本文将介绍如何查询网络层攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【网络层攻击事件】页面。 查询功能 您可以在网络层攻击事件表头部指定您要查询的时间范围。默认将展示最近7天。 攻击详情 攻击事件列表将展示攻击开始时间、攻击结束时间、攻击峰值带宽、攻击峰值时间、被攻击域名和攻击类型。 点击单条攻击事件的操作【详情】按钮，即可查看网络层攻击事件的攻击趋势、TOP攻击源IP。 注意 TOP攻击源IP的统计功能默认关闭，攻击详情中将不进行展示。如需开通，请

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本文介绍了云防火墙（原生版）产品的入侵防御日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 入侵防御日志”，进入入侵防御日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、攻击类型、攻击等级、判断来源、目的IP地址、源IP地址、方向进行筛选。 5. 入侵防御日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、应用、攻击类型、等级、命中规则ID、命中规则名称、判断来源、方向和防御状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本节描述了ECX的定义、边缘计算的定义、边缘计算的特点等。 ECX的定义 智能边缘云(Edge Cloud X, ECX)是将传统的云计算中心移向了网络边缘，以降低延迟、提升响应速度和性能，满足行业数字化中的敏捷连接、实时业务、应用智能等关键需求。 什么是边缘计算 在深入了解ECX前，您需要先了解什么是边缘计算。 边缘计算是一种分布式计算架构，它将数据处理、存储和服务功能移近数据产生的边缘位置，即接近数据源和用户的位置，而不是依赖中心化的数据中心或云计算平台。通过将计算移动到边缘设备，可以更快速地处理数据，并在本地存储和分析数据，从而减少对中心云计算数据中心的依赖。同时，边缘计算还可以提高安全性和隐私性，因为数据不需要传输到中心云上进行处理。 边缘计算的应用场景包括边缘推理、智慧园区、云游戏、内容分发网络CDN、视频监控、工业物联网等，其中智慧园区、视频监控、工业物联网可划属于2B业务，云游戏可划属于2C业务。边缘计算应用场景使用的关键能力主要包括：海量网络联接与管理、实时数据采集与处理、本地业务自治、 边云协同、图像识别与视频分析、AR/VR、游戏渲染与呈现，以及数据安全与隐私保护等。

本章节为您介绍如何配置云堡垒机(原生版)应用发布服务器。 应用发布服务器的主要作用是将应用程序部署到生产环境，使其能够对外提供服务，同时通过版本管理、自动化测试等功能保障应用稳定运行。 安装服务器 本文以Windows 2016版本为例。 1. 使用管理员账号登录服务器。 2. 打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 3. 单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 4. 选择“基于角色或基于功能的安装”。 5. 在服务器池中选择目标服务器。 6. 在服务器角色窗口中，勾选“Active Directory域服务” 、“DNS服务器” 、“远程桌面服务”三个角色项。 7. （可选）选择服务器所需要的其它功能，默认下一步跳过。 8. 选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口，勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”、“远程桌面Web访问”角色服务项。 9. （可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 10. （可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 11. 确认配置选择，单击“安装”，请耐心等待安装进度完成。 12. 安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

本文介绍了如何删除操作日志。 使用场景 操作日志记录了用户在控制台的新增、删除、更新操作，便于用户对操作记录进行审计。您可以在控制台删除操作日志。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【操作日志】页面，您可以指定查询时间或操作人进行查询。 3.勾选需要删除的日志，点击【删除日志】按钮。 4.在弹窗中点击【确认删除】。

本文介绍如何查询操作日志。 使用场景 操作日志记录了用户在控制台的新增、删除、更新操作，便于用户对操作记录进行审计。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【操作日志】页面，您可以指定查询时间或操作人（支持多选）。默认将展示最近7天，所有人的操作日志。 操作日志列表包含：时间、事件名称、事件内容、操作状态、操作人。

本文介绍防火墙实践内容。 当您完成防火墙的购买和防护开通后，可以根据您的需要进行一系列常用实践，防火墙常用实践如下表。 C100型实例实践 实践 描述 云防火墙最佳实践 介绍如何选择最适宜用户使用场景和带宽的防火墙规格，以及介绍如何启用防护配置策略，配置防护规则，适用于初次使用防火墙，不知道如何选择适宜自己场景的防火墙规格以及不知道如何启用防火墙产品的用户及场景。 配置访问控制策略最佳实践 介绍如何进行访问控制策略配置，在日常生产场景中，常用哪些访问控制策略应该需要配置，适用于安全应用了解较少，需要进行标准化策略防护的用户及场景。 N100型实例实践 实践 描述 双向访问控制 防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 SSL VPN远程拨入 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用防火墙SSL VPN服务，该服务需单独配置。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

本小节为云防火墙网络流量类常见问题。 流量分析功能有哪些？ 在云防火墙流量分析页面，可以查看用户资产互联网出入口流量和攻击趋势，可选择查看时间区间为“近1小时”、“近24小时”和“近7天”的数据。 云防火墙数据流量怎么统计？ 云防火墙流量统计分为两种形式： 基于流量统计数据。 在“总览”页面的“流量趋势”模块中查看；数据信息实时更新。 基于会话统计数据，流量在会话结束的瞬间时刻统计。 在“日志审计> 日志查询 > 流量日志”页面查看；数据信息是会话创建到结束期间的整体流量；在会话连接期间，数据不会上报，连接结束后才会上报。 在“流量分析”下的任意页面查看；数据信息是流量日志中在该时间结束会话的流字节数的平均值。 单条流量超速，需要升级带宽吗？ CFW流量带宽是针对客户下所有流量，要求整体带宽不超速。 如果整体带宽超速会产生预警，整体带宽超速可能会丢包。 单条流超速了，总的带宽没有超速，需要先升级一下带宽，才能保证整体带宽不超速。扩容可防护流量峰值请参考云防火墙控制台概览。 云防火墙提供的防护带宽流量是多少？ 云防火墙为您提供互联网边界和VPC之间的防护，您可根据需要扩展防护流量带宽。根据您购买的服务版本的不同，云防火墙提供不同规格的防护带宽： 互联网方向：标准版默认10 Mbps/月。 VPC间防护：标准版不提供基础防护流量，专业版默认200 Mbps。 说明 防护带宽流量按照出流量或入流量的最大峰值取值。

零信任服务 限制项 具体要求 说明 连接器部署 企业内网应用添加后，需要将连接器部署到对应的网络环境内，才能登录零信任客户端远程访问局域网应用。 详情请参考连接器管理 禁止跨境连接 天翼云边缘安全加速平台零信任网络在相关政策法规内提供服务，不支持建立跨境连接，请勿把连接器部署到非中国内地地域。 客户端IP限制 鉴于安全监管要求，默认开启非中国内地访问限制（即非中国内地用户将无法使用VPN内网连接功能），如有此类业务场景需求，需提交工单申请放开限制。注意：若服务区域为中国内地，未订购全球高性能网络线路，则非中国内地访问质量无法保障。 连接器数量限制 根据不同套餐版本对连接器集群或是部署的连接器实例数进行限制，详细请参考零信任服务版本差异对比。 边缘接入服务 限制项 具体要求 说明 加速域名 中国内地： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 全球加速（不含中国内地）： 1. 已在天翼云进行实名认证。 2. 域名接入时需要经过内容审核。 全球加速： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 1. 全球加速（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2. 加速范围为：中国内地、全球加速的域名必须已完成ICP备案且备案信息准确有效才能使用边缘接入服务。 加速节点IP限制 边缘接入服务提供的加速节点IP为共享IP，即同一个加速节点的IP将被您的域名和其他客户的域名共同使用，不同客户的域名通过不同的请求端口区分。 例如：访问IP1:8081是客户A的加速业务，访问IP1:8082可能是客户B的加速业务。 域名接入端口限制 不能加速的端口： 1. TCP端口：2123、135、137139、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528。 2. UDP端口：135139、445、1434、4000、4444、17185。 不能加速的端口为平台内部占用端口，无法对外提供服务。 无域名接入端口限制 不能加速的端口： 1. TCP端口：2123、80、135、137139、443、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528。 2. UDP端口：135139、445、1434、4000、4444、17185。 80、443、8080、8443端口必须使用域名接入方式接入，其他不能加速的端口为平台内部占用端口，无法对外提供服务。 DDoS防护 边缘接入服务中的DDoS防护支持TCP、UDP、ICMP网络协议防护和SSL攻击防护，如SYN Flood、ACK Flood、空连接、SSL攻击等；但不提供CC防护等其他应用层防护能力。

本文通过图文说明证书查看路径和证书详情。 功能介绍 客户完成证书新增后，可通过DDoS高防（边缘云版）控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、创建时间、证书品牌、证书有效期、已绑定域名。 操作步骤 1、登录DDoS高防（边缘云版）控制台。 2、在【证书管理】页面，可以看到证书列表，含历史添加过的所有证书。 3、选定目标证书，在操作列单击【详情】，即可查看证书详情信息。

使用虚拟私有云（VPC）实现网络隔离 虚拟私有云（VPC）是天翼云为用户提供的独立隔离虚拟网络环境，用户可完全掌控网络配置，是实现云上网络安全隔离的核心基础。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。创建在VPC中的云主机可以依赖VPC的能力实现网络隔离，主要包括： 每个VPC实例是一个二层隔离的网络，VPC内部内网互通。在不采用对等连接、云间高速等方式建立VPC与外部网络内网互通的情况下，不同VPC之间默认无法内网互通。VPC中的云主机互访通过内网地址互通，可以实现最大化与外部网络隔离。 VPC内可以创建多个子网，将VPC划分为多个网段。不同子网之间可以通过子网路由表对路由进行管理，控制流量路径。 更多信息，请参见 ++虚拟私有云产品定义++和++创建虚拟私有云VPC++。 通过子网划分实现业务隔离 合理的子网规划是提升网络安全与管理效率的关键，通过按业务属性、安全等级划分子网，可实现精细化网络管控。 子网划分原则：按业务功能划分。将 Web 服务、应用服务、数据库服务分别部署在独立子网（如 Web 子网、应用子网、数据库子网），避免单一子网故障影响全业务。 按安全等级划分：将核心业务（如数据库、支付系统）部署在高安全等级子网，限制公网访问；将边缘服务（如负载均衡、CDN 节点）部署在低安全等级子网，作为业务对外访问入口，降低核心业务暴露风险。 预留地址空间：子网划分时预留 20% 左右的 IP 地址空间，为后续业务扩展与资源扩容提供支持，避免子网地址耗尽导致的网络调整成本。 子网级管控措施： （1）路由控制：为不同子网关联独立路由表，例如，数据库子网路由表仅保留内网路由，禁止直接访问公网； （2）Web 子网路由表配置指向 NAT 网关的默认路由，实现公网访问控制。 更多信息，请参见 ++创建子网++和++网络ACL简介++。

本节介绍如何查看互联网边界防护情况。 在互联网边界防火墙开关页面上方，用户可以查看互联网边界流量监控信息、防护状态和配额状态。 互联网边界流量监控：展示最近7天内所有已开启防护资产产生的流量峰值，包括入向峰值带宽和出向峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的弹性IP、公网NAT网关、弹性负载均衡。鼠标悬浮在弹性IP、弹性负载均衡对应数字上，会展示对应的IPv4和IPv6资产数量。 配额状态：展示已经购买的互联网边界防火墙未使用和已使用的配额数，以及公网IP防护配额扩展包的数量。1个弹性IP消耗1个防护配额，1个NAT网关消耗4个防护配额，1个弹性负载均衡消耗1个防护配额，您可以为VPC中的所有弹性IP、NAT网关、弹性负载均衡开启防护。 流量拓扑可视：在“流量拓扑可视”模块下方切换不同的资产页签，可分别查看各VPC内弹性IP、公网NAT、弹性负载均衡的防护情况，便于掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 查看当前账号下弹性IP、公网NAT网关、弹性负载均衡的防护情况。

本文通过图文说明证书删除的操作步骤。 功能介绍 当证书过期或者不再使用时，可通过DDoS高防（边缘云版）控制台删除证书。 注意事项 证书删除的前提是未绑定域名，因此在删除证书前，需要先解除证书与域名的绑定关系。 操作步骤 1、登录DDoS高防（边缘云版）控制台。 2、在【证书管理】页面，选定目标证书，在操作列单击【删除】。 3、控制台会弹窗（如下图），客户进行二次确认后，单击【确定】即可删除。

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

边缘安全加速平台—安全与加速服务的计费项有哪些？ 边缘安全加速平台安全与加速计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 如何申请免费试用边缘安全加速平台？ 边缘安全加速平台暂时不支持官网自助开通试用，如果您需要开通试用，请通过提交工单给天翼云客服，天翼云技术支持将会为您开通。 如何关闭边缘安全加速平台安全与加速服务或停止计费？ 开通边缘安全加速平台安全与加速服务后，只要不添加域名，就不会产生计费。 如果您已经添加了域名，您可以登录边缘安全加速控制台，进入接入管理域名接入域名管理页面，可参考以下方式停止计费： 停用域名：对域名进行停用操作后，天翼云接入层CNAME将立刻解析至不可访问地址。请参见停用域名。 删除域名：删除按钮只能在域名状态为“已停止”时可见，请参见删除域名。

云产品 日志类型 备注 文本日志 文本日志 容器标准输出 容器文件日志 容器标准输出 容器文件日志 容器实例日志 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 访问日志 命令审计日志 <分布式消息服务Kafka> 重平衡日志 控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志 函数调用日志 云服务操作日志 访问日志 会话日志 Elasticsearch、OpenSearch、Logstash实例日志，包括运行日志（含错误日志）、GC日志、慢索引日志、慢查询日志、Logstash运行日志 集群组件日志 微服务引擎云原生网关 网关访问日志 虚拟私有云VPC 流日志 当前白名单试用中，如有需求请提交工单反馈。 内网DNS DNS解析日志 SDWAN 流日志 当前白名单试用中，如有需求请提交工单反馈。 云安全中心 云堡垒机操作日志； 云防火墙威胁日志； 服务器安全卫士漏洞信息、弱口令、告警日志； 数据库审计日志； Web应用防火墙告警日志； 云等保专区V1.0日志 服务器安全卫士 告警日志 网页防篡改 告警日志

实践 描述 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

本文主要介绍如何连接分布式消息服务RabbitMQ的管理地址。 在浏览器中输入RabbitMQ管理地址，访问开源RabbitMQ的集群管理工具。 操作步骤 一、获取实例管理地址。 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 > RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称，进入实例详情页面，获取Web界面UI地址和用户名。 图1 获取实例Web界面UI地址（未开启公网访问） 图2 获取实例Web界面UI地址（开启公网访问） 说明 用户名和密码为创建RabbitMQ实例时自定义的内容。 二、确认实例安全组规则是否配置正确。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 三、在浏览器中打开Web界面UI地址，进入Web登录页面。 说明 如果RabbitMQ实例开启了公网访问，可直接在公网环境下的浏览器访问Web页面。 如果RabbitMQ实例未开启公网访问，您需要购买一台与RabbitMQ实例网络相通的Windows弹性云主机，然后登录弹性云主机访问Web页面。 购买弹性云主机操作，请参考 图3 登录实例Web页面 四、单击“Login”，登录完成。

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 1. 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 2. 配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 3. 重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见虚拟私有云安全组添加安全组规则。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 客户端测试 打开客户端的计算机，在路径栏输入 “ftp://FTP服务器IP地址:FTP端口”(如果不填端口则默认访问21端口) 。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对 FTP 文件进行相应权限的操作。 说明 如果没有配置“FTP防火墙支持”，客户端使用此方法访问FTP站点时，需要对IE浏览器进行设置，才能打开FTP的文件夹。打开IE浏览器，选择“设置 > Internet 选项 > 高级”。勾选“启用FTP文件夹视图”，取消勾选“使用被动FTP”。

本文介绍了云防火墙(原生版)产品的访问控制日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 访问控制日志”，进入访问控制日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、规则名称、协议、判断来源、动作、目的IP地址、目的端口、源IP地址、源端口、方向进行筛选。 5. 访问控制日志列表包括命中时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、方向、动作、命中规则名、判断来源。 查看日志详情 单击操作列的“详情”，可以查看日志命中的规则。 在该页面中，展示了命中规则的优先级、名称、源IP地址、目的IP地址、源端口、目的端口、协议、应用、动作、描述和启用状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本文介绍强制跳转的场景及配置方法。 功能介绍 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云边缘安全加速平台支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘加速节点的HTTPS请求强制跳转为HTTP请求。 配置说明 1.登录边缘安全加速平台控制台。 2.单击左侧导航栏【域名】【基础配置】。 3.在【域名列表】页面，找到目标域名，单击【编辑配置】，选择右侧【HTTPS配置】，开启【强制跳转】功能。 4.【跳转类型】选择目标跳转场景，如“Http>Https”、“Https>Http”。 5.选择合适的【跳转方式】，如302跳转或301跳转。 6.配置完毕单击【保存】。 参数名 说明 强制跳转 默认为关闭，即不开启强制跳转功能。 跳转类型 Http>Https：将客户端到全站加速节点的Http请求强制重定向为方式Https。 Https>Http：将客户端到全站加速节点的Https请求强制重定向为方式Http。 跳转方式 跳转状态码，支持302/301状态码。 注意 当请求协议中的HTTPS未勾选时，强制跳转（301或302）只支持从Https重定向为Http。只有勾选请求协议中的HTTPS且完成证书配置的情况下，强制跳转（301或302）才支持从Http重定向为Https。

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽,进而在边缘安全加速平台产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 边缘安全加速平台（AOne）基于天翼云全球各地的分布式边缘资源与云原生技术，提供集性能、安全、算力能力为一体的产品服务，满足多样化场景需求。如果客户的业务存在潜在的被恶意访问风险，注意要开启安全防护功能，以防止DDoS和CC攻击。 方法三：开启带宽控制功能 边缘安全加速平台支持带宽控制功能，该功能可以控制带宽总用量，从而避免因带宽突发带来更多的费用。如果客户需要对使用天翼云边缘安全加速的域名带宽做限速，可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。相关功能介绍，详情请见：全网带宽控制。

图说智能边缘云ECX。

本小节介绍Web应用防火墙续订、升级、退订。 续订/升级 续订说明 续订限制说明： 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 续订步骤 1. 在产品实例列表点击“续订”进入续订页面，页面显示当前服务规格和购买时长。 2. 选择“续费时长”，点击“立即购买”。 退订 退订说明 天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考 退订规则说明 。 退订步骤 退订需要人工审核，点击“退订”，提交退订理由。等待人工审核，审核完成后停止业务并退款。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

本文介绍了云防火墙（原生版）产品的流量日志功能。 约束条件 最多支持查看最近7天的日志。 流量日志将在网络会话连接断开后被上报。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 流量日志”，进入流量日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、协议、目的端口、动作、源IP地址、源端口、目的IP地址、方向进行筛选。 5. 流量日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、方向、动作、请求流字节数、请求流报文数、响应流字节数、响应流报文数、规则名。 流量日志参数说明 参数 说明 发生时间 流量日志上报的时间。 源IP地址 该条流量的源IP地址。 源端口 该条流量的源端口。 目的IP地址 访问的目的IP。 目的端口 该条流量的目的端口。 协议 该条流量的协议类型。 应用 该条流量所属应用。 方向 该条流量会话是入方向或是出方向。仅互联网边界防火墙有该参数。 动作 该条流量被拦截或放行。 请求流字节数 客户端发送到服务器的字节总数。 请求流报文数 客户端发送到服务器的数据包数量。 响应流字节数 服务器返回给客户端的总字节数。 响应流报文数 服务器返回给客户端的数据包数量。 规则名 该条流量匹配到的防护规则名称。

本文介绍了如何导出操作日志。 使用场景 操作日志记录了用户在控制台的新增、删除、更新操作，便于用户对操作记录进行审计。您可以在控制台导出操作日志。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【操作日志】页面，您可以指定查询时间或操作人进行查询。 3.点击【全部导出】按钮，将查询结果进行导出。 4.导出时，您可以选择导出的文件格式，支持导出为txt及xls文件。选择后，点击【确定】即可。

本节介绍了如何在控制台删除域名。 使用场景 如果您需在平台中删除某个域名的配置，您可以在控制台进行删除操作。删除按钮只能在域名状态为“已停止”时可见。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已停止”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要删除的域名，在操作栏点击【删除】按钮后，会进行弹窗提示，再次确认后，域名列表无法查询该域名，配置也无法进行恢复。

配置CNAME完成后,客户端发起的请求将被自动解析至边缘云节点上,可通过探测CNAME来验证加速是否生效。 前提条件 您已经完成添加服务域名并配置CNAME，如果您未配置，请参考配置CNAME。 验证方式 1、您可以 ping 或 dig 您接入边缘安全加速平台安全与加速服务的域名（例如www.ctyun.cn），在返回的解析结果中查看是否指向分配的CNAME域名。 2、如果CNAME状态为“已生效”，即代表当前站点域名已被边缘安全加速平台—安全与加速服务加速。

本章节为您介绍如何配置云堡垒机（原生版）应用发布服务器。 应用发布服务器的主要作用是将应用程序部署到生产环境，使其能够对外提供服务，同时通过版本管理、自动化测试等功能保障应用稳定运行。 安装服务器 本文以Windows 2016版本为例。 1.使用管理员账号登录服务器。 2.打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 3.单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 4.选择基于角色或基于功能的安装。 5.选择服务器池中选择目标服务器。 6.在服务器角色窗口中，勾选“Active Directory域服务” 、“DNS服务器” 、“远程桌面服务”三个角色项。 7.（可选）选择服务器所需要的其它功能，默认下一步跳过。 8.选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口，勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”、“远程桌面Web访问”角色服务项。 9.（可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 10.（可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 11.确认配置选择，单击“安装”，请耐心等待安装进度完成。 12.安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。