本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

资源类型 配置项 配置明细 说明 弹性云主机 计费模式 按需计费 根据计算资源使用规划，合理选择“包年/包月”或“按需计费” 弹性云主机 区域 苏州 本最佳实践全部资源部署在苏州资源池 弹性云主机 可用分区 可用区3 根据资源节点的剩余资源情况，选择不同可用区 弹性云主机 规格 c6.large.2 2vCPUs 4GiB 根据业务使用、未来发展，以及IPv4/IPv6双栈能力需要，可选择不同云主机规格 弹性云主机 镜像 公共镜像 CentOS8.0 根据业务使用、未来发展需要，可选择不同系统镜像类型与版本 弹性云主机 系统盘 普通IO 40GB 根据业务使用、未来发展需要，可选择不同系统盘规格 弹性云主机 网络 VPC：VPCEIP.SBWTEST 子网：SUBNETEIPTEST001 自动分配IP地址 自动分配IPv6地址，IPv6地址带宽选择共享带宽BANDWIDTHEIP.SBWTEST 根据业务需要，分配VPC与子网信息 弹性云主机 安全组 “SGEIP.SBWTEST” 根据网络、业务的访问控制策略与要求，配置相应安全组 弹性云主机 弹性IP 不使用 弹性云主机 云主机名称 云主机弹性IP共享带宽测试实例 根据业务规划创建 弹性云主机 用户名 root 弹性云主机 密码 XXXXXXXX 根据保密需要，自定义密码

本文主要介绍弹性负载均衡负载均衡器的常见问题。 负载均衡器是否可以单独使用？ 不可以。弹性负载均衡是将访问流量根据分配策略分发到后端多台云主机的流量分发控制服务，通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。因此弹性负载均衡要基于后端实例（如：弹性云主机）来使用，不可以单独使用。 负载均衡器是否支持TCP长连接？ 支持。客户端到ELB之间支持TCP长连接。TCP长连接是指客户端和ELB之间建立TCP连接之后，可以持续发送业务请求（HTTP请求），可提高TCP连接复用率，降低TCP频繁建连的开销。 负载均衡器是否支持后端FTP服务？ 负载均衡器不支持后端FTP服务。但是可以支持SFTP场景。 负载均衡器是否自带防DDoS攻击和Web代码层次安全的功能？ 负载均衡服务不提供DDoS等安全防护功能，防护功能一般配合高防系统来使用。 DDoS防护是天翼云默认开启的防护，所有公网的入口流量都会被DDos防护。 负载均衡器分配的EIP是否为独占？ 在您创建使用弹性负载均衡服务的整个生命周期内：弹性公网IP支持解绑，解绑后的负载均衡变成私网型负载均衡，解绑后的弹性公网IP可被其他资源绑定。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 在界面右上角，单击“续费”。 5. 在“续费管理”界面，根据页面提示完成续费。 如何退订云防火墙？ 退订后原CFW配置数据将不能保存且无法找回，建议您退订前导出防护策略，重购后导入防护策略，以便CFW更好的为您防护。有关导入导出策略的详细操作，请参见导入/导出防护策略。 操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 在弹出的对话框中，勾选需要退订的资源，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

编辑IP地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和IP地址列表。 添加IP地址 在IP地址列表上方，单击“添加”，弹出添加IP地址页面，添加IP地址后，单击“确认”，完成添加操作。 编辑IP地址 在IP地址列表的操作列，单击“编辑”，修改IP地址。 删除IP地址 在IP地址列表的操作列，单击“删除”，删除IP地址。 删除IP地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

换绑邮箱 如需换绑/绑定邮箱，登录天翼云电脑后，在桌面列表页，选择账号与安全点击“邮箱”。 两种认证方式进行邮箱换绑/绑定： 通过手机验证的方式，换绑/绑定邮箱。 通过邮箱验证的方式，换绑/绑定邮箱。 修改密码 如需修改登录密码，登录天翼云电脑后，在桌面列表页下方，选择账号与安全点击“修改密码”，输入原密码验证，再次输入新密码即可修改登录密码。 退出登录 如需退出云电脑登录账号，在桌面列表页下方，点击“退出登录”，二次确认之后即可退出云电脑登录账号。 自动锁屏 云电脑账号登录后，客户端可设置自动锁屏时间，即客户端超过设置的时间内没有进行相关操作，客户端将自动锁屏，锁屏后需重新输入云电脑账号取消锁屏。 自动退出登录 登录后，客户端可设置云电脑账号自动退出时间，即客户端超过设置的时间内没有进行相关操作，客户端将自动退出云电脑账号。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

本文为您介绍将网站域名接入Web应用防火墙（原生版）实例时，如何修改域名DNS解析。 在添加网站域名后，您必须使用WAF的CNAME地址（或IP地址）修改域名的DNS解析设置，将网站的Web请求解析到WAF进行安全防护。 前提条件 已通过CNAME接入模式手动添加网站域名。 可选：已在源站服务器上放行WAF回源IP地址。 可选：已通过本地验证确保转发配置生效。通过本地验证确保WAF的网站转发配置正常，防止因配置错误导致业务中断。 注意 如果在WAF网站转发配置未生效时修改域名DNS，可能导致业务中断。建议先通过本地验证，再修改域名DNS。 拥有在域名的DNS服务商处修改域名解析设置的权限。 获取WAF CNAME地址 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页Web应用防火墙信息栏中，复制该域名对应的WAF CNAME地址。

本文为您介绍一键部署个人AI助手 OpenClaw的最佳实践。 OpenClaw 是一个开源的、运行于系统级环境的通用 AI 助手框架。支持文件读写、代码执行与多步任务编排，可通过聊天工具接收指令并完成实际操作。其核心特征是“可执行性”，适用于自动化办公与任务代理，通常需在隔离、可控的云端环境中运行。 说明 OpenClaw 作为开源项目，建议在使用前全面评估其安全性与稳定性，仔细阅读《OpenClaw 安全风险提示》并且严格按照对应的开源许可协议规范使用，确保系统和数据安全。 注册账号 在创建和使用天翼云产品之前，您需要先注册天翼云门户的账号并完成实名认证。具体步骤可参见注册天翼云账号。 如果您拥有天翼云的账号，且账号中有足够的余额，可跳转到下一步骤。 创建OpenClaw云主机 1.登录天翼云官网，进入公有云生态专区。点击“立即选购”，进入应用选购列表页面。 2.在应用选购列表中，选择OpenClaw，点击“立即订购”。 3.根据指引，完成简单配置后，依次点击“确认下单”、“立即购买”，完成OpenClaw云主机订购操作。同时，建议您开通云主机备份产品对OpenClaw云主机进行备份保护。 说明 资源池范围：西南1、武汉41、长沙42、华南2、杭州7、华东1、武汉4、上海7、芜湖2、拉萨3、上海36

本小节介绍服务器安全卫士的相关术语。 Agent 指服务器安全监测与防护代理软件，运行在客户服务器操作系统，该安全代理具备严格的权限和运行负载控制，保护服务器的同时对业务运行不产生影响。 弱口令 容易被别人猜测（包括信息泄露导致）或被破解工具破解的口令均为弱口令。 软件漏洞 应用软件、中间件软件或操作系统软件在设计、实现上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个服务器，窃取服务器中的重要资料和信息，甚至破坏系统服务。 Web后门 Web后门是一段网页代码，主要以ASP、PHP、JAVA代码为主。由于这些代码都运行在Web服务器端，攻击者通过插入这段精心设计的代码，在Web服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权。 POC POC（Proof of Concept）的中文意思是“观点证明”。漏洞报告中的POC是指一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。 CVSS CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。 Rootkit Rootkit是一种特殊的恶意软件，它的功能是在目标服务器上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

GPUStack产品使用手册,含单机版和集群版(Worker、Server) 产品概述 1.1 产品介绍 GPUStack云服务是基于开源GPUStack构建的托管式AI模型部署平台，让您无需管理基础设施，即可在高性能GPU集群上轻松部署和运行各类AI模型，支持单机版和集群版（Worker、Server）。 单机版 集群版 面向用户 个人、中小团队或企业内部 企业研发团队、实验室、AI算力平台 适用场景 1. 个人开发者的大模型微调、推理效果验证 2. 小团队的算法原型开发、单卡模型性能测试 3. 教学科研场景的小规模 AI 实验 4. 临时算力需求（如短期模型 demo 制作) 1. 企业大模型训练 / 推理的规模化算力需求 2. 多团队共享 GPU 算力池的资源管控场景 3. 高并发模型服务（如智能客服等） 4. 异构 GPU 资源混合调度（支持 NVIDIA/昇腾等） 资源配置 单GPU服务器 Server节点：8C/16G 计算型服务器 Worker节点：1~N台GPU服务器（支持英伟达、昇腾等不同厂商GPU卡） 1.2 产品核心能力 资源管理：提供自动化GPU资源调度与集群管理，支持异构GPU设备统一纳管，实现资源利用率最大化与成本最优化； 模型部署：支持主流开源大模型一键部署，兼容Hugging Face、ModelScope等模型源，集成vLLM、SGLang和TensorRTLLM等高性能推理引擎，满足不同场景性能需求； 智能运维：内置自动扩缩容、故障转移与负载均衡机制，提供实时性能监控与告警，确保服务高可用性与稳定性； 安全管控：提供完善的认证授权体系与网络隔离策略，支持私有化部署与数据安全保障，满足企业级安全合规要求。

GPUStack产品使用手册,含单机版和集群版(Worker、Server) 产品概述 1.1 产品介绍 GPUStack云服务是基于开源GPUStack构建的托管式AI模型部署平台，让您无需管理基础设施，即可在高性能GPU集群上轻松部署和运行各类AI模型，支持单机版和集群版（Worker、Server）。 单机版 集群版 面向用户 个人、中小团队或企业内部 企业研发团队、实验室、AI算力平台 适用场景 1. 个人开发者的大模型微调、推理效果验证 2. 小团队的算法原型开发、单卡模型性能测试 3. 教学科研场景的小规模 AI 实验 4. 临时算力需求（如短期模型 demo 制作) 1. 企业大模型训练 / 推理的规模化算力需求 2. 多团队共享 GPU 算力池的资源管控场景 3. 高并发模型服务（如智能客服等） 4. 异构 GPU 资源混合调度（支持 NVIDIA/昇腾等） 资源配置 单GPU服务器 Server节点：8C/16G 计算型服务器 Worker节点：1~N台GPU服务器（支持英伟达、昇腾等不同厂商GPU卡） 1.2 产品核心能力 资源管理：提供自动化GPU资源调度与集群管理，支持异构GPU设备统一纳管，实现资源利用率最大化与成本最优化； 模型部署：支持主流开源大模型一键部署，兼容Hugging Face、ModelScope等模型源，集成vLLM、SGLang和TensorRTLLM等高性能推理引擎，满足不同场景性能需求； 智能运维：内置自动扩缩容、故障转移与负载均衡机制，提供实时性能监控与告警，确保服务高可用性与稳定性； 安全管控：提供完善的认证授权体系与网络隔离策略，支持私有化部署与数据安全保障，满足企业级安全合规要求。

本文简述了边缘安全加速平台域名请求协议的相关功能及配置。 功能介绍 请求协议配置模块主要介绍请求协议、强制跳转功能及配置说明。 相关功能 功能 说明 请求协议 简述域名请求协议的配置方法。当选择HTTPS时，如何关联域名证书。 强制跳转 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。

本小节介绍企业主机安全欠费。 到期与欠费 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

本小节介绍安全专区资产管理服务器主机扫描方法。 操作方法 1.进行单个服务器配置扫描，可选择【操作】→【扫描】，点击【确定】即可进行扫描。 2.点击操作下的【扫描日志】，可查看扫描出来的日志，查看扫描的时间记录。 3.也可以选定多个服务器记录，点击【批量扫描】进行批量的主机漏扫。

参数名称 参数说明 模板 Agent沙箱支持base、codeinterpreter和browserchromium三种类型沙箱模板 超时时间 沙箱存活时长，沙箱创建后超过该时长，会被自动销毁 能否访问公网 默认所有沙箱都能访问公网 能否开启安全访问沙箱 开启后，访问沙箱里面需要鉴权 环境变量 沙箱中会增加配置的环境变量

本节主要介绍弹性文件服务的定义和产品架构。 弹性文件服务（CTSFS，Scalable File Service）为您提供安全、可靠、可扩展、高性能的文件存储（NAS），可为云上多个弹性云主机（ECS），云容器引擎（CCE）、物理机（BMS）提供共享访问。分为SFS容量型和SFS Turbo两类文件系统。

本节介绍配置主机授权时，是否必须使用加密密钥。 在创建SSH授权登录（Linux主机）时，为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。

本文内容主要介绍通过公网连接集群实例概述 操作场景 本章介绍如何在控制台创建集群实例，以及购买后如何设置安全组、绑定弹性公网IP，并通过公网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 公网访问数据库实例

参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。

退出/重启云智手机 用户可通过悬浮球弹窗，推出/重启云智手机。 批量上传文件 用户可通过悬浮球弹窗，点击上传，将本地设备文件批量上传至云智手机。 应用锁/垃圾清理/病毒扫描 云智手机内默认预装手机管家，提供有害加速、安全检测、网络检测、应用锁等特色能力。

本章节向您介绍利用VPN连接打造云间互联通道的前提条件。 前提条件 云主机绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。 子网的网络ACL需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

本文介绍批量配置HTTPS证书的方法。 功能介绍 边缘安全加速平台支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 适用场景 该功能适用于多域名需同时开启HTTPS服务的场景。 注意事项 批量HTTPS证书配置一次最多能关联100个域名，筛选范围仅包含域名状态为已启用且无在途工单的域名。 域名绑定证书后会开启域名HTTPS功能。 配置说明 1. 登录边缘安全加速平台控制台。 2. 单击左侧导航栏【证书管理】【证书列表】。 3. 在【证书列表】页面，单击左上角【添加自有证书】，并上传证书。 4. 证书上传完可开始【绑定域名】。 5. 选择需绑定该证书的域名，单击【提交绑定】即可。 参数名 说明 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 证书公钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。 证书私钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。

本文介绍标签和标签组的含义,如何创建标签和标签组,如何删除标签和标签组。 功能介绍 边缘安全加速平台控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同类别属性的标签进行分类管理。 配置说明 例如：您有很多业务系统（CRM、ERP、DMS等），每个业务系统又包含多个域名，就可以借助标签组和标签对这些域名进行分组管理。即创建一个名为Businesssystem的标签组，同时创建三个名为CRM、ERP、DMS的标签。 创建标签和标签组的操作步骤 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【标签管理】。 3. 在【标签管理】页面，单击右上角的【新增标签】。 4. 在弹窗界面，输入标签组名，如“Businesssystem”。输入“Businesssystem”完成后，需要单击下方显示的“Businesssystem”完成标签组名创建。 5. 在弹窗界面，输入标签名，多个标签名用;分隔，如“”。 6. 确认无误后，单击【确定】提交，完成名为“Businesssystem”的标签组和名为“CRM、ERP、DMS”的标签创建。 参数名 配置值 说明 标签组名 只能输入，英文字母和数字，不允许为空。 标签组，即一组具有相同类别属性标签的统称，在配置关系里面，它是一类标签的集合。 标签名 只能输入，英文字母和数字，多个值用;分隔，不允许为空。 标签，即一组具有相同属性的域名的统称，在配置关系里面，它是一类域名的集合。

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

本节介绍如何查看API列表及API详情。 在API列表页面，可查看已添加的API资产。 查看API列表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在页面左侧，展示了所有防护对象信息（不包括泛域名、ELB防护对象），支持选择“所有防护对象”或选择单个域名站点，在右侧API列表中查看对应防护对象的详细数据列表。 选择“所有防护对象”，页面右侧展示所有的API资产。 选择单个域名站点，页面右侧展示选中的域名站点API资产。 6. API列表页面上方展示了所选防护对象的API资产统计信息。 API数：统计已识别的API资产数量。 今日新增：统计自然时间今日新增的API数量。 活跃API：统计活跃API数量。 失活API：统计失活API数量。 7. 搜索目标API资产：可通过最近活跃时间、请求方法、生命周期、来源、业务用途、API路径进行搜索。 最近活跃时间：根据API资产最近活跃时间对API资产进行过滤，支持昨天、今天、近3天、近30天，或自定义时间范围。默认选中今天。 请求方法：支持多选。 生命周期：支持多选。 来源：单选。 业务用途：支持多选。 API路径：支持模糊匹配。 8. 查看API列表，列表中字段说明如下。 参数 说明 API名称 API的自定义名称。单击API名称链接，可[查看API详情](

本小节介绍安全专区云数据库审计客户端安装方法。 下载客户端 下载客户端，选择对应的客户端进行下载。 安装步骤 1.下载安装包，根据包中的Agent安装手册提示完成安装及连接配置。 2.填写信息，进行客户端与云数据库审计的连接。 3.在Windows上安装Agent客户端，默认安装即可。 4.执行Agent,选择接收、发送数据包的网卡，并填写相应的信息。 IP地址：云数据库审计管理口地址192.168.0.225； 抓包端口：本地数据库端口，如默认ORACLE端口1521，MSSQL默认1433，MYSQL默认3306，如需添加多个端口，请使用逗号进行分隔； 服务端口：默认云数据库审计设备服务端口，默认9999，请使用默认配置； 缓冲队列个数：缓冲队列大小，使用默认配置即可； 收发网卡：请根据实际情况进行选择，程序支持自动发现功能。 注意 Agent必须要保证始终运行，才能将本地数据库连接信息发送给审计设备，一旦关闭，将不会向审计系统发送本地审计数据，因此请将Agent设置为服务。 5.运行后，如出现如下内容，表示工作，并正常发送数据包。 6.连接成功后，可到【部署方式】，查看已连接到的客户端。 完成以上操作部署后，可在安全专区平台进行日常运营。

本页为您介绍DTS针对用户关键操作提供的日志管理功能。 功能介绍 天翼云数据传输服务DTS针对用户的关键操作和系统重要业务操作，提供了查看操作日志、及对接云审计和查看云审计日志的功能，帮助用户进行安全审计、故障排除、回顾操作流程、追踪错误等。 操作指引 查看DTS操作日志，请参见查看操作日志文档。 查看云审计日志，请参见查看云审计日志文档。

云主机放通互联网访问，首先设置应用控制策略。本小节介绍安全专区访问策略配置方法。 配置方法： 在【策略】→【访问控制】→【应用控制策略】→【策略汇总】→【新增】： 源 区域：选择“L3untrustA”。 地址：选择网络对象，勾选需要访问互联网的业务云主机对象。 目的 区域：选择“L3untrustA”。 地址：勾选网络对象，选择全部。 服务/应用：勾选服务，需访问的互联网服务端口可选择any全端口。