本节主要介绍怎么登录HBlock控制台。 使用WEB浏览器访问 :PORT进行登录。 登录后，可以在HBlock控制台上对下列各项进行管理操作：卷、iSCSI目标、服务器、存储池（仅集群版支持）、集群拓扑（仅集群版支持）、监控、告警、事件和日志、设置。 如果未安装字体库，会导致验证码不显示，可以按照下列操作进行： 1.在提供Web服务的服务器上安装字体库。 CentOS： plaintext yum install fontconfig fccache force Debian/Ubuntu： plaintext apt install fontconfig fccache force 2.在WEB访问的服务器上执行下列命令，重启HBlock服务。 plaintext ./stor restart

背景说明 支持在管理平台一键提取客户端侧已发现的病毒文件、威胁实体文件及外发的可疑文件，可直接为管理员开展威胁溯源、事件取证提供文件级证据支撑，有效缩短溯源周期、提升取证准确性，助力快速定位攻击根源。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开远程运维及响应并点击【远程文件提取】，查看远程文件提取任务相关内容。 文件提取入口 1. 支持在防病毒日志详情、EDR 威胁事件详情、文件外发审计日志详情等位置提取文件。 2. 点击获取文件后将在【远程文件提取】生成文件提取任务。 文件提取任务 1. 页面整体呈现远程文件提取任务记录，支持对任务记录通过“操作员姓名” 或 “文件存储路径” 关键词进行搜索，或通过选择 “账户名”“文件类型”“提取状态”“时间范围”对任务进行筛选。

功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

云原生网关 云原生网关是天翼云微服务引擎的子产品，将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 弹性负载均衡 弹性负载均衡（Elastic Load Balancing）是天翼云产品，通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 应用服务网格 应用服务网格是天翼云产品，提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 资源池或区域 资源池或者区域指资源所在的物理位置。同一区域内可用区之间内网互通，不同区域之间内网不互通。 可用区 每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，同一个可用区内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一区域其他可用区。 VPC 虚拟私有云(Virtual Private Cloud)为用户提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

本节介绍如何开启告警通知。 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 前提条件 已开通消息通知服务。 约束条件 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 5. 单击“添加通知”，配置告警通知参数。 参数 参数说明 通知类型 选择告警通知的类型： 防护事件：WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 通知名称 自定义该条告警的名称。 通知描述 可选参数，备注该条告警的用途。 企业项目 在下拉框中选择企业项目，该通知在选择的企业项目下生效。 通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 告警频率 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以单击“自定义”，勾选需要告警的事件类型。 6. 配置完成后，单击“确认”，告警通知设置成功。 如果需要关闭该告警通知，在目标告警所在行的的“操作”列，单击“关闭”。 如果需要删除该告警通知，在目标告警所在行的的“操作”列，单击“删除”。 如果需要修改该告警通知，在目标告警所在行的的“操作”列，单击“修改”。

本节介绍云下一代防火墙部署逻辑说明及风险说明。 部署逻辑说明 云墙上架会串联在VPC网络中，将原有云业务主机直连互联网的方案修改为通过云墙与互联网进行交互。 改变弹性IP绑定位置至云墙。 云内主机通过云墙访问互联网。 安全产品上线割接操作及风险 根据云下一代防火墙部署逻辑说明，本安全产品部署完成后需进行如下流程才可完成业务上线： 割接操作 ：将弹性IP从云主机上迁移，并重新绑定在云墙对应网卡上。 割接影响 ：业务的公网访问会中断。 割接时长 ：视情况而定。 注意点 ：业务特殊，还涉及业务中断风险，还请提前申请割接处理空窗期。 处理建议： 请先内部申请业务空窗期，保障将业务影响降到最低。

配置项 配置建议 Service名称 自定义，本文中为“webdemo”。 访问类型 选择“负载均衡”。 服务亲和 选择“集群级别”。 负载均衡器 选择“共享型 > 自动创建”，自定义实例名称（本文中为“webdemotest”）。说明若帐号下已有负载均衡器，可选择“共享型>使用已有”，并选择已存在的负载均衡器名称。 端口配置 协议：TCP 容器端口：8080 服务端口：8080

用户还可以对已创建的防火墙规则进行修改，以满足实际业务需求。本文为您介绍具体操作步骤。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 在目标规则单击“修改”，弹出规则修改弹窗。用户根据需求对IP版本、方向、授权策略、协议、端口、源地址等配置参数进行修改。 7. 单击“确认”，完成规则修改功能。

天翼云弹性云主机具有广泛的应用场景,既可以作为应用服务器单独使用,又可以与其他天翼云产品集成丰富的解决方案。本文介绍弹性云主机的网站应用、电子商务、大数据分析等应用场景。 应用场景：网站应用 场景说明 个人或企业搭建门户网站、办公OA等压力适中的网站，需要保证业务顺畅运行，系统稳定可靠。 场景痛点 传统服务器成本较高，费用投入大，且容易造成资源浪费； 访问量不定时激增，弹性扩容不足，现有服务器无法负荷，用户体验差。 应用推荐 网站初始阶段访问量小，只需要一台低配置的弹性云主机实例即可运行Apache或Nginx等Web应用程序、数据库、存储文件等； 随着网站发展，您可以随时升级弹性云主机实例的配置，或者增加云主机实例数量，无需担心低配计算单元在业务突增时带来的资源不足。 产品优势 天翼云弹性云主机即开即用，分钟级交付，快速接入部署在全国范围的数据中心； 可按需变更规格、按需扩容，不影响业务正常运行，既兼顾成本，又能保障用户体验； 通过负载均衡方式将业务分摊到多台云主机，提升业务处理能力； 通过对象存储的高并发支持能力，解决网站频繁访问时的页面崩溃问题。

弹性文件服务(CTSFS,Scalable File Service)可为云服务器、物理机、容器等计算服务提供大规模共享访问的存储空间,具备高可用,高性能,低时延特征。满足文件共享、Web应用场景等数据存储需求。

本文介绍学术加速企业版服务能力。 什么是学术加速企业版 AOne学术加速企业版是天翼云旗下一款提供海外教育资源加速服务的应用软件，专注于为高校师生及企业人员提供高效、稳定的海外教育资源加速服务。凭借天翼云强大的边缘网络资源与尖端加速技术，AOne成功解决了这些用户在访问海外教育资源时面临的访问体验不佳、合规性难以保障等难题。无论是高校师生在检索跨境学术资源、参与海外线上学术会议，还是企业人员在使用跨境教育SaaS应用时，AOne都能提供卓越的加速体验，帮助他们拓展国际学术视野，畅享最优质的学术体验。 目前支持Windows、MacOS客户端，后续支持Android、IOS设备。 前提条件 您已经注册了天翼云账号并完成账号实名认证。如果未注册，请先完成账号注册和实名认证。 如何订购学术加速企业版 操作步骤： 1. 你可以通过AOne边缘安全加速产品页面或者AOne边缘安全加速控制台进入订购页面。 1. 官网开通：点击 【立即开通】按钮，进入订购页面。 2. 控制台开通：点击【计费详情】，在对应的服务页面点击【立即开通】，进入订购页面。 2. 进入学术加速订购页面后，您可以根据个人需要来订购不同规格的海外资料学习套餐。 3. 点击立即购买后，进入订单确认界面。阅读并同意服务协议后，点击提交订单。 4. 完成支付，即成功开通学术加速服务。订购完成之后在[我的订单](

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "800", "message": "成功！", "returnObj": { { "subnetId": "subnetkzgi24cga7", "name": "subnetosm", "description": "", "vpcID": "vpcduuvhestyg", "availabilityZones": [], "routeTableId": "rtbwzxzzc0wv9", "cidr": "192.168.0.0/24", "gatewayIp": "192.168.0.1", "start": "192.168.0.3", "end": "192.168.0.253", "availableIpCount": 222, "ipv6Cidr": "", "ipv6Start": "", "ipv6End": "", "ipv6GatewayIp": "fe80::f816:3eff:fea2:63b4", "dnsList": [ "114.114.114.114", "8.8.8.8" ], "ntpList": [], "type": 0 }, { "subnetId": "subnety18n9flj9k", "name": "subneteipeu9zv8xgevvfw", "description": "云防火墙引流专用请勿删除", "vpcID": "vpcduuvhestyg", "availabilityZones": [], "routeTableId": "rtbhagtbrq7io", "cidr": "192.168.2.0/28", "gatewayIp": "192.168.2.1", "start": "192.168.2.3", "end": "192.168.2.14", "availableIpCount": 11, "ipv6Cidr": "", "ipv6Start": "", "ipv6End": "", "ipv6GatewayIp": "fe80::f816:3eff:fe4b:d2e6", "dnsList": [ "100.95.0.1", "fd00:ec2::250" ], "ntpList": [], "type": 0 } ] }

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的频率控制功能。 功能介绍 频率控制：通过配置IP,URL,ARGS,HEADER,COOKIE,UA等粒度，进行访问次数限制，防止客户资源被过度消耗。 通过配置频率控制能够实现客户端IP访问域名首页次数限制。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用频率控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【频率限制】详细设置。 配置说明 配置项 说明 开关 频率控制策略的开关，支持开启或关闭 处理动作 告警：达到阈值后只记录攻击日志。 跳转：达到阈值后，对请求进行Cookie挑战验证。GET请求响应302，POST请求响应307，其他METHOD请求不适用。 拦截：达到阈值后拦截请求，响应拦截页面。当防护粒度中选择响应头或状态码时，达到阈值后，会拦截匹配响应头、状态码之外其他字段的请求。 丢弃：达到阈值后拦截请求但不会响应页面，以减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：达到阈值后，将请求302重定向到指定页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：达到阈值后进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：达到阈值后，响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 源IP封禁：达到阈值后，将源IP封禁（封禁范围为针对该域名的请求，包括匹配静态文件过滤的请求）。仅适用于统计粒度为IP的场景。 规则名称 频率控制策略的规则名称 规则描述 策略的文字描述 统计粒度 支持选择URL、ARGS、HEADER、COOKIE、UA、IP。支持选择单粒度或两个粒度进行组合。 粒度缺失统计 当统计粒度选择两个粒度时，需要配置是否开启粒度缺失统计。选择是，粒度①且粒度②、粒度①、粒度②三种均可统计且均独立统计。选择否，则只支持粒度①且粒度②进行统计。 触发条件 配置一段时间周期，在这个周期内，您可以选择两种触发处理动作的方式。 方式1：统计粒度的请求达到N次时才执行处理动作 方式2：统计粒度的流量达到N （KB、MB、GB）时才执行处理动作 方式1和方式2同时选择，要两种条件同时满足，才会执行处理动作。 处理动作持续时间 处理动作的持续时长 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度 关系：等于/不等于 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔 静态文件过滤 即无需检测的静态文件，需要填写文件后缀，配置后将不针对此类型的文件进行检测

参数 说明 vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。

本文介绍区域访问控制功能的原理和配置方法。 功能介绍 天翼云边缘接入服务IP应用加速区域访问控制功能可通过设置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。 区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 适用场景 针对企业自己的网站，仅允许企业员工访问，可以配置仅允许企业总部及分支机构所在地区用户访问。 一些在线教育平台通过IP地址识别用户所在地区，确保只有特定区域的学生能够访问特定的教育资源，保障了知识的有序传播。 配置说明 新增接入，配置区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开区域访问控制开关，填写区域访问控制配置。 编辑配置，修改区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块区域访问控制。

防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本节介绍了云容器引擎的最佳实践：某量子云平台迁移项目。 项目概述 某量子云平台对外提供量子计算机实验/实操服务，其应用架构由他云迁移到天翼云，通过天翼云实现应用组件化和容器化，通过K8S统一部署和管理业务。 该平台包括官网、博客网站、web管理后台等系统。 容器支撑方案 迁移使用的容器架构图如下： 研发迭代更高效：使用crs镜像服务一键部署应用 便于扩容快弹性高：使用HPA弹缩pod 解决内外网互连互通：使用Nginx+Spring GateWay实现内外网流量隔离和路由转发 底层资源占用少：使用csi插件动态挂载sfs存储 助力运维更便捷：使用云日志插件采集容器日志 最终效果 2023年6月迁移至天翼云试运行，12月已付费容器并运营至今，现业务稳定运行。

性能项目 性能指标 价格 备注 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 750元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 1400元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 防火墙日志存储 高IO 8元/100GB/月 短信告警服务 / 0.2元/条

路由视角下的授权应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 实例列表 ； 4. 选择实例进入 实例详情 >路由配置; 5. 选择 需要授权的路由 >点击路由名称>路由详情>授权信息页; 6. 点击“添加授权”，在可选的应用列表中添加一个或多个应用配置，点击确定开始对路由的授权； 7. 授权完成后，在路由的视角下可查看此路由已绑定应用授权信息，也可以在应用的视角下，可查看此应用已绑定路由信息。 路由视角下的授权信息 应用视角下的授权的路由信息 API视角下的授权应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 实例列表 ； 4. 选择实例进入 实例详情 >API托管>API列表; 5. 选择 需要授权的API >点击API名称>API详情页>授权信息页; 6. 点击“添加授权”，在可选的应用列表中添加一个或多个应用配置，点击确定开始对API的授权； 7. 授权完成后，在API的视角下可查看此API已绑定应用授权信息，也可以在应用的视角下，可查看此应用已绑定API信息 API视角下的授权信息 应用视角下的API授权信息 解除应用授权 用户可以根据业务需求，对路由进行授权解除，实现路由级别的安全管控。目前网关提供了两种视角下的解除操作，在路由/API视角下和在App视角下。同时也支持单个解除授权和批量解除授权。

本文为您介绍密钥管理服务KMS（Key Management Service）的服务模式及规格说明。 注意 自2024年9月13日起，KMS全新升级上线包周期版，升级后不再支持按需版本的开通，新用户需购买包周期版KMS（基础版、企业版），原已开通按需版KMS的用户仍可继续使用按需密钥，并依据按需版计费标准计费。 包周期服务 KMS服务提供两种版本，分别为基础版、企业版，您可以根据本章节列出的版本对比信息，选择合适的服务版本，同时，KMS包周期服务提供免费的默认密钥，支持用于云产品加密功能。具体配额数据请参见下方表格。 同一账号支持开通多套KMS服务，服务之间资源隔离。单套KMS服务规模取决于基础实例数量，您可根据业务需求选择开通数量，支持扩容，扩容后可提升服务整体性能及可用性。服务性能（单基础实例）请参见性能数据。 说明 当前仅华南2资源池支持开通多套KMS服务，其他资源池陆续上线，敬请关注。 √表示支持，×表示不支持。 对比项 子项 默认密钥 基础版 企业版 计费模式 免费 包周期 包周期 应用场景 云产品透明加密 √ √ √ 应用场景 用户自建应用加密 √ √ 应用场景 密评合规 × √ 应用场景 证书管理 √ √ 配额 默认计算性能（以对称加密为例） 1000QPS（所有云产品的默认密钥共享加密接口的性能） 单基础实例专享：2000QPS（通过应用接入点在VPC间调用） 共享网关：750QPS（通过openapi调用） 单基础实例专享：2000QPS（通过应用接入点在VPC间调用） 共享网关：750QPS（通过openapi调用） 配额 密钥数量 每个天翼云账号在每个资源池，可为每个云产品创建1个默认密钥 单基础实例：02000个 单基础实例：02000个 配额 证书数量 单基础实例：01000个 单基础实例：01000个 配额 应用接入点 单基础实例：3个 单基础实例：3个 接入网络类型 内部网络 openapi（公网） VPC间调用（私网） openapi（公网） VPC间调用（私网） 密钥管理 密钥规格 AES256 对称密钥：AES256 非对称密钥：RSA2048 对称密钥： AES256 SM4 非对称密钥： RSA2048 SM2 密钥管理 导入外部密钥材料（BYOK） × √ 对称密钥支持 √ 对称密钥支持 密钥管理 密钥自动轮转 × √ 对称密钥支持 √ 对称密钥支持 密钥管理 计划删除密钥 × √ √ 密钥管理 密钥删除保护 × √ √ 密钥管理 密钥别名管理 √（系统默认别名） √ √ 密钥管理 密钥标签管理 √ √ √ 密码运算 数据加解密 √（云产品） √ √ 密码运算 签名验签 × √ √ 密码运算 完整性校验 × √ √ 证书管理 创建证书 × √ √ 证书管理 导入证书 × √ √ 证书管理 吊销证书 × √ √ 证书管理 删除证书 × √ √

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持账户安全防护相关功能。 配置说明 撞库防护配置说明 配置项 说明 开关 可以选择开启或者关闭撞库防护策略 处理动作 设置触发撞库策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录post包 用户Key：一般是username，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用以解密密码Key: 一般是password，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用来解密 触发条件 在【统计周期】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 密码有泄露风险 判断密码存在泄露的处理方式,日志告警/重置密码/正常访问 请求内容类型 支持选择"application/xwwwformurlencoded"或"application/json"，指正常post包的请求方式 白名单 针对误拦设置白名单，可选粒度：URI、支持配置多条，多个粒度为“且”的逻辑，多个范围为“或”的关系 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

说明：本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。专属云关系型数据库目前支持以下引擎： MySQL PostgreSQL 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台， 让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 专属云数据库MySQL 专属云（RDSMySQL）是在物理上隔离的专属虚拟化资源池上搭建的RDS服务，专属云内，用户独享专用的服务器/集群，可选择独享存储/网络资源，并可在管理控制台统一管理。 MySQL是目前最受欢迎的开源数据库之一，其性能卓越，搭配LAMP（Linux + Apache + MySQL + Perl/PHP/Python），成为WEB开发的高效解决方案。 云数据库拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点。 架构成熟稳定，支持流行应用程序，适用于多领域多行业支持各种WEB应用，成本低，中小企业首选。 管理控制台提供全面的监控信息，简单易用，灵活管理，可视又可控。 随时根据业务情况弹性伸缩所需资源，按需开支，量身订做。

客户侧防火墙配置例子 客户侧私网网段：192.168.10.0/24 云侧私网网段：10.132.0.0/24，10.132.1.0/24，10.132.20.0/24，10.132.21.0/24 客户侧VPN设备为strongswan5.8.0 云侧是被动协商，不需要配置IKE与ESP算法，只需在客户侧防火墙配置云侧支持的算法（参考前两小节表格）即可。 云侧IPsec VPN实例信息如下： IPsec VPN名称：IPSecVPN 客户侧私网网段：192.168.10.0/24 客户侧公网地址：58.63.x.2 IKE版本：IKEv2 预共享密钥（自定义）： 标识符类型：FQDN 云端标识符：cloud.responder 客户侧标识符：customer.initiator 客户侧strongswan配置如下： （1）修改/etc/strongswan/ipsec.conf，参考配置如下： conn %default ikelifetime12h keylife4h rekeymargin3m keyingtries1 authbypsk keyexchangeikev2 mobikeno conn customertocloud left58.63.x.2 leftsubnet192.168.10.0/24 leftauthpsk leftid@customer.initiator right113.125.x.102 rightsubnet10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24 rightauthpsk rightid@cloud.responder ikeaes128gcm16prfsha256modp2048! espaes128gcm16esn! autostart dpddelay10s dpdtimeout90s dpdactionrestart （2）修改/etc/strongswan/ipsec.secrets配置预共享密钥为“”。 （3）修改/etc/strongswwan/strongswan.d/charon.conf，设置makebeforebreakno，默认是no。

本小节主要介绍云堡垒机产品咨询类问题。 云堡垒机实例与云堡垒机系统的区别是什么？ 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 用户可以登录管理控制台，选择“安全与合规 > 云堡垒机”，然后在云堡垒机管理控制台申请和管理实例。 云堡垒机系统是云堡垒机实际运维功能核心，后台采用EulerOS操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。 云堡垒机系统有哪些安全加固措施？ 云堡垒机有完整的安全生命周期管理，从系统开发过程的安全编码规范，到经过严格安全漏洞扫描、渗透测试等安全性测试，并通过了公安部门的安全检测，符合“网络安全法”等法律法规，满足合规性规范审查要求，达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全：镜像加密，SSH远程登录安全加固，内核参数安全加固，系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。 数据安全：敏感信息加密存储，系统根密钥独立动态生成。 应用安全：防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。 系统安全 系统全自动化安装，LUKS加密用户系统数据盘。 系统自带防火墙功能，防止常规网络攻击，例如暴力破解等。 统一HTML5方式访问入口，仅开放一个系统Web访问端口，减少攻击面。 针对SSH登录参数配置加固，提高SSH登录系统的安全性。

操作步骤 1.登录边缘安全加速控制台，进入对应服务； 2.左侧导航栏选择 日志>内网日志下载； 3.筛选对应访问时间，单击下载对应的日志文件。

参数 参数类型 说明 示例 下级对象 id Long id ecName String 云间高速实例名称 ecId String 云间高速实例ID cgwId String 云网关ID cgwName String 云网关名称 vpcId String vpc id vpcName String vpc名称 vpcCidr String vpc的网段 subnets String 子网信息 status String 状态creating加载中;running已连接removing卸载中;flushing路由待更新;error失败 protectStatus Boolean 防护状态false;true syncStatus String 同步状态 add, delete, unchanged firewallId String 防火墙id firewallEdition String 防火墙版本号 protectId String 项目ID endpoint Object 终端节点 GwlbeInfoVo

section86b7c78dda9d6762)。 目的端口 支持输入端口号或使用已添加的地址簿： 输入端口：输入单个端口号或连续的端口号，例如10或110，0表示任意端口。 地址簿选择：通过下拉框选择已添加的端口地址簿，添加端口地址簿请参见添加端口地址簿。 协议类型 支持：TCP、UDP、ICMP、Any。 应用 在下拉框中选择应用，可选择“全部应用”或其中一个应用，包括MySQL、中国工商银行、维基百科、58同城、京东商城、滴滴出行、POP3、smtp、ssh、telnet、ftp、HTTPS、HTTP、IMAP、TeamViewer、必应和酷狗音乐等。 动作 设置防火墙对流量的处理动作，支持选择“放行”或者“阻断”。 描述 自定义规则描述。 优先级 定义规则优先级。支持“最前”、“最后”和“移动至选中规则后”，默认为“最后”。 当选择“移动至选中规则后”，会展示当前已有的防护规则，选中某条规则后，您当前添加的规则优先级将位于选中的规则之后。 启用状态 在页面右上方选择是否启用该规则，默认为关。 开：表示启用，规则生效。 关：表示关闭，规则不生效。 4. 以上所有的字段填写完毕后，点击“确认”时，需要校验这条规则加入后，是否超过客户剩余的规格，若未超过则生成相应的防护规则。

当前选择的弹性防护带宽是100 Gbps，发现不够用，支持改成200 Gbps吗？ 支持升级。您可以在官网右上角点击“我的产品视图”，在“产品视图云产品”中找到您的DDoS高防（边缘云版）订单，操作栏中找到“升级”按钮，即可升级到更高的防护能力。 一天内被攻击多次，弹性费用如何计算？ 以当天（00:00~24:00）攻击的峰值为准，只产生一次弹性后付费账单。 例如，客户套餐内的防护峰值为10Gbps，一天内分别遭到10 Gbps、50 Gbps、100 Gbps共三次攻击，则当天的弹性防护付费账单按照90Gbps（100 Gbps10Gbps）弹性计费标准收取。 如果已开启弹性防护能力，是否支持关闭？ 如果已经开通弹性防护，暂不支持关闭。 如果需要关闭DDoS弹性防护能力，需要先退订主套餐，再重新订购主套餐。

本节介绍云防火墙(原生版)变配规则。 C100型实例变配规则 创建云防火墙实例后，如果当前实例配置无法满足您的业务需求，您可以升级版本或变更配额数量。 变更版本：支持从高级版升级到企业版，也支持从企业版降级到高级版。 注意 变更版本时，不支持手动对配额数量进行调整。 当未购买扩展包时，才支持将企业版降级到高级版。 变更配额数量：您可以对实例的公网流量处理能力、可防护公网IP数、VPC边界防火墙配额数、VPC边界流量处理能力进行调整，升配和降配均可支持。 注意 一次只能变更一种资源的配额数量。 当您进行降配时，降配后的配额不能小于正在防护的资产数。 变配的详细操作请参见变配。 N100型实例变配规则 N100型实例仅支持升配，但不支持降配。 注意 N100实例升配期间无法访问实例，完成升配后将会自动重启实例，请在业务低谷时进行操作。

云解析产品以域名为计费单位，根据域名选择的产品规格和计费时长收费。本小节介绍云解析的计费项及价格。 计费项 服务 基础版 高级版 旗舰版 说明 自助服务WEB界面 √ √ √ 自助进行域名解析记录管理 BGP线路 √ √ √ 让最终用户访问到最近的一个DNS节点，极大的提升了解析服务速度 SLA 99.90% 99.99% 99.999% 按版本承诺相应级别的SLA保证 抗攻击防护能力 50,000Q/S 200,000Q/S 500,000Q/S 提供抗DDoS攻击服务 IPv6线路 √ √ √ 提供IPv6的DNS解析服务器，可以解析IPv6地址 网站可用性拨测 六小时一次 一小时一次 十分钟一次 网站可用性监测：向网站指定的HTTP页面发送GET请求，若无响应则判断网站服务中断，发送报警信息 链路丢包率监测：通过ping命令向指定地址发包，监测是否可达 防劫持监测 √ √ √ 防劫持监测包括：解析记录正确性、解析记录可解析性 监测节点数 5 25 40 运行报告 季度报告 月度报告 周报 提供运行统计报告 标准价格（元/年） 10000 20000 100000

本文主要介绍Web容器 Web容器监控项可以对Web容器的访问进行监控，可以监控的Web容器包含Tomcat等类型。本章节主要对查看Tomcat监控进行介绍。 查看Web容器 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击待查看接口调用的环境后的。 步骤 5 单击“Web容器”，切换至Web容器页签。默认展示“全部实例”的“Tomcat监控”信息。 tomcat线程指标包括：name、当前线程数、busy线程数、busy线程数峰值、最大线程数、最大连接数、当前连接数、连接数峰值。 版本指标包括：版本。 图 查看Web容器 当前线程数、busy线程数、busy线程数峰值等的蓝色字体数值，可以查看所选时间段内该Web容器的趋势图。 单击版本，可以查看对应版本详情。 步骤 6 在Web容器页签选择您想要查看的“实例名称”和“指标选择”，可以查看该实例在对应采集器下的不同指标集下的应用监控数据。 图 选择实例和指标