 执行如下命令，查看是否配置了 Port 2020。 vi /etc/ssh/sshdconfig 2. 如未配置，请将“

本节介绍了弹性云主机与其他服务的关系。 弹性云主机与周边服务的依赖关系如下图所示。 图 弹性云主机与其他服务的关系示意图 弹性云主机与其他服务的关系 弹性伸缩：利用弹性伸缩，可以根据您定义的伸缩策略进行弹性云主机的伸缩，以节省您的资源使用成本和提高资源利用率。 负载均衡：将访问流量自动分发到多台弹性云主机上，提高应用系统对外的服务能力，提高应用程序容错能力。 云硬盘：可以将云硬盘挂载到弹性云主机，并可以随时扩容云硬盘容量。 虚拟私有云：为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 镜像：您可以通过镜像创建弹性云主机，提高弹性云主机的部署效率。 云监控：当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。弹性云主机支持的监控指标请参考弹性云主机支持的基础监控指标。 数据加密服务：加密功能依赖于数据加密服务。您可以在创建弹性云主机时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云审计服务：记录与弹性云主机相关的操作事件，便于日后的查询、审计和回溯。 云备份：提供对弹性云主机的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。

常见问题规避 1. IP地址冲突：规划阶段严格校验各VPC CIDR范围，禁止重叠。 2. 路由环路：避免在多个对等连接互通的情况下，在VPC的路由表中配置重复目的地址路由条目。 3. 安全组过度开放：禁止配置 0.0.0.0/0 允许所有端口，按需细化规则。 通过以上设计，可在天翼云单地域多VPC环境下实现 安全隔离、灵活互通、成本可控 的云网络架构，适用于中大型企业多业务线协同或复杂业务分层场景。

本文主要介绍流量镜像的使用限制。 如下图所示，流量镜像的报文采用标准的VXLAN报文格式封装，更多有关VXLAN协议的信息，请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时，系统会对报文进行截断。为了防止报文被截断，建议您在IPv4场景下，设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。 当前流量镜像支持部分规格云服务器的弹性网卡作为镜像源，包括c7n、m7n。 如果一个弹性网卡已被用作镜像源，则镜像目的不能使用该弹性网卡。 流量镜像会占用弹性网卡绑定实例的带宽，并且不做独立限速。 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时，为了确保正常使用，请您根据业务实际需要合理规划云服务器的规格。 根据流量镜像的匹配规则，同一个镜像源的同一个报文同时符合多个筛选条件规则，也仅会被匹配一次，并且根据采集策略决定是否镜像到目的实例。 对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文，流量镜像不会镜像该部分报文。 当镜像源的报文符合筛选条件被镜像时，该报文不受镜像源安全组或者网络ACL出方向规则约束，即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时，则需要为镜像目的实例所在的安全组和网络ACL配置以下规则： 安全组规则：入方向允许来自镜像源弹性网卡的IP访问4789端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则安全组规则配置示例如下表所示。 规则类别 策略 类型 协议端口 源地址 入方向规则 允许 IPv4 自定义UDP: 4789 IP地址：192.168.0.27/32此处仅为示例，请根据实际情况配置。 网络ACL规则：入方向允许来自镜像源弹性网卡的IP访问所有端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则网络ACL规则配置示例如下表所示。 规则类别 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向规则 IPv4 允许 UDP IP地址：192.168.0.27/32此处仅为示例，请根据实际情况配置。 此处为空，表示全部端口。 IP地址：10.10.0.0/24此处仅为示例，请根据实际情况配置。 4789必须放通4789端口，其他端口请根据实际情况配置。 不同的虚拟私有云VPC之间网络不通，如果镜像源和镜像目的实例不在同一个VPC内，则您需要使用VPC对等连接或者企业路由器连通VPC之间的网络。

本章介绍如何查看全部检测结果。 您可以在“全部结果”页面，获取安全状态的全视图，助您及时确定检测结果的优先级，统筹分析安全趋势。 “全部结果”支持以下特性： 支持呈现威胁告警、漏洞、风险、合规检查、违法违规、时讯舆情等领域信息。 支持实时接收安全产品检测数据，实时更新结果列表。 支持按时间范围、过滤场景等筛选结果。默认呈现近7天内检测结果。 支持查看检测结果详情，以及JSON格式的结果详情。 支持自定义结果列表呈现的属性。 支持标识检测结果的处理状态。 约束限制 按过滤场景筛选检测结果，最多可呈现10000条结果。 仅可呈现近180天的检测结果。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检查结果”，进入全部结果管理页面。 4. 筛选查看检测结果。 在场景列框选择过滤场景，单击搜索按钮，即可查看到目标场景下检测结果。 当过滤后的结果仍较多时，可补充过滤条件和选择时间范围，快速查找结果。 在筛选框补充过滤条件，添加一项或多项过滤条件，并配置相应条件属性，单击搜索按钮，快速查找指定条件属性的结果。 在时间过滤框中，选择检测结果发现的时间范围，单击“确认”，快速查找指定时间范围内的结果。 5. 查看检测结果列表。筛选后的列表，可查看满足条件的检测结果列表，以及结果统计信息。 6. 查看检测结果详情。 1. 单击列表中结果的“标题”，右侧滑出结果详情窗口。 2. 查看与该结果相关的“基本信息”、“描述”、“资源信息”、“攻击信息”、受影响的用户等信息。 参数 参数说明 基本信息 检测结果的基本信息，包括标题、严重等级、状态、发现时间、业务领域、公司名称、产品名称、类型等信息。 描述 检测结果的简要介绍。 资源信息 受影响的资源信息，包括资源名称、资源ID、资源类型、资源区域等信息。 环境信息 受影响的用户信息，包括租户ID、项目ID、用户所在区域等信息。 攻击信息 攻击来源信息，包括攻击源IP、攻击目标IP、攻击源端口、攻击目标端口等信息。 相关检测结果 相关联检测结果的信息，包括相关联资源名称、结果来源等信息。 漏洞信息 漏洞结果信息，包括漏洞ID、CVSS分数、CVSS版本、提供方等信息。 漏洞影响范围 漏洞影响范围信息，包括影响版本、安全版本等信息。 合规检查信息 合规检查基本信息，包括检查项、检查结果等信息。 涉及CVE 漏洞结果CVE编号。 参考链接/链接 结果相关参考链接。 修复建议/处置建议 结果修复或处置建议说明。 3. 单击“查看JSON”，查看JSON格式检测结果详情。

参数 说明 计费模式 包年/包月、按需计费两种模式，参考 计费模式 。 部署模式 标准、云原生两种模式，标准：基于传统管控架构部署。云原生：基于云原生容器平台部署，更灵活、扩容能力更强。 版本类型 基础版、增强版两种版本类型。 实例类型 主备、单机、Cluster主备、Cluster单机、读写分离等实例类型。具体实例类型说明可参考 实例类型 。 版本号 实例内核的版本号。 主可用区 主节点所在的可用区。 备可用区 备节点所在的可用区。当资源池包含3个或更多可用区时，才支持备可用区选项。 CPU架构 X86计算、ARM计算。 主机类型 主机类型信息，包含通用型、计算增强型等。 规格 缓存内存大小。 分片规格 缓存分片内存大小。 分片数 Cluster集群或Proxy主备集群自定义分片数。 副本数 主备、Cluster主备、读写分离可自定义副本数，默认2副本。 存储类型 实例存储类型，包含高IO、超高IO等。 规格信息 最终选择的实例规格信息，包含总容量、分片数、分片容量、副本数、最大连接数、基准/最大带宽。 虚拟私有云 点击下拉框可选择已创建的虚拟私有云，点击右侧的刷新按钮可刷新下拉框列表，点击“创建虚拟私有云”可进入虚拟私有云管理页面新增虚拟私有云。 所在子网 点击下拉框可选择当前虚拟私有云下已创建的子网，点击右侧的刷新按钮可刷新下拉框列表，点击“创建所在子网”可进入子网页面新增子网。 安全组 点击安全组下拉框可选择当前VPC下已创建的安全组，系统会为每个用户默认创建一个安全组。安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 企业项目 下拉选择IAM维护的企业项目，若没有找到需要的企业项目，可以跳转到 实例名称 系统生成默认缓存实例名称（用户可修改）。 密码 缓存实例密码。 确认密码 再次确认密码，与上述密码一致。 购买时长 购买实例的时长，计费模式为包年/包月时生效。 自动续期 勾选自动续订后方框，可在包年/包月实例到期后自动续期，计费模式为包年/包月时生效。 实例标签 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、部署环境、操作系统、开发团队等）的标签，实现资源分类。 就近访问 Prox主备集群以及读写分离实例部署在多个可用区时有效。（说明：该功能目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。）

本文向您介绍企业版VPN如何排查连接状态显示“未连接”的问题。 故障现象 在“虚拟专用网络 >企业版VPN连接”页面，VPN连接状态显示为“未连接”。 可能原因 VPN连接两端的连接配置不正确。 安全组和客户设备侧ACL配置不正确。 处理步骤 检查VPN连接两端的连接配置 确认两端配置的网关IP参数是否为镜像。 VPN网关的主/备EIP可以选择“虚拟专用网络 > 企业版VPN网关”，在网关IP栏下查看。 客户设备侧网关的公网IP可以选择“虚拟专用网络 > 企业版对端网关”，在网关IP栏下查看。 确认IKE策略、IPsec策略协商参数是否一致。 IKE策略、IPsec策略协商参数可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改策略配置”查看。 确认预共享密钥是否一致。 预共享密钥无法在云上直接查看。如果不确认预共享密钥，建议根据客户设备侧的预共享密钥对VPN连接的预共享密钥进行重置。 可以选择“虚拟专用网络 > 企业版VPN连接”，选择“更多 > 重置密钥”进行重置。 如果连接模式采用策略模式，请确认两端策略规则中的源网段和目的网段是否为镜像。 策略规则可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改连接信息”查看。 如果连接模式采用静态路由模式且云侧开启了NQA功能，请确认客户设备侧是否已经正确配置Tunnel隧道的IP地址。 是否开启NQA功能，可以选择“虚拟专用网络 > 企业版VPN连接”，单击VPN连接名称，在“基本信息”页签查看“检测机制”。 客户设备侧在VPN连接已设置的Tunnel隧道的IP地址，可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改连接信息”，查看本端接口地址和对端接口地址。VPN连接的本端接口地址和对端接口地址需要和客户设备的本端接口地址和对端接口地址互为镜像配置。 如果连接模式采用BGP路由模式，请确认两端的BGP ASN是否为镜像。 VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版对端网关”，在BGP ASN栏下查看。 检查安全组和客户设备侧ACL配置 确认default安全组已经放通客户设备侧公网IP的UDP协议端口500和4500。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认客户设备侧安全组已经放通VPN网关主备EIP的UDP协议端口500和4500。

资源 类型 描述 帐户 全球性 您可以在所有区域使用同一个帐户。 预定义标签 全球性 您可以在所有区域使用同一个预定义标签。 密钥对 全球性或区域性 您在管理控制台创建的密钥对与您在其中创建它们的区域相关联。 您可以创建自己的RSA密钥对并将其导入到您打算在其中使用它的区域。 因此，您可以通过将密钥对上传至每个区域而使其在全球范围内使用。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID） 都与其区域相关联，并且只能在创建资源的区域使用。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联， 并且只能在创建资源的区域使用。 尽管您可以在多个区域创建名称相同的资源，但是它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，并且只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，并且只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，并且只能分配给同一区域的实例。 不能通过安全组规则实现一个实例与其所在区域外的实例通信。 镜像 区域性 镜像与区域相关联，并且只能与同一区域的实例相关联。 这里的镜像包括公共镜像、私有镜像、共享镜像。 实例 可用区 实例与可用区相关联，但是实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

本文带您了解海量文件服务OceanFS产品相关术语。 文件系统 文件系统实际上是用户数据与其相关属性信息（元数据）的集合体，用户的数据以文件的形式保存在文件系统中。文件系统通过计算节点挂载访问，以传统的目录形式进行组织和管理，支持数百甚至上千个客户端并行访问，实现数据共享。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云主机IP地址都属于该子网。默认情况下，同一个VPC的所有子网内的弹性云主机均可以进行通信，不同VPC的弹性云主机不能进行通信。 NFS协议 NFS（Network File System）是一种用于网络共享文件和目录的协议。它可以让不同的计算机通过网络访问和共享文件，工作原理是将文件系统挂载到客户端计算机上，使客户端能够透明地访问远程服务器上的文件和目录。客户端通过NFS协议向服务器发送文件系统访问请求，服务器将文件和目录发送给客户端，客户端则可以像访问本地文件一样访问这些文件。NFS适合Linux系统使用。

本节介绍了通过公网访问集群的用户指南。 简介 本文档介绍了如何通过公网访问云容器引擎集群。通过正确配置 Kubernetes API Server 和 Ingress 控制器，您可以安全地从公网访问集群资源。 绑定EIP 登录云容器引擎控制台，单击集群名称进入集群。 在集群信息页中，点击连接信息，点击公网访问，若未绑定eip，点击绑定eip，若未创建eip，则需先创建eip。 绑定完eip后。 在集群信息页中，点击连接信息。 点击公网访问，复制kubeconfig文件内容，将该内容复制到$HOME/.kube/config文件下： 配置 API Server 修改 API Server 配置 编辑 Kubernetes API Server 配置文件，通常位于 /etc/kubernetes/manifests/kubeapiserver.yaml。在 command 部分添加以下参数： plaintext advertiseaddress externalhostname 替换 为您的公网 IP 地址，替换 为您的公网 DNS 名称。 重启 API Server 应用配置更改后，Kubelet 会自动重新启动 API Server。您可以通过以下命令检查 API Server 是否正常运行： plaintext kubectl get pods n kubesystem 确保 kubeapiserver Pod 处于 Running 状态。 配置防火墙规则 确保防火墙允许以下端口的入站流量： 6443：Kubernetes API Server 80：HTTP 443：HTTPS 具体的防火墙配置取决于您的云提供商。例如，在 AWS 上，可以通过以下步骤配置安全组： 登录到 AWS 控制台。 导航到 EC2 服务。 选择实例并找到相关的安全组。 编辑安全组的入站规则，添加允许 6443、80 和 443 端口的规则。 配置 Ingress 控制器

DRDS实例连接失败怎么办 报错信息：User has no databases 报错原因：DRDS帐号没有关联逻辑库。 解决方法：在DRDS控制台实例详情页面，单击左侧导航栏的帐号管理，将此DRDS帐号与逻辑库相关联。 如何查看并放通ECS实例安全组规则 1、在ECS实例详情页面，单击“安全组”页签，查看安全组规则。需要添加实例端口号（示例为3306）到100.0.0.0/8的规则，DAS才能访问ECS自建库。 2、单击页面左侧的“配置规则”，进入安全组信息页面。单击“入方向规则”页签，单击“添加规则”。 说明 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.0.0.0/8或全部放通0.0.0.0/0。 3、在“出方向规则”页签，单击“添加规则”。 添加出方向规则 说明 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.0.0.0/8或全部放通0.0.0.0/0。 如何查看并放通防火墙 1、选择目标ECS虚拟机，单击“远程登录”。 2、输入帐户名和密码，登录成功后，输入如下命令查看iptables配置。 iptables S 说明 “dport”后面的数字为可以被访问的端口。 保证端口能够被访问的方法： 通过增加iptables规则，如增加一条允许访问数据库端口的规则。 通过如下命令关闭防火墙：systemctl stop iptables

本节介绍天翼云电脑（公众版）的产品定义，以便您了解云电脑。 天翼云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的云电脑使用体验。即开即用，便捷访问，适配多种终端类型。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼云电脑（公众版） 为个人/家庭用户提供安全、快速的云电脑使用服务，满足日常办公、娱乐、在线学习需要，多终端支持，随时随地使用智能终端一键接入云电脑。 产品架构图 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

请参见天翼云企业主机安全服务等级协议。

本页介绍了SSL证书产品的基本功能特性。 内容加密：建立一个信息安全通道，来保证数据传输的安全。 身份认证：确认网站的真实性。 数据完整性：防止内容被第三方冒充或者篡改。

Linux弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁，升级kernel内核。 说明 说明：升级kernel内核后，请务必执行reboot命令重启弹性云主机。 3. 验证是否升级成功。 检测Linux操作系统安全漏洞是否已修补完成 1. 在github网站搜索spectremeltdownchecker，获取spectremeltdownchecker.sh检测脚本。 2. 将步骤1获取的脚本上传至云主机。 3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectremeltdownchecker.sh sudo bash spectremeltdownchecker.sh 回显信息如图1所示。 图1 执行脚本后的回显信息 OK为已修复漏洞，KO为未修复，如图1所示代表CVE20175753、CVE20175715、CVE20175754漏洞均已修复。 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您希望可以禁用部分或全部漏洞安全保护策略以避免漏洞修复带来的性能下降，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE20175754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPECCTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PREDCMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE20175715。 说明 CVE20175753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您认为Meltdown漏洞修复对系统的性能影响不可接受，或者您有更好的保护机制，可根据以下步骤操作： 1. 根据不同的操作系统修改内核参数： a. CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti b. Debian、OpenSUSE：添加内核参数ptioff 2. 重启云主机。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受，或者您有更好的保护机制，可根据以下步骤操作： 1. 根据不同的操作系统修改内核参数： a. CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectrev2off b. Ubuntu：添加内核参数nospectrev2off 2. 重启云主机。 如果您使用的是第三方操作系统，可以前往对应官网查询更多信息。

本文主要介绍远程桌面连接Windows云主机报错:无法验证此远程计算机的身份如何处理。 问题描述 由于在安全软件中设置了安全登录限制，导致远程桌面连接Windows云主机报错：无法验证此远程计算机的身份。需要再次登录输入密码。 图 协议错误 可能原因 云主机安装了安全软件，防止有未知IP登录云主机。 解决方法 卸载安全软件。 登录安全软件，将登录安全等级修改为系统默认登录方式。

%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 单击“确定”，提交重置。 单击“取消”，取消本次重置。

本文介绍如何开启加速服务，您可以通过配置缓存规则，实现静态加速，也可以通过开启动态加速开关，实现动态加速能力。 前提条件 已经订购边缘安全加速平台—安全与加速服务，并且完成添加域名。 功能介绍 天翼云边缘安全加速平台根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。目前客户控制台上默认所有源站权重相同，如您需要对不同源站配置不同的权重，请提交工单申请。 保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 操作步骤说明 1.登录边缘安全加速控制台，选择【加速管理】【CDN加速配置】，在域名列表中，选中要配置的域名 2.如果您要实现静态加速，选择【缓存配置】，配置详情参见缓存配置。 3.如果您要实现动态加速，选择【动态配置】，您可以选择适合的选路方式。 快速选路：使用rtt来作为计算因子进行加权运算，来选择回源最佳路径。 稳健选路：使用rtt、tcp重传比作为计算因子进行加权运算，来选择回源最佳路径。 应用层选路：使用rtt、源站可用性、下载速率、首包时间作为计算因子进行加权运算，来选择回源最佳路径。 注意 开启动态加速后，在套餐基础上，客户端用户与边缘节点的动态优化请求数将被计费，计费详见：

方式二：无域名接入 前提条件 已经订购边缘安全加速平台边缘接入服务，并且套餐+域名扩展包支持的域名数量未超过限制。 使用无域名接入方式时，不支持80、8080、443、8443端口的TCP请求端口，如需配置80、8080、443、8443端口的TCP请求端口请使用域名接入方式。 操作步骤 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】，这个页面您可以查看已添加的域名/实例的信息，包括域名/实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、DDoS防护、操作等信息。点击左上角【新增接入】。 2. 接入方式选择"无域名接入"，必须填写实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。基本信息详细介绍详见：基本信息。 3. 根据您的需要，配置【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。回源配置详细介绍详见：回源配置。IP黑白名单详细介绍详见：IP黑白名单。传递用户IP回源详细介绍详见：传递用户IP回源。 4. 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 5. 新增接入完成后，可通过【IP应用加速接入】首页列表查看该域名所处状态。 6. 域名配置完成，生成域名CNAME，域名状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

参数名 类型 是否必填 名称 说明 productcode list 否 产品类型列表 “007”(安全加速)

本小节介绍漏洞扫描购买方法。 前提条件 已经注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全服务 > 漏洞扫描”。 3. 进入漏洞扫描产品详情页面，点击“立即订购”进入购买页面。 4. 进入漏洞扫描订购页面，根据需求选择规格 及订购数量，点击“立即购买”即可。

本节介绍天翼AI云电脑（政企版）的产品定义，以便您了解云电脑。 天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼AI云电脑（政企版） 为政企客户提供灵活的AI云电脑租赁服务，使用AI云电脑部署全部自动化处理完成，随开随用，资源使用更加灵活，具备多重数据安全防护机制，助力政企客户办公上云，提供更安全，便捷，节约成本的解决方案。 产品架构图 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

本节介绍如何授权用户使用服务器安全卫士（原生版）服务。 服务器安全卫士（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制服务器安全卫士（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为服务器安全卫士（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcsscn admin 服务器安全卫士所有权限。 系统策略 全局级 ctcsscn viewer 服务器安全卫士只读权限。 系统策略 全局级

本章节为您介绍云审计支持哪些关键操作 云审计服务（Cloud Trace Service，简称CTS），是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。 操作名称 资源类型 事件名称 启动堡垒机实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc

本文介绍如何查看集群节点详情。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面 3. 单击节点列表中的“节点名称”，可以查看节点的详细信息。 4. 在节点信息页面可以查看节点信息、集群组件信息、防御容器健康状态，节点的CPU占用、内存占用、磁盘占用率资源使用情况等信息。 5. 查看软件漏洞：在软件漏洞页面，可以查看该节点扫描的漏洞统计信息，存在高危、中危和低危的漏洞数量，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 6. 查看软件列表：软件列表页面展示当前节点中的软件包信息，包括软件名称、版本、文件路径、软件类型、漏洞数量等信息。单击软件前的“＋”号，可查看该软件的漏洞详情，再单击漏洞编号前的“＋”号，可查看该漏洞的介绍和参考网址等信息。

本文介绍日志分析使用教程。 日志分析 日志分析功能专为企业设计，用于高效管理用户终端的登录日志、访问资源网站的记录以及控制台的操作记录。它帮助企业实现对用户行为的全面监控，确保资源使用的透明度和合规性，同时为安全审计和问题排查提供有力支持。通过这一功能，企业能够深入分析用户活动，优化资源分配，并加强安全防护措施。 终端登录日志 终端登录日志功能专门用于追踪和审查企业内部用户的登录活动。用户可以通过指定用户身份和登录时间作为查询条件，快速检索相关登录记录。 具体登录日志的功能及详细介绍，详细见：办公日志审查终端登录日志。 访问日志 访问日志功能专为监控企业内部用户通过学术加速客户端访问网站资源的行为而设计。它允许企业通过详尽的日志记录，了解用户访问的资源网站、访问时间及频率等信息。 具体访问日志的功能及详细介绍，详细见：办公日志审查内网日志审计。 平台操作日志 平台操作日志管理模块是专为控制台操作行为设计的管理工具，它能够实时捕捉并记录所有的操作细节。这些记录对于后续的操作追溯、安全审计以及问题诊断至关重要，确保了操作的透明度和可审核性。 具体访问日志的功能及详细介绍，详细见：办公日志审查平台操作日志。

本节介绍如何配置API安全的策略，包括自定义业务用途规则、自定义API生命周期判定标准。 配置业务用途 业务用途用于标识API的用途，您可以根据业务需要，创建自定义业务用途，并对策略状态进行管理。 新增业务用途规则 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > 策略配置”，进入API策略配置页面。 5. 在“业务用途”模块，单击右下角的“配置”，进入业务用途配置页面。 6. 在业务用途配置页面，单击“新增策略配置”，进入新建业务用途规则页面。 7. 在新建业务用途规则页面，配置业务用途规则参数，配置完成后，单击“确定”。 业务用途规则参数说明如下： 参数 说明 业务用途 自定义业务用途的名称，长度为210字符。名称不允许重复，不允许以“默认”命名。 匹配条件 支持输入匹配条件对特征进行匹配： 匹配字段：支持请求路径、请求参数、请求HOST、请求方法、响应内容类型五个字段。 逻辑符：支持“正则匹配”。 最多支持5个条件，多个条件之间为或关系。 优先级 请输入1~100的整数，数字越大，代表这条规则的优先级越高。若配置的优先级数字相同，则创建时间越晚，优先级越高。