查询安全组 data "ctyunsecuritygroups" "securitygroup" { count local.vpccount vpcid ctyunvpc.vpc[count.index].id } locals { securitygroupids [for idx in range(local.vpccount) : data.ctyunsecuritygroups.securitygroup[idx].securitygroups[0].securitygroupid] } resource "ctyunsecuritygrouprule" "securitygrouprule" { 双重循环：每个安全组 × 每个规则 foreach { for index, pair in setproduct(local.securitygroupids, var.sgrules) : "rule${index}" > { securitygroupid pair[0] rule pair[1] } } securitygroupid each.value.securitygroupid direction each.value.rule.direction protocol each.value.rule.protocol destcidrip each.value.rule.destcidrip range each.value.rule.range action "accept" priority 1 ethertype "ipv4" } output "vpcid" { value ctyunvpc.vpc[].id } output "subnetid" { value ctyunsubnet.subnet[].id } vpcvariables.tf java variable "cidr" { type list(string) } variable "vpcnameprefix" { type string } variable "subnetnameprefix" { type string } variable "sgrules" { type list(object({ range string 端口/端口段 destcidrip string 目标网段 direction string 出方向还是入方向 protocol string 协议 })) default [] } 6. 在资源栈管理中，参考创建资源栈，选择刚才创建的模板，并填写参数触发资源栈的创建。 7. 8. 参考部署资源栈，完成资源栈部署。 9. 部署完成后，您可前往对应资源栈控制台查看资源的创建结果。 可以在资源Tab查看创建的资源 可以在输出Tab查看云主机ID、云主机名称、弹性IP地址、内网地址和密码等信息。 10. 使用完毕，可以点击删除按钮进行删除。

维度 Key Value instanceid WAF独享引擎实例ID wafinstanceid WAF防护网站ID 监控指标原始数据格式样例 [ { "metric": { // 命名空间 "namespace": "SYS.WAF", "dimensions": [ { // 维度名称，例如防护网站 "name": "wafinstanceid", // 该维度下的监控对象ID，例如防护网站ID "value": "082db2f542e0438aa520035b3e99cd99" } ], // 指标ID "metricname": "wafhttp2xx" }, // 生存时间，指标预定义 "ttl": 172800, // 指标值 "value": 0.0, // 指标单位 "unit": "Count", // 指标值类型 "type": "float", // 指标采集时间 "collecttime": 1637677359778 } ]

本节介绍威胁分析能力。 当告警列表中积累了较多威胁告警信息时，您可以使用“威胁分析”功能，从“攻击源”或“被攻击资产”的维度分析网络攻击情况。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） ”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，进入威胁告警页面后，选择“威胁分析”页签，进入威胁分析管理页面。 4. 在下拉框中选择条件“攻击源”或“被攻击资产”、“发生时间”，并输入待查询的IP地址，单击“开始分析”。 说明 发生时间可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”、“近半年”。 5. 在列表栏查看符合过滤条件的威胁信息，可以直观看到该攻击源对哪些资产发起了何种类型的攻击，或被攻击资产遭到了哪些攻击。

本文介绍如何管理入侵检测策略。 容器的入侵行为主要是对命令执行、读写文件、网络活动、主机异常等类型进行监测。 平台支持多类检测规则，对黑客的攻击行为进行检测防护，且支持预设策略的方式，将入侵行为在事件发生的第一时间对容器进行暂停并支持对容器所在的Pod进行隔离或重启。 默认策略 平台内置默认策略的启用状态默认为“启用”，且仅支持查看、编辑，不支持删除。 编辑默认策略时，支持选择应用对象、自定义规则等操作。 默认策略包含的检测规则请参见系统内置规则。 添加策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，单击“添加策略”，进入添加策略页面。 4. 配置基本信息。 5. 选择策略应用的对象。 6. 配置策略规则，包括使用哪些规则，配置规则处置方式等。 每条入侵行为下，有相关的行为描述和开启建议，用户可进行参考设置。 说明 可以为单个规则修改处置方式，也可以批量为规则修改处置方式： 单个规则：规则启用后才支持修改处置方式。 批量设置：勾选规则前的复选框，选择要启动报警的内置策略，在列表上方的报警“处置方式”下拉框中批量设置报警处理方式。 处置方式包含只报警、报警且隔离Pod、报警且重启Pod、报警且暂停容器这四种处理方式。 仅系统内置策略支持配置“主机异常”规则： 7. 参数配置完成后，单击“保存”。

敏感数据识别任务扫描完成后，可通过DSC服务的“识别结果”页面，查看数据资产的风险分布、风险等级以及敏感数据存在的位置。 前提条件 已至少执行过一次敏感数据识别任务。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 选择左侧导航树中的“敏感数据识别 > 识别结果”，进入识别结果页面。 数据安全中心DSC统计了高风险、中风险和低风险对象的数量及分布图，分别包括大数据、数据库、OBS三个服务。 数据安全中心DSC针对扫描对象提供了详细的识别结果列表，同时，您可以在检测结果列表右上角筛选您想要查看的敏感数据识别结果，可通过风险等级、任务名称、数据类型或者对象名称进行筛选，识别结果列表参数说明如下表所示。 参数名称 参数说明 资产名称 敏感数据识别的对象名称。 数据类型 OBS、数据库、大数据 、MRS。 所属任务 任务名称，检测结果对象隶属的敏感数据检测任务名称。 未知风险信息 根据您设置的识别规则，经检测，未发现风险的资产数量。 低风险敏感信息 根据您设置的识别规则，经检测，统计的低风险（风险等级：1~3级）的资产数量。 中风险敏感信息 根据您设置的识别规则，经检测，统计的中风险（风险等级：4~7级）的资产数量。 高风险敏感信息 根据您设置的识别规则，经检测，统计的高风险（风险等级：8~10级）的资产数量。 上次识别时间 最近扫描该对象的时间。 操作 单击“查看详情”，查看该对象的识别结果明细。 4. 单击扫描对象所在行的“操作”列的“查看详情”，然后进入“结果明细”页面。 在页面的左上角的下拉框中选择任务名称、数据类型或者对象名称，可以通过筛选来查看具体扫描对象的识别结果。 单击页面的右上角的“下载识别结果”，下载风险结果报表。 敏感信息分布 可查看敏感信息的风险分布情况、对应风险等级资产的数量及其占比、Top10命中规则。 血缘图 可查看资产中敏感数据的具体名称、路径、风险等级。

本文介绍DSC针对云上数据使用异常行为实时告警与审计的方法 数据安全中心DSC对云上数据使用提供异常行为的实时告警与审计，可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据，并且DSC将异常事件数据保留180天。DSC服务还能够检测敏感数据的访问、操作、管理等相关的异常行为，并且提供告警提示信息，用户可以确认和处理异常事件。以下行为被视为异常事件： 合法用户访问、下载、修改、权限更改、权限删除敏感数据。 合法用户更改、删除与敏感数据存储桶相关的权限。 非法用户在未经授权的情况下访问、下载敏感数据。 访问敏感数据的用户登录终端存在异常情况。 前提条件 当前异常事件处理页面含有异常事件。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > 数据使用审计”，进入“数据使用审计”页面，参数说明请参考下表。 在列表的右上角，可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期，事件类型以及事件状态来展示您想要的异常行为事件信息。 参数名称 参数说明 用户ID 资源所有者对应的ID。 事件类型 DSC将异常事件分成了三种类型： 数据访问异常： 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常： 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常： 添加桶时，检测到桶为公共读或公共读写桶。 添加桶时，检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 敏感文件的对象出现ACL更改、删除操作。 事件名称 导致异常事件发生的具体事件。 告警时间 异常事件发生的具体时间。 状态 状态说明如下： “待处理”：异常事件未进行处理。 “违例确认”：已处理异常事件为违例确认。 “违例排除”：已处理异常事件为违例排除。 4. 在异常事件的操作列，单击“查看详情”，查看该事件的详细信息。 您可以根据异常事件的详细信息判断该事件是否为违例事件，从而确定如何来处理该事件，具体的处理方法请参见处理异常行为检测事件。

本文介绍了备案管家的计费标准。 备案管家支持以下备案服务类型，若您需了解服务类型概念以及区别请参见备案帮助中心或联系天翼云备案客服（ 4008109889 转3）免费咨询。 服务类型 备案网站个数 价格 首次备案 1个 600元 新增互联网信息服务 1个 600元 接入备案 1个 600元 变更备案 1个 600元 天翼云根据备案网站个数进行定价。例如，您需要备案2个网站，则费用为600 2 1200元。

新增备案流程 首次备案的完整流程及流程简图如下图所示： 流程简图 1 创建备案订单 通过备案类型的自动匹配，创建订单任务后，点击“ ”进入新增备案（首次备案）流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。标注号项为必填项。当主办单位是个人时，主办单位信息、主体负责人与网站负责人必须保持一致。单位名称与证件住所必须录入与所提供的证件完全一致的信息（包括字母的大小写，标点符号的中英文切换等。） 因之前创建备案订单时已经填写了主办单位所在地、单位性质、单位证件类型和证件号码，所以在填写主办单位信息时，这四项系统会自动携带显示。 所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 3 填写网站信息 填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二级域名的录入（.gov.cn后缀的域名允许二级域名备案）。每条网站仅支持填报一个域名，如果有多个域名，请通过“继续新增网站”按钮逐个添加。 填写网站信息，按照页面提示内容进行内容填写。如您本次备案的网站涉及新闻、医药、论坛、广播电视等请准备好相关部门的审批文件并上传至“前置审批文件”处。网站负责人可以与单位主体负责人相同，也可以使用新的负责人信息（个人性质主体，负责人必须为同一人）。 接入信息填写，可使用自有账号下的接入信息，亦可使用他人接入服务号进行ip填报。 信息录入完毕后，点击“保存”按钮，保存当前添加的网站信息。 如果本次备案欲同时备案多个网站，请通过点击“ ”来继续新增网站信息。 网站添加完毕后，点击“下一步，上传备案材料”，转至下一步继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交预审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

本文介绍零信任控制台上的日志分析功能。 日志分析 零信任控制台提供以下日志服务，详见下面： 功能 描述 终端登录日志 终端登录日志将记录并展示每一次终端登录的信息。 内网审计日志 零信任网关检测存在安全威胁时将实时进行处置，您可通过对应防护日志进行查询处置情况。 内网日志下载 在您的员工使用零信任服务客户端访问企业内网时，我们将对您员工的内网访问行为进行日志存储并提供离线日志文件下载功能，方便您进行审计，查询，统计分析。目前仅保存近一个月的离线日志查询和下载，查询时间范围当前限定为近一个月内，日志文件每隔一天生成一次。 策略处置记录 处置记录展示企业配置的零信任策略规则和终端管理合规检测的实时处置记录，以便于企业对异常登录、访问等行为的观察和处置。 平台操作日志 提供并展示30天内全部的平台操作审计日志。

本章主要介绍了在天翼云上如何使用弹性云主机的Linux实例使用vsftpd软件搭建FTP站点。 应用场景 本文介绍了在天翼云上如何使用弹性云主机的Linux实例使用vsftpd软件搭建FTP站点。vsftpd全称是“very secure FTP daemon”，是一款在Linux发行版中使用较多的FTP服务器软件。该指导具体操作以CentOS 7.2 64位操作系统为例。 方案架构 方案优势 快速构建站点，组网架构简单。 网站安全易用。 资源和成本规划 表 资源和成本规划 资源 资源说明 成本说明 虚拟私有云VPC VPC网段：192.168.0.0/16 免费 虚拟私有云子网 可用区：可用区1子网网段：192.168.0.0/24 免费 安全组 入方向规则（主动模式）：协议/应用： TCP端口：20、21源地址：0.0.0.0/0 入方向规则（被动模式）：协议/应用： TCP端口：21以及vsftpdconf配置文件中的端口源地址：0.0.0.0/0 免费 弹性云主机 计费模式：包年/包月 可用区：可用区1 规格：s6.large.2 镜像：CentOS 7.2 64bit 系统盘：40G 弹性公网IP：现在购买 线路：全动态BGP 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用：云主机云硬盘弹性公网IP vsftpd 是一款免费、开源的ftp软件 免费

本小节介绍态势感知威胁聚合分析最佳实践。 背景信息 网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。 当安全产品检测到一条威胁事件时，除了要分析威胁事件本身，还要分析威胁事件影响的资产情况，为处置决策提供全面准确的依据。 威胁聚合分析 如下以分析“ssh暴力破解”事件为例，介绍如何进行威胁聚合分析。 1. 在威胁聚合页面，用 “事件名称” 作为聚合条件进行检索，查找到一条“ssh暴力破解”事件数据，显示该事件中受影响资产数有3个。 2. 单击受影响资产数字，进入威胁事件页面，可以查看这3个资产的具体IP。 3. 单击其中一个资产操作列的“查看详情”，进入资产详情页面，查看该资产的详情和存在漏洞情况。 通过资产归属信息，可以立即找到该资产的负责人，为后续处置提供依据。 查看资产IP开放的服务，用户自行比对是否是预期开放的服务。 同时也可以查找到资产存在哪些漏洞，通过漏洞列表操作列的“查看详情”，用户可以快速找到漏洞修复的解决方案，为后续处置提供依据。

访问控制日志 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作，请参照添加防护规则或添加黑/白名单。 “访问控制日志”的参数说明： 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 协议 访问控制的协议类型。 响应动作 包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。 规则 访问控制的规则类型，包括黑名单、白名单。

本文介绍CDN加速设置只允许HTTPS访问，禁止HTTP访问的方法。 背景说明 网站域名支持HTTPS情况下，如果在CDN侧开启HTTPS功能，仍可能有部分用户采用HTTP协议进行请求。如果网站希望只允许HTTPS访问，不允许HTTP访问，可通过本文提到的方式来实现。 解决方案 用户是发起HTTP请求还是HTTPS请求是由用户使用的网站链接决定的，如果您希望强制用户使用HTTPS访问，可以通过配置强制跳转HTTPS功能来实现。具体功能及配置介绍，详情请见：强制跳转。

本文介绍如何控制只允许HTTPS访问，禁止HTTP访问。 背景说明 网站域名支持HTTPS情况下，如果在全站加速侧开启HTTPS功能，仍可能有部分用户采用HTTP协议进行请求。如果网站希望只允许HTTPS访问，不允许HTTP访问，可通过本文提到的方式来实现。 解决方案 用户是发起HTTP请求还是HTTPS请求是由用户使用的网站链接决定的，如果您希望强制用户使用HTTPS访问，可以通过配置强制跳转HTTPS功能来实现。具体功能及配置介绍，详情请见：强制跳转。

本节以Windows Server 2008 标准版64位中文版弹性云主机为例,指导您修改IIS上绑定的域名。 问题描述 访问IIS搭建的网站的时候报错404。 原因分析 IIS上绑定的域名没有指定IP地址。 操作步骤 1. 登录弹性云主机，选择“开始 >管理工具 > 信息服务（IIS）管理器”。 2. 在IIS管理器界面，选择需要编辑的网站。单击右键选择“编辑绑定”。 3. 选择待修改的网站，选择相应的域名，单击“编辑”，添加指定弹性云主机的私有IP地址。单击确定，完成IP绑定。

此小节介绍数据库审计的产品术语。 Agent 本文中所述的Agent指的是审计代理插件，是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至数据库审计。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP是简单网络管理协议（Simple Network Management Protocol）的简称，是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL是结构化查询语言（Structured Query Language）的简称，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 数据库 数据库（Database）是用于存放数据的仓库，按照一定的数据结构（即数据的组织形式或数据之间的联系）来组织、存储，用户可以通过数据库提供的多种方法来管理数据库中的数据。 规则 本文中所述的规则是指根据一些特征（如客户端、服务端、SQL语句）定义的危险行为（安全规则）及可以信任的行为（过滤规则）。当系统审计到对数据库的操作匹配安全规则时会触发告警，对于匹配过滤规则的行为则不进行审计。

可以通过控制台和调用API使用Bucket： 控制台使用Bucket，详见存储桶管理。包括创建存储桶、存储桶列表、删除存储桶、查看/修改存储桶属性、区域属性、安全策略、网站、日志、生命周期、跨域设置、合规保留、清单配置。 调用API使用Bucket，可以详见关于Bucket的操作。

查看并处理Access Key泄露检测事件的方式方法 数据安全中心DSC可以检测git代码库中包含访问密钥ID（AK）和秘密访问密钥（SK）的访问密钥泄露，并将检测结果在列表中展示。您可根据需要对异常事件进行查看和处理。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > Access Key泄漏检测”，进入“Access Key泄露检测”页面。 Access Key泄露检测参数列表： 参数名称 参数说明 Access Key ID 访问密钥ID。 可单击“去Access Key管理”，管理（创建、编辑、启用/停用、删除）访问密钥。 情报来源 该Access Key泄露检测事件的来源。如github。 受影响账户 该Access Key泄露检测事件可能会影响到的帐户。 泄露类型 Accesskey 首次发现时间 首次爬取到该泄露事件的时间。 处理状态 根据事件详情对事件进行判断和处理后，有以下状态： 待处理：还未处理。 已处理（已手动删除）：已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 已处理（已手动禁用）：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 已处理（加入白名单）：该事件加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警，请慎重选择。 4. 在目标事件的“操作”列，单击“查看”，可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。 5. 可根据事件的推荐策略，对事件进行处理。并在目标事件的“操作”列，单击“处理”。 6. 在弹出的对话框，选择“处理方式”，并单击“确定”。 处理方式为： 手动删除：已登录GitHub手动删除或隐藏已泄露的Access Key及相关内容。 禁用Access Key：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 加入白名单：该事件不存在风险，不进行处理，加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警。

导入证书至IIS 1. 打开 IIS 服务管理器，选择计算机名称，双击打开 “服务器证书”。 2. 在服务器证书窗口的右侧 “操作” 栏中，单击“导入”。 3. 在弹出的 “导入证书” 窗口中，选择证书文件存放路径，输入密码，单击“确定”。 4. 选择网站下的站点名称，并单击右侧 “操作” 栏的“绑定”。 5. 在 “添加网站绑定” 的窗口中，将网站类型设置为 https，IP 地址设置为全部未分配，端口设置为443，主机名请填写您当前申请证书的域名，并指定对应的 SSL 证书，单击“确定”。

本文介绍如何升级应用。 升级操作可以通过应用管理界面列表操作【升级】进入升级页面，也可以通过点击具体的应用进入详情页点击【升级】页签进入升级页面。 操作步骤 1.登录云容器引擎控制台，在左侧控制台导航栏中选择【工作负载】>【无状态】或【有状态】,进入应用管理界面>单击已创建的某一个应用，进入应用详情页面，选择【升级】页签； 2.请根据业务需求进行应用的升级，该过程与创建应用容器设置步骤相似，升级的参数说明请参见下表： 参数 参数说明 容器配置 选择镜像 在对应的容器下，单击【选择镜像】进行修改 镜像版本 进行镜像版本的更改 容器名称 单击列表框，修改容器名称 容器规格 对容器允许使用的cpu的最小值、最大值，内存的最小值、最大值进行修改 其它设置 生命周期 支持对生命周期进行修改，为应用提供极大的灵活性 生命周期包括：启动命令、启动后处理、停止前处理 健康检查 支持对通过探针监测容器进行修改 环境变量 容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性； 在【环境变量】页签，单击【添加环境变量】； 输入变量名称、变量/变量引用。 数据存储 支持对数据存储进行修改，增加本地磁盘 安全设置 支持通过修改用户ID对容器权限进行修改 容器日志 容器设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆。通过添加日志策略对容器设置进行修改 3.更新完成后，单击【提交】。

为什么部分浏览器、客户端访问HTTPS提示证书校验失败 可能是因为浏览器、客户端版本较低，不支持SNI认证，查看是否支持SNI认证，可抓包查看是否携带ServerName，如下图： 域名被停用了，为什么？ 当平台监测到以下几种情况时，会自动触发域名停用。 欠费 未备案或备案已过期 内容违规 如对域名停用有任何异议，可提交工单进行咨询。 域名停用后，配置会保留吗？ 无论因为欠费或人工手动关停等原因导致的域名停用，域名配置会在平台保留暂时保留7天，7天内启用域名，配置将恢复。7天后配置将不会被保留，无法恢复。 如停用域名后，将域名删除，配置将无法恢复。 DDoS高防（边缘云版）开放的端口是否会给客户业务带来额外影响？ 不会。DDoS高防（边缘云版）开放的端口都不会对您的业务造成影响。遍布全国的高防节点由统一控制管理，会预先设置一些端口用于客户业务接入防护和转发回源服务。每个接入高防节点流量，经过DDoS高防流量清洗后，业务流量只通过接入配置时设置的源站服务端口进行转发，任何未接入配置的访问请求是不会转发到源站服务器的，所以对您的业务、源站是不会带来任何的安全风险和威胁。

参数 说明 处置粒度 支持根据设备，账号，公网IP三种类型作为处置粒度，会对所选粒度的访问行为进行统计和处置，其中设备是关联到账号的最小处置粒度 ，处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置，当处置粒度为账号时，在处置动作生效时期，该账号登录其他设备同样会被处置。 统计粒度 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数，支持按照域名+端口或协议+IP+端口两种粒度。 统计周期 单位秒。 访问次数 单位次数。 处置时间 单位秒。 处置动作 监控：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 提示语 针对不同处置动作均默认设置有对应提示语，可进行自定义修改。

本节介绍创建任务时为什么总是提示域名格式错误。 创建任务时，为了让漏洞扫描服务识别出网站使用的协议（http或https），需要在输入的时候填写此信息。 正确的域名格式为：“http(s)://域名或IP”。 例如：一个使用https协议，IP地址为10.10.10.1的网站，在创建任务时应输入的“目标网址”为“

本文帮助您了解对象存储防盗链相关的操作步骤。 操作场景 您可以通过ZOS控制台的防盗链功能设置Referer白名单和黑名单，防止您存储于ZOS的数据被其他人盗链而产生额外的费用。 约束与限制 Referer规则如下： Referer可以设置多个，多个Referer换行隔开。 HTTP请求头中的Referer参数用于指定发出请求的资源的URL。该参数可以包含通配符（）和问号（?），通配符可以代替0个或多个字符，而问号可以代替单个字符。 下载文件时，如果Referer头域包含http或https，则必须将Referer设置包含http或https。 空Referer表示HTTP或HTTPS请求中，不带Referer字段或Referer字段为空。如果不允许空Referer，则只有HTTP或HTTPS header中包含Referer字段的请求才能访问ZOS资源。 白名单Referer为空，黑名单Referer不空时，允许所有黑名单中指定网站以外的其他网站的请求访问目标桶中的数据。若对象是私有，黑名单中指定网站以外的其他网站的请求访问时需校验AKSK，有权限的账号才能访问；若对象是公共读，则不校验AKSK权限。 白名单Referer不为空，黑名单Referer为空或不空时，允许在白名单且不在黑名单中的网站的请求访问目标桶中的数据。当请求来源是白名单referer，不管对象是私有还是公共读，无需校验AKSK就能访问。 同时配置白名单和黑名单，当白名单Referer与黑名单Referer内容有交集时，交集部分Referer被禁止。当请求是白名单中非交集的部分，不管对象是私有还是公共读，无需校验AKSK权限就能访问。 黑名单Referer与白名单Referer都为空时，默认允许所有网站的请求访问目标桶中的数据。若对象是私有，需校验AKSK，有权限的账号才能访问；若对象是公共读，则不校验AKSK权限。

搭配使用 共享带宽、弹性云主机、弹性负载均衡、NAT网关 其他常见场景 通过弹性IP访问互联网 有公网访问需求的场景即可使用弹性IP来满足。 将弹性IP绑定至需要访问互联网的资源，比如弹性云主机、物理机、GPU云主机等，即可实现资源通过弹性IP连接互联网，访问互联网。 通过弹性IP被互联网访问 弹性云主机、物理机等产品绑定弹性IP后，即可以通过弹性IP的地址对这台云主机/物理机进行远程访问。 网站建设场景 网站建设时，需要将域名解析到一个固定的IP地址上，弹性IP可作为域名解析所需的IP地址。 对于网站建设场景，您可以为网站服务器（如弹性云主机）绑定一个弹性IP，然后在域名提供商的管理界面，将域名解析到您的弹性IP上。在进行域名备案时，也可以将该弹性IP作为备案登记信息。

本文介绍CDN内容审核增值服务的适用场景和申请方法。 功能介绍 CDN内容审核是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来并邮件通知客户，同时支持对违规内容做自动封禁，实现“净网分发”。 适用场景 适用于需要在内容分发过程中，实现图片内容审核的场景，一般用于UGC（User Generated Content）类网站，或需要上传个人头像、照片类网站及应用。 注意事项 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。 仅对在CDN节点中首次被访问的图片文件做内容审核，如果开启内容审核时大部分文件已缓存，则这部分文件不再进行内容审核，仅在下次文件更新后再做审核。 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 某个URL文件一旦被CDN内容审核系统鉴定为违规内容，将可能被CDN系统自动封禁，用户请求时将返回403；相关URL将自动通过邮件发送到客户指定邮箱。 内容审核为异步操作，不影响正常的CDN内容分发。 该功能为增值服务，配置开启后将产生相应费用。具体收费规则，详情请见：CDN内容审核计费。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 1. 待审核图片类型：目前内容审核功能开启后，支持的图片类型包含：jpggifjpegbmppng。 2. 是否自动封禁：CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。这里的是否自动封禁，主要指对于确定违规部分内容，是否由CDN自动进行封禁。 说明 CDN内部存在内容审核机制，即使用户未开启内容审核及其自动封禁功能，如发现并确定用户网站存在涉嫌违规内容，内部仍会进行封禁，同时通知用户。

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

简单组网 对于相对简单的业务场景，可以仅使用一个VPC。VPC下创建不同子网，对应不同功能或安全区域。 比如：用户搭建一个web网站，业务简单，无需和其他网络互通。 所有服务器全部放到一个个VPC内。 业务子网分为web/APP/DB三个区域，分别放置Web业务经典三层架构的对应服务器。 如有运维和远程接入需求，可再创建相应子网，运维和接入区子网用于部署堡垒机或管理鉴权设备，方便客户远程接入部署业务和运维。 方便后续通过子网ACL的访问权限控制能力实现各个功能区域间的隔离和放通。 复杂组网 针对业务相对复杂的场景，一个VPC对应一个相对独立的业务应用系统或部门网络。 比如：一家大型车企业务上云后，所有业务共享同1根专线连接线下数据中心。 不同业务或部门分别承载在不同的VPC。 不同VPC分别通过对等连接连接到整个系统的公共资源VPC，共享专线访问。

新旧域名的变更 原独立资源池域名后续将逐步关闭，具体关闭时间另行通知，关闭后将不再对外提供服务。 改造后统一使用对象存储网络2的域名，详情参考域名（Endpoint）列表。 其他 说明 建议您及时关注天翼云官网客户公告，在部分独立池改造升级的相关时间点做好业务调整，如更换最新的SDK和域名、构造更安全的V4签名、适配新增的功能。 改造池 改造完成时间点 旧域名信息 杭州池 2025年09月11日 以下旧域名后续逐步会停止对外访问，具体停止访问时会提前通过官网公告。建议您在2025年9月11日之后就切换新的域名： OOS API： 统计 API： IAM API： 自服务控制台域名： 静态网站托管的CNAME Record Value：

本文向您介绍典型网站类场景。 典型网站类场景 场景以WordPress网站高可用场景为例，在不同可用区部署前端云主机，并通过弹性负载均衡实例分摊业务流量，同时后端数据分离到关系数据库。 资源参数 产品 配置 可用区 虚拟私有云 VpcforWebsite VPC网段192.168.0.0/16，子网192.168.1.0/24 弹性云主机 2s7.large.4（2核8G）；CentOS 7.6 分别位于可用区1，可用区2 关系型数据库MySQL 主从4核8G；MySQL 5.7；超高IO 弹性负载均衡 SLBforWebsite 弹性IP 5M带宽 网站拓扑 操作步骤 1. 进入控制中心，“网络”>“虚拟私有云”，点击创建虚拟私有云，VPC网段设置为192.168.0.0/16，子网网段设置为192.168.0.0/24。 2. 进入控制中心，“计算”>“弹性云主机”，点击创建云主机ECS1，云主机规格选择s7.large.4，操作系统设置为CentOS 7.6，VPC和子网选择步骤1所创建的VPC和子网。 3. 进入控制中心，“网络”>“弹性IP”，点击创建弹性IP。 4. 在云主机控制台或弹性IP控制台将弹性IP绑定至ECS1。 5. 使用控制台的远程登录功能，登录进入ECS1，部署WordPress。 执行如下命令，安装 Apache 和 PHP 组件： plaintext

扫描项 说明 漏洞 检测镜像中存在的漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查： − 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。 − 检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： − /usr/ − /lib/ − /lib32/ − /bin/ − /sbin/ − /var/lib/ − /var/log/ − /nodemodules/ / .md − /nodemodules/ /test/ − /service/iam/examplestest.go − /grafana/public/build/.js 说明 可在“漏洞报告>敏感信息”页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： − 文件大于20M。 − 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，完成以下功能配置。 配置项 说明 状态 开启或关闭Web核心防护规则引擎。防护规则引擎默认开启，为所有接入WAF防护的网站防御常见的Web应用攻击。 防护规则组 选择要应用的防护规则组。支持应用内置规则组和自定义规则组。 内置规则组包括： 正常规则组：按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。 严格规则组：按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。 宽松规则组：按照宽松防护程度去检测常见Web应用攻击。当您发现正常规则组下存在较多误拦截，或者业务存在较多不可控的用户输入（例如，富文本编辑器、技术论坛等），建议您选择该规则组。 自定义规则组：用户可根据业务情况自定义防护规则组。 单击“前去配置”，将跳转到防护规则组配置页面，您可以根据业务需要自定义防护规则组及要应用的防护规则。具体操作，请参见全局Web核心防护。