访问方式 配置信息 说明 管理控制台访问 控制台登录密码设置方式 首次登录时设置 如果您不是用户James的使用主体，建议您选择该方式，输入用户的邮箱和手机，用户James通过邮件中的一次性链接登录，自行设置密码。 管理控制台访问 控制台登录密码设置方式 自动生成 仅在创建单个用户时适用，如果您本次创建2个及以上的用户，则不支持此方式。 管理控制台访问 控制台登录密码设置方式 自定义 如果您是用户James的使用主体，建议您选择该方式，设置自己的登录密码。 管理控制台访问 登录保护 开启登录保护 开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高帐号安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 管理控制台访问 登录保护 不开启 编程访问 创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对进行编程调用，例如，通过API调用方式访问时，您可能需要使用访问密钥。

如果不再需要某个工作空间，可以参照本节进行删除。 工作空间删除后，相关的资产会存在风险，且会影响资产的风险预防和处理，安全性能降低，删除后不可恢复，请谨慎操作。 约束与限制 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。 删除工作空间 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“删除”。 6. 在弹出的删除工作空间页面中，确认无误后，勾选“永久删除工作空间”，并在“确认删除”中输入工作空间名称，并单击“删除”。 注意 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。

证书重颁发,是指在证书仍然有效时,由于某些特殊原因,用户需要获取一张新证书。 操作场景 通常在下述场景下，需要重颁发证书： 密钥泄露或丢失：为了网站的安全，建议重颁发一张新证书。 域名删减：原有的证书将不再适用，需要重颁发证书以匹配新域名。 密钥算法升级：通过密钥算法升级，可优化安全性、性能、合规性，系统性地提升安全防护能力并优化资源效率。 约束限制 适用产品：SSL证书、私有（内网）证书 适用品牌：CFCA、GlobalSign、标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 适用算法：国际、国密 重颁发次数限制：单张证书在有效期内（199天 ）最多可申请3次重颁发，第3次申请后，重颁发按钮置灰。 重颁发后新证书的有效期： CFCA、GlobalSign：原证书剩余时间，仅在证书到期前30天内重颁发时将获得199天续期证书。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia）：199天。 操作步骤 1. 登录证书管理服务控制台。 2. 选择“SSL证书管理 > SSL证书列表”或“私有证书管理 > 私有证书列表”。 3. 选择需要进行重颁发的证书，单击“操作”列的“重颁发”。 4. 填写证书申请的相关信息。 参数 说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。只可删减其他域名。 密钥算法 可选择“RSA”、“ECC”或“SM2”。 证书请求文件 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 私钥文件 填写您的CSR私钥。 您可以单击“上传”并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框，或者使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框。 5. 单击“确定”，提交申请。 证书状态更新为“申请审核中重颁发”。申请通过后，证书状态将更新为“已签发”。 新证书签发后，原证书吊销说明： 品牌 是否吊销 吊销说明 CFCA 是 原证书将在3天内吊销。 GlobalSign 否 原证书与新证书可同时使用。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 吊销的场景：仅当申请重颁发时删减域名，原证书将在新证书签发3 天后吊销。 不吊销的场景：其他场景不吊销原证书。

日志采集与分析 主机和云服务的日志数据，不方便查阅并且会定期清空。云日志服务采集日志后，日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 合理优化业务性能 网站服务（数据库、网络等）的性能和服务质量是衡量用户满意度的关键指标，通过用户的拥塞记录日志发现站点的性能瓶颈，以提示站点管理者改进网站缓存策略、网络传输策略等，合理优化业务性能。例如： 分析历史网站数据，构建业务网络基准。 及时发现业务性能瓶颈，合理扩容或流量降级。 分析网络流量，优化网络安全策略。 快速定位网络故障 网络质量是业务稳定的基石，将日志上报至云日志服务，确保问题发生时能及时查看、定位问题，助力您快速定位网络故障，进行网络回溯取证。例如： 快速定位问题根源的云服务器，例如带宽过度使用的云服务器。 通过分析访问日志，判断业务是否遭到了攻击、非法盗链和不良请求等，及时定位并解决问题。

参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限，如何授权请参考MySQL迁移中Definer强制转化后如何维持原业务用户权限体系 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。

本章节主要介绍物理机的备份。 操作场景 为了保证数据安全，您可以对物理机中的所有云硬盘（系统盘和数据盘）进行备份，采用这种备份方式可以避免因备份创建时间差带来的数据不一致问题。云主机备份支持基于多云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复物理机数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机列表页面。 3. 在待备份的物理机所在行，单击“更多 > 创建备份”。 系统跳转至“创建云主机备份”页面。 4. 根据界面提示完成如下操作： 选择服务器：在服务器列表中，默认会勾选待创建备份的物理机，保持默认即可。 备份配置：勾选“自动备份”，选择一个备份策略。 说明 将选择的物理机绑定到备份策略中，按照备份策略进行自动备份。 如果选择的物理机已绑定其他策略，在选择新的备份策略后，服务器会自动从原备份策略解绑，并绑定到新的备份策略。 您也可以勾选“立即备份”，选择的物理机将立即进行一次备份。 输入备份名称和描述，如果是首次备份，建议启动全量备份。

本章节介绍如何编辑敏感数据规则组 您可以通过以下操作进行编辑敏感数据规则组： 修改“则组名称”以及“规则组描述”。 添加敏感数据规则。 移除敏感数据规则。 前提条件 已添加敏感数据规则组。 敏感数据规则组的“规则组类型”为“自定义”。 约束条件 DSC内置的敏感数据规则组不可编辑。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 5. 在目标敏感规则组所在行的“操作”列，单击“编辑”，系统弹出编辑规则组的对话框。 6. 在“编辑规则组”对话框中编辑规则组参数，相关参数说明如下表所示。 参数 参数说明 规则组名称 您可以自定义敏感数据规则组名称。 规则组名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则组名称不能与已有的规则组名称重复。 规则组描述 该规则组的备注信息，用于区别其他规则组。 规则添加 可选参数。勾选需要添加的敏感数据规则。 如果您想移除已选的规则，可在右边已选择的规则框中，找到目标规则，并在其所在行的“操作”列，单击移除。 7. 单击“确定”，完成规则组的编辑。

本节介绍服务器安全卫士（原生版）服务器列表。 您可以在服务器列表页面查看所有主机资产的防护状态和服务器详细信息。 注意 仅支持对Agent状态 为“在线”，防护状态为“防护中”的云主机进行检测。云主机离线后将不会进行检测。 查看服务器防护状态 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. （可选）选择业务分组，服务器列表将只展示该分组中的服务器。 4. 服务器列表包括以下字段：服务器、操作系统、地域、服务器状态、Agent状态、防护状态、风险状态、配额版本。 参数 说明 服务器 包括主机名称、实例名称、私网IP、公网IP。 操作系统 服务器的操作系统。 地域 服务器所属地域。 服务器状态 包括已关机、运行中。 Agent状态 包括在线、离线。 在线：Agent控制通路和数据通路均连接正常。 离线：Agent控制通路或数据通路连接异常。 防护状态 包括防护中、未防护。 防护中：表明该服务器处于正常防护中，此时Agent状态为在线且已经为该台服务器开启防护。防护中又分为“高级防护”和“免费防护”。 未防护：表明该服务器未开启防护或Agent已离线。 风险状态 包括安全、风险、未知3种状态。 无风险：表明该服务器无基线、漏洞、入侵和网页篡改的风险。 风险：表明该服务器有基线、漏洞、入侵和网页篡改的一种或几种风险。 未知：表明该服务器未开启防护或Agent已离线。 配额版本 服务器使用的防护配额版本，包括免费版、企业版、旗舰版。 Agent版本 服务器当前安装的Agent版本，版本过低时会显示为“升级”提示按钮。

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

短信发送成功了，也已经发返回成功的状态码，但用户手机接收不到是什么原因？ 可能有如下原因：建议手机重启，手机短信存储空间已满，建议删除一些无用短信后再查看是否接收正常；手机是双卡双待，建议将卡取出交换一下卡槽，另外，手机是否安装了安全软件，安全软件将短信拦截到垃圾中心。 客户调用API出现报错如何处理？ 客户调用API接口错误返回状态码，以3开头的请查看状态码详见：云通信错误码。 错误码报错30037、30038、30039、30040、30041短信发送超限应如何解决？ 处理办法：该错误码是指触发短信默认流控限制。具体流控限制如下，请遵循以下限制发送短信：该客户对同一个手机号码发送短信默认限制为支持2条/分钟，5条/小时，10条/天。客户可通过控制台消息配置发送频率修改。 云通信AK/SK如何获取？ 登录天翼云官网，前往个人中心在安全设置中查看用户AK/SK。 给用户发送短信后，如何获取用户的短信上行回调、时间回调、状态回调？ 登录控制台消息配置栏里进行URL的输入配置，通过接口可直接获取上行回调、事件回调、状态回调，详情参考：回调消息简介与配置流程。 使用群发助手时，当一批群发手机号中出现个别手机号错误后，目前发送的机制是什么样的？ 在批量发送时，会自动提示手机号格式错误，请删掉格式错误的手机号。在发送中出现某个手机号发送失败，不影响其他手机号的正常发送。

网站及应用加速 业务挑战：特殊时间节点，比如选课、成绩查询、招生报名、填报志愿时，易导致访问流量激增，访问卡顿，甚至掉线。 方案优势：天翼云全站加速凭借全球2300+三网节点覆盖，通过智能调度，传输优化等自研技术，可实时计算优质回源路径，时刻保障访问体验。 动态指令互动 业务挑战：老师在线教学过程中，涉及白板、笔记、解题信息等实时指令交互，这类指令一般采用非标准的HTTP、HTTPS进行传输，访问延迟高，易导致教学体验差。 方案优势：天翼云可以实现动态指令跨地区跨运营商高效传输，显著降低访问延迟。 高可用性 业务挑战：全国师生同时在线，用户爆发式增长，并发极大，源站承压及扩容能力低，需要保障在线教育的持续高可用性。 方案优势：天翼云全站加速提供源站监控、多源负载均衡、节点热备，实时弹性扩容等，可实现多源异地灾备，保障业务连续性和高可用性。 方案价值 极致用户体验 纯自研缓存、流量调度、动态选路等关键技术，打造坚实的CDN基础能力，保障客户获得全球优质的访问体验。 数据安全传输 支持全链路HTTPS安全传输，HTTPS双向认证，防劫持防篡改，保护数据安全。 高可用保障 分布式三网节点弹性扩容、丰富负载均衡策略、源站监控，助力构建高可用的网络架构。 优质资源及链路 国内拥有1800+个节点覆盖，150T+的业务承载能力，覆盖多运营商、主要省份和城市无盲点。海外覆盖遍布亚洲、美洲、欧洲、非洲等主要国家和城市。 精细化属地支持 31省本地化的销售网络体系，724小时技术支持，VIP客户一对一专属项目经理。

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2.点击【立即修改】跳转至概览/设置敏感操作保护，选择“开启”，如下图所示。 3.选择操作用户验证，如下图所示。 4.点击“保存”，即可开启重点操作保护。

此小节介绍解绑弹性公网IP。 当CBH实例需要重新绑定EIP或释放EIP时，需要为该实例解绑EIP。当实例成功解绑EIP后，则无法再通过该EIP登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 选择需要解绑弹性IP的实例，单击所在行“操作”列中的“更多 > 解绑弹性公网IP”，弹出的解绑弹性IP对话框。 6. 在弹出的解绑弹性IP对话框中，单击“确定”。解绑成功后，“弹性IP”列无IP信息，且“登录”按钮变为不可操作。

本章节介绍云原生API网关的优势。 高性能 云原生架构，Nginx + LuaJIT内核，低内存占用，事件驱动架构可高效支持 高吞吐、低延迟业务场景。 高可用 集群 & 多可用区部署，内置实时健康检查、流量管控、熔断、自动故障转移等能力，上游服务异常时，可自动切换流量或降级处理，确保业务连续性。 强扩展性 丰富的插件列表，支持热插拔，无需重启网关即可动态调整 API 处理能力。 易用性 开箱即用，提供可视化配置界面，简化API运营，降低使用门槛。 生态集成 深度融合天翼云微服务、可观测产品，构建一体化云原生API生态，助力企业快速构建数字化能力。 AI 代理 内置AI网关能力，提供 安全、高效、可扩展的AI访问和管理方案，加速企业AI业务落地。

问题描述 远程连接windows云服务器时提示：要远程连接，你需要具有通过远程桌面服务进行登录的权限。 处理方法 1. 打开cmd运行窗口，并输入“gpedit.msc”。 2. 单击“确定”，打开“本地组策略编辑器”。 3. 选择“计算机配置 > windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a. 查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 b. 查找并双击“拒绝通过远程桌面服务登录”。如果有Administrator帐号，则需要删除。

本节介绍了清除Windows弹性云主机的密码的操作场景、操作步骤。 操作场景 为安全起见，建议用户获取初始密码后，执行清除密码操作，清除系统中记录的初始密码信息。 该操作不会影响弹性云主机的正常登录与运行。清除密码后，系统不能恢复获取密码功能，因此，请在执行清除密码操作前，记录弹性云主机密码信息。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，选择待获取密码的弹性云主机。 5. 选择“操作 > 更多”，单击“清除密码”。 系统弹窗提示用户是否确认清除密码。 6. 单击“确定”，执行清除密码操作。

冷启动优化最佳实践 相比于其他函数上传代码方式部署，容器镜像会带来额外的数据下载和解压的时间。为了更好的冷启动体验，推荐以下最佳实践： 容器镜像地址推荐使用与函数计算同地域的VPC镜像地址，减少镜像拉取延时。 镜像进来裁剪体积，基于类似Alpine或Ubuntu这样的最小镜像或者是其他镜像中精简版本构建自定义镜像。仅保留必要的依赖。 容器镜像配合预留实例一起使用。 在资源允许和线程安全的情况下，搭配使用单实例多并发功能，可避免不必要的冷启动，同时降低成本。更多信息，请参见配置单实例并发度。 计费说明 容器镜像函数的计费项与其他类型函数的计费项一致。

本节指导用户通过漏洞扫描服务完成域名认证。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“未认证”。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击对应的网站信息“去认证”。 4. 进入域名认证入口，如下图所示。 5. 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。一键认证，如下图所示。 6. 单击“完成认证”，进行域名认证。 执行完成后，该域名的状态为“已认证”。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络（Virtual Private Network, VPN） 通过VPN在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 统一身份认证服务（Identity and Access Management, IAM） 针对云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。

本章节主要介绍翼MapReduce的删除用户操作。 操作场景 根据业务需要，管理员应在FusionInsight Manager删除不再使用的系统用户。 说明 用户删除后，已经发放的TGT在24小时内仍然有效，用户可以使用该TGT继续进行安全认证并访问系统。 如新建用户与已删除用户同名，则会继承已删除用户的拥有的所有Owner权限。建议根据实际业务需求决定是否删除该用户持有的资源。例如HDFS上的文件。 默认的admin用户无法删除。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要删除用户所在行，选择“更多 > 删除”。 说明 如果需要批量删除多个用户，勾选需要删除的用户后直接单击“删除”即可。 4. 在弹出的窗口单击“确定”完成删除操作。

本章节向您主要介绍VPN连接服务的主要优势。 高安全 采用专业设备，基于IKE和IPsec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。 高可用 采用主备模式，正常情况下VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 无缝扩展资源 将用户本地数据中心与云上VPC互联，业务快速扩展上云，实现混合云部署。 连通成本低 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 即开即用 部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。

本文向您介绍怎样修改远程登录的端口。 修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考Windows弹性云主机管理控制台远程登陆（VNC方式），远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1）右键单击Windows 徽标键，选择运行，启动运行窗口。 2）在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 3）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4）在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 5）在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击确定。 6）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7）在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 8）在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。 修改Linux系统实例默认远程端口，以CentOS 8.0 64位为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： 7. 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 8. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 9. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 10. 运行以下命令重启sshd服务。 systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。 功能验证： 1）打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先使用默认22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

此小节介绍数据库安全查看数据库详细的SQL语句信息。 添加的数据库连接到数据库安全审计实例后，您可以查看该数据库详细的SQL语句信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入SQL语句页面，操作步骤如下图所示。 4. 查询SQL语句信息，如下图所示。 您可以按照以下方法，查询指定的SQL语句。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。 选择“风险等级”（“全部”、“高”、“中”、“低”或“信任”），单击“提交”，列表显示该级别的SQL语句。 单击“高级选项”后的，输入相关信息，如下图所示，单击“提交”，列表显示该选项的SQL语句。 高级选项信息 5. 在需要查看详情的SQL语句所在行的“操作”列，单击“详情”，如下图所示。 查看SQL语句详情 6. 在“详情”提示框中，查看SQL语句的详细信息，如下图所示，相关参数说明如下表所示。 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 数据库IP 执行SQL语句所在的数据库的IP地址。 数据库端口 执行SQL语句所在的数据库的端口。 客户端IP 执行SQL语句所在客户端的IP地址。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 审计结果 SQL语句的审计结果。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

证书重颁发,是指在证书仍然有效时,由于某些特殊原因,用户需要获取一张新证书。 操作场景 通常在下述场景下，需要重颁发证书： 密钥泄露或丢失：为了网站的安全，建议重颁发一张新证书。 域名删减：原有的证书将不再适用，需要重颁发证书以匹配新域名。 密钥算法升级：通过密钥算法升级，可优化安全性、性能、合规性，系统性地提升安全防护能力并优化资源效率。 约束限制 适用产品：SSL证书、私有（内网）证书 适用品牌：CFCA、GlobalSign、标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 适用算法：国际、国密 重颁发次数限制：单张证书在有效期内（199天 ）最多可申请3次重颁发，第3次申请后，重颁发按钮置灰。 重颁发后新证书的有效期： CFCA、GlobalSign：原证书剩余时间，仅在证书到期前30天内重颁发时将获得199天续期证书。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia）：199天。 操作步骤 1. 登录证书管理服务控制台。 2. 选择“SSL证书管理 > SSL证书列表”或“私有证书管理 > 私有证书列表”。 3. 选择需要进行重颁发的证书，单击“操作”列的“重颁发”。 4. 填写证书申请的相关信息。 参数 说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。只可删减其他域名。 密钥算法 可选择“RSA”、“ECC”或“SM2”。 证书请求文件 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 私钥文件 填写您的CSR私钥。 您可以单击“上传”并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框，或者使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框。 5. 单击“确定”，提交申请。 证书状态更新为“申请审核中重颁发”。申请通过后，证书状态将更新为“已签发”。 新证书签发后，原证书吊销说明： 品牌 是否吊销 吊销说明 CFCA 是 原证书将在3天内吊销。 GlobalSign 否 原证书与新证书可同时使用。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 吊销的场景：仅当申请重颁发时删减域名，原证书将在新证书签发3 天后吊销。 不吊销的场景：其他场景不吊销原证书。

本页介绍了文档数据库服务参数。 能否调整实例的时区设定 鉴于无法调整文档数据库服务的时区设置，您可以通过在应用程序中获取当前时间并将其插入到表中的方式来处理。 用户需要关注实例的哪些参数 storage.engine 这个参数用于指定 MongoDB 使用的存储引擎，默认为 WiredTiger。可以根据需求选择其他存储引擎，如 InMemory 引擎或 MMAPv1 引擎。 storage.wiredTiger.engineConfig.cacheSizeGB 对于使用 WiredTiger 存储引擎的 MongoDB，这个参数用于配置缓存大小，即存储引擎使用的内存量。根据数据量和可用内存设置合适的值。 net.maxIncomingConnections 这个参数限制 MongoDB 实例可以同时处理的连接数。通过适当设置这个参数，可以控制 MongoDB 的并发连接数量。 security.authorization 使用这个参数可以启用或禁用 MongoDB 的访问控制功能。设置为 true 时，需要进行身份验证才能访问 MongoDB。 MapReduce提示不支持JavaScript MapReduce是一种用于对大型数据集进行处理和分析的功能强大的工具。然而，从安全性和性能方面考虑，在某些情况下可能会限制使用JavaScript代码，包括在MapReduce中执行JavaScript代码。 这种限制的目的是为了减少潜在的安全风险，避免不当的代码执行以及提高执行效率。JavaScript代码的执行可能会引起一些潜在的问题，例如代码注入攻击和性能下降。 为了安全考虑，mongodb默认限制了JavaScript脚本的执行。 文档数据库服务数据一致性策略：writeConcern与readConcern的运用与限制 MongoDB的写入和读取是数据库操作中重要的两个方面。为了确保数据的可靠性和一致性，MongoDB提供了writeConcern和readConcern这两个机制。 当我们谈论writeConcern时，实际上是在谈论写入操作的策略。通过配置writeConcern，我们可以控制数据写入的行为。例如，当我们将writeConcern设置为"majority"级别时，MongoDB会确保数据被写入到大多数节点上，从而降低了数据丢失的风险。这意味着，即使部分节点发生故障，大多数节点仍然保存着相同的数据，保障了数据的可靠性。 而readConcern则是与读取操作相关的策略。当我们设置readConcern为"majority"级别时，MongoDB会确保所读取的数据已经被写入到了大多数节点上。这就消除了因为读取操作而引起的脏读问题，因为我们可以确信读取到的数据已经经过大多数节点的确认。 然而，需要注意的是，目前文档数据库服务并不直接支持设置readConcern为"majority"级别。但这并不妨碍我们保障数据的一致性。通过设置writeConcern为"majority"，我们可以将数据写入到大多数节点，从而实现了大多数节点数据的一致性。随后，通过读取单个节点的数据，仍然可以保证读取到的内容是已经经过多数节点确认的，避免了脏读的问题。

ServiceComb引擎 ServiceComb引擎采用的注册发现中心Apache ServiceComb Service Center，是一个RESTful风格的、高可用无状态的服务注册发现中心，提供微服务发现和微服务管理功能。服务提供者可以将自身的实例信息注册到服务注册发现中心，以供服务消费者发现并使用。ServiceComb引擎可无缝兼容Spring Cloud、ServiceComb等开源生态。关于Apache ServiceComb Service Center的详细内容请参考： ServiceComb引擎分为1.x、2.x版本。 ServiceComb引擎2.x版本是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，引擎创建完成后不支持规格变更；引擎资源独享，性能不受其他租户影响。 相较于ServiceComb引擎1.x版本，ServiceComb引擎2.x版本底层架构、功能、安全及性能全面升级，提供了独立的服务注册发现中心和配置中心，支持基于用户业务场景的定义和治理。两个版本的特性比对请参见下表。 表 ServiceComb引擎2.x和ServiceComb引擎1.x特性比对 功能 特性 2.x 1.x 备注 引擎管理 安全性 支持安全认证 √ √ 引擎管理 可靠性 3AZ高可靠 √ √ 微服务管理 基础能力 注册发现 √ √ 微服务管理 基础能力 多框架接入 √ √ 支持Spring Cloud、ServiceComb Java Chassis、Dubbo、Go Chassis。 微服务管理 基础能力 无实例版本自动清理 √ x 2.3.7及以后版本，支持保留最近3个微服务版本，并自动清理无实例版本。 微服务管理 性能 实例变化毫秒级推送 √ √ 配置管理 基础能力 管理配置 √ √ 配置管理 基础能力 配置格式多样化 √ 仅支持文本 2.x新增支持配置格式有：YAML、JSON、TEXT、Properties、INI、XML。 配置管理 基础能力 导入导出 √ √ 2.x新增支持设置导入相同配置策略。 配置管理 高级特性 历史版本 √ x 配置管理 高级特性 版本对比 √ x 配置管理 高级特性 一键回滚 √ x 配置管理 高级特性 配置标签 √ x 配置管理 性能 秒级下发 √ x 微服务治理 业务场景化治理 业务场景定义 √ x 微服务治理 业务场景化治理 基于请求Method的匹配规则 √ x 微服务治理 业务场景化治理 基于请求Path的匹配规则 √ x 微服务治理 业务场景化治理 基于请求Headers的匹配规则 √ x 微服务治理 治理策略流量控制 服务端的令牌桶限流 √ √ 微服务治理 治理策略重试 客户端通过重试来保证用户业务的可用性、容错性、一致性 √ √ 微服务治理 治理策略熔断 服务端通过熔断故障业务，防止故障蔓延到整个服务，发生大规模故障 √ √ 微服务治理 治理策略隔离仓 服务端基于信号量控制请求并发能力 √ x 开发工具 本地轻量化引擎 本地一键启动，方便开发者离线开发微服务 √ √

本节主要介绍重启实例。 操作场景 出于维护目的，您可能需要重启数据库实例。 使用须知 实例状态为“正常”、“异常”、“恢复检查中”，支持重启实例。 重启实例会导致服务中断，请谨慎操作。 重启实例后，该实例下所有节点将会被重启。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择兼容类型为InfluxDB的指定实例，选择操作列“更多 > 重启实例”。 您也可以在“实例管理”页面，单击指定实例的名称，在页面右上角，单击“重启实例”。 4. 若您已开启操作保护，在“重启实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 5. 在弹出框中，单击“是”重启实例。 对于GeminiDB Influx集群实例，您可以根据业务需求，选择节点同时重启或者节点逐个重启。 图1 重启GeminiDB Influx实例 对于GeminiDB Influx单节点实例，直接点击是即可。 图2 重启GeminiDB Influx单节点实例

本文介绍URL鉴权的适用场景和配置方法。 功能介绍 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 1、需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用。 2、请求的资源都具有一定的时效性，超过时效则不允许访问。 注意事项 1、配置URL鉴权需要客户端跟产品服务配合一起开启。 2、配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。 3、当鉴权规则（含算法、秘钥、鉴权参数等）发生变更时，需要通知安全与加速产品配合更改，否则将导致用户请求异常。 4、如果您的鉴权URL中含有中文或特殊字符，需先进行URL转码（即Encode）后使用。 配置说明 天翼云提供三种鉴权方式供您参考配置，以下为详细的鉴权原理及配置说明。 （一）鉴权方式A 1、原理说明 鉴权方式A访问URL构成： 鉴权字段说明： 字段 描述 DomainName 服务域名。 Filename 实际回源访问的URL，鉴权时Filename需以/开头。不包含？后面的参数。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 鉴权服务器生成鉴权URL的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间总秒数 ，十进制整数。 备注：与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+配置的鉴权URL有效时长。 rand 随机数。0 64位随机字符串，由大小写字母与数字组成，例如：477b3bbcf6711128c7bec。 uid 用户ID，暂未使用，设置成0即可。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(Filenametimestampranduidkey)。 备注1：md5加密元素分隔符默认中划线（），也可自定义。 备注2：这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

云堡垒机能对上传文件进行安全检测吗？ 不能。 云堡垒机是运维安全管理与审计平台，不支持对上传文件进行检测。 上传/下载文件失败怎么办？ 通过Web运维上传下载失败 问题现象 下载“云主机文件”到“主机网盘”，即下载文件到用户个人主机网盘时，提示下载失败错误。 上传文件失败，提示“/3.0/h5FileService/upload403：服务错误，请稍后重试”。 从本地上传文件到“主机网盘”，即上传到用户个人主机网盘时，提示“个人网盘空间不足，请清理网盘或联系管理员增加网盘空间”或“网盘存储空间不足”。 上传/下载大文件失败。 客户使用debian+rdp协议上传文件失败。 客户使用zoc客户端工具上传文件失败。 排查思路及解决办法 图 排查思路图 表 解决办法 排查步骤 可能的原因 解决办法 排查待上传/下载的文件是否打包成压缩文件 堡垒机不支持下载文件夹， 需要把文件夹打包成压缩文件才可以上传/下载。 把文件夹打包成压缩文件，再进行上传/下载。 排查是否配置了上传/下载权限 未开启资源“文件管理权限”，也未授权用户“文件管理”的上传/下载权限。 1. 开启资源“文件管理”权限。 2. 授权用户“文件管理”的上传/下载权限。 排查浏览器的缓存空间 浏览器的缓存空间不足 用户手动清理浏览器缓存空间后，再次上传。 排查“个人网盘空间”是否还有可存储容量 “个人网盘空间”不支持自动定期清理，“个人网盘空间”容量小，个人网盘空间不足，甚至系统剩余可用存储空间不足。 l 用户手动清理用户个人主机网盘文件，释放出可用空间。 l 管理员用户重新设置个人网盘空间。 排查上传/下载的文件是否太大 上传/下载的文件太大 l 用户将大文件切割成1G左右的小文件，分批次上传/下载。 排查Web登录超时时间配置是否不合理 上传/下载大文件耗时较长，且Web登录连接超时，导致上传/下载超大文件失败。 l 用户上传/下载过程中不定时返回上传/下载界面，保持云堡垒机在操作状态。 l 管理员用户修改Web登录超时时间。 l 管理员用户重新设置个人网盘空间。 排查客户端使用的协议和上传工具是否与云堡垒机兼容 云堡垒机暂不支持debian+rdp协议和zoc工具上传/下载文件。 使用云堡垒机支持的协议以及对应的客户端工具上传/下载文件： lSFTP 协议 ：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 lFTP 协议 ：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。