本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

本文为您介绍Windows云主机搭建了FTP,通过公网无法访问的解决方法。 问题描述 本文档解决的是在天翼云创建的windows操作系统的云主机，其上通过IIS(信息服务管理器)搭建FTP站点后，通过公网无法访问的问题。 造成问题的原因 1、windows云主机内防火墙拦截了FTP进程。 2、云主机相关的安全组拦截了外网的连接和访问。 windows云主机配置FTP防火墙 这里演示的是windows2008的操作系统，其他系统的可自行搜索开启方式。 具体操作步骤如下。 1. 判断云主机是否开启IIS。在云主机内点击“开始>控制面板>打开或关闭windows功能进入到服务器管理器”，查看角色下是否有IIS，如无执行步骤2进行开启，若已经开启请执行步骤3。 图1 检查云主机是否开启IIS信息服务管理器 2. 在服务器管理器界面，单击角色，并添加角色，按添加角色的向导，在服务器角色中 选择web服务器IIS ，点击下一步进行角色服务设置，在web服务器的角色服务中选择FTP 后点击安装。 图2 开启IIS信息管理服务器搭建FTP站点步骤1 图3 开启IIS信息管理服务器搭建FTP站点步骤2 图4 开启IIS信息管理服务器搭建FTP站点步骤3

项目 描述 No. 编号。 Server Name 服务器名称。 Server ID 服务器ID。 Node Name 节点名称。 Parent Node 父节点名称。 Public Address 业务网的IP和端口号。 Cluster Address 集群网的IP和端口号。 Port Range 端口范围。 iSCSI Port iSCSI端口。 API Port API端口。 Web Port Web端口。 Data Port 数据端口（仅集群版支持）。 Storage Port 数据存储端口（仅集群版支持）。 Management Port 管理端口。 Metadata Port 元数据端口（仅集群版支持）。

企业官网，个人网站 搭建Web网站时，您可同时选择天翼云弹性云主机和域名服务。在云主机实例上部署应用系统，同时您可通过域名产品页面或登陆控制中心注册需要的域名，实现网站的快速部署。天翼云提供中英文等几十种域名产品供用户选择，同时天翼云的域名产品在注册时直连注册管理机构API，可以实现实时的注册和查询服务。

本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本文介绍零信任服务能力。 什么是零信任远程办公 边缘安全加速平台提供零信任远程办公服务，帮助企业快速构建比传统VPN更安全、更便捷的零信任办公安全体系。企业在边缘安全加速平台完成配置和操作后，能够实现员工远程零信任办公、上网行为流量管控和终端基线安全准入等场景效果。本文主要介绍零信任远程办公能力情况，帮助您更好的的理解。 注意事项 目前零信任远程办公服务整体能力基于购买边缘安全加速平台零信任远程办公服务后提供该能力。 服务能力 为便于理解产品、快速进行相关接入，可点击零信任远程办公快速接入了解。 功能 描述 身份管理 用于管理企业员工信息、组织关系、用户组等，企业员工在登录零信任客户端时需要进行身份认证，以及如何管控账户安全。 应用管理 应用资源主要指您需要通过零信任访问的地址，一般是企业内网应用系统。零信任网络支持TCP四层所有协议，包括SSH、RDP等协议，以及UDP等相关协议应用。目前对比传统VPN，除了提供IP接入外，还提供域名接入管理，可以更精细化管理权限，并且避免业务IP频繁变更的问题。 网络管理 网络管理的核心是通过连接器实现企业网络的高效整合。在部署连接器之后，您能够实现： 企业内部系统资源到零信任服务边缘节点网络连通性，从而支持客户端访问； 企业数据双向传输（暂不支持官网自助，如有需要可联系我们）； 连接器使企业网络分布管理更灵活，尤其是解决多数据中心、混合云的企业场景。 安全策略 主要是指丰富的零信任安全管控策略，来提高企业安全性，目前仅开放部分安全能力自助，如有企业办公安全需求，可联系我们。 终端管理 终端管理主要针对用户登录的终端设备进行相关管控，包含终端相关策略。 终端资产 企业员工使用的资产情况，设备情况、设备策略等。 日志分析 提供丰富的日志进行相关分析。 待办事项 针对权限申请、问题反馈等流程进行相关处理。 零信任设置概述 提供企业账户的相关设置，包含企业认证标识、限速、保留网段等能力。

操作步骤 病毒防御策略 企业管理员可以在病毒防御策略中进行周期扫描、下发扫描、实时防护、U盘防护查看病毒库更新日期。 周期扫描 1. 登录边缘安全加速控制台，进入【终端管理】或者【零信任】； 2. 在左侧导航栏点击【终端安全】里【终端防病毒】； 3. 周期扫描卡片中点击“扫描策略”进行配置，任务根据右侧开关生效扫描任务； 4. 弹出弹窗，在周期扫描策略中，企业管理员可以选择查杀方式（快速扫描、全盘扫描），客户端在配置的扫描时间段内上线，就会触发病毒查杀任务； 5. 企业管理员可以选择文件类型、文件限制、性能模式进行查杀； 6. 企业管理员可以选择以下处置方式进行处置病毒文件； 7. 扫描对象中支持多个维度（组织、用户组、用户、设备）勾选； 8. 创建的扫描任务可在列表中查看。

用户还可以选择快速添加规则操作，更加快捷的完成想要添加的端口。本文为您介绍具体操作步骤。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“快速添加规则”，弹出添加弹窗。快速添加规则操作，已为用户列出了常用端口，用户可直接根据业务情况进行选择。 7. 完成配置后，单击“确认”，完成防护墙规则添加。

本文向您介绍如何使用边缘安全加速平台安全与加速服务提供的IPv6支持度检测功能。 功能介绍 支持IPv6支持度检测功能，能够针对IPv6域名解析、网站首页IPv6访问、网站二级/三级链接IPv6支持度进行检测，并输出检测结果以及改进建议。 注意：仅针对已接入域名提供IPv6支持度检测服务。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 检测对象 检测网址：可以从域名列表选择需要IPv6检测的域名，也可以自定义输入已接入域名下的网址，支持输入域名或URL格式。 检测项 IPv6域名解析：支持检测域名是否支持IPv6解析，若不支持，则建议前往域名列表开启IPv6解析功能。 网站首页IPv6访问：支持检测网站首页是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站二级链接IPv6支持度:支持检测网站二级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站三级链接IPv6支持度:支持检测网站三级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。

接口功能介绍 单个服务器漏洞扫描列表信息。 接口约束 已经签约安全卫士服务协议 URI POST /v1/host/vulList 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 title 否 String 漏洞公告名称 ctsassa cve 否 String CVE编号,同样也是漏洞公告编号 CVE20201111 agentGuid 是 String agentGuid 111 fixLevel 否 String 修复优先级 LOW低 MIDDLE中 HIGH高 LOW currentPage 是 Integer 当前页码 1 pageSize 是 Integer 每页大小 10 vulType 是 Array of Strings 漏洞扫描类型 LINUXlinux漏洞 WINDOWSwindows漏洞 WEBCMSwebcms漏洞 APPLICATION应用漏洞 EMERGENCYVUL应急漏洞 ["LINUX"] handleStatus 否 String 漏洞处理状态 HANDLED已处理; UNHANDLED未处理; IGNORED忽略 HANDLED 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 vulAnnouncementId String 漏洞公告id ctcass vulAnnouncementTitle String 漏洞公告标题 ctcass fixLevel String 修复优先级 LOW低 MIDDLE中 HIGH高 LOW timestamp String 时间戳 20250101 00:00:00 vulType String 漏洞类型 LINUXlinux漏洞 WINDOWSwindows漏洞 WEBCMSwebcms漏洞 APPLICATION应用漏洞 EMERGENCYVUL应急漏洞 EMERGENCYVUL rebootRequired Boolean 是否需要重启 false cveList Array of Strings cveList ["111","222"] affectedAgentCount Integer 影响主机数量 10 dealDetail Object 状态统计 status Integer 漏洞状态 0未处理 1已处理 2已加白 3修复中 4修复成功 5修复失败 6已忽略 7验证中 8修复成功需要重启 9扫描中 1 cve String cve,逗号峰哥 CVE20251111,CVE20252222 highRisk Integer 高危漏洞数 10 publishTime String 披露时间 20250101 checkType Integer 检测方式 0版本比对 1POC验证，vulTypeEMERGENCYVUL时有效 0

服务名称 总体介绍 典型应用场景 存储容量 云硬盘 云硬盘可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 企业日常办公应用 开发测试 企业应用，例如：SAP、Microsoft Exchange 和 Microsoft SharePoint等 分布式文件系统 各类数据库，例如：MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等 云硬盘支持按需扩容，最小扩容步长为1 GiB，单个云硬盘可由10 GiB扩展至32 TiB。 弹性文件服务 弹性文件服务可以为您的云主机提供一个完全托管的共享文件存储，它提供标准文件协议，能够弹性伸缩至PiB规模，具备可扩展的性能，为海量数据、高带宽型应用提供有力支持。 高性能计算中的基因测序、动画渲染、CAD/CAE等场景 文件共享 媒体处理 内容管理和Web服务 线下文件备份 弹性文件服务可随业务动态扩展或缩小，容量最高可达2 PiB。 对象存储服务 对象存储是一种可存储文档、图片、影音视频等非结构化数据的云存储服务。支持多种上云方式，为海量的云端数据提供低成本、高可靠访问存储。 企业备份/归档 大数据分析 企业网盘 静态网站归档 原生云应用程序 对象存储服务没有容量限制，存储资源可无限扩展。

本文介绍使用WordPress 应用镜像快速搭建网站 操作场景 WordPress是目前最流行的、最强大的博客和内容管理网站的建站工具，具备使用简单、功能强大、灵活可扩展的特点，提供丰富的主题插件，用户可借助丰富的第三方模板、插件，搭建博客、企业官网、电商、论坛等各类网站。 说明事项 web服务默认通过80端口访问，但由于政策原因，该端口需要备案才能访问，因此轻量型云主机修改端口为6060方便用户进行测试，当用户完成备案后，可修改为80端口。具体操作详见备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 操作步骤 1. 进入轻量型云主机官网详情页，点击立即开通，进入轻量型云主机订购页。 2. 在轻量型云主机订购页，选择对应配置。 地域及可用区。建议选择接近目标客户的地域，以降低网络延迟并提高客户的访问速度。 镜像。选择应用镜像——WordPress。 规格套餐。按需选择规格套餐，包含CPU、内存、数据盘、弹性IP及带宽。 数据盘。按需选择是否要购买数据盘。 密码。可立即创建或稍后创建密码。 购买时长。按需选择订购时长，默认订购时长为1个月。 自动续订。 购买数量。按需选择购买数量，默认购买数量为1台。 3. 单击立即购买。 4. 返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取管理员密码的查询命令。 5. 点击详情页右上角的远程登录按钮，远程登录主机。 6. 登录后先输入主机用户名密码，接着执行密码查询命令，输入完成后按回车键，即可获取 WordPress 管理员账号（admin）和对应的密码。 7. 返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取管理员登录地址。 8. 在浏览器中访问管理员登录地址，输入用户名及密码。用户名为admin，密码为步骤6获取的密码。登录成功后您可根据根据需求使用WordPress进行管理和配置。 9. 此时您的弹性IP已可以访问。返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取首页地址。打开浏览器输入该网址即可访问您的网站。 web服务默认通过80端口访问，但由于政策原因，该端口需要备案才能访问，因此轻量型云主机修改端口为6060方便用户进行测试，当您完成备案后，可修改为80端口。具体操作详见备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 10. 如果想让其他用户可以通过一个易于记忆的域名访问您的网站，您可以选择为您的 WordPress 网站设置一个独立的域名。域名创建及域名解析可见新域名服务。

本节主要介绍创建Web应用组件 本节介绍基于ServiceStage创建Web静态应用组件，部署组件的操作请参考部署组件。 前提条件 1.只能在应用下新增组件，请先创建应用，请参考创建应用。 2.如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至OBS对象存储中。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击“操作”栏的“新增组件”。 3、“配置方式”选择“自定义配置”，组件类型选择“Web”，单击“下一步”。 4、选择运行时，单击“下一步”。 不同框架支持运行时有所不同，请参考微服务组件说明。 5、是否将以上配置保存为模板？ 是，勾选“将以上3步的配置保存为模版，以便下次使用相同的配置”，输入模板名称。执行步骤6。 否，执行步骤6。 6、步骤4选择的运行时是否为“Docker”？ 是，单击“下一步”，执行步骤7。 否，单击“下一步”，执行步骤8。 7、 创建Docker组件： 输入“组件名称”。 创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 操作结束。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。 8、参照下表设置组件信息，参数前面带号的是必须设置的参数。 表 组件基本信息 参数 参数说明 组件名称 组件对应的名称 开启微服务CSE名称匹配 创建微服务组件时，为了统一应用和微服务引擎（CSE）内对于服务名的命名，在微服务引擎（CSE）内默认是从环境变量或者microservice.yaml/application.yaml配置文件读取微服务信息，这样就可能造成两个地方名称不统一，开启这个选项后，会把应用的信息设置成微服务引擎的环境变量，覆盖配置文件配置的信息，使得两者模型完全统一。 说明 如果是第一次在应用下创建微服务组件，本参数可配置，配置后将无法更改。 软件包 1. 选择“War包”、“Zip包” 说明 运行时为“Tomcat8”时，选择“War包”。 运行时为“Nodejs8”、“Php7”或者“Python3”时，选择“Zip包”。 选择“上传方式”：将软件包上传至OBS对象存储中 （可选）设置“开启构建”参数，用于应用组件构建。 2. 设置“上传方式”：将软件包上传至OBS对象存储中 3. （可选）设置“开启构建”参数，用于应用组件构建。根据业务需要选择“组织”和“选择集群”参数。也可选择“过滤节点标签”，可以通过节点标签将构建任务下发到固定节点上。新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。

云主机通过云下一代防火墙访问互联网，需要配置源路由进行转发。 操作方法 1.打开菜单栏【网络→路由→源路由】，新建。 2.新建源路由，保障后向业务主机正常访问互联网。

退订 云下一代防火墙安全产品不支持退订。

本文为您介绍云堡垒机（原生版）的权限管理能力，支持通过IAM实现对云堡垒机（原生版）的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（原生版）管理员策略，拥有产品所有操作权限。 系统策略 全局级 ctcbh viewer 云堡垒机（原生版）查看策略，只具备查看权限。 系统策略 全局级

本文介绍了云防火墙（原生版）的产品优势。 无需部署，使用便捷 云原生防火墙，可实现云上资产自动识别和防火墙一键开关。 独享防护，稳定可靠 每个VPC独享一套主备防火墙实例，防护性能稳定可靠。 灵活扩展，按需使用 带宽、EIP等关键性能规格可灵活扩展，满足大流量的安全防护。 访问控制，能力丰富 支持基于五元组、IPS设置、黑白名单设置访问控制。

操作事件 字段 同步资产 SYNCASSETS 卸载agent UNINSTALLAGENT 切换版本 SWITCHVERSION 开启防护 OPENPROTECT 关闭防护 CLOSEPROTECT 基线检测 BASELINEDETECT 基线策略管理 BASELINERULEMANAGEMENT 基线白名单管理 BASELINEWHITELISTMANAGEMENT 弱口令检测 WEAKPASSDETECTION 弱口令定时检测设置 WEAKPASSTIMINGDETECTIONSETTING 病毒检测 VIRUSDETECTION 病毒文件操作 VIRUSFILEOPERATION 病毒定时检测设置 PERIODICVIRUSDETECTIONSETTING 漏洞扫描 VULNERABILITYSCANNING 漏洞操作 VULNERABILITYOPERATION 漏洞白名单管理 VULNERABILITYWHITELISTMANAGEMENT 漏洞定时扫描设置 VULNERABILITYTIMINGSCANSETTINGQUERY 异常登录操作 ILLEGALLOGINOPERATION 异常登录白名单管理 ILLEGALLOGINWHITELIST 暴力破解白名单管理 BRUTEFORCEWHITELIST 后门检测操作 BACKDOORDETECTIONOPERATION 后门检测白名单管理 BACKDOORDETECTIONwhitelistmanagement 可疑操作审核 SUSPECTOPERATIONAUDIT 可疑操作自定义规则配置 SUSPECTOPERATIONUSERDEFINEDRULES 网页防篡改告警忽略 TAMPERPROOFALARMIGNORE 网页防篡改防护管理 TAMPERPROOFPROTECTIONMANAGEMENT 网页防篡改配额管理 TAMPERPROOFQUOTAMANAGEMENT 服务器安全卫士配额管理 QUOTAMANAGEMENT 同步资产设置 SYNCASSETSSETTING 用户登录 USERLOGIN 用户下线 USERLOGOUT 修改基本信息 MODIFYBASICINFO 修改密码 MODIFYPASS 用户管理操作 USERMANAGEMENT 资产收集 ASSERTCOLLECTION 安全配置开关配置 SECURITYCONFIGSWITCH 告警中心告警处理 ALERTCENTERHANDLE 告警中心白名单处理 ALERTCENTERWHITE 安全配置异常登录规则配置 SECURITYCONFIGSSH 安全配置暴力破解规则配置 SECURITYCONFIGBRUTE 业务分组配置 BUSINESSGROUP 主机业务分组修改 BUSINESSGROUPMOVE 主机私有IP修改 HOSTIPUPDATE 自动绑定配额开关配置 AUTOBINDQUOTA 主机实例名称修改 EDITDISPLAYNAME 主机删除 HOSTDELETE 告警通知配置 ALERTCONFIG 安全配置防勒索配置 SECURITYCONFIGBLACKMAIL 安全配置自定义检测规则配置 SECURITYCONFIGCHECKRULE 通知联系人配置 ALERTUSERCONFIG 发送联系人验证信息 SENDVERIFYCODE 验证联系人验证信息 CHECKVERIFYCODE 云安全中心配置 CSCLOGCONFIG 文件隔离箱操作 FILEQUARANTINEHANDLE 文件一致性保护配置 INTEGRITYPROTECTIONCONFIG 文件一致性保护事件处理 INTEGRITYPROTECTIONHANDLE 安全配置端口蜜罐配置 SECURITYCONFIGPORTSCAN 安全配置webshell配置 SECURITYCONFIGWEBSHELL 基线检测应用凭证配置 APPPROOFRULE IP拦截记录处理 IPBLOCKHANDLE

根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，以验证配置的WAF防护规则是否生效，即验证配置防护规则的防护效果。本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 应用示例 例如，您的业务部署在“/product”路径下，由于生态开发，针对参数ID存在用户提交脚本或富文本的业务场景，为了确保业务正常运行，您需要对用户提交的内容进行误报屏蔽，以屏蔽误拦截的访问请求，提升WAF防护效果。 前提条件 防护网站已成功接入WAF。 已开启“Web基础防护”，且防护模式为“拦截”。同时，“常规检测”已开启。 操作步骤 步骤 1 下载并安装Postman。 步骤 2 在Postman上设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 步骤 3 处理误报事件。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域或项目。 3. 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 在防护事件页面，WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。 6. 在该防护事件所在行的“操作”列中，单击“更多 > 误报处理”。 7. 在弹出的“误报处理”对话框中，添加全局白名单（原误报屏蔽）规则。 8. 单击“确认添加”。防护规则生效需要5分钟左右。 步骤 4 在Postman上再次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求还是被拦截。 步骤 5 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110053”规则的误报防护事件。 步骤 6 在Postman上第三次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求仍被拦截。 步骤 7 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110060”规则的误报防护事件。 步骤 8 在Postman上第四次设置请求路径为“/product”，参数ID为普通测试脚本。此时，防护网站的访问请求不再被拦截，说明所有全局白名单规则都已生效。同时，查看“防护事件”页面，防护事件列表也没有新增的XSS攻击防护事件。 步骤 9 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他参数的XSS攻击事件。 1. 在Postman上设置请求路径为“/product”，参数item为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截参数item的XSS攻击事件。 步骤 10 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他路径的XSS攻击事件。 1. 在Postman上设置请求路径为“/order”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截“URL”为“/order”、参数ID的XSS攻击事件。

此小节介绍企业主机安全服务功能。 企业主机安全有基础版、企业版、旗舰版、网页防篡改版和容器安全供您选择，包含了资产管理、漏洞管理、基线检查、入侵检测、勒索防护、网页防篡改、容器镜像安全等功能，具体功能详情及版本差异详情请参见版本功能差异说明。 功能特性说明 主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性，每一个功能都从不同维度提升主机的安全性，全方位保证主机的安全可靠，不同版本支持的功能详情请参见版本功能差异说明。 主机安全服务功能特性说明 功能名称 功能描述 资产管理 提供对资产运行状态、资产指纹、资产分类情况的查看，同时可按照主机、容器的维度查看或管理目标服务器，实现主机全量资产的统一可视管理。 包含资产概览、资产指纹管理、主机管理、容器管理功能。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和WebCMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含云安全实践和等保合规基线，且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。

专属云（存储独享型）应用广泛，本文介绍存储专属云的典型应用场景。 搭配计算专属云 在安全、性能及可靠性要求极高的应用场景，如金融、政府等行业，通过物理资源物理隔离和网络资源逻辑隔离的结合，可以有效地保障业务的安全运行。此外，数据多副本保存技术和多种安全防护产品的应用，可以进一步提升系统的稳定性和安全性。 存储专属云可以与计算专属云中的云主机进行对接，以满足高性能、稳定性以及数据安全和监管等方面的业务需求。专属云服务不仅提供了高度的数据安全性，还具备了强大的扩展性和灵活性，可以满足不同行业和企业的个性化需求。 混合负载 针对专属客户的需求，开发人员在公有云上独立划分计算或专区，确保客户的数据在独享的计算或存储物理服务器中，与其他公有云客户不共享物理服务器。客户可以将专属云建设在公有云资源池上，专属云（存储独享型）服务支持多并发、高带宽应用场景，可以同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署。 与其他公有云服务相比，专属云具有更高的灵活性和可控性，客户可以根据自己的需求进行定制和扩展，无需担心与其他客户共享资源的问题。同时，专属云还具有更好的安全性和可靠性，可以为客户提供更加可靠的计算和存储服务。

操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【域名用量分析】菜单。 查询范围说明 用量查询：支持一年内、最长时间跨度为一个月的用量数据查询。 热门分析：支持三个月内、最长时间跨度为一个月的热门数据查询。 用户分析：支持一年内、最长时间跨度为一个月的用户数据查询。 一年内、三个月内：是指支持查询的历史数据范围，从当日往前推，一年内、三个月内的数据支持查询，而超过对应时间的数据不支持查询。 跨度一个月：是指单次数据查询的时间跨度，最长时间跨度是一个月，即单次最长仅支持查一个月的数据。查询起止日期可以是一年里面的任意连续的日期，最长跨度为一个月。 用量分析 用量分析模块，支持客户查询带宽流量（流量/带宽）、回源统计（回源流量/回源带宽）、请求数（边缘/回源）、命中率（流量/请求）、状态码、回源状态码、PV/UV、地区运营商等维度的统计数据，并能导出CSV文件。 带宽流量 带宽流量支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查看带宽峰值、95带宽峰值、总流量等数据。同时，还支持数据对比，支持客户选择长度相同的任意两天的数据进行对比

云原生网关支持HTTP/2协议 云原生网关默认支持了HTTP/2协议，能有效提高Web应用的性能和用户体验。在使用过程中，需要注意几点： 1. HTTP/2通常是在HTTPS的基础上运行，因此需要确保路由配置时使用HTTPS请求，也即是需要绑定域名到路由上，使用SSL端口（在云原生网关中我们将SSL端口固定为27154）请求路由，示例： curl i http2 2. 服务端也需要支持并使用HTTP/2协议

关联云产品 云容器引擎、容器镜像服务、应用性能监控、云日志服务 关系型数据库Mysql版、分布式缓存Redis版 NAT网关、弹性负载均衡、云硬盘、弹性文件、对象存储 业务效果 通过将客户小程序、SaaS平台前后端服务迁移使用天翼云容器，通过Kubernetes集群部署和扩展业务，最终项目资源利用率提升30%，版本发布周期缩短近20%，集群运行0故障，支撑业务快速发展。

本文介绍智能边缘云ECX的入门流程。 前提条件 您已完成注册天翼云账号，并完成实名认证。您可以在天翼云官网我的个人中心账号中心实名认证中查看您的账号实名认证情况，完成实名认证。 入门流程 智能边缘云ECX的入门流程如下所示： 1. 产品地址：访问ECX控制台。 2. 选择服务：根据您的业务需要，选择需要的产品服务：边缘虚拟机、边缘存储、边缘裸金属、边缘网络等。 3. 检查节点及配额：您可以根据业务需求，在ECX控制台查看已覆盖的节点信息，以及您的资源订购配额情况。如需增加节点或配额，请联系您的客户经理配置。 4. 创建自定义镜像：如果您需要使用边缘虚拟机、边缘裸金属产品，ECX控制台支持上传自定义镜像，您可以选择自定义镜像用于创建边缘实例，方便您快速部署、管理服务器资源。 5. 开通资源：根据您的业务需要，确认产品类型、明确算力配置、节点信息、镜像版本等信息后，在ECX控制台相应版块完成实例创建。 6. 运营运维：您可以通过ECX控制台，随时管理您的实例资源，通过实例详情页面，了解实例的运行状况、查看数据监控等。 问题处理 如果您在使用智能边缘云产品过程中遇到问题或存在疑惑，您可以通过查阅智能边缘云的产品文档 寻求解决方案，也可以通过天翼云官网我的工单管理新建工单向我们反馈。

是否可以提供运维服务？ 暂时不提供，安全责任重大，安全运维需客户自己做，我们只包含首次实施。 安全管理中心能否呈现整个态势感知？ 有这个功能，后面会开发补充更多模块，目前可以看到总览，功能包括：资产管理，风险管理，威胁管理，运营管理，组件管理。 资源池没过等保，客户能部署安全专区过等保，拿到测评报告吗？ 云平台的要先过等保才可以，如果云平台没有过等保，客户的系统做安全防护也是拿不到测评报告的。 多个VPC情况下网络，能做到安全防护吗？ 可以，多个VPC通过对等连接互相打通网络，再通过对等连接安全专区进行多个VPC的安全防护。 报价按等保怎么区分? 二级最低选入门版，基础版，三级选高级版或旗舰版；鉴于现在的测评标准更加严格，采用扣分制来计算得分，我们一般给客户推荐套餐首先推高级版或旗舰版，更容易通过测评，如果客户预算原因，也可根据情况酌情降低套餐档次。 客户有额外的SSL VPN的需求，怎么选购？ 客户需要在天翼云平台订购SSL VPN，安全专区的防火墙本身不具备SSL VPN。 云下一代防火墙，双机怎么计费，怎么开通？另外门户上没有双机的可选项。 防火墙双机计费方式：在套餐的单台防火墙的基础上再增加一台防火墙，也就是说费用是两台防火墙之和；目前门户上没有双机的可选项，开发部后面会开发相应的功能。

第三方软件目录 服务范围：示例 非服务范围：示例 SSH 通过SSH无法连接云主机、远程连接端口号修改 SSH的文件传输、隧道代理、远程执行命令、端口转发和SSH代理、安全加固功能 Windows mstsc远程连接 通过mstsc无法远程连接、远程连接端口号修改 资源共享和多人远程连接 SFTP SFTP无法启动，使用系统账号登录的配置方法 SFTP的用户配置以及用户访问权配置等，传输速度优化 FTP FTP无法启动，使用系统账号登录的配置方法 FTP服务安全加固，传输速度优化 Apache 端口无法监听以及网站无法访问 Apache的优化配置 IIS IIS启动后访问报错，网站无法访问，如403错误、404错误 托管和管理各种类型的 Web 应用程序和服务、脚本语言语法支持、配置优化 Nginx Nginx端口无法监听、网站无法访问 Nginx调优、代理转发 MySQL与Microsoft SQL Server MySQL以及SQL Server监听内网端口修改 MySQL以及SQL Server的SQL语句优化以及配置 Linux IPtables与Windows Firewall IPtables基本策略语法指导，如filter表的accept以及drop指导、nat以及端口转发以及windows firewall的关闭开启，入方向以及出方向基础规则 基于IPtables的负载均衡、链接追踪、限速、代理以及高级安全设置 Network以及NetworkManager 公共镜像的网卡获取IP异常、静态IP/动态IP配置 虚拟IP、bond、网卡策略的配置

本文简述了边缘安全加速平台域名请求协议的相关功能及配置。 功能介绍 请求协议配置模块主要介绍请求协议、强制跳转功能及配置说明。 相关功能 功能 说明 请求协议 简述域名请求协议的配置方法。当选择HTTPS时，如何关联域名证书。 强制跳转 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。

选项 说明 开启 API 自动全量上报 开启后，将会自动监听并上报 Web 应用发起的所有 fetch、 xhr 请求。 开启 SPA 自动解析 开启后，会监听页面的 hashchange 事件并自动上报PV，适用于SPA（SinglePage Application，单页面应用）场景。 开启静态资源上报 开启后，会监听并上报 Web 应用所有静态资源（js/css/图片等）的加载结果。

本文介绍边缘接入服务的加速节点分布。 天翼云CDN，在中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市；在海外、中国香港、中国澳门和中国台湾拥有节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达160Tbps。 全球节点具体分布详见：节点分布。

本文说明如何设置应用画面全屏。 为什么应用画面没有全屏展示？ 一般设备常见有两种方式的全屏 1. 屏幕全屏 在设备屏幕范围内全屏，没有浏览器的导航栏等界面，可以通过 发布应用时开启全屏实现 ，也可通过 SDK toggleFullscreen开启 。 2. 网页全屏 界面元素占满浏览器 viewport 范围，全屏后仍可以看到浏览器的地址栏等界面。不同设备对全屏 API 的支持情况不同，若设备已至此全屏API仍然没有将应用画面铺满屏幕，您的应用可能遇到以下情况： 应用画面有黑边 修改显示模式：云渲染默认云实例桌面分辨率为19201080p，若您的应用画面存在黑边，是由于应用窗口与终端显示屏 宽高比不同 ，您可以通过在应用发布时设置画面显示模式改为拉伸、裁剪达到无黑边全屏展示。SDK接入时也可通过landscapeType修改显示模式。 设置运行窗口为全屏模式： 通过设置应用运行窗口Fullscreen Mode为Windowed Fullscreen ，可将应用分辨率按桌面分辨率显示。 应用画面被裁剪 网页端默认实现了裁剪功能(相对中心裁剪)以保证应用无黑边全屏显示, 如果你要使用裁剪功能, 你应该确保你的应用预留了裁剪空间, 例如, 你的应用在被裁剪边没有紧贴边缘的UI, 否则UI也会一并被裁剪. 保证裁剪余量可以通过UMG的锚点定位轻松实现。 应用画面被压缩 窗口大小超出了桌面大小，云实例桌面分辨率为1080p，若您的应用超过此大小则会出现画面被压缩情况，请联系后台人员帮助您修改云实例分辨率。 注意 1.iOS系统限制，不支持网页端开启全屏、画面拉伸模式。 2.修改云实例桌面分辨率功能仅对包周期客户开放。