步骤5：检查配置是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口。如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单，由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白WAF的回源IP。 步骤6：验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许WAF回源IP访问源站，防止攻击者绕过WAF直接攻击源站。 步骤7：安全运营 统计分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详情请参考：安全运营统计分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详情请参考：安全运营告警管理。 日志服务 该模块提供了WAF攻击日志、CC攻击日志的查看与导出功能，以及下载业务的访问日志的功能，详情请参考：安全运营日志服务。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详情请参考：安全运营态势感知。

本节介绍了遭受DDoS攻击如何向网监报案。 当您的业务遭受大规模DDoS攻击，除了使用DDoS高防（边缘云版）服务来保障您的业务安全与稳定，也建议您立即向网监部门进行报案。 报案流程 1. 遭受到大规模DDoS攻击后，您可尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。 2. 网监部门判断是否符合立案标准，并进入网监处理流程。（具体立案标准请向您当地的网监部门进行咨询） 3. 正式立案后，天翼云将配合网监部门接口人提供攻击取证等信息。 天翼云能提供什么相关证据？ 您的报案在网监部门立案后，天翼云将配合网监部门提供以下协助： 天翼云会及时响应网监部门的协助调查要求，配合开展工作。 天翼云会配合网监部门，向网监接口人提供您在天翼云平台上的业务的流量日志、遭受的攻击详情等。 说明 向网监部门提供的流量日志、攻击详情等信息将作为法律证据，因此无法直接提供给您。您可以在天翼云控制台中自行查看攻击流量的相关信息。 天翼云作为证据提供方，不对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。

使用SNAT或DNAT高速访问互联网 用户云下数据中心使用云专线/VPN接入虚拟私有云的用户，若有大量的服务器需要实现安全，可靠，高速的访问互联网，或者为互联网提供服务，可通过公网NAT网关的SNAT功能或DNAT功能来实现。 使用SNAT或DNAT高速访问互联网场景图如图所示。 图 使用SNAT或DNAT高速访问互联网 搭建高可用的SNAT 在IT系统中，往往存在绑定的弹性IP被攻击封堵的可能性。如果您想提高系统的高可靠性，可以在配置SNAT规则时，添加多个弹性IP，当其中一个弹性IP被攻击封堵时，可以最大程度保障使用其他弹性公网IP的业务正常运行。 当SNAT规则上绑定了多个EIP时，系统会随机选择一个弹性IP访问公网。 每条SNAT规则支持添加20个弹性IP，当SNAT规则中添加的弹性IP被攻击封堵或不可用时，需要手动从EIP池中删除。 使用公网NAT网关的SNAT规则搭建高可用场景组网图如图所示。 图 使用公网NAT网关的SNAT规则搭建高可用场景 私网NAT网关 重叠网段VPC间互通 私网NAT网关提供私网地址转换服务，利用两个私网NAT网关，配置SNAT、DNAT规则，可同时将源、目的网段地址转换为中转IP，通过使用中转IP实现两VPC间互通。私网NAT网关解决了两个重叠网段虚拟私有云中的云主机互相访问的问题。 如下图所示，创建一个中转VPC，然后使用两个私网NAT网关将VPC A中IP地址为192.168.0.1的弹性云主机地址转化为10.0.0.11、将VPC B中IP地址为192.168.0.1的弹性云主机地址转化为10.0.0.22，通过转化后的IP地址相互访问。 图 重叠网段VPC间互通

本节将介绍工作空间的定义、类型和基本操作等内容。 什么是工作空间？ 工作空间（Workspace）属于态势感知（专业版）顶层工作台。 空间管理： 单个工作空间可绑定普通项目，可支撑不同场景下的工作空间运营模式。 空间托管： 工作空间数据委托：单租所有工作空间按照租户实际运营汇聚到某一个工作空间做集中安全运营，跨租汇聚安全运营。 工作空间委托：跨账号安全运营，可实现工作空间委托集中安全运营查看统一资产风险、告警和事件等。 什么是数据空间？ 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 什么是数据管道？ 数据传输消息主题和存储索引组合为数据管道。 工作空间通用规则 单账号单Region内最多创建5个工作空间。 一个工作空间中最多可创建5个数据空间。 一个数据空间中最多可创建20个数据管道。

为什么配置的安全组规则不生效？ 问题现象 为云服务器配置的安全组规则未生效。 问题分析 当配置规则不生效时，建议从以下几个原因去排查问题，可以优先排查高频率原因。 安全组配置有误； 安全组规则与ACL规则的配置有冲突； 云服务器防火墙的限制。 安全组配置错误 当安全组规则配置有误时，无法满足期望的业务流量。您可以按照以下几点原因对安全组配置进行检查： 1. 安全组规则方向设置错误，例如将需要在入方向添加的规则添加到出方向规则下。 2. 安全组规则协议类型未选择正确。 3. 对应端口为高危端口，在部分地区部分运营商无法访问，建议您修改敏感端口为其他非高危端口来承载业务。 4. 对应端口未开通。在服务器中需要被正常监听的端口未放通。 例如，需要通过TCP（80端口）访问到您的服务器，可以在入方向规则放通TCP，80端口。您可以通过登录弹性云服务器查看安全组规则是否生效。 以Linux弹性云服务器为例，运行如下命令查看TCP 80端口是否被监听。 netstat an grep 80 5. 对于地域资源池来说，需要保证云服务器属于同一VPC。不同的VPC之间默认网络隔离，安全组需在网络互通的情况下生效。您可以使用对等连接等产品建立VPC连接互通，使得安全组能对不同VPC内云服务器的流量进行访问控制。 网络ACL规则与安全组规则冲突 安全组是一种虚拟防火墙，主要控制云服务器的进出流量，网络ACL是子网级别的安全防护，保障关联子网内的资源安全。 例如当您设置了安全组入方向规则放通80端口，同时设置的网络ACL规则包含拒绝80端口的规则，那么从结果上看80端口仍然无法访问。 具体配置细则您可以参考添加ACL规则或添加安全组规则。

本文向您介绍NAT网关服务的产品功能。 公网NAT网关 公网NAT网关（Public NAT Gateway）能够为虚拟私有云内的云主机或者通过云专线/VPN接入虚拟私有云的本地数据中心的主机，提供网络地址转换服务。 公网NAT网关分为SNAT和DNAT两种规则。 SNAT功能通过绑定EIP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享EIP访问公网，从而节约EIP资源。 DNAT功能绑定EIP，通过IP映射或端口映射方式，实现VPC内跨可用区的多个云主机共享EIP为互联网提供服务。 私网NAT网关 私网NAT网关（Private NAT Gateway），能够为虚拟私有云内的云主机、物理机提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则，可将源、目的网段地址转换为中转IP，通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。 私网NAT网关分为SNAT和DNAT两种规则。 SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问远端私网（本地数据中心或其他VPC）。 DNAT功能绑定中转IP，实现IP映射或端口映射方式，使VPC内跨可用区的多个云主机共享中转IP，为远端私网（本地数据中心/其他VPC）提供服务。

优势 GPU 云主机 自建 GPU 服务器 弹性 分钟级快速创建 。 同规格族内灵活升降配。 云盘、带宽等产品可按需扩容。 建设周期长，且建设完成后硬件配置无法灵活变更。 易用 提供和标准云主机一致的使用方式和管理功能。 与多种云产品无缝接入。 清晰的 GPU 驱动的安装、部署指引。 运营维护成本高、难度大。 安全 通过隧道技术实现100%二层网络隔离，实现安全隔离。 配置安全组和网络ACL，实现云主机和子网层面的访问控制，满足不同行业客户的安全隔离需要。 很难阻止MAC欺骗和ARP攻击，需额外购买基础安全防护服务。 成本 提供包周期和按需两种计费方式，用户可根据自身业务情况灵活选择。 无法按需购买，一次投入成本巨大。

标准快速 全栈云服务集成一体 , 多种增值能力可选，大幅减少建设时间。 国产化和x86多种配置可选，满足客户不同需求场景。 标准产品规格及售卖模式，快速匹配客户需求。 到货后110个工作日即可完成产品部署交付，虚拟资源即开即用。 安全稳定 采用自研云底座，历经大规模客户业务验证。 数据多副本（双副本或三副本）、故障HA、快照与备份等多项技术保障数据高可靠。 高效管理 内置云管平台，可视化资源开通及运营管理。 可整合多一体机集群，提供混合多资源池管理能力。 支持VPN服务，帮助客户以低成本快速构建专有企业云网。 极简运维 多维度监控、告警数据，帮助用户提前发现业务运行隐患。 属地化运维和724小时在线服务，全方位解决客户后顾之忧。

子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 路由表 路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。您可以选择创建自定义路由表，并将子网手动关联到自定义路由表中。对于部分可用区资源池，在VPC内创建自定义路由表，通过绑定自定义路由表和子网，实现子网内的云主机或物理机通信，从而更灵活地进行流量管理。在VPC内创建网关类型的自定义路由表，将其与IPv4网关绑定，这种路由表被称为网关路由表。网关路由表用来控制进入VPC的公网流量，可以将公网流量引流到VPC中的安全设备（例如虚拟防火墙）做统一安全防护。更多信息，请参考路由表概述。 访问控制 在虚拟私有云中，访问控制是保护云资源（云主机、物理机）免受未授权访问和攻击的关键配置之一。访问控制主要包括以下几个方面： 安全组是一种虚拟防火墙，用于控制云资源（云主机、物理机）的流量进出。在虚拟私有云中，您可以为每个安全组定义相应的规则，以允许或禁止特定IP地址或端口的流量进出。将适当的安全组规则应用于云资源（云主机、物理机）可以显著提高其安全性。更多信息，请参考安全组概述。 网络ACL是一种虚拟私有云中子网级别的流量防护策略，网络ACL可以通过为子网关联一个特定的ACL规则集来提供网络资源的安全性。更多信息，请参考网络ACL简介。安全组和ACL的区别，请参考安全组和网络ACL的区别。

虚拟私有云产品为您提供优质的服务体验,本文带您了解虚拟私有云的产品优势。 简单易用 您可以通过控制台、API 等方式，快速创建、管理虚拟私有云，创建完成后，系统会自动为其创建默认路由表。您可以根据自己的应用需求轻松创建和配置虚拟私有云网络拓扑结构，包括子网、安全组、路由表等。 安全可靠 虚拟私有云之间通过隧道技术实现逻辑隔离，不同虚拟私有云之间默认不能通信。另外，我们还为您提供为您提供安全组、网络ACL等不同层面的网络访问控制方式，采用多重防护策略，让您的网络环境更安全。 灵活配置 虚拟私有云为您提供了强大的网络管理能力，您可以自定义网段，按需划分子网，并通过灵活配置路由表和路由规则，定制化地部署您的云上业务。并且支持云专线、VPN等多种方式接入。 通过自定义私有网络，您可以按需划分子网来合理规划IP地址资源；通过配置路由表来管理私有网络的流量走向；通过配置安全访问控制策略来进行安全防护等。 互联互通 虚拟私有云提供丰富的接入方式，可以满足您在云上的通信需求： 访问其它虚拟私有云：默认情况下，两个虚拟私有云之间是不能通信访问的，通过对等连接使不同VPC之间的云主机或物理机互相访问。 访问Internet：默认情况下，虚拟私有云与公网是不能通信访问的，通过弹性IP、NAT网关、弹性负载均衡等多种方式连接公网。 访问本地数据中心：您可以使用VPN 连接、云专线来访问本地数据中心。 为企业提供多种连接选择，以满足云上多业务需求，助力轻松部署企业应用，同时减少企业IT运维成本。

场景说明 随着金融证券行业云上业务规模的扩大，多网络间进行私网互通时，会遇到被监管机构要求使用固定私网地址访问的场景。通过私网 NAT网关的SNAT功能和DNAT功能可以实现固定私网中转IP地址和互联机构互访的场景。 推荐配置 可以通过开通云专线实现云上VPC连接本地数据中心或机构数据中心，然后购买私网NAT网关，通过配置SNAT规则实现云上计算实例使用固定私网中转IP地址访问本地数据中心或机构数据中心。通过配置DNAT规则实现云上计算实例使用固定私网中转IP地址开放服务被本地数据中心或机构数据中心访问。 组网架构 混合云使用指定地址互访场景的组网架构如下： 应用场景二：VPC互访地址冲突 场景说明 由于早期网络规划单一或后期的业务合并，云上可能存在需要互通的两个业务VPC地址冲突的情况（如下图架构，两个冲突VPC子网地址都是192.168.1.0/24）。这时我们可以通过私网NAT网关的能力，实现两个地址冲突的VPC使用不冲突的私网中转IP地址互访。 推荐配置 您可以为两个业务VPC各选择一个不冲突的地址段创建子网，并分别基于此子网创建一个私网NAT网关并配置两个不冲突的私网中转IP地址（如下图架构，分别选用地址段192.168.3.0/24和192.168.4.0/24）。主动访问的业务VPC使用SNAT功能将源地址转换为私网 NAT网关的私网中转IP地址，被访问的业务VPC通过DNAT功能使用私网NAT网关的私网中转IP地址对外提供私网服务，从而实现地址冲突的两个业务VPC互访。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5，5.6，5.7，8.0 PostgreSQL 10，11，12，13 Oracle 10g，11g，12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

本文将为您介绍公共传输通道的产品优势。 快速开通 能够实现客户总部/分支机构（含自建机房）站点、电信IDC/DC站点、私有云、天翼云、电信云灾备中心、第三方公有云的自动开通。 天翼云资源池站点分钟级开通（个别不具备专线自动化开通能力的资源池，需两个工作日手工开通）。 采用IPRAN接入的站点可在7个工作日内开通（含本地接入段施工时间）。 灵活入云 公共传输通道为企业用户提供了高效便捷的一点入多云的服务，通过预先与天翼云和第三方公有云进行深度集成，确保能够实现客户总部和分支机构能够更加轻松灵活地实现一点入云。 安全可靠 CN2DCI网络节点采用三路由互联设计，确保数据传输的可靠性和稳定性。天翼云资源池站点通过双POP（两台堆叠配置的云专线交换机）以及双链路上联至CN2DCI网络，实现了高达99.95%的可用率，即使在云主机出现故障的情况下，也能确保服务的连续性和稳定性。同时，在CN2DCI大客户专属承载网上采用国际主流的MPLS/SRv6+EVPN技术，有效隔离不同行业客户的数据，确保客户信息安全无虞。 超低时延 CN2DCI承载网面向大客户的业务而设计，确保负载不超过50%，同时支持路径定制，骨干网节点间平均时延指标最优低于30ms，全面满足公共传输通道业务低时延要求。

本文主要介绍了在“我的订单”页面进行订单取消的操作步骤。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索需要取消的订单，也可通过订单类型、订单状态过滤筛选需要取消的订单。若取消云订单，选中“云订单”页签；若取消网订单，选中“网订单”页签。 3. 在订单列表找到需要取消的订单，在更多下拉框点击“取消”。 4. 在系统弹出的确认对话框中，点击“确定”。 说明 取消绑定交易订单时（或当一个订单归属于绑定交易订单时，取消该订单），则绑定交易订单下所有关联的订单会同步取消。 客户也可进入“待支付订单”取消订单。

中转IP 中转IP地址是私网NAT在SNAT功能或DNAT功能中用于源或目的地址转换的私网IP地址。中转IP从私网NAT中转地址段中分配，私网NAT创建时从中转地址段中默认分配一个中转IP地址。 中转地址段 中转IP地址段是私网NAT进行私网NAT地址管理的地址集合。私网NAT网关创建时会默认把创建时选择的子网网段作为中转地址段。 DNAT（目的地址转换） 定义：通过IP映射或端口映射，将IP报文中的目的地址进行转换。 用户可以通过配置NAT网关DNAT规则实现VPC内多个云主机资源共享弹性IP对外提供服务。 SNAT（源地址转换） 定义：将IP报文的源地址、源端口进行转换。 用户可以通过配置NAT网关SNAT规则，将云主机的私网IP转换成弹性公网IP，使VPC内没有公网IP的云主机可以直接访问公网，实现VPC内多个云主机资源共享弹性IP主动访问Internet。 产品架构 NAT网关分为SNAT和DNAT两个功能。 公网NAT网关 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP安全、高效的访问互联网。 DNAT将外网 IP、端口映射到VPC内的云主机内网IP、端口，使得云主机上的服务可被外网访问。

本小节介绍安全专区操作类常见问题。 为减低云主机风险，仅开放最少端口，如何为安全组件云主机加固？ 可通过设置云主机安全组，为每个安全组件云主机开放以下端口。 安全组件云主机 端口 端口用途 AQZQAF（云防火墙） 业务端口 网络通信 AQZQOSM（云堡垒机） 20/21 FTP AQZQOSM（云堡垒机） 22 ssh AQZQOSM（云堡垒机） 443 https、协议代理（web） AQZQOSM（云堡垒机） 444 数字证书登陆 AQZQOSM（云堡垒机） 1521 Oracle数据库 AQZQOSM（云堡垒机） 3306 Mysql数据库 AQZQOSM（云堡垒机） 3389 RDP AQZQOSM（云堡垒机） 8080 http AQZQOSM（云堡垒机） 9443 Web客户端 AQZQOSM（云堡垒机） 12021 协议代理（FTP协议） AQZQOSM（云堡垒机） 12024 协议代理（字符客户端：xshell、putty、crt、winscp、filezilla） AQZQOSM（云堡垒机） 12025 协议代理（RDP客户端） AQZQLAS（云日志审计） TCP22 访问后台命令行 AQZQLAS（云日志审计） UDP161 snmp query设备状态 AQZQLAS（云日志审计） UDP162 接收snmp trap日志 AQZQLAS（云日志审计） UDP514 接收syslog日志 AQZQLAS（云日志审计） TCP8082 访问设备管理控制台 AQZQLAS（云日志审计） TCP8443、443 访问业务控制台 AQZQEDR（终端安全EDR） 443 Agent下载端口 AQZQEDR（终端安全EDR） 8083 业务端口 AQZQEDR（终端安全EDR） 54120 管理端口 AQZQDAS（云数据库审计） TCP22 ssh服务 AQZQDAS（云数据库审计） TCP80 web服务 AQZQDAS（云数据库审计） TCP443 安全的web服务 AQZQDAS（云数据库审计） TCP8443 安全的web数据服务 AQZQDAS（云数据库审计） TCP9092 kafka发送数据 AQZQDAS（云数据库审计） TCP9999 Agent审计服务端口 AQZQDAS（云数据库审计） TCP5672 rabbitmq客户端 AQZQDAS（云数据库审计） TCP10000 综合治理相互监听端口 AQZQDAS（云数据库审计） TCP15672 rabbitmq服务端 AQZQCSSP（安全专区服务） TCP4430 API通信端口 AQZQCSSP（安全专区服务） TCP4433 单点登录 AQZQCSSP（安全专区服务） UDP4500、UDP500 用来创建扫描隧道与执行扫描 AQZQCSSP（安全专区服务） TCP7443 API通信端口，用来授权与部署扫描任务 AQZQCSSP（安全专区服务） TCP8888 代理组件后端 AQZQCSSP（安全专区服务） TCP8989 单点登录 AQZQCSSP（安全专区服务） TCP9999 自动升级 说明 表示主机的命名。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

适用场景 客户在应用托管中部署自研应用/第三方模型，与现有弹性云主机、数据库等云资源联动协同，实现完整复杂业务流程。 产品优势 资源协同，性能高效：共池内网打通，应用托管与弹性云主机、数据库、消息队列等云服务实现低延迟、高带宽内网通信，同时内网访问更具安全保障 业务整合成本低：已有公有云用户可直接复用弹性云主机、数据库等云上资源，无需额外迁移 / 重构，快速搭建完整业务架构，降低整合成本 部署灵活，场景覆盖广：支持自定义模型服务、MCP Server、智能体应用、自定义业务应用等多类型部署，结合丰富的云产品，满足业务的全场景需求 Aone 赋能应用与企业内网网络打通 适用场景 当企业同时使用公有云的应用托管服务和企业内网的各类系统时，需要实现两者之间的安全网络连通 产品优势 网络连通性优势：Aone 打通公有云应用与企业内网网络，保障安全稳定，实现公有云应用本地式访问企业内网资源，破解跨网资源访问壁垒 资源整合优势：整合公有云的应用托管能力和企业内网系统资源，实现资源的高效利用和协同工作，提升企业整体 IT 架构的运行效率：安全性优势 在打通网络的同时，保障了企业内网资源的安全访问，避免了因网络开放带来的安全风险，满足企业对数据和系统安全性的高要求

本小节介绍 云解析云解析实现智能解析最佳实践。 跨运营商或跨区域进行访问： 中国大陆地区实现跨运营商进行访问，大多数都会使用多个运营商IP地址，由于传统DNS解析是随机或优选的方式将其中一个IP地址返回给访问用户，这种情况下容易造成访问用户跨网或跨地域访问速度慢或访问质量差，因此企业可通过 DNS 智能解析的配置来实现用户的就近访问。 前提条件 1个可访问的域名，例如test.ctyun.cn。 3个运营商 IP 地址，例如：【联通】线路解析至 1.1.1.1、【移动】线路解析至 2.2.2.2、【电信】线路解析至 3.3.3.3。 操作步骤 1. 登录天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，创建主机名为test.ctyun.cn的子记录。例如 test. ctyun.cn 设置“默认”线路解析到1.1.1.1，“电信”线路解析到2.2.2.2。 4. 配置后实现效果，电信运营商用户访问将返回2.2.2.2的 IP 地址，非电信运营商用户访问将返回1.1.1.1的IP地址。

中转IP 中转IP地址是私网NAT在SNAT功能或DNAT功能中用于源或目的地址转换的私网IP地址。中转IP从私网NAT中转地址段中分配，私网NAT创建时从中转地址段中默认分配一个中转IP地址。 中转地址段 中转IP地址段是私网NAT进行私网NAT地址管理的地址集合。私网NAT网关创建时会默认把创建时选择的子网网段作为中转地址段。 DNAT（目的地址转换） 定义：通过IP映射或端口映射，将IP报文中的目的地址进行转换。 用户可以通过配置NAT网关DNAT规则实现VPC内多个云主机资源共享弹性IP对外提供服务。 SNAT（源地址转换） 定义：将IP报文的源地址、源端口进行转换。 用户可以通过配置NAT网关SNAT规则，将云主机的私网IP转换成弹性公网IP，使VPC内没有公网IP的云主机可以直接访问公网，实现VPC内多个云主机资源共享弹性IP主动访问Internet。 产品架构 NAT网关分为SNAT和DNAT两个功能。 公网NAT网关 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP安全、高效的访问互联网。 DNAT将外网 IP、端口映射到VPC内的云主机内网IP、端口，使得云主机上的服务可被外网访问。

本节介绍了如何设置云数据库GaussDB 的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和云数据库GaussDB 实例提供访问策略。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 为了保障数据库的安全性和稳定性，在使用云数据库GaussDB 实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接云数据库GaussDB 实例时需要为云数据库GaussDB 和ECS分别设置安全组规则。 设置云数据库GaussDB安全组规则：为云数据库GaussDB 所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库GaussDB 实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库GaussDB 实例时，需要为安全组添加相应的入方向规则。 说明： 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库GaussDB 实例。

天翼云培训与认证优惠码简介 天翼云培训与认证优惠码是用户订购天翼云学堂付费课程、班级、认证、会员等可使用抵扣券码。用户可根据抵扣券适用产品在订购过程中享受相应优惠。 天翼云培训与认证优惠码具有两种形态：1）抵价模式：获得优惠券用户在订购付费课程、班级、认证、会员时，可享受优惠券同等面额优惠。2）打折模式：用户订购时可获得券面折扣优惠。 兑付载体：天翼云学堂（[]( ） 天翼云培训与认证优惠码用户与法律声明 天翼云培训与认证优惠码为虚拟券面资产，不可兑付现金。单一编号优惠券码仅可使用1次，一经验证恕不退还，请用户谨慎操作。用户在使用优惠券码付款订单发生退订等情况优惠券码权益恕不退还。根据运营情况，已发优惠券码存在随时调整变更可能性，恕不另行通知。 天翼云培训与认证优惠券码由中国电信股份有限公司云计算分公司统一经营管理，除授权中国电信云计算公司区域中心、中国电信内部业务运营单位、官方认证代理渠道外，无任何其他授权经营渠道。优惠券码中国电信云公司保留最终解释权。

本文主要介绍了在“我的订单”页面进行查看订单详情的操作步骤。订单详情包含订单号、订单类型、创建时间、支付状态、订单资源和订单金额等信息。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索查看订单，也可通过订单类型、订单状态过滤筛选查看订单。若查看云订单，选中“云订单”页签；若查看网订单，选中“网订单”页签。 3. 在订单页面找到待查看的订单，点击“详情”查看订单详情情况。 当订单状态为“待支付”时，客户可在订单详情页面进行支付或取消订单。 当订单状态为“已完成”时，客户可在订单详情页面查看原订单。

本章节主要介绍数据治理中心DataArts Studio产品的优势。 一站式数据运营平台 贯穿数据全流程的一站式治理运营平台，提供全域数据集成、标准规范设计、连接并萃取数据价值、全流程数据质量监控、统一数据资产管理、数据开发服务等，帮助企业构建完整的数据中台解决方案。 丰富的数据开发类型 支持多人在线协作开发，脚本开发可支持SQL、Shell在线编辑、实时查询；作业开发可支持CDM、SQL、MR、Shell、MLS、Spark等多种数据处理节点，提供丰富的调度配置策略与海量的作业调度能力。 统一调度和运维 全面托管的调度，支持按时间、事件触发的任务触发机制，支持分钟、小时、天、周和月等多种调度周期。 可视化的任务运维中心，监控所有任务的运行，支持配置各类报警通知，便于责任人实时获取任务的情况，保证业务正常运行。

内网DNS（Intranet Domain Name Service，CTIDNS）可提供VPC内的安全、全面、高性能的域名解析功能，具有以下特点： 支持基于VPC任意定制内网域名，灵活自由。 一个域名可以关联多个VPC，方便统一管理部署。 提供VPC子网专用的内网DNS，直接响应内网域名，OBS，RDS等地址的解析请求，快速高效，有效防护劫持。 内网DNS将内网域名与私网IP地址相关联，为云服务提供VPC内的域名解析服务，解析过程如下图所示。 图内网域名解析过程 当VPC内云主机访问内网域名时，内网DNS直接对内网域名进行解析，向云主机返回对应被访问的云服务器的私网IP地址。

本地设备配置VPN时需要设置ACL，为何在控制台上找不到对应的配置？ VPN连接的“连接模式”选择“策略模式”时，才需要在控制台上配置策略规则ACL。 创建VPN连接时添加对端子网，提示系统异常，如何处理？ 检查VPC内是否存在对等连接、云专线的子网路由使用了该子网，导致VPN下发子网路由冲突，确认后将其配置的子网路由删除后重新创建即可。 Console界面在哪添加VPN远端路由？ 云端在VPN连接创建时会自动下发远端子网路由，无需手动配置。 如何理解VPN连接中的对端网关和对端子网？ 对端网关和对端子网是两个相对的概念，在建立VPN连接时，从云的角度出发，VPC网络就是本地子网，创建的VPN网关就是本地网关，与之对接的用户侧网络就是对端子网，用户侧的网关就是对端网关。 对端网关IP就是用户侧网关的公网IP，对端子网指需要和VPC子网互联的子网。 创建VPN连接时如何关闭PFS？ 云 请在VPN连接配置参数中，将IPsec策略中PFS的选项选择为Disable。云默认开启PFS。 用户数据中心对端网关 部分设备厂商默认关闭了PFS功能，请查询设备对应用户手册进行操作。 说明 配置过程中，请确认云和对端网关侧PFS配置一致，否则会导致协商失败。 为了增强安全性，建议云和对端网关侧均开启PFS。 VPN本端子网和对端子网的数量有限制吗？ 每VPN网关配置的本地子网数量：50 每VPN连接支持配置的对端子网个数：50

本节介绍云等保专区产品的云等保基础类问题。 什么是等保？ 以《中华人民共和国网络安全法》为法律依据，以2019年5月发布的《GB/T222392019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法，业内简称 “ 等保2.0 ”。 等保的发展历程是什么？ 在1994年，国务院令第147号文件第九条“计算机信息系统实行安全等级保护”首次提出了等级保护的概念，期间经历13年，在2007年公通字[2007]43号文中明确了信息安全等级保护的五个动作，为开展等级保护工作提供了规范保障，在2008年时，《信息系统安全等级保护基本要求 GB/T222392008》正式面世，即为等保1.0相应指导标准，在2019年，等保2.0核心标准GBT222392019《信息安全技术 网络安全等级保护基本要求》正式发布，标准着正式进入等保2.0时代。 为什么要做等保？ 从法律要求层面来说，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。 从行业要求层面来说，等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作，比如金融、电力、广电、医疗、教育等行业。 从安全要求层面来说，信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

本文主要介绍云防火墙的功能特性。 为满足不同场景下的防护需求，云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、攻击防御、流量分析以及日志审计等功能。 总览 总览呈现云上资产的整体防护和安全策略配置情况，助您全面了解资产的安全状态。 功能名称 功能描述 标准版 专业版（包周期） 总览 实时展示云上资产的安全防护状态，帮助您全面了解攻击事件和异常流量等安全风险。 ✓ ✓ 资产管理 云防火墙提供对云上资产的安全防护，有效降低安全风险。 资源名称 功能描述 标准版 专业版（包周期） IPv4 支持对IPv4资产的防护 ✓ ✓ IPv6 支持对IPv6资产的防护 ✓ ✓ EIP 云防火墙通过对弹性公网IP（EIP）的防护实现互联网边界流量的防护。 ✓ ✓ VPC（私网IP） 云防火墙通过对虚拟私有云（VPC）的防护实现VPC和VPC之间、本地数据中心（IDC）和云上VPC之间流量的防护。 × ✓ 云上资产的防护规格： 功能名称 标准版 专业版（包周期） 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5,000Mbps） 50Mbps（可扩容，最大扩容至5,000Mbps） VPC边界防护带宽 × 200Mbps（随VPC数量扩容）

本节介绍安全云应用的管理员指南。 服务开通 管理员可以在AI云电脑（政企版）控制台的扩展功能中选择“开通”安全安全云应用服务。 1.登录AI云电脑（政企版）控制台，进入菜单“协同套件”，打开安全云应用，点击“开通功能” 2.功能开通后，左侧菜单栏出现安全云应用子菜单。 注意 服务开通后还需要创建应用池、上架应用、关联用户后才可使用安全云应用。 创建应用池 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“安全云应用”菜单栏，选择“应用池管理”，点击“创建应用池”，进入“新增应用池”页面； 3.版本类型选择“独享版”； 独享版：每个用户独占一个虚机，适用于对数据和外设隔离要求比较高的场景； 4.选择规格类型“基础版”、“标准版”或“旗舰版”； 基础版：2C4G，适用于简单办公、文档编辑、客户服务等场景； 标准版：4C8G，适用于视频娱乐，在线会议，OA办公等场景； 旗舰版：8C16G，适用于高效办公，开发设计，视频监控等场景； 5.选择开通数量； 注：独享版此处开通数量要不小于使用安全云应用的用户数。应用池创建后可在应用池管理中通过“新增桌面”增加数量。 6.选择AI云电脑的“镜像类型”； 注：只能选择安全云应用镜像，管理员可先使用安全云应用基础镜像开一台AI云电脑，安装所需的应用软件并对软件进行个性化设置后，基于此AI云电脑创建自定义镜像。操作方法可参考镜像管理。 7.选择“vpc”和“业务子网”； 注：所选的业务子网需要绑定带宽，安全应用才能连接网络。详情可参考管理上网带宽； 8.确认相关的配置信息，点击“确定”，即完成应用池创建。 费用扣减：目前安全云应用仅支持资源包方式订购，有基础版（2C4G）、标准版（4C8G）、旗舰版（8C16G）三种规格可选，根据虚机规格和开通数量扣减资源包。 容量设置：系统盘只能使用默认规格，暂不支持更改。

场景说明 为了解决云服务器切换导致私网IP变化需要修改其他云服务器代码的问题，可以通过内网DNS进行优化。 在VPC内，为每个云服务器创建一个内网域名，并将这些域名与对应的私网IP进行解析关联，使云服务器之间可以通过内网域名进行互访。当某个云服务器需要切换时，只需修改对应域名的解析记录，将其指向新的私网IP。这样，其他云服务器无需修改代码，在使用内网域名进行互访时会自动解析到新的私网IP，实现了无缝切换。 内部调用API 场景说明 为了解决内部调用API管理中IP地址变更带来的问题并方便运维，可以采用内网域名解析的方式。 假设公司有一个名为“用户管理系统”的内部系统，需要通过API接口获取用户信息。为了保护数据安全，该API不对外暴露，只在内部网络中进行访问。为了简化调用过程并减少运维工作，可以为这个API分配一个内部域名，比如“userapi.internal”，并将该域名指向一个内网IP地址，比如10.0.1.100。 当其他系统需要访问该API时，只需使用“userapi.internal”这个域名进行调用，而无需关心具体的IP地址。如果由于某种原因，API的服务地址需要变更为新的IP地址（比如10.0.1.200），只需修改“userapi.internal”的DNS解析记录，将其指向新的IP地址即可。 内部域名隐私保护 内部域名隐私保护是内是一种重要的安全措施，也是企业安全体系中的一个重要环节，特别适用于保护核心系统的隐私信息。内部域名隐私保护可以有效隔离核心系统的访问范围，降低潜在的安全风险。通过限制特定的内部核心系统域名只能在特定的VPC环境中被访问，可以确保只有经过授权的人员和系统才能够解析和访问这些关键域名和资源，降低潜在的安全风险。

本节主要介绍添加DNAT规则的操作步骤。 操作场景 公网NAT网关创建后，添加DNAT规则，则可以通过映射方式将您本地数据中心的服务器对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则来实现共享一个或多个弹性IP访问公网。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 6. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 在云间NAT网关高速访问互联网的场景下，此处选择云专线。 表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为服务器配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标服务器实例上。 具体端口：属于端口映射方式。公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标服务器的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，取值范围为165535。公网端口为具体的数值，例如80。 私网IP 用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，取值范围为165535。私网端口为具体的数值，例如80。 7. 配置完成后，单击“确定”，完成“DNAT规则”创建。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。