本章介绍OpenSSL高危漏洞。 OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 漏洞编号 CVE20201967 漏洞名称 OpenSSL高危漏洞 影响范围 OpenSSL 1.1.1d OpenSSL 1.1.1e OpenSSL 1.1.1f 官网解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 < < < 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，如下图所示，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本,以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

本文介绍如何重启Pod。 通过重启Pod，可以将存在异常的Pod进行杀死，通过K8s机制再重新启动一个新的Pod。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“重启Pod”。 4. 在弹出的提示框中单击“确认”。

什么是CSM安全策略 服务网格基于istio原生安全能力进行了场景化封装和扩展，提供了更容易理解的安全策略配置能力，降低理解和操作成本，提供了一站式的安全策略配置体验。当前支持的安全策略包括 策略 描述 OIDC单点登录策略 OIDC（OpenID Connect）是基于OAuth 2.0扩展的身份认证于授权协议，通常用于实现单点登录（SSO）。服务网格支持对接外部IDP（Identity Provider）实现单点登录能力。 JWT认证策略 JWT（JSON Web Token）是一种开放标准（RFC 7519），它通常用于身份验证和授权。服务网格支持配置JWT认证策略并应用到数据面上。 黑白名单策略 基于istio AuthorizationPolicy封装了IP、域名、端口维度的黑白名单访问控制能力。 自定义授权服务策略 该策略支持将请求转发到外部服务进行鉴权，实现灵活的访问策略控制。 如何使用CSM安全策略 使用CSM安全策略需要两个步骤， 1. 定义策略，具体参考策略的配置说明 2. 将安全策略应用到数据面，当前支持命名空间、服务、工作负载、网关粒度的策略绑定能力

设置以下参数，不允许匿名登录FTP服务器，允许本地用户登录FTP服务器，并指定FTP本地用户使用的文件目录。 anonymousenableNO 不允许匿名登录FTP服务器 localenableYES 允许本地用户登录FTP服务器 localroot/var/ftp/work01 FTP本地用户使用的文件目录 设置以下参数，限制用户只能访问自身的主目录。 chrootlocaluserYES 所有用户都被限制在其主目录 chrootlistenableYES 启用例外用户名单 chrootlistfile/etc/vsftpd/chrootlist 例外用户名单 allowwriteablechrootYES 被动模式除了需要配置主动模式所需的所有参数外，还需要配置的参数如下： 设置以下参数，配置FTP支持被动模式。并指定FTP服务器的公网IP地址，以及可供访问的端口范围，端口范围请根据实际环境进行设置。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx FTP服务器的公网IP地址 pasvminport3000 被动模式下的最小端口 pasvmaxport3100 被动模式下的最大端口 4.按Esc键退出编辑模式，并输入:wq保存后退出。 5.在“/etc/vsftpd/”目录下创建“chrootlist”文件。 touch chrootlist “chrootlist”文件是限制在主目录下的例外用户名单。如果需要设置某个用户不受只可以访问其主目录的限制，可将对应的用户名写入该文件。如果没有例外也必须要有“chrootlist”文件，内容可为空。 f.执行以下命令重启vsftpd服务使配置生效。 systemctl restart vsftpd.service 3.设置安全组。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf” 中参数“pasvminport”和“pasvmaxport”之间的所有端口。 0.0.0.0/0

云专线服务为您提供优质的服务体验,本文带您了解云专线服务的产品优势。 云专线服务具备安全承载、稳定高效、灵活接入和便捷管理的优势。 安全承载 用户通过云专线服务接入云上VPC，可独占一条网络链路与云上资源进行通信，以避免数据泄露，实现透明承载数据、语音、视频等上层综合应用。用户既可选择独占物理端口进行数据传输，与其他用户业务数据实现物理隔离；也可采用三层子接口与其他用户共享物理线路，实现业务数据逻辑隔离，从而保障用户数据传输安全，同时节约用户租用专线的成本。 稳定高效 依托中国电信高性能网络布局，云专线服务使用专用网络传输数据，避免因链路拥堵或故障绕行等问题造成的不确定性时延，提高数据的传输速率，降低网络时延，具备运营商级别的高质量网络保障。 此外，云专线服务提供冗余方案，支持链路负载和主备两种方式接入。用户可通过自定义路由策略，有效分离管理流量和业务流量，并在链路故障时自动切换链路，进一步保障业务的平稳运行。 灵活接入 中国电信具备丰富的链路资源，提供IPRAN、MSTP、MPLS VPN、OTN等多种专线类型，用户可根据业务需求灵活选择不同专线接入方式，并且每种接入方式均可与互联网接入同时使用，以适配用户不同接入场景的地理位置和环境条件。同时可满足用户多种组网需求，帮助用户便捷组网。

本文主要讲述修改实例信息。 创建Kafka实例成功后，您可以根据自己的业务情况对Kafka实例的部分参数进行调整，包括实例名称、描述、安全组和容量阈值策略等。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 以下参数支持修改。 实例名称 企业项目（修改企业项目，不会重启实例） 描述 安全组 公网访问（公网访问的修改方法，请参考设置实例公网访问。） 容量阈值策略（修改容量阈值策略，不会重启实例。） Kafka自动创建Topic（修改Kafka自动创建Topic，会导致Kafka重启） 跨VPC访问（跨VPC访问的操作步骤，请参考使用DNAT访问Kafka实例。） 参数修改完成后，通过以下方式查看修改结果。 修改“容量阈值策略”、“公网访问”和“Kafka自动创建Topic”后，系统跳转到“后台任务管理”页签，并显示当前任务的操作进度和结果。 修改“实例名称”、“描述”、“企业项目”、“跨VPC访问”和“安全组”后，右上角直接提示修改结果。

参数名 类型 是否必填 名称 说明 domain string 是 域名 productcode string 是 产品类型 “007”（安全加速） status int 是 状态操作类型 1（删除），2（停用），3（启用）

参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。 类型规格 公有云提供了多种类型的弹性云主机供您选择，针对不同的应用场景，可以选择不同规格的弹性云主机。根据您选择的“云主机类型”的类型，配置相应的规格参数，包括vCPU、内存、镜像类型和磁盘。 内存优化型 镜像 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云主机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云主机，可以节省您重复配置弹性云主机的时间。 共享镜像 用户将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 公共镜像 磁盘 包括系统盘和数据盘。 系统盘 普通IO：是指由SATA存储提供资源的磁盘类型。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO：是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由GPSSD存储提供资源的磁盘类型。极速型SSD：是指由ESSD存储提供资源的磁盘类型。 数据盘 您可以为云主机添加多块数据盘，或者从指定的数据盘镜像导出数据到某个数据盘。 “系统盘”选为“普通IO” 安全组 安全组是一个逻辑上的分组，用来实现安全组内和组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥对页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对文件注入、用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。

本章节主要介绍修改密码策略 。 操作场景 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 操作步骤 在MRS Manager，单击“系统设置”。 1. 单击“密码策略配置”。 2. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以查看报表模板信息和报表结果。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功开启数据库安全审计功能。 已生成审计报表。 查看报表信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 报表”，进入报表界面。 5. 在“选择实例”下拉列表框中，选择查看报表信息的实例。 6. 查看报表信息。 说明 在列表右上方输入报表名称，可以搜索指定的报表。 报表类型“实时报表”为系统自动生成，报表格式统一为PDF格式。 在需要删除的报表所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，您可以删除该报表。删除报表后，如果查看该报表结果，需要重新手动生成报表。 查看报表模板信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 报表”，进入报表界面。 5. 在“选择实例”下拉列表框中，选择需要查看报表模板的实例。 6. 选择“报表管理”页签。 7. 查看报表模板信息，如下所示。 说明 报表类型为系统自动生成，包括“合规报表”、“综合报表”、“数据库专项报表、“客户端专项报表”和“数据库操作专项报表”。 计划任务状态可手动设置开启或关闭，可设置为“每日”、“每周”或“每月”。 在需要变更模板的报表所在行的“操作”列，单击“设置任务”，可以修改报表的计划任务。单击“确定”生效后，单击“立即生成报表”，可在报表结果界面中查看报表结果。

本章节主要介绍数据治理中心的数据目录的数据权限简介。 为确保数据使用安全可控，使用数据表需要先申请权限。数据权限模块为用户提供便捷的权限管控能力，提供可视化申请审批流程，并可以进行权限的审计和管理。提高数据安全的同时，还可以方便用户进行数据权限管控。

本小节介绍服务器安全卫士的查找主机方法。 查找方法 总览中可快速查看当前存在风险主机的风险详情，点击“查看主机”，选择需要查看的主机，新开页面跳转至该主机的单台主机详情，并默认展示安全风险事件。

网络及高级配置 设置网络，包括"网卡"、"安全组"，这里，为安全和成本考虑，我们先不设置弹性IP，后续按需开放IP；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认并支付 步骤二：配置弹性负载均衡 现在，我们已经有了两台 DeepseekR132B 服务器，接下来，我们利用弹性负载均衡构建一个可任意横向扩容的 Deepseek 集群。 1. 配置 vllm 服务 首先需要为所有服务器上的 vllm 服务配置相同的 apikey。 服务的配置文件目录在 /var/vllmservice.env ，我们将APIKEY 设置为想要的值。 然后重启服务。 plaintext systemctl restart vllm 2. 创建弹性负载均衡 我们参考弹性负载均衡官方文档进行服务创建。 1. 创建弹性负载均衡 在此例中，我们的Deepseek集群仅用于集群自带的 Open WebUI内网使用，不涉及外网通讯，因此 “网络类型” 选择 “内网”，如果你想将此集群暴露到外网，则选择外网。VPC和子网跟 Deepseek 服务器保持一致。 2. 创建监听器 完成网络负载均衡创建，接下来配置监听器，在负载均衡列表页，点击开始配置。 端口类型，选择 “HTTP”，端口填 8000。 进入下一步，创建健康检查。这里我们通过 HTTP 进行健康检查，返回码部分选择 2xx、3xx、4xx。 点击“立即创建”，完成创建。 3. 为监听器开通GPU云主机白名单 此时监听器列表中，我们可以看到访问Deepseek服务器的主机组地址为 “100.89.0.0/16”，我们需要在Deepseek集群的安全组中，为vllm端口配置此地址的白名单。 为Deepseek云主机所在的安全组新增规则，操作文档详见添加安全组规则帮助文档。 4. 为监听器添加后端云主机 选中主机，然后下一步。 设置端口为 “8000”。 点击确认即可完成配置。 5. 验证连通性 监听器页面，显示监控检查正常。 通过一台 Deepseek 服务器，测试负载均衡连通性。

本章节主要介绍操作类问题中有关集群访问的问题。 MRS集群内节点的登录方式（密码或密钥对）如何切换？ 不可以切换。 创建集群时选择了节点登录方式后不能更改登录方式。 如何获取ZooKeeper的IP地址和端口？ ZooKeeper的IP地址和端口可以通过MRS控制台或登录Manager界面获取。 方法一：通过MRS控制台获取 1. 在MRS集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步。 2. 选择“组件管理 > ZooKeeper > 实例”，获取ZooKeeper实例的“业务IP”地址。 3. 选择“服务配置”页签，搜索“clientPort”参数，该参数的值即为ZooKeeper的端口。 方法二：通过Manager界面获取 1. 登录Manager界面。 2. 在Manager界面获取ZooKeeper的IP地址和端口。 −针对MRS 3.x之前版本集群 i.选择“服务管理 > ZooKeeper > 实例”，获取ZooKeeper实例的“业务IP”地址。 ii.选择“服务配置”页签，搜索“clientPort”参数，该参数的值即为ZooKeeper的端口。 −针对MRS 3.x及之后版本集群 i.选择“集群 > 服务 ZooKeeper > 实例”，获取ZooKeeper实例的“业务IP”地址。 ii.选择“配置”页签，搜索参数“clientPort”值，该参数的值即为ZooKeeper的端口。 如何通过集群外的节点访问MRS集群？ 创建集群外Linux操作系统ECS节点访问MRS集群 1.创建一个集群外ECS节点。 ECS节点的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 2.在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 3.配置集群安全组规则。 a.在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 b.在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”配置ECS节点的IP和放开所有端口。 c.安全组规则添加完成后，可以直接下载并安装客户端到集群外ECS节点。 d.使用客户端。 使用客户端安装用户，登录客户端节点，执行以下命令切换到客户端目录。 cd /opt/hadoopclient 执行以下命令加载环境变量。 source bigdataenv 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则通常情况下无需认证。 kinit MRS集群用户 例如： kinit admin 直接执行组件的客户端命令。 例如： 使用HDFS客户端命令查看HDFS根目录文件。 hdfs dfs ls / Found 15 items drwxrwxx hive hive 0 20211026 16:30 /apps drwxrxrx hdfs hadoop 0 20211018 20:54 /datasets drwxrxrx hdfs hadoop 0 20211018 20:54 /datastore drwxrwx+ flink hadoop 0 20211018 21:10 /flink drwxrx flume hadoop 0 20211018 20:54 /flume drwxrwxx hbase hadoop 0 20211030 07:31 /hbase ...

了解存储资源盘活系统产品优势。 极致轻量，混部盘活 高度优化的压缩安装包，一键部署，3分钟完成集群搭建；全用户态设计，支持混合部署，业务共生，资源共享； 不同架构通用服务器异构部署，不限品牌、架构、配置。 创新自研，安全稳定 无惧任何单点故障，秒级主备切换，数据强一致性保证高可用；多副本、纠删码、数据校验保证高可靠；面向混沌环境保障存储服务安全稳定。 按需选择，精准投资 性能和容量弹性扩展，按需扩容，无需前期大量投入；永久授权、服务订阅，按照可用容量计费，精准适度投资。 降本增效，价值传导 通过盘活难利用的存储资源，提高资源利用率，满足业务存储需求；应用混合部署，降低额外购买硬件成本；管理形态丰富，运维便捷，效率提高。

本节介绍分布式消息服务Kafka使用安全接入点，公网接入点等需要鉴权的接入点时，可能会遇到连接超时的问题。 使用安全接入点，公网接入点等需要鉴权的接入点时，可能会遇到连接超时等问题。 解决方法为可以在客户端机器的host文件上配置Kafka的ip。 例如用户连接Kafka的公网接入点34.28.112.101:8094,34.28.112.102:8094,34.28.112.103:8094时，出现连接超时的报错，可以在客户端机器上的/etc/hosts文件里面加上如下配置： plaintext 34.28.112.101 34.28.112.101 34.28.112.102 34.28.112.102 34.28.112.103 34.28.112.103 然后再重启客户端服务，看是否能正常生产消费。

Endpoint Endpoint 表示OOS对外服务的访问域名。OOS以HTTP RESTful API的形式对外提供服务，当访问不同地域的时候，需要不同的域名。具体地域详见域名（Endpoint）列表。 地域（ Region ） 地域表示 OOS的数据中心所在物理位置。 访问密钥（ AccessKey ） AccessKeyID和SecretAccessKey是您访问OOS的密钥，OOS会通过它来验证您的资源请求，请妥善保管。您可以在OOS控制台访问控制安全凭证密钥页面中查看AccessKeyId。 访问控制（ IAM ） IAM是OOS提供的访问控制服务，使您能够更加安全的管理对OOS服务和资源的访问。 操作跟踪（ CloudTrail ） CloudTrail是OOS提供的账户活动跟踪服务，可以持续监控并记录账户中OOS服务中相关的活动。

参数 类型 是否必返回 名称及描述 bandwidth string 是 业务带宽 flow string 是 业务流量 requestsNumber string 是 请求数 peakAttack string 是 攻击峰值 domain string 是 安全加速域名

产品功能 功能解释 应用识别 在进行分析报文头的基础上，结合不同的应用协议特征库综合判断所属的应用 监控统计 对设备数据进行统计，并以柱状图、折线图、表格、报表、日志等方式呈现出来，帮助用户通过统计数据掌握设备状况，排查问题 用户认证 对用户进行识别，通过认证的用户可以访问对应的管理资源 访问控制 划分安全区域和非安全区域，区域之间的访问基于安全策略进行控制 攻击防护 暴力破解，DDoS攻击，泛洪攻击等多种攻击方式监测与拦截 入侵防御 实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作 病毒过滤 探测各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。 数据安全 文件级数据安全防护，根据文件格式和传输协议探测文件数据安全 僵尸网络防护 外连网络安全监测，可以识别内网失陷主机，拦截挖矿等外连服务 IP信誉库 国家地址位置IP信誉识别，识别风险IP双向流量，定期更新特征库 云沙箱 未知威胁风险文件模拟运行环境，动态静态双模式识别 页面访问控制 针对不同用户的权限对页面的访问进行区别 带宽管理 能够管理和优化网络带宽，提高用户的网络体验和带宽资源利用率 高可用性 在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性 IPV6 全面适配IPV6环境，支持IPV4与IPV6双栈网络 授权管理 集中管理功能授权并可进行不同种类授权的统一下发 REST API 标准restAPI接口，特殊用户需求可进行联调开发 VPN 支持IPSEC VPN和SSL VPN功能配置

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

后续操作 整体防护概况请参见“通过安全看板查看攻击防御信息”，详细日志信息请参见“攻击事件日志”。

本文介绍节点相关的操作，包括开启、关闭节点防护，删除节点等。 开启/关闭防护 注意 关闭防护的节点不支持扫描操作。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“节点安全”。 3. 进入节点安全页面。 关闭防护：单击节点列表上方的“关闭防护”，或者在列表中单击“防护状态”图标，可以关闭当前节点的防护容器。 开启防护：单击节点列表上方的“开启防护”，或者在列表中单击“防护状态”图标，可以恢复当前被关闭的节点防护容器。 删除节点 单击节点列表上方的“删除”，或者在列表中单击操作列的“删除”，可以删除节点的防护容器。 注意 节点状态为“未连接”时，才可以删除。 批量操作 支持批量暂停、恢复或删除节点。 1. 先勾选节点列表中的“多选框”，支持多选。 2. 再对防护容器进行关闭防护、开启防护、删除操作。 开启debug日志 单击节点列表操作列中的“开启debug日志”，可将防御容器日志开启debug模式。 下载日志 单击节点列表操作列中的“下载日志”，可将防御容器日志以压缩包的形式下载到本地。

本节介绍 Web应用防火墙（独享版）的安全总览页面。 您通过Web应用防火墙服务查看防护日志，可查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 已为防护域名添加了一个或者多个防护规则。 规格限制 在“安全总览”界面，最多可以查看30天的防护数据。 QPS计算方式 不同时间段的QPS计算方式不同，QPS在各时间段的取值说明如下表所示。 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟，取1分钟内的平均值 间隔1分钟，取1分钟内的最大值 “3天” 间隔5分钟，取5分钟内的平均值 间隔5分钟，取5分钟内的最大值 “7天” 间隔10分钟，取每5分钟内平均值的最大值 间隔10分钟，取10分钟内最大值 “30天” 间隔1小时，取每5分钟内平均值的最大值 间隔1小时，取1小时内最大值 说明 QPS（Queries PerSecond）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在页面上方，设置要查询的网站、实例以及查询时间。 默认统计的是该账号所有项目下添加到WAF的所有网站的相关数据。 “域名接入”：统计的是选择添加到WAF的防护网站的接入信息。单击“查看”跳转到“网站设置”界面，可以查看防护域名详细信息。 查询时间：可选择昨天、今天、3天、7天、30天。 5. 查看统计的总的请求次数、攻击次数以及各类型攻击的页面总数。 “请求次数”中统计的次数为网站的PV（Page Views）值，即用户每次访问网站，在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站，在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”，可查看请求次数、攻击次数、Web基础防护、精准防护、CC攻击防护、爬虫攻击防护排名TOP 10的数据。 6. “安全统计”模块数据展示。 “按天统计”：勾选后，显示的是间隔一天统计一次的数据；不勾选，统计的数据周期根据选择的时间段而定，具体如下： “昨天”、“今天”：间隔两分钟统计一次数据。 “3天”：间隔5分钟统计一次数据。 “7天”：间隔10分钟统计一次数据。 “30天”：间隔1小时统计一次数据。 安全统计参数说明： 参数 说明 请求次数 统计的是域名被访问的总请求量、攻击总量以及被各类攻击类型攻击的页面总数。 QPS 域名平均每秒钟的请求量。QPS的取值说明参考[](file:///D:/01%20%E6%96%87%E6%A1%A3%E9%9C%80%E6%B1%82/WAF%E5%90%88%E8%90%A5/Web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%88%E7%8B%AC%E4%BA%AB%E7%89%88%EF%BC%89%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97.docx

配置会话在开启后，当CPU和内存使用率超过服务器配置时，将自动禁止新增会话。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“会话限制配置”模块的右侧，单击“编辑”，进入“会话限制配置”页面。 4、开启会话限制的开关状态为默认开启，并设置CPU和内存的使用率，当达到设置的使用率，将停止新增会话。 5、单击“确定”，完成配置。

本文介绍如何退订边缘安全加速平台服务。 1.产品支持退订服务，登录官网费用中心订单管理退订管理，找到您要退订的订单，进行退订。 2.退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。客户套餐退订后，扩展服务也会一起退订。详细退订规则请参考：退订流程。 注意 若退订套餐次数在自然月内达到或超过4次，当月将无法再次开通套餐，请勿频繁操作退订。 3.信息确认无误后勾选协议，点击退订并再次确认，确认后即可完成退订。退订后资金退回账户余额，可以通过“余额提现”进行提现，提现详细操作请参考余额提现。 注意事项：边缘安全加速平台遵循天翼云退订规则，详情详见：退订规则说明

本节介绍如何管理通过手动添加或自动发现的API资产。 API列表页面展示通过手动添加的API资产，和自动发现任务发现并已确认为API的资产，在该页面可以对这些API资产进行管理，包括编辑、删除操作。 编辑API资产 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在“API列表”中，单击操作列的“编辑”。 6. 在“编辑API资产”窗口中，可对API名称、业务用途、描述进行修改。 7. 修改完成后，单击“确认”。 删除API资产 删除单个API：在API列表中，单击操作列的“删除”。 批量删除API：勾选多个API，单击列表上方的“批量确认”进行批量操作。

救援模式 当AI云电脑故障无法登录AI云电脑时，使用救援模式提供临时访问通道，尝试登录及修复AI云电脑，或备份关键用户数据并重装系统。 注意 由于云电脑故障可能涉及底层虚拟化错误、存储损坏、网络基础设施故障等复杂原因，救援模式无法保证对所有故障都能成功救援。在极少数情况下，可能出现无法进入救援模式或无法恢复数据的情况。 23. 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 24. 安全中心 控制中心点击“安全中心”。 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：如需查看AI云电脑登录的设备或移除设备，用户中心点击“安全中心”，选择“设备管理”。 点击对应的设备，进入设备详情，点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 异常记录：如登录AI云电脑更换了新设备或者更换了城市，首次登录会提示异常记录。 25.

配置项 说明 是否必填 示例值 metadata.name 应用名称 是 myapp metadata.namespace 应用所在的命名空间。为空时自动取 default，也就是默认命名空间。 否 default cae.ctyun.cn/vpcid 应用关联的 VPC ID。为空时自动取命名空间绑定的 VPC。 否 vpcabcasd cae.ctyun.cn/subnetid 应用关联的子网 ID。为空时自动取VPC下的默认子网，或可用子网。 否 subnetabcasd cae.ctyun.cn/securitygroupid 应用关联的安全组 ID。为空时自动取VPC下的默认安全组，或可用安全组。 否 sgabcasd cae.ctyun.cn/language 应用语言。为空时默认 Java。支持 Java、Golang、Python、PHP 等，不区分大小写。 否 Java spec.replicas 容器实例数。 是 spec.template.metadata.labels 应用标签 否 spec.template.spec.container[i].env 环境变量 否 spec.template.spec.container[i].envFrom 配置方式是从已有的 ConfigMap 中引用键值对 否 spec.template.spec.containers[i].volumeMounts spec.template.spec.volumes 将 ConfigMap 配置项作为文件挂载到容器中。 否 spec.template.spec.container[i].name 使用固定值 main，创建时必须指定此配置项。 是 spec.template.spec.container[i].image 镜像地址。 是 spec.template.spec.container[i].resources.limits.cpu 单个容器实例的 CPU 规格。 是 spec.template.spec.container[i].resources.limits.memory 单个容器实例的内存规格。 是

本节介绍Web应用防火墙（独享版）计费问题。 Web应用防火墙可以免费使用吗？ WAF为收费服务，需要购买后才能使用。Web应用防火墙（独享版）支持按需计费（后付费）和包年包月（预付费）模式，从开通并使用WAF开始计费到关闭按需计费或退订包年包月资源后结束计费，详见计费说明。 Web应用防火墙是否支持续订？ 续订仅针对包月包年计费方式，按需资源不可续订。已退订或已释放资源不可续订。按需计费模式不需要续费，只需要保证账户余额充足即可。您可以通过手动续订或自动续订的方式进行续订Web应用防火墙（独享版）。操作说明详见续订。 Web应用防火墙是否支持退订？ 独享模式： 按需：不支持退订，可通过删除实例停止计费。如果您需要退订以按需计费方式购买的独享模式WAF，前住“独享引擎”页面，直接删除独享引擎实例即可，删除实例后，将停止计费。 包年包月：支持退订。如果您需要退订包年包月计费方式购买的独享模式WAF，前住“独享引擎”页面，在实例列表页面，在操作列的“退订”操作，或前往费用中心的“退订管理”操作退订。 内容安全： 内容安全单次检测：一次性付费服务，不支持退订。 文本安全监测：支持退订，退订后不支持提供检测报告，请谨慎操作。

本节介绍什么是Web应用防火墙以及其防护原理。 什么是Web应用防火墙 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 开通Web应用防火墙后，在WAF管理控制台将网站添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 防护原理 申请WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 回源IP

步骤一、进入Web应用防火墙（边缘云版）控制台 1. 打开天翼云官网，并登录。 2. 官网首页，单击页面右上角【控制中心】，进入控制中心后单击左侧的【产品服务列表】。 3. 单击【Web应用防火墙（边缘云版）】进入客户控制台。 步骤二、添加域名 1. 在【域名管理】【域名列表】页面，单击【新增域名】。 2. 进入新增域名页面。 3. 填写在CDN加速基础上需要叠加Web应用防火墙（边缘云版）的域名，填写完显示如下页面： 单击【确认】，域名将同步CDN加速控制台的已有配置。 4. 填写网站安全配置。根据如下配置指引，完成安全防护配置。 填写完安全配置后，单击【提交】即可。 注意事项 1. 天翼云CDN加速叠加Web应用防火墙（边缘云版）产品，域名需先在CDN控制台添加完成后，再在Web应用防火墙（边缘云版）控制台上新增。目前暂不支持先在Web应用防火墙（边缘云版）控制台上新增域名后，再叠加CDN加速产品。 2. 天翼云CDN加速叠加Web应用防火墙（边缘云版）产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。