现象二 访问网站时，返回的不是“现象一”所示的页面，而是其他的404页面。 原因 ：网站页面不存在或已删除。 解决办法 ：请排查网站问题。 502 Bad Gateway 现象：完成WAF配置之后网站访问正常，但过一段时间，访问页面返回502，或者大概率出现502。 说明 如果您的网站不是部署在云上，建议您咨询服务器服务商，该服务器是否存在默认的防护拦截并要求服务商解除默认拦截。 这种情况一般有三种原因： 原因一 原因：您的网站使用了其他的安全防护软件（如360、安全狗、云锁或云盾等安全防护软件），这些软件把WAF的回源IP当成了恶意IP，拦截了WAF转发的请求，导致不能正常访问。 解决办法： 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。 原因二 原因：网站的后端配置了多个服务器，其中某个源站不通。 按以下方法检测源站配置是否正确： 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击编辑图标，进入“修改服务器信息”页面，确保对外协议、源站协议、源站地址、端口等信息配置正确。 5. 在主机上执行curl命令检测各个源站是否能正常访问。 curl kvv xx.xx.xx.xx代表源站服务器的源站IP地址，yy代表源站服务器的源站端口，xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 如果显示“connection refused”表示源站不通，不能正常访问网站。按以下方法处理： 检测服务器是否运行正常，如果运行不正常，请尝试重启服务器。 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。

关闭IPv4公网访问（支持修改明文/密文接入） 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用中间件 > 分布式消息服务Kafka”，进入分布式消息服务Kafka专享版页面。 4. 单击Kafka实例的名称，进入实例的“基本信息”页面。 5. 关闭公网访问前，需要先关闭公网访问中的“明文接入”和“密文接入”。然后在“公网访问”后，单击，弹出确认关闭对话框。 6. 单击“确认”，跳转到“后台任务管理”页面。当任务状态显示为“成功”时，表示成功关闭公网访问。 关闭公网访问后，需要设置对应的安全组规则，才能成功通过内网连接Kafka。 表4 Kafka实例安全组规则（内网访问） 方向 协议 类型 端口 源地址 说明 入方向 TCP IPv4 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（明文接入）。 入方向 TCP IPv4 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（密文接入）。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加表4的规则。

section84b7112f7f4d1fd3)。 购买时长 支持选择111个月、15年。 自动续订 根据您业务自身需求选择是否开启自动续订。 5.配置完成后，确认订单无误并阅读《天翼云数据安全专区服务协议》后，勾选“我已阅读并同意《天翼云数据安全专区服务协议》”，单击“立即购买”。 在一类节点购买云主机 购买云主机请参考：弹性云主机创建弹性云主机章节。 数据库安全网关资产 推荐云主机规格 4资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：500GB 8资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：1TB 16资产 CPU：16核 内存：32GB 系统盘：100GB 数据盘：1TB 32资产 CPU：32核 内存：64GB 系统盘：100GB 数据盘：2TB 说明 选择镜像时，需要在“云镜像市场”选择“数据安全专区数据库安全网关V1”镜像。 在二类节点购买云主机 购买云主机请参考：弹性云主机创建弹性云主机章节。 数据库安全网关资产 推荐云主机规格 4资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：500GB 8资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：1TB 16资产 CPU：16核 内存：32GB 系统盘：100GB 数据盘：1TB 32资产 CPU：32核 内存：64GB 系统盘：100GB 数据盘：2TB 说明 选择镜像时，需要在“公共镜像”选择“安全产品—数据安全专区数据库安全网关(100GB)”镜像。

本小节介绍域名无忧最佳实践。 背景介绍 基于银行数字化转型战略，构建连接一切的能力，打造最佳生态赋能银行，银行持续打造全方位、立体化、主动型的信息安全体系。 解决方案 通过域名无忧为用户提供域名解析监测、识别异常后秒级告警、秒级域名修正达到满足客户安全、快速、准确等需求。及时修正域名解析，避免因为TTL等待时长造成的网站访问异常，在客户做IPv4与IPv6切换时，第一时间完成DNS缓存刷新，确保秒级切换完成，快速的刷新在满足客户域名安全的基础上还给予客户针对域名相关割接极大帮助，为客户数字化转型战略奠定基础。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

独立安全算力空间,多智能高效协同,任务一键交付 本次更新包含AIuse云电脑与Cospace，共同构成了天翼云AI云电脑的核心能力矩阵，为用户带来全新的智能办公体验。 Cospace智协空间：面向普通用户，通过自然语言交互实现跨终端远程智控。让你通过一句话命令即可跨终端远程智控云电脑，无论使用手机、平板还是电脑，都能随时随地完成文件查找、软件操作、任务执行等复杂办公需求。 AIuse云电脑：面向开发者，为开发者提供标准化SDK，支持程序化远程控制，助力AI自动化任务的高效落地。 两大功能依托天翼云强大的独立安全算力空间，构建企业级安全防护体系，让智能与安全兼得。现在就体验，开启云端智能办公新纪元! Cospace智协空间功能介绍 云电脑的桌面级智能体 CoSpace是云智助手新增的AI云电脑桌面智能体功能，作为办公场景下的全天候AI工作伙伴，主打"一句话命令、跨终端远程智控云电脑"核心能力。 对话式交互，实现系统级的桌面控制 用户无需额外下载，通过简单对话即可完成文件查找、办公软件操作、任务执行等复杂办公需求。

本文说明如何配置应用参数。 资产上传成功后，您可以在控制台选择发布应用，通过发布应用这一操作将您的应用部署至云渲染平台上。应用发布完成后可直接生成一个在线访问链接，通过云渲染提供的通用配置能力，让您无需前端接入就能 正式上线一份定制化的前端页面 。 操作步骤 1. 在我的资产 页面，资产列表中选择需要上线的应用，点击应用发布。 2. 配置应用运行参数。 配置项 说明 发布区域集群 云渲染支持将3D应用发布至多个集群，并通过请求终端位置为您当前请求调度至最优集群，您可按需分配应用部署位置。 若您的应用在访问高峰期并发量高于1000时 ，可后台联系我们，我们将会为您的应用访问流量 设置负载均衡模式 ，将您的应用异地集群双活部署，保证业务在高峰期仍然保持稳定。 最大并发数 此应用同一时间段内支持同时访问的峰值用户数，可根据此参数限制您的应用最大同时访问数量。 执行路径 不同引擎的渲染程序一般为： Unity引擎：UnityExampleGame/UnityExampleGame.exe 。 UE引擎：UEExampleGame/Binaries/Win64/UEExampleGame.exe 。 启动参数 填写应用执行时启动参数，区分大小写 帧率设置 可设置云端应用实际编码帧率 ，此设置值也将调整到与应用运行帧率 中。 码率设置 可设置应用运行的码率范围，应用实际运行的码率数值将会根据网络情况自动在设置范围中动态波动。 同一时刻所有渲染任务产生的最高码率不可超过过开通的带宽值，请根据实际情况进行择优配置。 3. 配置应用前端页面UI，您可通过此页面修改应用前端展示效果。 注意 由于iOS限制，全屏展示功能仅对安卓端、PC端生效。云渲染会捕捉应用运行窗口将画面等比例放大、缩小，若您的应用修改显示模式后仍然存在黑边或被裁剪，请调整应用窗口显示模式为桌面全屏模式。 4. 配置应用交互方式。 云渲染已内置 多种交互采集能力 ，已实现客户无需对应用、前端做任何适配 ，云端应用运行时支持的交互操作我们可百分百在各类终端中复现。 说明 键鼠操控 若您的应用只支持通过键鼠操控程序，在移动端使用时可直接在平台配置键鼠映射 ，通过放置双轮盘与摇杆来模拟键盘 WASD 和空格操作。 若应用有组合键操控 ，也可通过配置普通按钮 ，将移动端页面中的触控事件映射为组合键按键按下。 多点触控设置 发布应用时，配置项选择开启多点触控 即可支持应用的多点触控功能，无需接入任何SDK或Plugin。 注意 ： Unity的新版输入系统不能识别Windows平台的touch触控，因此无法响应节点机发出的触控指令，目前只能等待Unity进行修复。如果项目中使用了该插件并且需要多点触控功能，需要切换为旧版本。 开启语音交互 发布应用时，配置项选择开启语音交互 即可支持语音输入至节点机中，实现多人游戏开黑！ 注意： 需要业务客户端开启麦克风权限才可生效。 唤起支持中英文输入的键盘 云端运行实例识别到输入框聚焦时，将会在Web页面由底部弹出一个虚拟键盘，此键盘可与应用页面展示方向保持一致并支持中文输入，无需任何适配要求。 5. 点击发布应用，待发布成功后，通过访问链接 或投屏链接访问应用。

模型开源 支持DeepSpeed微调：我们支持使用DeepSpeed进行模型微调，并已经开源了基于DeepSpeed的训练代码。这段代码不仅便于用户进行高效的模型训练，还具备一系列优化特性。 Zero并行显存优化：开源的训练代码中集成了Zero并行显存优化技术，这一技术能够显著提升训练过程中的显存利用率，使得在有限资源下训练更大规模的模型成为可能。 集成FlashAttention2：我们的训练代码还集成了FlashAttention2，这是一种高效的注意力机制实现，能够进一步加速模型的训练过程，提高训练效率。 多轮对话能力支持：为了提升模型在复杂对话场景中的表现，我们开源了多轮数据构建方式，并针对多轮模型训练集成了特定的mask loss训练方式。这种训练方式有助于模型更好地聚焦多轮对话中的关键信息，从而提升问答效果和用户体验。 外推能力提升：我们开源了8K训练版本的模型，并采用了NTKaware外推和attention scaling外推方式。这些技术使得模型能够成功外推到96K的更大规模，显著增强了模型的外推能力和泛化性能。 长文生成能力：该模型还展现出了较强的长文生成能力，在多个长文写作任务上表现优异，包括但不限于工作总结、工作计划、PPT大纲、申论、招标书、邮件、方案、周报以及JD（职位描述）写作等。这些实际应用场景的验证，充分证明了模型在复杂文本生成任务中的强大实力和广泛应用潜力。

模型开源 支持DeepSpeed微调：我们支持使用DeepSpeed进行模型微调，并已经开源了基于DeepSpeed的训练代码。这段代码不仅便于用户进行高效的模型训练，还具备一系列优化特性。 Zero并行显存优化：开源的训练代码中集成了Zero并行显存优化技术，这一技术能够显著提升训练过程中的显存利用率，使得在有限资源下训练更大规模的模型成为可能。 集成FlashAttention2：我们的训练代码还集成了FlashAttention2，这是一种高效的注意力机制实现，能够进一步加速模型的训练过程，提高训练效率。 多轮对话能力支持：为了提升模型在复杂对话场景中的表现，我们开源了多轮数据构建方式，并针对多轮模型训练集成了特定的mask loss训练方式。这种训练方式有助于模型更好地聚焦多轮对话中的关键信息，从而提升问答效果和用户体验。 外推能力提升：我们开源了8K训练版本的模型，并采用了NTKaware外推和attention scaling外推方式。这些技术使得模型能够成功外推到96K的更大规模，显著增强了模型的外推能力和泛化性能。 长文生成能力：该模型还展现出了较强的长文生成能力，在多个长文写作任务上表现优异，包括但不限于工作总结、工作计划、PPT大纲、申论、招标书、邮件、方案、周报以及JD（职位描述）写作等。这些实际应用场景的验证，充分证明了模型在复杂文本生成任务中的强大实力和广泛应用潜力。

本节介绍服务器安全卫士（原生版）Agent相关常见问题。 什么是Agent？ 安装Agent会不会对自身的业务稳定性产生影响？ 如何安装Agent? 如何卸载Agent Agent安装失败如何处理？ Agent状态异常如何处理？ 如何查看未防护的主机？ 如何查看已离线的主机？ Agent默认安装路径是什么？ Agent如何升级？ Agent运行过程中占用多少资源？ Agent安装以后会访问哪些地址？ 服务器安全卫士（原生版）和网页防篡改（原生版）共用Agent？ 已开通安全卫士，服务器防护状态显示未防护，如何解决？ 什么是Agent？ Agent是部署到用户服务器操作系统中的轻量化进程，主要功能是根据用户配置的安全策略，上报服务器存在的安全风险和新增的安全事件数据，同时响应用户和安全卫士防护中心的指令，实现对服务器上的安全威胁清除和恶意攻击拦截。 安装Agent会不会对自身的业务稳定性产生影响？ 不会。Agent是纯应用层的，不会给系统装任何的驱动；Agent的带宽和资源占用很小；Agent已经通过各种业务场景长时间运行测试，不会影响系统的稳定性。

选择入侵防御页签，可对终端设置暴力破解行为、扫描行为检测。 防暴力破解是指对系统登录行为进行一定的限制，防止账号被爆破。 配置防暴力破解 功能 ：通过AI哨兵引擎提供的多种异常检测算法，根据真实的业务数据对暴力破解行为进行AI大模型上下文分析、跨终端关联分析。支持SSHFTPRDPSMBMSSQLWINRM多种类型。 使用场景：适用于需要自定义修改配置策略模板防暴力破解场景。 1. 选择防暴力破解页签。 2. 点击防暴力破解图标，置于开启状态（开启AI哨兵模式、开启普通模式），即可开启防暴力破解。 配置效果验证 1. 在防暴力破解策略中自定义配置并下发策略至客户端。 2. 对终端的系统账户进行登录操作，并且多次使用错误的口令尝试。 3. 在管理平台日志查看日志。 1. 当登录失败次达到设置阀值后锁定该IP地址。 2. 用户可以查看并解除已临时锁定的IP清单。 3. 生成防爆力破解日志。

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

数据库来源为非公网IP 需要打通数据库到DTS实例所在VPC的网络。 源端数据库 当网络接入类型为“VPC网络”时，源端数据库可以通过“选择数据库实例”和“输入IP地址和端口”两种方式访问，具体如下： 通过选择数据库实例方式访问数据库 此时，直接在源端数据库实例列表中选择源库实例即可。但需要进行如下配置： 为天翼云DDS实例添加内网访问的白名单分组，并将DTS实例的内网地址添加到允许访问的IP名单中（DTS实例的内网地址在DTS实例配置源库目标库配置页面可获取）。 在天翼云DDS实例所在的VPC中，配置VPC安全组，安全组中配置DTS实例的内网地址。 通过输入IP地址和端口方式访问数据库 此时，DTS通过填写的IP地址和端口来访问源库，根据源端数据库架构的不同，分为如下2种情况： 源端为副本集架构 在进入DTS实例配置源库目标库配置环节时，需要在源库的副本集IP地址中填写DDS源库的副本集的内网IP地址。 为天翼云DDS实例添加内网访问的白名单分组，并将DTS实例的内网地址添加到允许访问的IP名单中（DTS实例的内网地址在DTS实例配置源库目标库配置页面可获取）。 在天翼云DDS实例所在的VPC中，配置VPC安全组，安全组中配置DTS实例的内网地址。 源端为分片集群机构 当源端为分片集群架构时，DTS将会通过数据库的mongos IP地址和端口来访问源端数据库。 mongos的IP地址和端口至少为1组，在进入DTS实例配置源库目标库配置环节时，需要在源库的IP地址中填写源库mongos节点的内网IP地址。 为天翼云DDS实例添加内网访问的白名单分组，并将DTS实例的内网地址添加到允许访问的IP名单中（DTS实例的内网地址在DTS实例配置源库目标库配置页面可获取）。 在天翼云DDS实例所在的VPC中，配置VPC安全组，安全组中配置DTS实例的内网地址。

本章节主要介绍数据治理中心的新建连接功能。 操作场景 用户在创建数据迁移的任务前，需要先创建连接，让CDM集群能够读写数据源。一个迁移任务，需要建立两个连接，源连接和目的连接。不同的迁移方式（表或者文件迁移），哪些数据源支持导出（即作为源连接），哪些数据源支持导入（即作为目的连接），详情请参见支持的数据源。 不同类型的数据源，创建连接时的配置参数也不相同，本章节指导用户根据数据源类型创建对应的连接。 约束限制 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 前提条件 已具备CDM集群。 CDM集群与目标数据源可以正常通信。 1. 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 2. 如果目标数据源为云上服务（如DWS、MRS及ECS等），则网络互通需满足如下条件： ①CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 ②CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 已获取待连接数据源的地址、用户名和密码，且该用户拥有数据导入、导出的操作权限。 使用Agent时需用主账户给子账户赋予CDM操作权限。

本文主要介绍如何连接分布式消息服务RabbitMQ的管理地址。 在浏览器中输入RabbitMQ管理地址，访问开源RabbitMQ的集群管理工具。 操作步骤 一、获取实例管理地址。 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 > RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称，进入实例详情页面，获取Web界面UI地址和用户名。 图1 获取实例Web界面UI地址（未开启公网访问） 图2 获取实例Web界面UI地址（开启公网访问） 说明 用户名和密码为创建RabbitMQ实例时自定义的内容。 二、确认实例安全组规则是否配置正确。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 三、在浏览器中打开Web界面UI地址，进入Web登录页面。 说明 如果RabbitMQ实例开启了公网访问，可直接在公网环境下的浏览器访问Web页面。 如果RabbitMQ实例未开启公网访问，您需要购买一台与RabbitMQ实例网络相通的Windows弹性云主机，然后登录弹性云主机访问Web页面。 购买弹性云主机操作，请参考 图3 登录实例Web页面 四、单击“Login”，登录完成。

步骤四：浏览器打开Nextcloud 1.在云主机详情页下方“安全组”页签下，在该页签默认安全组下点击“添加规则”，对浏览器所在机器的IP地址和Nextcloud所使用的7080端口和入方向进行放开。本文采用的是对全部协议及端口进行放通，具体操作请参考添加安全组规则。 2.在本地浏览器输入{公网IP地址:7080}，打开Nextcloud登录页面，设定管理员账和密码，点击“安装”。其中公网IP地址可在云主机详情页中“弹性IP”页签下获取。 3.安装成功后，点击安装推荐的应用。 4.进入欢迎界面。 5.点击左上角第二个文件夹图标，进入网盘页面。在网盘页面可以进行新建文件夹、共享内容等。

本小节介绍云堡垒机(原生版)产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

数据安全中心用户指南 天翼云数据安全中心用户指南.pdf

本文为您介绍Web应用防火墙（原生版）的相关术语解释。 SSL证书 指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。 域名解析 互联网上的机器相互间通过IP地址来建立通信，但是人们大多数习惯记忆域名，将IP地址与域名之间建立一对多的关系，而它们之间转换工作的过程称为域名解析。 QPS 每秒查询率（Query Per Second，QPS） 是对一个特定的查询服务器，在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器性能经常用每秒查询率来衡量，对应fetches/sec（每秒响应请求数，即是最大吞吐能力）。 CNAME CNAME是指定域名的别名，用于将域名解析到另一域名上。通过域名接入方式添加防护域名后，WAF会生成一个CNAME（即防护域名的别名）。 通过修改DNS域名，将网站流量指向WAF服务节点，实现对网站流量的安全防护。更多信息请参见修改域名DNS。 回源IP地址 回源IP指云WAF用来与源站服务器建立网络连接的IP地址。通过域名接入方式添加域名成功后，由WAF自动分配多个回源IP地址，WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发到网站域名的源站服务器。在源站服务器看来，所有收到的请求都来自回源IP。 如果源站服务器使用了其他安全软件（例如防火墙、安全组、杀毒软件等），WAF的回源IP很有可能被这些软件识别成恶意IP并进行拦截。因此，网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。更多信息请参见放行WAF回源IP段。

关系数据库SQL Server支持设置IP白名单，强化数据库的安全访问管理。 关系数据库SQL Server支持设置IP白名单，强化数据库的安全访问管理。 注意事项 不在IP白名单范围内的访问将被拒绝。 建议订购页勾选将子网加入白名单范围，以便开通后同VPC内的其他机器可以访问数据库。 除了设置IP白名单，您还需要关注安全组规则设置，如果安全组规则未放通数据库端口的访问，则即使加入IP白名单也无法访问。 在IP白名单范围内，源IP必须能够与数据库实例所在的网络相互通信，才能访问。 跨VPC等场景即使加入IP白名单因为无法访问，因为VPC之间是隔离的。 0.0.0.0/0表示放开所有IP访问（注意：同VPC或者弹性公网IP访问）。 127.0.0.1表示不允许实例被外部访问（注意：实例内部集群不受影响）。 如果实例绑定了弹性IP，需要将访问弹性IP的源端地址的公网IP配置进白名单。（源端地址的公网IP指访问弹性IP对应机器的公网出口IP，可通过搜索引擎查询IP地址获取）。 修改白名单针对新连接即时生效。 清空白名单分组将被重置为127.0.0.1。 创建白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 点击【白名单与安全组】，点击【创建白名单】。 5. 填写分组名称，同一个实例内分组名称要求唯一， 同时要求长度为120，允许字母数字中划线下划线。 6. 填写IP白名单，一个分组内支持填写多个IP或网段，多个IP或网段通过英逗号分隔。比如：192.168.1.2,192.168.0.1/24。 7. 点击【确定】，创建白名单分组。

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

查询分析结果可以通过表格形式进行展示。 表格为最常见的数据展示类型，通过对数据的整理，可以快速对数据进行分析。在态势感知（专业版）中，通过查询分析语句得到的数据结果在图标统计中，默认以表格形式进行展示。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置表格参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义表格标题名称。 图表配置 隐藏字段 选择目标字段，将该字段在表格中隐藏。 图表设置完成后，左侧可预览配置后的数据分析情况。

本节主要介绍安全审计 操作场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以审计最近两周云硬盘服务的创建和删除操作为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”按钮执行搜索，查看过滤结果。过滤条件查询示例：依次选择“evs”>“evs”>“按事件名称”>“createVolume”或“evs”>“evs”>“按事件名称”>“deleteVolume”，单击“查询”按钮执行搜索，查询所有创建或删除EVS的操作。 5. 单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。 6. 参照查看已归档事件下载7天之前或者所有的事件。 7. 在操作记录中，以createVolume和deleteVolume作为关键字检索，找到对应记录。 8. 从第4步和第7步的结果中，抽取操作用户信息，甄别没有授权的操作，即用户越权操作，或不符合用户自身安全操作规范的操作。

参数 参数说明 取值样例 名称 弹性网卡的名称，必填项。弹性网卡的名称只能由中文、英文字母、数字、下划线、中划线、点组成，且不能有空格，长度不能大于64个字符。 networkInterface891e 虚拟私有云 选择弹性网卡归属的VPC，必填项。 vpc001 子网 选择弹性网卡归属的子网，必填项。 subnet001 私有IP地址 选择是否自动分配私有IP地址。 安全组 选择弹性网卡所属安全组。 sg001

本节介绍如何获取风险程度最高的资产信息。 通过查看资产风险排名，可以获取风险程度最高的资产信息，并可进一步了解该资产遭受的威胁告警统计信息。 操作步骤 1. 登录管理控制台。 2. 单击页面的上方的，选择“安全 > 态势感知（专业版） > 资源管理”，进入态势感知服务资源管理页面。 单击“安全状况”、“威胁”、“漏洞”、或“基线”列排序按钮，排序当前资产风险排名。

本节介绍天翼AI云电脑配置的OpenClaw默认模型,以及如何购买算力。 免费token规则 如何在云智助手购买Token 模型计费说明 Token套餐规格与定价 模型消耗抵扣系数 如何查看Token余量 如何更换OpenClaw云电脑默认模型 如何切换第三方模型API 如何购买息壤的算力 开通购买息壤模型模型推理服务 获取息壤模型调用 APIKey API配置 OpenClaw 响应很慢怎么办？ 免费token规则 赠送规则 用户每购买 / 领取一台云电脑，并开通 OpenClaw 镜像，即可获赠 2500 万 tokens 免费算力额度。 若用户购买多台云电脑，赠送 token 数量 购买台数 × 2500 万 tokens。 有效期 赠送 token 有效期至 2026 年 12 月 31 日，过期未使用将会失效，若在此期间云电脑被注销，则token也会自动清零。 后续调整 活动结束后或额度调整将以平台实时政策为准，请关注产品内公告。

本文介绍公共算力服务的欠费说明。 欠费原因 购买了按需计费的资源实例，账户余额不足以抵扣实例结算费用时，会造成余额不足，导致欠费。 欠费停服说明 用户欠费后，占用的计算资源将进入冻结状态。 进入冻结状态时，服务会自动停止，无法在平台新建按量付费实例，也无法启动已有按需实例。 如果在15天内充值补足欠款，实例将自动解冻。 欠费超过15天后，将视为您主动放弃该服务，计费实例将会被释放，具体时间以短信及邮件通知为准，资源释放后将不可恢复。 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 续费说明 请在欠费15天内，完成账号充值补足欠款，保证账号中的余额充足，资源实例将自动解冻。 欠费仅影响按量付费资源的使用，对已购买的包年包月资源无影响。

本文介绍公共算力服务的应用场景。 东数西算助力“算效提升” 适用场景 均衡东西部算力生态协同发展，如东数西训、东数西存、东数西渲等场景。 推荐方案 平台将区域内的算力资源进行并网和统一调度及交易，将东部算力需求有序引导至西部，促进东西部算力高效利用，降低业务成本，提升业务服务质量。 智能计算助力“AI创新” 适用场景 适用AI、科研实训、大模型等智算业务需求场景。 推荐方案 通过智算并网，引入大规模智算算力，根据应用场景，提供稳定可靠的智算算力资源。 通用计算助力“算力普惠化” 适用场景 适用于常规企业应用场景，基于算力并网实现对社会算力并网，算力云化，实现算力标准化、普惠化。 推荐方案 结合服务商管理、统一计量清算、算力运营等算力交易技术，实现“跨厂商算力统一交易、统一调度、统一运营”，高效合理调度全局算力和网络资源，为用户提供物美价廉的通用算力。

本节主要介绍智能视图服务的购买流程和注意事项。 登录天翼云官网 进入天翼云智能视图服务产品详情页快速了解产品，点击【立即开通】。 订购产品 说明 1. 如需订购AI服务、上行带宽、下行带宽，请先开通视频服务。 进入到智能视图服务订购页面，用户可根据自身需求选择相应的配置，勾选“我已阅读，理解并接受《智能视图服务协议》并确认以上费用项”后点击【订购】。 立即支付 进入到订单支付页面，点击右下角的【立即支付】按钮，根据提示前往支付平台即可完成购买。 查看订单 进入费用中心的订单管理页面，即可在我的订单中查看订单详情。

本文介绍ECI实例如何挂载配置项数据卷。 配置项(configFile)是ECI为客户提供的一种存放配置文件的存储形态，用于向ECI实例注入配置数据，便于容器从自定义路径读取相关配置信息。 使用限制 待挂载配置项的文件内容采用明文输入，平台会自动进行base64编码。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，添加配置项。 4.在容器配置中打开“高级设置”，添加配置项存储卷并指定容器内的挂载路径，以及是否只读挂载等，最后点击“+添加存储”为容器配置存储卷。

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。