本小节介绍 Web应用防火墙自定义防护策略。 自定义防护策略配置入口 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入WAF防护配置页面。 3. 在WAF防护配置列表中，单击防护域名操作列的“自定义防护配置”，进入自定义防护配置页面。 1.基础防护配置 通过此界面可以将WAF当前防护模式进行调整，可以由阻断模式调整到观察模式。 可通过设置当前网站的应用系统与编程语言等业务信息，制定更加符合业务场景的Web入侵防护规则集。 2.一键关站 一键关站支持快速关闭外部流量对源站的访问，并自定义网站响应内容。 3.AI智能学习模式 AI学习引擎通过自动学习网站的流量特征与访问模式，同时对业务数据进行分类训练，提高对已知与未知Web安全威胁的防护效果。 4.CC防护策略 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。

通过控制台“AI风险概览”为您呈现推理安全、语料安全、环境安全的风险态势。 操作场景 AI风险概览实时为您呈现大模型合规态势，支持大模型的数据语料风险运营、推理业务风险运营和环境安全风险运营，实时呈现大模型的风险概览，助您识别大模型风险和潜在威胁。 推理安全：基于WAF攻击日志和访问日志，分析呈现大模型接口的调用请求次数、调用请求命中防护策略数、以及命中防护策略数排名前5的推理模型域名和数量、提示词注入的攻击分布、推理模型攻击类型分布等。 语料安全：基于DSC告警日志，分析呈现大模型中的语料风险类别和数量、TOP5语料风险资产分布等。 环境安全：基于态势感知（专业版）基线检查、漏洞管理、告警管理功能，分析呈现当前工作空间的TOP5合规检查风险、TOP5漏洞风险、TOP5告警和最近攻击列表。 前提条件 推理安全 依赖Web应用防火墙 WAF服务，在使用AI风险概览的推理安全功能模块前需要确保Web应用防火墙 WAF服务在有效使用期内，且仅WAF云模式支持。 语料安全 依赖数据安全中心DSC服务，在使用AI风险概览的语料安全功能模块前需要确保大模型数据安全防护在有效使用期内。 已经在态势感知（专业版）控制台接入“WAF攻击日志”，“WAF访问日志”和“DSC告警日志”。接入云服务日志请参见接入日志数据。 仅态势感知（专业版）专业版支持。

快捷易用，高效防护DDoS攻击 DDoS基础防护产品依托天翼云资源池网络，根据IP带宽、IP资产类型和资源池网络情况为IP提供免费的基础DDoS防护阈值，在阈值内提供监测和防护。 清晰明确，提供丰富DDoS攻击情况 当DDoS攻击峰值超出DDoS防护阈值后，DDoS基础防护产品会进行DDoS封堵通知，作为其他DDoS防护手段的规格参考，如DDoS高防攻击峰值规格。 综合全面，提供充分DDoS防护建议 为防止DDoS攻击峰值超出DDoS防护阈值进而触发封禁影响业务，DDoS基础防护产品向您提供多种DDoS防护建议，包括配置DDoS高防、配置安全组、检查IP暴露情况等。 轻量延迟，业务防护无负担 DDoS基础防护作用位置在资源池内，为您的池内IP提供原生级别的DDoS防护，不会对业务带来额外延迟影响，业务无负担使用防护功能。

安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 资源 天翼云在市场营销、客户服务过程中的物理类或者逻辑类事物，比如设备、IP、端口等，也包括天翼云在营销过程中通过买卖或赠送给客户的某类实物。 主备实例 在单机实例基础上增强高可用性。主备实例具有以下特征： 1.实例包含一个主节点和一个备节点，支持数据持久化。 2.主备节点通过数据同步的方式保持一致。 3.备节点对用户不可见，不支持客户端直接读写数据。 4.当主节点故障后，备节点自动升级为主节点，无需用户操作。 域名 域名是由一串用“点”分隔的字符组成的Internet上某一台计算机或计算机组的名称，如www.abc.com。 账号 用户注册天翼云后自动创建，该账号对其所拥有的资源具有完全的访问权限。 按需计费 一种常见计费模式，按用户实际使用量计费。 按需转包周期 将已购买产品的计费模式从按需转为包周期。

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。

本节为您介绍数据安全中心的应用场景。 满足合规场景 DSC可应用于合规场景，DSC提供了多种合规模板，包括GDPR、PCI DSS和HIPAA等，用户可以一键匹配识别这些合规规则，并生成报表供针对性整改。这样可以精准区分和保护个人数据，避免产生合规问题。 自动识别分类敏感数据 DSC可以为敏感数据进行自动识别并分类。可以从海量数据中自动发现并分析敏感数据的使用情况。通过数据识别引擎，DSC可以扫描、分类和分级储存的结构化数据（RDS）和非结构化数据（OBS），从而解决数据“盲点”，进一步加强数据的安全防护。 用户异常行为分析 DSC提供用户异常行为分析功能。通过深度行为识别引擎，DSC可以建立用户行为基线，并实时监测基线外的异常操作。用户可以实时查询行为操作，可视化行为轨迹，并识别与风险事件相关的用户操作，完善溯源审计链条。这样可以及时发现数据使用是否存在安全违规，并及时预警，从而预防数据泄露。 数据脱敏保护 DSC提供数据脱敏保护功能。通过多种预置脱敏算法和用户自定义脱敏算法，搭建数据保护引擎。可以实现非结构化数据的脱敏储存和结构化数据的静态脱敏，有效防止敏感数据的泄露。

接口功能介绍 查询安全组列表v3 接口约束 无 URI GET /v3/securityGroup/describe 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx foreignGroupId 否 String 安全组UUID securityGroupName 否 String 安全组名称 pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 total Long 总记录数 list Array of Objects 数据列表 list 表 list 参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid isRelStrategy Boolean 是否关联策略： true:是。 false:否。 remark String 描述 createDate Long 创建时间，unix时间戳（毫秒） updateDate Long 更新时间，unix时间戳（毫秒）

态势感知（专业版）支持对云上资产全面自动盘点，也可灵活纳管云外各种资产，点清所有资产，并呈现资产实时安全状态。 在资产管理中，可以查看当前工作空间所在region中所有资源的安全状态统计信息，包括资源的名称、所属服务、安全状况等，帮助您快速定位安全风险问题并提供解决方案。

云主机底层平台的安全由云厂商保证 天翼云云主机负责以下方面的安全性： 数据中心安全：包括机房容灾、人员管理、运维审计等。 物理基础设施安全：涉及计算服务器、网络设备、存储设备的安全，以及数据销毁、网络隔离、资产管理等。 虚拟化系统安全：包括租户隔离、安全加固、逃逸检测修复、补丁热修复、云盘三副本、数据擦除等。 云服务平台安全：包括但不限于云平台主子账号管理、多因素认证机制、云资源加固能力等。 云上资源的防护由客户保证 客户需要对以下方面负责： 操作系统安全：提升访问安全、使用安全加固操作系统、提升操作系统安全性。 网络安全：网络隔离、控制网络流量、网络流量监控、网关访问安全。 数据安全：加密存储、可信计算、备份与恢复等。 应用安全：漏洞防护、应用网络安全、应用流量安全等。 身份与访问控制：细粒度资源管控、多因素账号认证、访问控制安全性等。 监控与日志：健康状态监控、基础云监控、云审计、操作日志等。 安全体系落地实践 以云主机搭建场景WordPress为例，结合天翼云安全责任共担模型，通过以下安全防护措施，确保客户的网站免受常见网络威胁的影响： 购买云主机前 制定全局安全战略，将安全性融入DevOps中，自动化防御体系，深入理解云环境安全合规标准，识别、分类资产并管控访问。 创建云主机时 使用 VPC ：创建虚拟私有网络，实现网络隔离，保护内部网络。 开启安全防护 ：开启主机安全防护功能，如云主机安全卫士，提升主机安全性。 使用加密磁盘 ：选择加密磁盘，保护存储数据的安全。 配置安全组 ：合理配置安全组规则，限制端口访问，避免非法访问。 创建快照策略 ：创建云盘快照策略，定期备份数据，确保数据可用性。 设置 IAM 授权 ：创建 IAM 用户并分配合适权限，避免权限滥用。 云主机创建完成后 SSH 加固：更改 SSH 默认端口，禁用 root 用户登录，提升登录安全性。 配置 MySQL 安全：更改 MySQL 默认密码，限制数据库访问权限，保护数据库安全。 部署 WordPress ：从官方网站下载并安装 WordPress，启用安全插件，如 Wordfence 等，增强应用安全。 配置安全卫士：安装并配置服务器安全卫士，提供实时安全防护，提升系统安全性。 具体操作请参考：++基于弹性云主机部署 WordPress 的安全防护++

产品规格 产品描述 标准价格（元/月） 年付价格（元/年） 互联网安全体检 提供5个及以内互联网IP安全体检服务，发现IP风险暴露情况、漏洞开放情况，推送安全体检报告。 280 2800 试用版 试用授权IP数量5个，试用次数为1次。 免费 免费

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的高频爬虫限制功能。 功能介绍 以 Cookie 为粒度进行统计，防止攻击者盗用合法 Cookie 进行大量请求，通过限制不同统计粒度下访问次数防护爬虫。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Bot防护】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力客户端风险识别【高频爬虫限制】详细设置页。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 处理动作：支持拦截、告警、关闭。 统计粒度：IP/跳转Cookie/静态Cookie。 触发条件：达到触发条件的请求将对其执行处理动作。在【统计周期】内，请求数超过【N】次，将执行处理动作。 处理时长：支持配置处理动作持续时长（触发规则后的惩罚时间），单位支持天、时、分。

本文介绍CDN加速域名配置HTTPS中间证书的方法。 背景说明 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。如果CA直接从其根源颁发服务器证书，在这一过程中出现任何错误或者要求撤销每个使用root签名的证书，那么这个证书将立即不受信任。因此，为了避免这种风险发生，CA机构一般会引用中间证书。 主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，其实这都是中间证书链不完整导致的。 配置说明 1. 天翼云CDN控制台支持pem的证书格式。 2. 在【域名管理】【域名列表】选中对应域名，单击编辑进入配置界面，单击右侧【请求协议】，在【请求协议】模块，勾选【HTTPS】。单击右侧【HTTPS配置】，在【证书】模块，单击【点击上传】，输入证书备注名，在【证书公钥（PEM）格式】输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE 示例：

本文介绍边缘接入服务IP应用安全分析模块。该模块为客户提供域名的防护流量趋势、攻击流量趋势、TOP被攻击域名、TOP被攻击端口和TOP攻击类型;支持查看六个月内、最长时间跨度为一个月统计数据。 概述 IP应用安全分析模块主要提供DDoS攻击防护数据分析，用户可以查看DDoS攻击趋势以及清洗效果。 功能简介 IP应用安全分析，包含防护流量趋势、攻击流量趋势、TOP被攻击域名、TOP被攻击端口和TOP攻击类型。 功能 说明 防护流量趋势 展示域名经过DDoS防护模块时，清洗前、清洗后及清洗量的趋势。 攻击流量趋势 展示触发攻击事件期间，不同协议流量的攻击趋势。 TOP被攻击域名 展示触发攻击事件期间，TOP被攻击的域名。支持查看TOP5/10/20。 TOP被攻击端口 展示触发攻击事件期间，TOP被攻击的端口。支持查看TOP5/10/20。 TOP攻击类型 展示SYNFlood、ACKFlood、UDPFlood及其他攻击类型的体量占比。 操作步骤 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【运营管理】【数据分析】【IP应用安全分析】页面。 3. 选择需要查看的域名及查询时间范围。默认范围为全部域名，默认时间为今日。

什么是XSS攻击？ 跨站脚本（XSS）是一种攻击技术，它强制网站回应攻击者提供的可执行代码，这些代码加载到用户的浏览器中，借助插入至网站的恶意代码进行传播，对网站用户进行攻击，达到盗取用户账号信息、钓鱼欺诈、身份盗用等目的。 什么是CSRF攻击？ 跨站请求伪造攻击是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。 CSRF攻击可以包括汇款，股票交易，特权升级，应用程序修改或其他未经授权的访问。 什么是逃避检测攻击？ 逃避检测攻击也叫攻击绕过技术，攻击者试图伪装或隐藏攻击以避免被安全设备进行检测，常见的逃避检测攻击有HTTP参数污染、00截断、URL编码绕过、Unicode编码绕过、ASCII码绕过、字符串拼接绕过、hex编码绕过、大小写混杂字符绕过、多空格绕过、注释串绕过等。 什么是缓冲区溢出？ 缓冲区溢出攻击是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁中断之际并获取程序乃至系统的控制权。 Web应用防火墙售后联系方式是？ Web应用防火墙服务开通及使用过程涉及本手册中的步骤，需严格根据手册指导进行操作，若因操作不当或策略过于严格，从而影响防护开通及使用，请及时联系安全防护工程师。24小时在线配合，可联系天翼云400工单电话：4008109889，或联系本地电信客户经理，或在Web应用防火墙微信群中反馈。 注意 关于特殊需求：如有针对带宽、域名等条件有特殊需求请联系客户经理或运维人员沟通。

控制台证书管理，可以创建几个证书？ 一个账号在单地域可以创建10个证书，包括服务器证书和CA证书。如有更多数量证书的需要，您可通过提工单申请提升配额。控制台创建证书请参考 创建服务器证书 和 创建CA证书 ，更多使用限制请参考 产品使用限制。 弹性负载均衡HTTPS监听器是否支持多证书？ 集群资源池弹性负载均衡的HTTPS监听器支持多个SSL证书，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。这意味着您可以在同一个负载均衡器上配置多个SSL证书来支持不同的域名或子域名的加密连接。通过使用HTTPS监听器，您可以将加密的HTTPS流量有效地分发到后端实例，这对于在同一个负载均衡器上托管多个网站或应用程序非常实用。使用不同的SSL证书可以确保每个网站或应用程序都有其独立的安全性保证。 为什么配置了证书，却访问异常？ 如果负载均衡配置了证书，但访问异常，可能有以下几个原因： 1. 证书配置错误：请确保证书的配置正确无误。检查证书是否正确上传到负载均衡器，并且与域名或主机名匹配。 2. 证书过期或无效：如果证书已过期或者无效，浏览器会拒绝连接或显示安全警告。请确保证书有效期内，并且由受信任的证书颁发机构签发。 3. 安全组或防火墙限制：检查负载均衡器、后端主机以及相关网络设备的安全组或防火墙规则，确保允许来自负载均衡器的HTTPS流量通过。 4. 其他网络问题：检查网络连接是否正常，确保网络链路畅通，防止网络延迟、丢包等问题影响访问。

操作场景 购买了WAF（WEB应用防火墙）实例后，可为相应的HTTP/HTTPS监听器开启安全防护（以下安全防护和WAF防护同义）。对进入监听器的应用层流量进行检测，用户可根据自身应用需求设置相应的规则，如拦截、观察等。WEB应用防火墙的详细信息可参考WEB应用防火墙。 操作须知（限制/说明） 该功能当前处于试用阶段，如需试用可以通过天翼云控制台提工单进行申请。 当前只有集群模式的资源池支持 HTTP/HTTPS监听器开启WAF防护，主备模式资源池不支持，主备、集群模式资源池列表见 产品简介​>产品类型和规格, 实际情况以控制台展现为准。 用户已购买了WEB应用防火墙。 用户的负载均衡实例为性能保障型，不支持经典型开启安全防护。 只支持HTTP/HTTPS监听器开启安全防护。 WEB应用防火墙不参与流量的转发，证书配置能力不启用，负载均衡器将解密后的信息直接给WEB应用防火墙，WEB应用防火墙检测完成后直接回给负载均衡器，WEB应用防火墙不执行解密/回源等动作。 负载均衡开启安全防护后，负载均衡的黑白名单仍然生效。 计费说明 监听器支持安全防护功能不额外收取费用，用户需要购买负载均衡器和WEB应用防火墙，这两个产品单独计费。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

产品规格 产品描述 标准价格（元/月） 年付价格（元/年） 互联网安全体检 提供5个及以内互联网IP安全体检服务，发现IP风险暴露情况、漏洞开放情况，推送安全体检报告。 280 2800 试用版 试用授权IP数量5个，试用次数为1次。 免费 免费

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

功能名称 功能描述 标准版 专业版（包周期） 总览 实时展示云上资产的安全防护状态，帮助您全面了解攻击事件和异常流量等安全风险。 ✓ ✓

Web 应用安全防护 配置 Web 应用防火墙 ：云防火墙（原生版）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规 配置云安全组 ：云安全组作为虚拟防火墙，可帮助用户精细控制云主机的出入站流量。用户可根据业务需求，合理配置安全组规则，限制特定端口或 IP 地址的访问权限，进一步增强 Web 应用的网络安全防护能力。 配置DDoS基础防护：DDoS基础防护产品依托天翼云资源池网络，在公网IP遭受DDoS攻击时免费提供一定DDoS防护阈值，尽可能确保IP可用。当IP遭受的DDoS攻击峰值超过IP的DDoS防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态。更多信息见基础网络防护和网络安全产品推荐 操作审计与追溯 配置云审计：云审计是天翼云提供的云账号在控制台操作记录的查询和投递服务，可用于支撑合规审计、安全分析、操作追踪和问题定位等场景。同时云审计提供事件跟踪功能，支持将操作日志转储至对象存储或者日志审计（原生版）产品实现更长时间的存储，满足等保合规要求。弹性云主机默认已与云审计服务集成，默认开启，您只需要在云审计界面开通云审计即可使用。

安全体检产品优势说明，主要包含全面的互联网IP风险识别、易用的体检报告、便捷的使用体验等内容。 全面的互联网IP风险识别 兼容CVE、CNVD、CNNVD漏洞库，支持高危端口开放检测及弱口令检测，全面发现互联网暴露情况，识别安全风险。 易用的体检报告 自动生成PDF体检报告，包含总体安全状态、漏洞情况、端口开放情况，弱口令等内容，全面易读。 便捷的使用体验 多体检引擎支持，一键快速开始体检任务，减少排队等待时间，体检完毕自动发送体检报告，方便快捷。

功能 说明 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。 Referer防盗链功能，是通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略的，从而能可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息。因此UserAgent是访客身份的象征，标志访客访问时所使用的工具。通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可以配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 全站加速的有序回源功能是一种流量求并发回源时控制方法，用于大量请的排队管理。 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。

本节介绍云安全中心产品咨询类问题。 云安全中心是否只是对其他云安全产品日志进行采集分析? 云安全中心产品除了采集其他安全产品的日志进行统一管理外，还提供编排响应以及处置的能力，能够对告警形成自己的处置流程，并进行自动化处置。云安全中心打通了云上的各类安全产品形成联动响应处置，帮助用户提升威胁响应处置效率。 云安全中心如何帮助客户满足等保合规要求? 云安全中心提供的插件管理、威胁运营、编排响应等功能，可以满足等保的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“恶意代码防范”、“集中管控”等要求。具体可参见等级保护测评解读。 云安全中心支持采集云上哪些安全日志? 云安全中心目前支持采集云上安全产品的安全告警日志，包括Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版等产品。具体的日志类型请参见支持的日志类型。 短信使用余量是否会进行提醒？ 云安全中心会在短信剩余500条时、以及短信全部使用完时，提醒用户短信剩余量。

本节介绍如何查看集群安全检查结果。 查看统计信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 点击数据统计切换按钮，可分别查看个检查项的数据统计图和环形图占比。 查看检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 在安全检查页面下方，可查看各项检查项的检查结果。 安全检查信息参数说明： 参数 解释说明 检查项 检查项的名称。 分类 检查项所属类型，包括信息泄露、危险访问、远程代码执行、特权升级、拒绝服务等多种类型。 描述 检查项的描述信息。 危害级别 危害级别分为高危、中危、低危。 影响节点数量 受该安全漏洞影响的节点数量。 点击数量，可查看受影响的节点名称。 检查是否通过 集群在该项安全检查中是否通过。

功能模块 说明 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 包括CC防护、访问控制、频率控制安全配置。 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

统计项 操作 镜像数量 单击镜像数量，可跳转至“镜像安全 > 镜像管理”页面，查看镜像详情。 容器数量 单击容器数量，可跳转至“容器安全 > 实时检测”页面，查看容器安全检测详情。 节点数量 单击节点数量，可跳转至“节点安全”页面，查看节点安全扫描详情。 仓库数量 单击仓库数量，可跳转至“镜像安全 > 仓库配置”页面，管理配置镜像仓库。 集群数量 单击集群数量，可跳转至“安装配置 > 组件安装”页面，管理部署集群。

本文介绍通过查看历史离线分析数据，您可以了解安全加速的运行情况。 简介 可通过筛选项进行组合查询，筛选项包括域名、业务类型、覆盖范围和时间等，其中必选项为域名和时间。 时间选择跨度最长不能超过31天。 安全分析 1.在天翼云SCDN客户控制台的【安全分析】页面，客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况。 2.界面中展示的是您所选域名、时间的攻击日志情况。 图 安全分析waf攻击日志 图 安全分析CC攻击日志 业务数据统计分析 1.带宽流量统计 1）在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的使用情况。 2）界面中展示了所选择域名、时间的流量和带宽统计图表，包括总流量和平均流量信息；带宽峰值和95带宽峰值。 图 统计分析流量带宽 图 回源统计 3.在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的回源情况。 4.界面中展示了所选择域名、时间的回源流量和回源带宽统计图。 图 统计分析回源流量带宽 图 请求数统计 5.在天翼云SCDN客户控制台的【统计分析请求数】页面，客户可以查看其在使用CDN。 6.界面中展示了所选择域名的总请求数、请求数峰值、请求数谷值等信息。 7.请求数统计包括：防护请求数、静态https请求数、动态请求数等。 图 请求数统计

图片上传到OOS后，可以通过以下两种方式生成url访问，但是图片会以附件形式下载到本地： 将Bucket设置为公共读，然后按照模板访问，模板：BucketName.ooscn.ctyunapi.cn/ObjectName，或者ooscn.ctyunapi.cn/BucketName/ObjectName。 通过生成共享链接： 使用SDK中的generatePresignedUrl(GeneratePresignedUrlRequest)方法，生成共享链接 URL。 使用控制台“存储桶列表”>“文件列表”页文件分享功能生成共享链接。 基于安全合规要求， OOS禁止通过OOS的默认域名（存储桶访问地址或存储桶自定义域名）在线预览图片、网页等类型的文件，而是以附件形式下载。如果想通过url直接访问预览，需要通过静态网托管功能实现，即将已备案自定义域名和存储桶进行绑定，然后通过访问自定义域名实现在线预览。为Bucket绑定自定义域名请先联系天翼云客服申请，然后可以通过以下方法配置静态网站托管功能： 通过控制台进行配置，详见网站。 通过API进行配置，详见PUT Bucket Website。

翼加密 翼加密是首个针对AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对AI云电脑内的文件实时无感加密。在保证用户正常使用AI云电脑的前提下，保障企业内部的敏感和机密数据文件安全不外泄。详情可查看翼加密帮助指导。 透明加密：在AI云电脑内进行文件接收、下载、编辑保存、复制粘贴等操作，均会对文件进行实时无感的全方位加密保护。 外发管控：外部非加密环境的无权限用户无法正常打开加密文件。加密文件如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 高等级加密安全：采用国际标准的高等级AES加密算法，以及SM4国密算法。从底层的驱动层面对文件进行加密，更安全可靠。 密级权限管控：针对部门层级架构以及员工职级权限划分明确的大型政企，支持企业按照架构职级自定义密级权限。用户的密级等级越高，能够生成以及读写加密文件密级也越高。 剪切板控制：支持加密文件内容的剪切板复制管控，用户无法通过复制粘贴的形式明文外发加密文件的内容。 翼甲卫士 翼甲卫士是一款专门为天翼AI云电脑（政企版）提供互联网边界防护的防火墙，解决AI云电脑访问互联网的统一安全管控需求 。翼甲防火墙具有入侵防御 (IPS)、病毒过滤 (AV)、访问控制、上网行为管理以及VPN等丰富功能。详情可查看翼甲卫士帮助指导。 入侵防御：实时检测经过翼甲防火墙的网络流量，并根据配置对多种网络攻击行为（包括缓冲区溢出攻击、木马、蠕虫等）进行阻断等操作。 病毒过滤：探测经过翼甲防火墙的各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。 上网行为管理：对天翼AI云电脑（政企版）的上网行为进行审计和管控，例如禁止访问购物网站。 访问控制：基于安全策略进行访问控制。 VPN功能：搭建VPN加密通道，实现本地网络与VPC之间的网络互通。

为什么我的业务接入WAF了，在进行安全扫描的时候，会扫描出我业务未开放的端口？ WAF因为采用分布式集群架构技术，所以当所有用户接入时，WAF的接入节点默认开启所有端口，以便满足不同用户的不同接入需求。但对于单个用户来说，当您接入域名时确定了服务器接入的端口以及配置了对应的回源端口，WAF将自动过滤掉对您业务未配置端口的访问，以便保障您业务的访问安全。漏洞扫描技术在扫描时，因采用针对WAF入口整体扫描的技术，未单独区分属于您业务所开放端口，故可能会扫描出您业务未开放端口。 对于已接入WAF防护的网站，WAF防护集群不会转发未配置端口（无论该端口是否开启）的访问请求流量到源站服务器。因此，不会对源站服务带来任何安全风险和威胁。

内网DNS产品广泛应用于多种场景，本文带您更快了解内网DNS经典应用场景。 企业内部访问的网站 对于那些仅在企业内部使用、不对外公开访问的网站，企业可以通过使用内网DNS来提供域名解析服务。内网DNS能够在企业内部解析域名与IP地址之间的映射关系，满足企业内部系统的域名解析需求。 节约公网带宽 为了解决企业内部用户频繁访问外网网站导致公网带宽负担增加的问题，可以在企业内部部署本地DNS服务器来优化域名解析流程。通过搭建本地DNS服务器，减少对公网DNS服务器的请求次数，节约公网带宽，并提高域名解析的效率。 用户上网行为管理 企业无需额外购买专门的防火墙或其他设备，可以通过内网DNS过滤来管理内部用户的上网行为。通过限制访问某些特定域名，如淘宝等网站，可以提高工作效率、保护网络安全和节约带宽资源。 云服务器主机名管理 场景说明 当部署多台云服务器时，可以根据云服务器的位置、用途和所有者等信息来规划主机名，并使用主机名为云服务器添加内网解析记录，可以直观的获取云服务器的信息，方便日常管理和维护。例如，您在某区域的某个可用区部署了20台云主机，其中10台用于网站A，10台用于网站B，则可以采用以下方式规划主机名和内网域名： 网站A：weba01.region1.az1.com~weba10.region1.az1.com 网站B：webb01.region1.az1.com~webb10.region1.az1.com 云服务器切换