CSRF防护的方式 验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持CSRF防护功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CSRF防护】详细设置页。

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

本节介绍了故障诊断的用户指南，云容器引擎提供一键故障诊断能力，包括Service诊断、节点诊断、Pod诊断、Ingress诊断，辅助定位集群中出现的异常问题。 前提条件 已创建容器集群，具体操作请参见 用户指南 > 集群 > 新建集群 。 确保集群运行状态处于运行中。 故障诊断功能介绍 云容器引擎提供的故障诊断功能如下表所示： 诊断项 说明 Service诊断 诊断Service相关问题，例如Service后端就绪Pod、异常事件信息等。 节点诊断 诊断节点相关问题，例如K8s节点NotReady等。 Pod诊断 诊断K8s Pod状态异常相关的问题，例如Pod启动失败、Pod频繁重启等 。 Ingress诊断 诊断Ingress相关流量配置问题。 配置故障诊断 注意 使用故障诊断功能时，系统将在您的集群节点上执行数据采集程序并收集检查结果。采集的信息包括系统版本、负载、Docker、kubelet等运行状态以及系统日志中的关键错误信息。数据采集程序不会采集您的业务信息及敏感数据。 配置Service、节点、Pod、Ingress等诊断操作类似。下文以配置节点诊断为例，介绍如何配置故障诊断功能。 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要配置故障诊断的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择运维管理 > 故障诊断，进入故障诊断页面。 4. 在故障诊断页面，点击节点诊断Tab页面，在选择节点面板，选择需要诊断的节点名称，点击确定按钮发起诊断。 在诊断列表页面可查看诊断进展。诊断完成后，诊断页面将显示诊断结果。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

分类 规格 计费模式 退订说明 独享模式 WI100/WI500 按需 不支持退订，可通过删除实例停止计费 独享模式 WI100/WI500 包年包月 支持 内容安全 内容安全单次检测 按需（按次） 一次性付费服务，不支持退订 内容安全 文本安全监测 包年包月 支持退订，退订后不支持提供检测报告，请谨慎操作

本文介绍如何查看计费详情数据，可以了解安全加速的套餐详情和资源包使用情况。 CDN部分计费按照1000进制从Byte换算到Gbps。 套餐详情管理 安全加速的计费方式、WAF防护的套餐与计费、抗D服务的套餐与计费。 图 计费详情 资源包管理 资源包购买成功后次日00:00时生效，自动抵扣所覆盖产品产生的数据，有效期为一年； 资源包购买后不支持退款，到期后未用完的资源将清零，不支持转移到其他资源包； 购买多个资源包时，当某个资源包用尽后默认自动开启下一个临近到期的相同类别的资源包； 当资源包用尽或者过期后，默认转为按需计费。 1.订购安全加速产品后，可支持订购安全加速的资源包，并根据所开功能对资源包进行抵扣。 使用条件： 1）计费方式为“流量“：开通安全加速和WAF防护的用户，可抵扣“安全加速流量包“、“防护请求数包”和”静态https请求数包“；开通安全加速和抗D服务的用户，可抵扣”安全加速流量包“和“静态https请求数包”。 2）计费方式为“日带宽“：开通安全加速和WAF防护的用户，可抵扣“防护请求数包”和“静态https请求数包”；开通安全加速和抗D服务的用户，可抵扣“静态https请求数包”；计费方式为“日带宽”不能抵扣流量包，需要变更计费方式为“流量”。 2.资源包可叠加购买，购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 3.资源包不支持退订，资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 4.资源包的有效期为自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 5.资源包中的”安全加速流量包“是供边缘节点上行和下行总流量使用；“日带宽”计费客户，如需使用“安全加速流量包”，需将计费方式变更为“流量”。可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 不支持退订：资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 图 资源包管理

此小节介绍如何卸载Agent。 指导您在console对目标服务器卸载Agent，Agent卸载后HSS停止对服务器的检测和防护。 约束限制 未开启防护不支持安装与配置相关操作。 单服务器卸载Agent 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树选择“安装与配置 > Agent 管理”，进入Agent管理页面。 5、选择“Agent在线（X）”，查看Agent已安装的服务器列表，详情请参见表。 Agent列表参数说明 参数名称 参数说明 服务器名称/ID 服务器的名称和ID。 IP地址 目标服务器所属的公网IP或私网IP。 操作系统 目标服务器的操作系统。 linux windows Agent状态 目标服务器的Agent状态。 离线 未安装 安装失败 6、单击目标服务器“操作”列的“卸载Agent”，在弹窗中确认卸载信息无误，单击“确认”，完成卸载

网站无法访问怎么办？ 无法访问弹性云主机实例中运行的网站的原因较多，此处列举较为常见的问题原因，具体原因以现场的排查结果为准。 TCP 80端口不可用。 Web服务不可用。 网站未备案。 网站资源或后端服务存在异常。 以CentOS 7.6系统为例，为大家介绍排查思路： 1. 检查80端口配置 plaintext netstat ntulp grep 80 如果端口被正常监听，请执行检查安全组规则。 如果端口没有被正常监听，请检查Web服务进程是否启动或者正常配置。 2. 检查安全组配置 如果安全组没有网站访问使用的端口，需要在云主机实例对应的安全组中添加放行该端口的规则。 1. 在弹性云主机控制，单击主机名称。 2. 选择“安全组”页签，展开安全组规则。 3. 单击“更改安全组规则”。 4. 根据网站使用的端口配置新的安全组规则，放行网站使用的端口。 3. 检查防火墙配置 1. 使用iptables nvL linenumber命令查看已配置的防火墙策略。 2. 依次执行以下命令放行80端口。 3. plaintext iptables A INPUT p tcp dport 80 j ACCEPT 4. plaintext iptables A OUTPUT p tcp sport 80 j ACCEPT 5. 使用service iptables save命令保存添加的规则。 6. 使用service iptables restart命令重启iptables。 7. 使用iptables nvL linenumber命令查看增加的规则是否生效。 8. 关闭防火墙后，重新测试网站访问是否正常。 4. 检查云主机CPU利用率 可以通过云监控查看云主机负载情况，您可以创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。使用Top命令查看系统运行状态，排查异常进程并终止，再次尝试访问。 5. 检查网站备案及域名解析是否正常 无论网站是通过IP地址还是通过域名对外提供服务，都需要进行备案。请检查您的备案信息是否正常。 如果域名已备案，但未正确配置域名解析也可能会导致域名无法Ping通。您可以在域名提供商的控制台查看解析详情。 如果上述排查都没能成功访问网站，请提交工单，联系技术支持人员帮助解决。

本节介绍了：创建一个应用集群——退订集群的用户指引。 在云容器引擎控制台，在集群选项卡可以点击 更多 > 退订对集群实例进行退订。 说明 退订容器集群，可选择删除集群订购时选择的IaaS资源，建议DELETE删除全部IaaS资源，否则需到对应的云产品控制台进行手动清理。

Web应用防火墙（边缘云版）服务接入网站时未配置的端口是否会有安全风险？ Web应用防火墙（边缘云版）支持在域名接入时配置请求协议和回源端口，安全防护节点只会转发来自HTTP/HTTPS请求协议对应端口的业务流量给源站服务器。 Web应用防火墙（边缘云版）安全防护节点不会转发任何未配置端口的请求流量到源站，因此，在接入网站时未配置的端口不会对源站产生任何安全风险。 非天翼云服务器可以使用Web应用防火墙（边缘云版）吗？ 非天翼云服务器也可以使用Web应用防火墙（边缘云版）服务。 Web应用防火墙（边缘云版）是一种网络应用防火墙，可以通过检测、过滤和阻止来自互联网的恶意网络流量，保护服务器和应用程序免受各种网络攻击和安全威胁。无论您使用哪种云服务器，只要符合Web应用防火墙（边缘云版）的系统要求，就可以部署和配置防护策略来增强网络安全。采用cname的方式接入服务，与客户的源站类型无关，因此，非天翼云服务器也可以使用Web应用防火墙（边缘云版）服务。 Web应用防火墙（边缘云版）可以支持HTTPS双向认证吗？ 单向认证：在 SSL 身份验证中，客户端会收到服务器的证书，客户端可能会尝试将服务器的 CA 与客户端的受信任 CA 列表进行匹配。如果颁发CA是可信的，客户端将验证证书是真实的并且没有被篡改。客户端和服务器在消息交换之前都使用9次握手消息来建立加密通道。 双向认证：双向 SSL 身份验证中，客户端和服务器都通过数字证书相互验证，以便双方都确信对方的身份。客户端和服务器在消息交换之前都使用12次握手消息来建立加密通道。 Web应用防火墙（边缘云版）支持HTTPS双向认证。双向认证包括边缘双向认证以及回源双向认证，如果您有该需求，可以联系我们进行后台配置。

购买 安全专区按套餐购买，用户可根据自身业务规模选购对应的组件规格，具体请参照价格。 安全专区根据用户开通的套餐及规格自动在用户指定开通的VPC内新开相应的功能承载虚机。根据等级保护的要求，安全能力组件需要独立的网管网段。 注意 强烈建议购买开通之前，用户在VPC内新创建一个子网作为安全专区的开通子网段，然后在订购页面选定新子网进行业务开通。 安全专区开通后，不能对安全专区的承载虚机进行任何手动操作。 升级 用户可以点击升级操作，增加安全组件的规格。 续订 用户可以通过续订，延长产品服务有效时间。 退订 本产品不支持退订。

查看异常行为智能识别攻击日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务】，进入【安全攻击日志】菜单，攻击类型选择【异常行为智能识别】。

本文提供应用加速用户使用指南的下载方式。 2024年12月1日起，应用加速产品并入边缘安全加速平台，边缘安全加速平台边缘接入服务可提供应用加速和边缘DDoS防护能力，应用场景更丰富。详见边缘接入服务介绍。 新客户如有应用加速需求，请订购并使用其升级产品边缘接入服务，详见启用边缘接入服务。 存量客户如需访问应用加速控制台，请登录应用加速控制台。 存量客户如需了解如何使用应用加速产品，可下载天翼云应用加速用户使用指南.pdf。

本文介绍如何进入安全加速控制台。 1.打开天翼云官网 2.选择控制台； 3.下拉选择CDN产品，点击对应的加速服务进入安全客户控制台； 图 控制中心安全加速页面

产品名称 规格/版本 说明 综合安全网关 标准版 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用 密钥管理 企业版 提供安全、可靠的密钥管理服务。 密钥管理购买后保存的密钥请在 数据加密网关 标准版 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 协同签名服务 标准版 每个服务支持1000并发，可叠加，最多支持购买10个。 数字证书认证系统 标准版 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。

客户收益 提升用户体验：通过优化网络性能和加速数据传输，客户可以获得更快速、流畅的用户体验，无论是在访问网站、进行交易还是使用移动应用，都能感受到更高的速度和效率。 增强安全性：AOne提供强大的安全防护功能，包括DDoS防护、WAF、CC防护、爬虫防护等，可以帮助客户保护敏感数据免受网络攻击和数据泄露威胁。 提高业务连续性：通过灾难恢复加速等功能，AOne可以帮助客户在网络故障或灾难事件发生时更快地恢复业务，减少业务中断时间，保障业务连续性。 节约成本：优化网络性能和减少网络延迟可以降低数据传输和服务器资源的成本，同时减少维护和运营费用。 满足监管要求：AOne的安全服务可以帮助客户满足金融行业的严格监管和合规性要求，保护客户数据的隐私和保密性。 扩展地域业务：通过多地域节点支持，客户可以更好地扩展地域业务，为不同地区的用户提供高质量的服务和体验。 增强客户信任：通过提供安全的网络环境和优化的用户体验，金融机构可以赢得客户的信任和忠诚度，增加客户满意度。 快速入门 场景 说明 相关文档 开通服务 开通安全与加速服务 服务开通 新增域名 添加域名 新增域名（含IPv6开关） 域名归属权验证指南 配置加速 配置源站信息、缓存、动态加速等 配置加速规则 配置防护 配置Web防护、DDoS防护、CC防护、BOT防护等 Web防护配置 DDoS防护 CC防护 Bot防护 访问控制

工作原理 天翼云资源池，针对四层的TCP请求（TCP监听器），可以通过下述两种方式获取客户端源IP： 1. 在后端主机内配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块，需要在ELB后端主机中安装TOA插件，以实现后端主机可获取客户端真实源IP地址的目的。具体操作参考——操作步骤（TOA模式）。 2. 在后端主机组上打开“获取客户端真实源IP”（该功能不支持平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置）开关，并在后端主机里开启Proxy Protocol后获取到客户端真实源IP。具体操作参考——操作步骤（Proxy Protocol模式）。该功能具体支持情况请以控制台显示为准。 说明 “获取客户端真实源IP”需要代理服务器和后端主机都支持该协议才能正常使用。如果后端主机不具备解析Proxy Protocol协议能力，打开特性开关可能会导致后端服务解析异常，从而影响服务可用性。 对于操作步骤（Proxy Protocol模式）实际支持情况以控制台展现为准。 操作步骤 TOA模式 1. 准备编译环境 a. 针对Linux内核版本为3.0以上的操作系统。以Centos环境为例。 b. 安装gcc编译器，执行以下命令： sudo yum install gcc c. 安装make工具，执行以下命令： sudo yum install make d. 安装内核模块开发包，执行以下命令： sudo yum install kerneldeveluname r e. 注意开发包的版本需要与内核版本一致，假如自带源里没有对应的内核开发包，可以到以下链接地址进行下载，地址如下： 以3.10.01160.80.1.0.1.el7.x8664为例，下载后执行以下命令安装： rpm ivh kerneldevel3.10.01160.80.1.0.1.el7.x8664.rpm f. 以下步骤是以Ubuntu、Debian环境为例，进行编译环境准备。 g. 安装gcc编译器，执行以下命令： sudo aptget install gcc h. 安装make工具，执行以下命令： sudo aptget install make i. 安装内核模块开发包，执行以下命令： sudo aptget install linuxheadersuname r 2. 编译内核模块 a. 下载TOA内核模块源代码，点击进入常见TOA下载页面 （获取验证码：t7nv）进行下载。 b. 编译模块。执行以下命令： cd src make c. 编译过程若未提示warning或者error，说明编译成功，检查当前目录下是否已经生成toa.ko文件。 3. 加载内核模块 a. 加载内核模块，执行以下命令： sudo insmod toa.ko b. 验证模块加载情况及内核输出信息，执行以下命令： dmesg grep TOA 假如提示信息中包含“TOA: toa loaded”，则证明内核模块已经加载成功。 说明 当CoreOS在容器中编译完内核模块后，需要将内核模块复制到宿主系统，最后在宿主系统中加载内核模块。另外由于编译内核模块的容器和宿主系统共享/lib/modules目录，可以在容器中将内核模块复制到该目录下，以供宿主系统使用 4. 自动加载内核模块 a. 把加载TOA内核模块的命令加到您的启动脚本中，能够保证TOA内核模块在系统启动时生效。 b. 在自定义的启动脚本中添加加载TOA内核模块的命令。具体步骤可参考以下操作： c. 在“/etc/sysconfig/modules/”目录下新建toa.modules文件。该文件包含了TOA内核模块的加载脚本。toa.modules文件内容，请参考如下示例：

等保服务规格 服务项 基础包 标准包 高级包 交付物 业务系统服务范围内支持的资产数。 总资产数2以内 总资产数10以内 总资产数20以内 根据客户系统开展漏洞扫描，提出整改加固建议。 √ √ √ 《系统安全评估报告》 根据客户系统资产开展基线扫描，提出整改加固建议。 × √ √ 《基线配置安全评估报告》 基于主机及业务系统漏洞扫描结果，提供整体安全差距分析与改进建议。 × × √ 《等保差距分析评估》 依据合规标准与差距评估结果，制定目标系统差距整改方案，助力通过等保测评。 × × √ 《等保差距整改方案》 完成以上服务项目并验收确认。 √ √ √ 《项目验收单》

态势感知的数据来源。 态势感知基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

参数 是否必选 说明 作业类型 是 选择“Flink自定义作业”。 jar包路径 是 用户自定义的程序包。在选择程序包之前，您需要将对应的jar包上传至OBS桶中，并在“资源管理”页面中新建资源，具体操作请参考 入口类 是 指定加载的Jar包类名，如KafkaMessageStreaming。 默认：根据Jar包文件的Manifest文件指定。 指定：需要输入类名并确定类参数列表（参数间用空格分隔）。 说明 当类属于某个包时，需携带包路径，例如：packagePath.KafkaMessageStreaming。 入口参数 是 指定类的参数列表，参数之间使用空格分隔。 DLI队列 是 默认选择“共享队列”，用户也可以选择自定义的独享队列。 说明 当子用户在创建作业时，子用户只能选择已经被分配的队列。 作业特性 否 选择自定义镜像和对应版本。仅当DLI队列为容器化队列类型时，出现本参数。自定义镜像是DLI的特性。用户可以依赖DLI提供的Spark或者Flink基础镜像，使用Dockerfile将作业运行需要的依赖（文件、jar包或者软件）打包到镜像中，生成自己的自定义镜像，然后将镜像发布到SWR（容器镜像服务）中，最后在此选择自己生成的镜像，运行作业。自定义镜像可以改变Spark作业和Flink作业的容器运行环境。用户可以将一些私有能力内置到自定义镜像中，从而增强作业的功能、性能。 CUs 是 一个CU是1核4G的资源配置。 管理节点CU数量 是 设置管理单元的CU数，支持设置1~4个CU数，默认值为1个CU。 并发数 是 并发数是指同时运行Flink SQL作业的任务数。 说明 并发数不能大于计算单元（CUs1）的4倍。 异常自动启动 否 设置是否启动异常自动重启功能，当作业异常时将自动重启并恢复作业。 作业名称 是 填写DLI Flink作业的名称，只能包含英文字母、数字、“”，且长度为1~64个字符。默认与节点的名称一致。 作业名称添加工作空间前缀 否 设置是否为创建的作业添加工作空间前缀。 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。

Presto配置 1.登录MRS控制台，在左侧导航栏选择“集群列表 > 现有集群” ，单击集群名称。 2.选择“组件管理 > Presto > 服务配置”。 3.将“基础配置”切换为“全部配置”，搜索并配置如下参数： 数据加密参数 参数 取值 说明 fs.obs.serversideencryptiontype SSEKMS SSEKMS：表示使用KMS秘钥的加解密方式。 NONE：表示关闭加密功能。 fs.obs.serversideencryptionkey 表示用来加密的KMS密钥ID。该参数可不配置。 当参数“fs.obs.serversideencryptiontype”配置为“SSEKMS”且该参数未配置时，OBS会使用OBS服务的默认KMS密钥完成加密。 fs.obs.connection.ssl.enabled true 标识是否与OBS建立安全连接。 true：开启安全连接，当需要使用OBS加解密功能时该参数必须配置为“true”。 false：关闭安全连接。 4.单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”。

海量文件服务OceanFS产品为您提供优质的服务体验，本文带您了解产品优势。 共享访问 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)。 支持IPv4和IPv6网络协议。 海量可扩展 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 支持PB级存储空间。 安全可信 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本章节主要介绍OBS数据迁移到云搜索服务。 操作场景 CDM支持在云上各服务之间相互迁移数据，本章节介绍如何通过CDM将数据从OBS迁移到云搜索服务中，流程如下： 1.创建CDM集群 2.创建云搜索服务连接 3.创建OBS连接 4.创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已经开通了云搜索服务，且获取云搜索服务集群的IP地址和端口。 创建CDM集群 参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC必须和云搜索服务集群所在VPC一致，且推荐子网、安全组也与云搜索服务一致。 如果安全控制原因不能使用相同子网和安全组，那么需要确保安全组规则能允许CDM访问云搜索服务集群。 创建云搜索服务连接 1.单击CDM集群后的“作业管理”，进入作业管理界面，再选择“连接管理 > 新建连接”，进入选择连接器类型的界面。 2.连接器类型选择“云搜索服务”后单击“下一步”，配置云搜索服务连接参数。 名称：用户自定义连接名称，例如“csslink”。 Elasticsearch服务器列表：配置为云搜索服务集群（支持5.X以上版本）的连接地址、端口，格式为“ip:port”，多个地址之间使用分号（；）分隔，例如192.168.0.1:9200;192.168.0.2:9200。 用户名、密码：配置为访问云搜索服务集群的用户，需要拥有数据库的读写权限。 3.单击“保存”回到连接管理界面。

本节主要介绍智能视图服务的向上级联功能概述。 级联定义 级联：两个信令安全路由网关之间是上下级关系，下级信令安全路由网关主动向上级信令安全路由网关发起注册，经上级信令安全路由网关鉴权认证后才能进行上下级系统间通信。 用户可在智能视图服务控制台，创建本级平台，并选择当前已接入的设备/平台，重新组织排序后，共享给第三方平台以供调阅使用，即向上级联。 级联功能说明 创建本级平台时，支持填写上级平台信息，以虚拟业务组或行政区划结构推送至上级平台进行级联。 支持本平台级联的启停、级联状态查阅、设备增减等平台管理操作。 支持第三方上级平台对本平台级联设备的实时预览、录像回放、云台控制等操作。 支持的设备目录模式 智能视图服务已提供虚拟业务组 及行政区划两种设备目录模式，以方便用户对级联至上级平台的设备进行管理和排序。 虚拟业务组及行政区划的操作说明请参考【向上级联管理级联组织树】。 虚拟业务组 虚拟业务组模式下，支持随意对目录、设备进行归并与排序，无目录层级限制。

前置条件 客户端（预览版、移动端）:V3.11以上 开通方式、操作步骤 1.功能开通 （1）进入免费试用页面 操作路径：协同套件量子加密服务前往试用 （2）添加需要进行量子安全防护的用户 选择需要添加的用户 设置量子安全策略 配置说明： 量子安全介质： 软模块：仅允许用户使用软模块登录； 量子安全盾：仅允许用户使用量子安全盾登录； 软模块+量子安全盾：允许用户使用软模块或量子安全盾登录，量子安全盾优先（用于多终端登录，如大屏端使用量子安全盾登录，移动端使用软模块登录）。 限制普通登录： 是：量子安全登录失败时，不允许使用普通方式接入云电脑； 否：量子安全登录失败时，允许使用普通方式接入云电脑。

基线场景 控制面 可以看到随着服务的启动，控制面内存消耗逐渐增加，由于服务启动后控制面要执行全量配置推送，控制面CPU先上升，然后回落。 控制面xds推送ops、大小以及耗时。 数据面 选取任意一个pod观察CPU和内存。 istioproxy容器在启动时要获取全量配置，CPU较高，然后回落。 内存增长到一个值后保持稳定。 查看业务相关outbounds规则情况可以看到sidecar中包含了全量的服务信息。 自适应配置下发场景1——开启瞬间 控制面 可以看到控制面CPU相比未开启自适应配置分发的情况明显降低。 xds推送ops、大小以及耗时明显降低。

%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 确认密码 必须和管理员密码相同。 参数模板 数据库参数模板就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。对于HA实例创建成功后，主备参数模板相同。实例创建成功后，参数模板可进行修改。 须知 创建数据库实例时， 为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发， 而是采用系统默认的推荐值。 “backlog” “innodbiocapacitymax” “maxconnections” “innodbiocapacity” “innodbbufferpoolsize” “innodbbufferpoolinstances” 表5 标签 参数 描述 标签 可选配置，对关系型数据库的标识。使用标签可以方便识别和管理您拥有的关系型数据库服务资源。每个实例最多支持10个标签配额。 实例创建成功后，您可以单击实例名称，在标签页签下查看对应标签。 表6 购买周期 参数 描述 购买时长（包年/包月） 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 购买数量 关系型数据库服务支持批量创建实例，如果您选择创建主备实例，数量选择为1，那么会同步创建一个主实例和一个备实例。 关系型数据库的性能，取决于用户申请关系型数据库时所选择的配置。可供用户选择的硬件配置项为性能规格、存储类型以及存储空间。 步骤 5 对于按需计费的实例，进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交申请”，完成购买实例的申请。 跳过步骤7和步骤8，直接执行步骤9。 步骤 6 对于包年/包月模式的实例，进行订单确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改关系型数据库实例信息。 如果订单确认无误，单击“去支付”，进入“付款”页面。 如果暂不确定实例规格，单击“提交，暂不付款”，系统将保留您的订单，稍后可在“费用 > 我的订单”中支付或取消订单。 对于“包年/包月”模式的实例，付款成功后，才会创建。 步骤 7 选择付费方式，完成付费。 本操作仅适用于包年/包月计费方式。 步骤 8 关系型数据库实例创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 创建实例过程中，状态显示为“创建中”。您可以通过“任务中心”查看详细进度和结果。在实例列表的右上角，单击刷新列表，可查看到创建完成的实例状态显示为“正常”。 创建实例时，系统默认开启自动备份策略，后期可修改。实例创建成功后，系统会自动创建一个全量备份。 数据库端口默认为3306，实例创建成功后可修改。

名称 描述 ContentLength 响应体的长度。只有客户端携带Expect: 102processing请求头，才会返回该响应头。 CopyPartResult 包含整个响应的容器。 类型：容器。 子节点：LastModified、ETag。 LastModified 分片的最后修改时间。 类型：字符串。 父节点：CopyPartResult。 ETag 新分片的ETag。 类型：字符串。 父节点：CopyPartResult。

总览 态势感知（专业版）“总览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。总览页面实时呈现态势感知（专业版）所有工作空间的整体安全评估结果，查看方法请参见查看总览。 态势总览 “态势总览”页面实时呈现当前工作空间中资源的整体安全评估状况，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。目标工作空间的“态势感知> 态势总览”页面呈现当前单个工作空间的安全评估结果，查看方法请参见查看态势总览。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的安全或危险，仅作为资产遭受攻击严重程度的参考。安全大屏中的可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 安全评分 态势感知（专业版）实时呈现您云上资产的整体安全评估状况，并根据态势感知（专业版）的威胁检测能力，评估整体资产安全健康得分。 安全评分每天凌晨2:00自动更新，也支持通过在页面中单击“重新检测”来进行实时更新。 如下将介绍在安全评分中，不同分值的含义以及扣分项的详细情况。 安全分值 SecMaster根据威胁检测能力，评估整体资产安全健康得分。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值从0开始，每隔20取值范围对应不同的风险等级，例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级，例如黄色对应“中危”。 资产风险修复，并手动刷新告警事件状态后，安全评分可以通过手动单击“重新检测”进行更新。 说明 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 风险等级 安全分值 分值说明 无风险 100分 恭喜您，您的资产当前安全状况良好。 提示 80≤分值<100 您的资产存在少量的安全隐患，建议您及时加固安全防护体系。 低危 60≤分值<80 您的资产存在较多的安全隐患，建议您及时加固安全防护体系。 中危 40≤分值<60 您的资产防御黑客入侵的能力较弱，建议您立即加固安全防护体系。 高危 20≤分值<40 您的资产存在较高的黑客入侵和病毒感染的风险，建议您立即处理。 致命 0≤分值<20 您的资产很可能遭受到黑客入侵和病毒感染的威胁，建议您立即处理。 安全评分扣分项 安全评分扣分项及其分值情况如下所示： 分类 扣分项 单项扣分值 处理建议 最高扣分上限 安全服务启用 未开启安全相关服务 不扣分 开启安全相关服务 30 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的高危不合规项 5 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的中危不合规项 2 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的低危不合规项 0.1 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的高危漏洞 5 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的中危漏洞 2 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的低危漏洞 0.1 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的高危告警事件 5 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的中危告警事件 2 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的低危告警事件 0.1 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30

设置防护目录 网页防篡改功能需要有防护目录才能起到防护作用，网页防篡改提供以下目录防护模式： 保护指定目录 您最多可在主机中添加50个防护目录，详细操作请参见保护指定目录。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。 开启网页防篡改 1. 登录管理控制台。 2. 在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3. 在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4. 在左侧导航树中，选择“主动防御 > 网页防篡改”，进入“网页防篡改”界面，单击“添加防护服务器”。 添加防护服务器 5. 在“添加防护服务器”页面，选择需要开启防护的服务器，选择目标配额，可默认随机选择，单击“添加并开启防护”。 6. 开启“网页防篡改”防护服务后，请在控制台上查看主机安全服务的开启状态。 “网页防篡改版”开启后，旗舰版防护会同步开启。 选择“主动防御 > 网页防篡改”，目标服务器所在行的“防护状态”为“防护中”，则表示网页防篡改版已开启。 选择“资产管理 > 主机管理 > 云服务器”，目标服务器所在行的“防护状态”为“防护中”，且在“操作”列中主机不能“关闭防护”和“切换版本”，则表示网页防篡改赠送的旗舰版已开启。 选择“资产管理 > 主机管理 > 云服务器”，目标主机所在行的“防护状态”为“防护中”，且“版本/到期时间”为“网页防篡改版”，则表示网页防篡改赠送的旗舰版已开启。 注意 您也可以通过在“资产管理 > 主机管理 > 防护配额”页面，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启网页防篡改防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启网页防篡改后如果需要更新网站请先临时关闭网页防篡改，完成更新后再开启。否则会造成网站更新失败。 关闭网页防篡改期间，您的网站不受保护，更新网页后，请及时开启网页防篡改。

典型架构图 安全增强措施 1. 数据加密 1. 使用SSL/TLS加密公网传输流量（如HTTPS） 2. 数据库启用透明数据加密（TDE）和天翼云KMS服务 2. 安全防护 1. 根据业务情况使用天翼云提供的安全产品进行公网防护。 成本优化建议 1. 按需分配公网IP：公网流量通过NAT网关共享出口，仅对必须暴露的服务使用独享的弹性IP（需要为云主机所在的子网配置指向IPv4网关的默认路由）。 2. 合理选择带宽： 1. 优先使用共享带宽降低弹性IP带宽成本。 2. 根据业务峰谷情况选择弹性IP的固定带宽或按流量计费模式。 3. 清理闲置资源：定期删除未使用的EIP、安全组、路由表等资源。 运维与监控 1. 自动化部署：使用天翼云原生API实现VPC、子网、安全组等资源的自动化编排。 2. 监控告警：配置云监控对使用的云资源进行告警，重点关注以下指标： 1. 弹性IP、共享带宽网络出入带宽利用 2. NAT网关并发连接数 3. 弹性负载均衡健康/异常后端主机数 常见问题规避 1. IP地址耗尽：预留至少20%的IP空间（如使用/16的VPC，按/24划分子网）。 如果出现VPC地址不足的情况，可以通过为VPC增加扩展网段的方式，扩容地址。 2. 安全组配置错误：遵循最小权限原则，禁止开放0.0.0.0/0到高危端口（如22、3389）。 3. 单可用区风险：确保关键服务（如数据库）部署在至少2个可用区。 通过以上设计，可在天翼云单地域单VPC环境下构建安全、高可用且易于扩展的网络架构，适用于中小型企业或独立业务系统。

本章节主要介绍跨源认证概述。 什么是跨源认证？ 跨源分析场景中，如果在作业中直接配置认证信息会触发密码泄露的风险，因此推荐您使用“数据加密服务DEW”或“DLI提供的跨源认证方式”来存储数据源的认证信息。 数据加密服务（Data Encryption Workshop, DEW）是一个综合的云上数据加密服务，为您解决数据安全、密钥安全、密钥管理复杂等问题。推荐使用数据加密服务DEW来存储数据源的认证信息。 跨源认证用于管理访问指定数据源的认证信息。配置跨源认证后，无需在作业中重复配置数据源认证信息，提高数据源认证的安全性，便于DLI安全访问数据源。 本节操作为您介绍DLI提供的跨源认证的使用方法。 约束与限制 仅Spark SQL、和Flink OpenSource SQL 1.12版本的作业支持使用跨源认证。 DLI支持四种类型的跨源认证，不同的数据源按需选择相应的认证类型。 −CSS类型跨源认证：适用于“6.5.4”及以上版本的CSS集群且集群已开启安全模式。 −Kerberos类型的跨源认证：适用于开启Kerberos认证的MRS安全集群。 −KafkaSSL类型的跨源认证：适用于开启SSL的Kafka。 −Password类型的跨源认证：适用于DWS、RDS、DDS、DCS数据源。。 跨源认证类型 DLI支持四种类型的跨源认证，不同的数据源按需选择相应的认证类型。 CSS类型跨源认证：适用于“6.5.4”及以上版本的CSS集群且集群已开启安全模式。配置时需指定集群的用户名、密码、认证证书，通过跨源认证将以上信息存储到DLI服务中，便于DLI安全访问CSS数据源。详细操作请参创建CSS类型跨源认证。 Kerberos类型的跨源认证：适用于开启Kerberos认证的MRS安全集群。配置时需指定MRS集群认证凭证，包括“krb5.conf”和“user.keytab”文件。详细操作请参考创建Kerberos跨源认证。 KafkaSSL类型的跨源认证：适用于开启SSL的Kafka，配置时需指定KafkaTruststore路径和密码。详细操作请参考创建KafkaSSL类型跨源认证。 Password类型的跨源认证：适用于DWS、RDS、DDS、DCS数据源，配置时将数据源的密码信息存储到DLI。详细操作请参考创建Password类型跨源认证。