后续任务： 物理机无法识别新添加的增强高速网卡，需要参考配置增强高速网卡（SUSE Linux Enterprise Server 12系列）、配置增强高速网卡（SUSE Linux Enterprise Server 11系列）、配置增强高速网卡（RedHat系列，CentOS系列，Oracle Linux系列，Euler系列）、配置增强高速网卡（Ubuntu系列）、配置增强高速网卡（Windows Server系列）手动激活网卡。

主机漏洞扫描 支持深入扫描：通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描：可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

本小节主要介绍态势感知与其他云服务之间的关系。 与安全服务的关系 态势感知（专业版）从主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 与弹性云服务器的关系 态势感知（专业版）为弹性云服务器（Elastic Cloud Server，ECS）提供资产安全管理服务，结合HSS主机防护状态，全方位呈现当前ECS安全风险态势，并提供相应防护建议。

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

云迁移实施支持 云迁移专家服务（Clold Migration Expert Services）可提供远程或现场专家支持，依托天翼云自研的一体化迁移平台，构建上云最短路径，将迁移过程业务化管理，实现迁移生命周期一站式可视化表达，帮助用户高效、安全地将相关业务迁移到云端。 服务2：存储数据迁移专家服务（远程支持） 数据迁移需求调研 存储数据迁移专家服务（Data Migration Expert Services）将提供对象存储数据迁移的需求调研，细化对象存储迁移的源端与目的端的数据情况，提前识别客户数据现状，帮助用户提前识别和规避数据迁移风险，提供更便捷的迁移需求咨询与分析服务。 数据迁移实施支持 存储数据迁移专家服务（Data Migration Expert Services）为客户的本地存储数据和其他云上存储数据进行迁移，以及项目方案中涉及数据迁移部分，提供技术专家的支持，帮助用户将数据迁移至天翼云对象存储（ZOS），并保证用户数据的安全和一致性。 第9章 服务SLA 1. 天翼云指定接口人，完成迁移咨询、迁移调研、迁移实施等方面的支撑和信息归集服务工作，并依据双方合同约定达成预期交付目标，保障迁移数据的安全和数据一致性。 2. 服务细则以《迁移专家服务工作说明书》中的内容为准，其中，云主机迁移专家服务提供现场服务、或远程服务；存储数据迁移专家服务，仅提供远程服务支持。 3. 为保障服务质量，对于远程服务场景，将与客户建立专属服务沟通渠道，服务人员及时响应时间为每日9:0017:30，不包含国家法定节假日；对于现场服务场景，天翼云现场支持专家，按客户现场要求的工作时间到岗服务。

本文介绍如何设置企业标识。企业标识是企业用户登录客户端的重要凭证，建议使用企业名称或其他便于终端用户识别记忆的信息作为企业标识。设置后不支持在控制台修改，若有需要可提交工单进行配置变更。 前提条件 已开通AOne会议服务。如何开通，请参见：开通AOne会议服务。 操作步骤说明 1. 登录会议控制台。 2. 如果您是首次订购AOne会议，需先完成企业标识设置。企业标识是企业用户登录客户端的重要凭证，建议使用企业名称或其他便于终端用户识别记忆的信息作为企业标识。设置后不支持在控制台修改，若有需要可提交工单进行配置变更。若您的账号已有企业标识，则无需重复设置，可直接使用控制台功能。 3. 如果您的账号在天翼云其他产品已设置过企业标识，您可以选择复用现有企业标识。选择此方式后，企业用户与组织信息将仅在对应产品的控制台管理，AOne会议控制台的用户组织模块将仅支持查看，不支持用户组织信息的变更和管理。此外，如果对应产品服务先于AOne会议服务退订或到期，会影响该用户组织下的最终用户登录和使用AOne会议，您需要及时联系客户经理或下工单通知AOne会议平台接管该用户组织。 4. 企业标识设置完成后，在控制台概览页即可查看企业标识信息。若企业标识有变更，但页面显示未更新，可点击企业标识右侧的“刷新”按钮，进行配置更新。

本节介绍了DDoS高防（边缘云版）如何配置CC防护功能。 使用场景 CC攻击（Challenge Collapsar）是DDoS（分布式拒绝服务）的一种。CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，如模拟多个正常用户不停地访问需要大量数据操作的动态页面，造成服务器资源的浪费，CPU长时间处于满载，网络拥塞，正常访问被中止。CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【CC防护配置】页面。 4.CC防护配置项说明： 配置项 说明 防护开关 控制CC防护功能是否生效。 防护模式 阈值：域名访问达到防护条件时进行防护校验。 永久：域名每次访问都进行防护校验。 检测条件 设置检测条件，当触发检测条件后，对请求进行防护。该配置在阈值模式下才可进行配置。 防护时长 达到检测条件后持续对应时间内都进行防护校验。该配置在阈值模式下才可进行配置。 跨域请求防护 若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截。 5.完成配置点击右上角【保存】按钮。

本文主要介绍产品在接入过程中常见的问题，帮助客户更快速的接入服务。 CC攻击Web应用防火墙（边缘云版）产品如何防御？ Web应用防火墙（边缘云版）提供的CC防护能够根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 Web应用防火墙（边缘云版）提供多种CC防护模式，您可以根据网站业务实际情况进行选择。详细配置请您参见：设置cc防护。 温馨提示：CC防护策略不适用于API、Native App、websocket类业务，建议将相关匹配条件在【防护规则】中配置例外。 Web应用防火墙（边缘云版）是否支持NTLM网络认证协议？ Web应用防火墙（边缘云版）不支持NTLM网络认证协议，如果源站域名使用NTLM的认证方式，域名加入Web应用防火墙（边缘云版）后，客户端会一直出现认证的提示。建议您采用其他的网络认证方式。 NTLM（NT LAN Manager）是指telnet的一种验证身份方式，即问询/应答身份验证协议，是 Windows NT 早期版本的标准安全协议。 Web应用防火墙（边缘云版）能支持配置多个源站IP吗？ 可以配置多个源站，域名接入Web应用防火墙（边缘云版）时控制台最多可配置5个源站IP，如需配置更多源站可通过提交工单，由天翼云客服人工配置。 其中，源站支持配置IP或域名。配置为多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。

本文简述Refere防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源链接；拒绝访问请求，CDN会返回403响应码。 注意事项 只对拉流域名生效。 该功能为可选项，默认不启用。 Referer黑名单与Referer白名单互斥，不支持同时设置。 黑名单或白名单中的域名最多支持配置400条。 操作步骤 以推拉流场景下的拉流域名为例，操作步骤如下： 1. 登录直播控制台。 2. 在【域名列表】页面，单击目标域名操作列中的【编辑】。 3. 单击【访问控制】。 4. 单击【Referer防盗链】。 5. 单击Referer防盗链开关进行启用。 6. 按需启用【是否允许空referer访问】。 7. 设置类型，可选【白名单】或【黑名单】。 参数 说明 是否允许空referer访问 可以设置是否允许空Referer字段访问资源，即是否允许通过浏览器地址栏直接访问资源URL。 类型 支持黑名单和白名单模式。 ● 白名单：允许名单内的域名或IP请求访问资源，拒绝其它域名和IP请求访问。 ● 黑名单：允许非名单内的域名和IP请求访问资源，拒绝名单中的域名或IP请求访问。 黑白名单规则 黑名单或白名单中的域名/IP。最多添加400个，使用换行符分隔，支持通配、支持IP、支持端口。 鉴权范围 配置需要进行鉴权的协议。如果未配置，则默认对所有请求进行校验。 8. 配置完成后，提交保存。

本节为您介绍管理应用识别DPI的操作场景、前提条件、操作步骤。 操作场景 用户可以在监控平台查看自定义应用的流量访问情况。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云SDWAN实例、智能网关的创建与配置，且智能网关已绑定SDWAN。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称。 5. 单击“自定义应用”页签，然后开启“DPI功能”。 6. 单击“查看监控项”。 7. 可跳转至管理与部署控制台，查看应用监控。

Pi2型弹性云主机功能如下： 处理器与内存配比为1:4。 处理器：第二代英特尔® 至强® 可扩展处理器 6278，主频2.6GHz，睿频3.5GHz，或英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz 支持NVIDIA Tesla T4 GPU卡，单实例最大支持4张T4 GPU卡。 提供GPU硬件直通能力。 单GPU单精度计算能力最高8.1 TFLOPS。 单GPU INT8计算能力最高130 TOPS。 单GPU提供16GiB GDDR6显存，带宽320GiB/s。 内置1个NVENC和2个NVDEC。 常规支持软件列表 Pi2实例主要用于GPU推理计算场景，例如图片识别、语音识别、自然语言处理等场景。也可以支持轻量级训练场景。 常用的软件支持列表如下： Tensorflow、Caffe、PyTorch、MXNet等深度学习框架。 使用须知 Pi2型云主机，关机后基础资源(包括vCPU、内存、镜像)不计费，但系统盘仍会收取容量对应的费用。如有其他绑定的产品，如云硬盘、弹性IP、带宽等，按各自产品的计费方法进行收费。 说明 Pi2型云主机，关机后资源会被释放，下次开机时如果后台资源不足，可能会导致云主机开机失败。如果您需要长期使用该云主机，建议保持开机状态。 Pi2型弹性云主机当前支持如下版本的操作系统： − Windows Server 2016 Standard 64bit − Ubuntu Server 16.04 64bit − CentOS 7.5 64bit Pi2型云主机，所在物理机发生故障时，云主机支持自动恢复。 使用公共镜像创建的Pi2型云主机，默认已安装Tesla驱动。 使用私有镜像创建的Pi2型云主机，请确认在制作私有镜像时已安装Tesla驱动。如果未安装，请在云主机创建完成后安装驱动，以实现计算加速功能。详细操作请参考GPU加速型实例安装Tesla驱动及CUDA工具包章节。

显式排序 但是某些依赖项无法在配置中隐式识别，在这类较为罕见的情况下：可以使用 dependson 元参数显式声明，指定依赖关系。示例如下： java 创建postgresql数据库账户 resource "ctyunpostgresqlaccount" "accounttest" { ... } datasource查询postgresql账户列表 data "ctyunpostgresqlaccounts" "accounts" { dependson [ctyunpostgresqlaccount.accounttest] ... } 上述示例中，利用 dependson 声明ctyunpostgresqlaccounts资源依赖ctyunpostgresqlaccount的执行完成。实际效果是再postgresql实例创建好数据库账户后，才会执行查询postgresql账户列表的datasource。

复杂场景支持 生产环境往往是复杂多变的，如一个用户访问可能包含多个请求，不同的用户在进行不同的事务操作，用户访问呈现明显的波峰波谷，瞬时并发用户多等状况，因此需要对服务开展性能测试，提前识别性能瓶颈。 优势 模型灵活定制：支持多事务组合测试，可模拟多用户多个操作的组合场景。 突发流量支持：支持针对每个事务指定时间段定义并发用户数，模拟突发业务流量。 结果校验：支持多种表达式的自定义结果比对，定制您的事务成功标准。 复杂场景支持

问题现象 解决方案 安装模板报错：IngressClass.networking.k8s.io "nginxingressxxx" is invalid: spec.controller: Invalid value: "nginxingressxxx": must be a domainprefixed path (such as "acme.io/foo")。 YAML配置中填写的controller.ingressClassResource.controllerValue不对，值需要以域名为前缀，如k8s.io/ingressnginxdemo。 创建Ingress路由后，Ingress同时被模板部署的Nginx Ingress Controller和集群插件Nginx Ingress Controller识别并生效。 检查安装模板后生成的IngressClass资源，确认spec.controller的值是否为k8s.io/ingressnginx，如果是，需重装模板实例，为controller.ingressClassResource.controllerValue指定不同于“k8s.io/ingressnginx”的值。

IoT场景 IoT场景典型特点为海量终端接入，在大量终端接入的情况下，大量的数据汇聚在一起，实际不同的业务组件需要关注的信息只是其中某些类型的数据，如何在大量数据中快速识别出业务感兴趣的数据将会显得尤为重要。分布式消息服务RocketMQ提供的消息过滤的能力，可以完好的支持该场景，终端写入时为消息添加标签，指定该消息的类型，业务端消费时则可以指定只消费特定类型的标签，从而实现更好的业务处理。

本节介绍了智能语音交互在不同场景下的应用。 在线听书 语音合成技术释放了用户的双手和双眼，使得阅读变得更加轻松和自在。用户可以在忙碌的生活中，通过听书的方式获取知识和信息，无论是在通勤途中、做家务时，还是在休息间隙，都能随时随地享受阅读的乐趣。 场景优势 高度拟人化和流畅自然的语音，使阅读变得更加轻松 个性化定制服务，选择合适的语速、语调 提升阅读效率和理解能力

协议类型 描述 独享型 共享型 四层（TCP/UDP）协议 四层负载均衡：支持TCP和UDP协议，监听器收到访问请求后，将请求直接转发给后端主机。转发效率高，数据传输快。 √ √ 七层（HTTP/HTTPS）协议 七层负载均衡：支持HTTP和HTTPS协议，监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段， 进行数据的转发。转发效率不如四层负载均衡，但是支持加密传输、基于Cookie的会话保持等高级功能。 √ √ WebSocket协议 WebSocket (WS)是HTML5一种新的协议。它实现了浏览器与主机全双工通信，能更好地节省主机资源和带宽并达到实时通讯。 √ √

本小节介绍域名无忧最佳实践。 背景介绍 基于银行数字化转型战略，构建连接一切的能力，打造最佳生态赋能银行，银行持续打造全方位、立体化、主动型的信息安全体系。 解决方案 通过域名无忧为用户提供域名解析监测、识别异常后秒级告警、秒级域名修正达到满足客户安全、快速、准确等需求。及时修正域名解析，避免因为TTL等待时长造成的网站访问异常，在客户做IPv4与IPv6切换时，第一时间完成DNS缓存刷新，确保秒级切换完成，快速的刷新在满足客户域名安全的基础上还给予客户针对域名相关割接极大帮助，为客户数字化转型战略奠定基础。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

功能 功能说明 产品识别并针对不同性质的事件生成相应的消息通知。例如，套餐用量使用方面，当短信使用出现超量事件时，系统会自动生成对应的通知消息，消息通知需要由客户进行设定通知的方式、通知对象以便更及时的进行消息传递。 为了实现高效、稳定的通知服务，产品除了自身携带的通知网关后，还支持接入多种网关，比如阿里云短信服务网关。

场景一 问题：签约主体变更后产生的消费（“后续消费”）如何开发票？ 回答：签约主体变更后，后续消费由天翼云科技公司开发票。 场景二 问题：签约主体变更后，退订原签约主体下的订单，退款部分后续消费如何开发票？ 回答：退订的订单未开过发票的退款部分，后续消费由天翼云科技公司开发票；退订有开过发票的退款部分，后续消费不再开发票。 举例1：您已消费100元，一直未开发票。签约主体变更后，您退订该笔订单获退款70元。您重新下单消费 70元，可开发票金额为70元，此时的开票主体为天翼云科技公司。 举例2：已下单消费100元，已开发票。签约主体变更后，您退订该笔订单但未退回发票，您退款70元（欠票为70元），您重新下单消费50元（50元不开发票，另外所欠票20元的开票主体为天翼云科技公司）。 场景三 问题：签约主体变更前后的发票销售方信息有什么不同？ 变更前： 纳税人名称： 中国电信股份有限公司云计算分公司 统一社会信用代码（纳税人识别号）：91110102593870051H 地址及电话：北京市西城区金融大街31号1幢16层1613房 10000 开户银行及账号：交通银行北京市分行营业部 110060149018170154432 变更后： 纳税人名称：天翼云科技有限公司 统一社会信用代码（纳税人识别号）：91110101MA04CBKC17 地址及电话：北京市东城区青龙胡同甲1号、3号2幢2层20532室 01058507865 开户银行及账号：交通银行股份有限公司北京市分行营业部 110060149013001879960 申请合同 问题：签约主体变更后，新购订单如何申请合同？ 回答：签约主体变更后，新购订单可在管理中心的“合同管理”菜单中申请线上合同，合同的签约方为天翼云科技公司。 其他 如果您需要中国电信股份有限公司云计算分公司和天翼云科技有限公司的关联关系证明，请联系您的客户经理获取盖章版的《关于变更合同主体（转让合同）的通知》。

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 1. 打开本地远程桌面连接（MSTSC）工具。 2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 3. 单击“连接”，在登录页面完成登录。 username： 堡垒机用户登录名 @Windows 主机资源账户名 @Windows主机资源IP:Windows远程端口（默认 3389 ） ，例如admin@Administrator@192.168.1.1:3389。 说明 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，否则无法识别Windows主机资源账户； password：输入当前堡垒机的用户密码。

协议类型 说明 适用场景 TCP 面向连接的、可靠的数据传输协议。 适用于对数据传输的准确性和可靠性较高的使用场景，如远程登录、web服务、文件传输等。 UDP 其为无连接的、可靠性低的传输协议。 适用于传输速度快、实时性要求高，但对数据准确性要求不高的使用场景，如视频会议、在线游戏等。 HTTP 应用层协议，其支持基于Cookie的会话保持功能以及基于URL的转发。 适用于对请求的数据内容进行识别的应用的使用场景，如web应用、APP等。 HTTPS 加密的应用层协议，可以防止未授权的数据访问。 需要加密传输的web应用。

修复漏洞 因部分安全漏洞扫描工具是基于软件版本号作为基线识别，您可能会在本版本扫描到如下安全漏洞，经过分析相关安全漏洞均已修复。 CVE20153165 CVE20072138 CVE20074772 CVE20160773 CVE20140062 CVE20050227 CVE20140063 CVE20140061 CVE20155288 CVE20150241 CVE20150243 CVE20165424 CVE20165423 CVE20155289 CVE20140067 CVE20140065 CVE20177548 CVE20050245 CVE20070555 CVE20140060 CVE20177484 CVE20160766 CVE20140064 CVE20150244 CVE20148161 CVE20153167 CVE20153166 CVE20076601 CVE20100733 CVE20100442 CVE20112483 修复缺陷 无。

参数 参数说明 基本信息 配置名称 新建的配置名称，同一个命名空间里命名必须唯一。 所属集群 使用新建配置的集群。 命名空间 新建配置所在的命名空间。若不选择，默认配置为default。 描述 配置项的描述信息。 配置数据 应用配置的数据可以在应用中使用，或被用来存储配置数据。其中，“键”代表文件名；“值”代表文件中的内容。 单击“添加更多配置数据” 。 输入键、值。 配置标签 标签以Key/value键值对的形式附加到各种对象上（如应用、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 单击“添加标签” 。 输入键、值。

本章节为您介绍云监控插件的版本发布信息。 云监控服务提供的Agent不同版本支持的监控指标或功能有所不同。Agent默认开启自动升级，让您第一时间体验到新功能，各版本特性列表如下所示： 2.5.6.1版本 增加GPU指标。增加物理机硬件监控能力。 2.5.6版本 Agent架构更新，优化调度框架。 优化部分指标采集性能。 修复共池主机识别不正确的问题。 2.4.1版本 新增了部分指标支持。 1.2.2版本 Agent启动时增加20分钟的随机散列。 1.1.2版本 优化Agent性能 1.0.13版本 安装Agent步骤优化。 批量安装Agent步骤优化。 1.0.8版本 支持弹性云主机与物理机。

配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 防护目标 需输入完整防护的网页路径或端口。 例如 为路径地址。 路径不支持通配符(例如 / )或参数(例如 /abc?xxxyyy 中，xxxyyy 为参数部分)。 支持输入端口，如 或 会话识别 支持IP、SESSION、REFERER。 IP：根据IP区分单个访问者。 SESSION：根据会话区分单个访问者。对于SESSION模式，需要进一步设置SESSION信息。 SESSION位置：可选择QUERY、HEADER、BODY、COOKIE。 选择QUERY时，则在整个请求中查找会话标识。 选择HEADER时，则在HEADER中查找会话标识。 选择BODY时，则在Form类型的BODY中查找会话标识。 选择COOKIE时，则在COOKIE中查找会话标识。 SEESION标识：取值标识，通过配置唯一可识别Web访问者的某属性变量名（Key），系统将据此标识匹配到的内容识别访问者。 当输入test时，将以JSON字符串中test参数的值为会话标识；当输入test1.test2，将以JSON字符串中test1中包含有test2参数的值为会话标识。 REFERER：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 匹配条件 设置访问请求需要匹配的条件（即特征）。 单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 当选择统计类的逻辑符（统计次数、统计个数）时，还需设置“统计周期”。 关于匹配条件的配置描述，请参见 处置动作 定义触发规则后执行的动作。 当 匹配条件 选择 统计类的逻辑符（统计次数、统计个数） 时，处置动作支持： 动态拦截 ：选择动态拦截时，还需要设置动态拦截的持续时间，表示触发规则后，访问对象被拦截的时长；选择动态拦截时，支持开启“攻击惩罚”。 限速 ：选择限速时，还需要配置限速频率，触发规则后，将按照配置的限速频率对访问对象进行限速。 当 匹配条件 选择 除统计类之外的逻辑符 时，处置动作支持： 观察 拦截 ：选择拦截时，支持开启“攻击惩罚”。 放行 验证码 JS验证 重定向 说明 当处置动作选择 拦截 、 动态拦截 时，可触发攻击惩罚，攻击惩罚功能可将多次触发自定义规则的会话对象进行自动拉黑封禁。 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 风险等级 包括高危、中危、低危、无威胁。 优先级 代表该规则在BOT防护模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 规则描述 规则的描述信息，用户可自定义。

本节主要介绍主机监控 主机包括弹性云主机（ECS）、物理机。AOM既可监控通过创建CCE、ServiceStage集群时创建的主机，也可监控非CCE、ServiceStage集群环境下直接创建的主机（直接创建的主机操作系统需满足操作系统及版本，且创建后需要给主机安装ICAgent，安装操作详见安装ICAgent，否则AOM将无法监控）。同时，主机的IP地址支持IPv4、IPv6。 通过AOM您可监控主机的资源占用与健康状态，监控主机的磁盘、文件系统等常用系统设备，监控运行在主机上的业务进程或实例的资源占用与健康状态。 注意事项 一个主机最多可添加5个标签，且标签不能重复。 不同主机可添加同一个标签。 通过创建CCE、ServiceStage集群时创建的主机，不支持添加自定义集群和别名。 主机状态包含“正常”、“异常”、“亚健康”、“通道静默”、“已删除”。当网络异常、主机下电、关机等原因导致的主机异常时，或主机产生阈值告警时，主机状态为“异常”。 主机监控 步骤 1 在左侧导航栏中选择“主机监控”，查看主机列表。 为了方便您查看主机列表，您可以单击右上角图标对主机列表进行过滤显示，实现隐藏控制节点。 步骤 2 您可根据需要选择是否对主机执行如下操作： 添加别名 当主机名称过于复杂不便于识别时，您可根据需要给主机添加一个便于识别的别名。 在主机列表中，单击主机所在行“操作”列的“增加别名”进行添加。 添加标签 标签是主机的标识，通过标签您可管理主机，并对主机进行简单分类。添加标签后，您可快速识别、选择或搜索主机。 在主机列表中，单击主机所在行“操作”列的“更多>增加标签”，单击，输入标签后，单击，再单击“确定”。标签添加成功后，即可在页面右上角的搜索框中输入标签关键字进行搜索。主机列表的“标签”列默认隐藏，您可单击右上角的，通过选中或取消选中“标签”前的复选框，自定义其展示与隐藏。 步骤 3 设置搜索条件搜索待监控的主机。 步骤 4 单击主机名称，进入“主机详情”页面，在列表中可监控运行在主机上实例的资源占用与健康状态，单击“监控视图”页签，可监控该主机的各种指标。 步骤 5 监控主机的显卡、网卡等常用系统设备。 单击“显卡”页签，在列表中可查该主机显卡的基本信息，单击显卡名称，可在“监控视图”页面监控该显卡的各种指标。 单击“网卡”页签，在列表中可查看该主机网卡的基本信息，单击网卡名称，可在“监控视图”页面监控该网卡的各种指标。 单击“磁盘”页签，在列表中可查看该主机磁盘的基本信息，单击磁盘名称，可在“监控视图”页面监控该磁盘的各种指标。 单击“文件系统”页签，在列表中可查看该主机文件系统的基本信息，单击磁盘文件分区名称，可在“监控视图”页面监控该文件系统的各种指标。 单击“告警分析”页签，在列表中可查看该主机的相关告警信息。

变量 说明 <keytool工具的安装路径> 请替换为JDK或JRE安装路径的bin目录，例如C:Program Files (x86)Javajdk­11.0.7bin。 <MySQLCACert> 请设置truststore文件的名称。建议设置为具有业务意义的名称，便于后续识别。 <ca.pem> 请替换为步骤1中下载解压后CA证书的名称，例如ca.pem。 <truststorefile> 请设置truststore文件的存放路径。 <password> 请设置truststore文件的密码。

字段 字段说明 用户 访问的用户名称和账号 访问时间 访问请求的开始时间和结束时间 会话持续时间 访问请求的持续时间 客户端地址：端口 发起请求客户端的所在IP地址、地区和端口 目标地址：端口 接收请求的应用所在的IP地址和端口 请求协议 访问请求的协议 应用名称 内网应用名称 状态码 05xx 处理动作 告警：即仅产生告警，不会对访问产生影响 拦截：即将对应请求进行拦截，将无法访问对应目标地址 放行：既正常访问，未被识别异常，无特殊处理动作

参数名 说明 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 证书公钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。 证书私钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。

参数名 说明 规则名称 业务规则的名称，只能包含中文、英文字母、数字、“”，且长度为1~64个字符。 描述 为更好的识别业务规则，此处加以描述信息。描述信息长度不能超过4096个字符。 所属目录 业务规则的存储目录，可选择已创建的目录。 定义关系 关系是定义指标和数值间或者指标和指标间的逻辑表达式，可以包含算术运算。指标使用小写字母az代替它的缩写，按添加指标的顺序依次为a,b,c,...。 说明 只支持一个合法逻辑表达式，支持简单的四则算术运算。