此小节介绍资产被勒索过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段： 收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段： 部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段： 窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图被勒索过程

本小节介绍HSS自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 HSS自定义策略样例 示例1：授权用户查询主机防护列表 { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] } ] } 示例2：拒绝用户卸载Agent 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“HSS Administrator”的系统策略，但不希望用户拥有“HSS Administrator”中定义的卸载Agent的权限（hss:agent:uninstall），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“HSS Administrator”和拒绝策略授予用户，根据Deny优先原则用户可以对HSS执行除了卸载Agent的所有操作。以下策略样例表示：拒绝用户卸载Agent。 { "Version":"1.1", "Statement": [ { "Effect": "Deny", "Action": [ "hss:agent:uninstall" ] }, ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] }, { "Effect": "Allow", "Action": [ "hss:hosts:switchVersion", "hss:hosts:manualDetect", "hss:manualDetectStatus:get" ] } ] }

可通过筛选项进行组合查询，筛选项包括风险等级、处理状态、漏洞名称、URL和发现时间等，若没有选择条件则显示所有风险列表； 列表呈现信息为风险原因、监测项分类、URL、目标IP、监测节点和发现时间； 可用性监测的每条风险日志通过关联任务查看详情。

续费步骤如下： 【步骤1】在天翼云官网，点击右上角的“管理中心”； 登录页 【步骤2】进入“总览”页面，选择“账户充值”； 充值页面 【步骤3】进入现金充值页面，在充值金额中输入充值金额，点击“充值”； 输入金额页面 【步骤4】进入超级收银台页面，选择合适的支付方式完成付款； 付款方式页

支持续订操作，登录官网订单管理产品产品视图产品续订，提交您的续订需求，续订规则详见如下链接：

本页介绍天翼云TeleDB数据库登录操作。 未登录状态，只能看到TeleDB资源全生命周期管理模块首页，当单击操作按钮会跳转到登录页，资源全生命周期管理模块登录方式有两种，常规登录和LDAP登录。常规登录是资源全生命周期管理模块自身用户体系，可新建租户、用户、角色权限，还可基于通用LDAP协议做用户登录认证。登录需要填写用户账号、密码及验证码，登录后默认为最新创建的租户，可在头部菜单栏进行租户切换。

在【告警记录】中查看告警通知，点击【导出】按钮，可以Excel文件形式导出告警记录列表，筛选区域方便您从域名、监测项、任务名称和告警时间多维度过滤告警信息。

可通过筛选项进行组合查询，筛选项包括风险原因、DNS查询类型、DNS IP、预期解析值和发现时间等，若没有选择条件则显示所有风险列表； 同可用性监测，每条风险日志通过关联任务查看详情。

点选TAB【漏洞报告管理】即可切换页面对漏洞扫描报告进行管理。 可选择不同时间周期下，不同任务的漏洞扫描结果，结果记录以列表呈现，展示域名、任务名称、任务详情ID、任务开始时间和漏洞等级分布情况，可操作导出PDF报告（发现漏洞时生成报告）或查看风险日志。

可通过筛选项进行组合查询，筛选项包括风险等级、处理状态、漏洞名称、URL和发现时间等，若没有选择条件则显示所有漏洞列表； 列表呈现信息为漏洞名称、风险等级、URL、发现时间和处理状态，其中可操作的范围随处理状态变化，若风险未处理可以将风险设为已处理、加入白名单或者标记误报，若风险已处理或加入白名单则可以刷新基线，同时可以查看漏洞情况。

产品支持退订服务，登录官网订单管理产品产品视图退订管理，找到您要退订的订单，进行退订；客户套餐退订后，扩展服务也会一起退订。

本文介绍如何配置IP黑/白名单功能来禁止恶意IP的访问。 背景说明 域名配置CDN加速之后，希望可以对恶意访问的IP进行屏蔽，禁止这些IP访问资源。 操作步骤 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP黑白名单】模块，开启功能。 6. 设置类型，选择【黑名单】，使用换行符分隔，填写需要封禁的IP。 7. 单击【保存】，完成配置。 8. 其他相关配置详情请见：IP黑白名单。 注意 黑名单与白名单只能选择一个，如果选择白名单，则非白名单内的IP都会被封禁；如果选择黑名单，在非黑名单内的IP都会被放行。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本文向您介绍如何查看并导出网站的受攻击日志详情。 功能介绍 边缘云WAF默认提供攻击日志，详细记录攻击产生的时间、攻击源IP、攻击类型及攻击详情等信息，攻击日志仅支持查询6个月内日志，并且支持导出攻击日志。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 域名接入成功后，会自动开启防护规则引擎，您也可以根据防护需求开启其他的防护功能，边缘云WAF检测出攻击行为后会自动生成攻击日志 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】页面 2. 通过筛选项进行组合查询攻击日志。筛选项包括域名、攻击类型、处理动作、规则ID、日期选择等组件 日志字段说明： 攻击IP：发起请求的客户端IP 请求方式：客户端的请求方法 URI：请求的URI 攻击类型：详细攻击类型 状态码：响应的状态码 处理动作：请求的处理动作 攻击时间：攻击请求发生的时间 攻击详情：能够查看攻击客户端IP的详细属性，比如地域归属、UA等 单击【导出】按钮，能够导出攻击日志，默认导出10000条攻击日志

本文为您介绍开启IPv6访问功能的前提条件以及操作步骤。 功能介绍 支持网站IPv6访问功能，开启功能开关后，将为您提供IPv4/IPv6双栈服务。 Web应用防火墙（边缘云版）支持全站外链替换功能，能够有效提高网站链接的IPv6支持度。如果您需要解决IPv6天窗问题（提升二、三级链接IPv6支持度），请通过提交工单给天翼云客服，由其人工操作开启。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用IPv6访问功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要开启IPv6访问的域名，开启IPv6开关

本文介绍如何排查防盗链异常导致的访问资源返回403的问题。 背景说明 当加速域名在CDN有配置防盗链时，用户请求会经过防盗链校验，校验通过则正常返回文件内容，不通过则返回403。如防盗链规则配置错误，有可能在非预期场景下返回403，本文主要介绍该场景下的问题排查思路。 排查思路 以Referer防盗链为例： 1. 可登录CDN控制台查看确认防盗链配置是否正确。 2. 【是否允许空referer访问】如果开启，正常请求不带referer头部就能访问，反之就会异常，需要带referer才能正常请求。 3. 无论是Referer白名单还是Referer黑名单，均需要检查是否包含了允许或不允许访问资源的来源地址或域名。如果Referer白名单漏配或错配，Referer黑名单多配，均会导致非预期中的403。

本文介绍配置在IP黑名单中的IP仍有访问记录的原因。 客户在CDN控制台配置IP黑名单后，对应IP将无法访问加速域名下的CDN资源，CDN服务器将向对应IP返回403。可在离线日志中看到该访问记录是因为CDN会记录所有加速域名的访问请求，即使因为IP黑名单机制拒绝客户端访问，也仍会有访问记录，相应流量也会统计进计费数据。但因为403仅响应消息头，一般不会造成实质的计费影响。

配置项 说明 IPv6外链改造开关 支持开启或关闭IPv6外链改造功能 外链改造层数 支持配置0~5层，默认配置0，代表无限改写链接层数 网站首页IPv6标识 支持开启或关闭网站首页IPv6标识 IPv6标识内容 即网站首页提示的IPv6标识信息，默认展示“您正在使用IPv6协议访问本网站” IPv6标识显示时长 标识显示时长，默认显示10s IPv6外链改造例外 若网站中有部分url是您不希望进行外链改造的，可配置例外

本章节主要介绍最佳实践中基于角色的权限管理(RBAC)。 什么是基于角色的用户管理？ 基于角色的用户管理(RoleBased Access Control，简称RBAC)是通过为角色赋予权限，用户通过成为适当的角色而得到这些角色的权限。 角色是一组权限的抽象。 使用RBAC可以极大简化对权限的管理。 什么是RBAC模型？ 为角色赋予适当的权限。 指定用户为相应的角色。 场景介绍 假设有两个SCHEMA：s1, s2。 有两组用户： 一组用户包括u1, u2，可以在s1中查询所有表，在s2中更新所有表。 另一组用户包括u3, u4，可以在s2中查询所有表，在s1中更新所有表。 1.使用系统管理员dbadmin连接DWS数据库。 2.复制以下语句在窗口1中执行，创建本用例的SCHEMA s1和s2，用户u1~u4。 说明 示例中'{password}'请替换成实际密码。 CREATE SCHEMA s1; CREATE SCHEMA s2; CREATE USER u1 PASSWORD '{password}'; CREATE USER u2 PASSWORD '{password}'; CREATE USER u3 PASSWORD '{password}'; CREATE USER u4 PASSWORD '{password}'; 3.复制以下语句在窗口1中执行，创建对应的s1.t1，s2.t1表。 CREATE TABLE s1.t1 (c1 int, c2 int); CREATE TABLE s2.t1 (c1 int, c2 int); 4.复制以下语句在窗口1中执行，为表插入数据。 INSERT INTO s1.t1 VALUES (1,2); INSERT INTO s2.t1 VALUES (1,2); 5.复制以下语句在窗口1中执行，创建4个角色。分别对应s1的查询权限、s1的更新权限、s2的查询权限、s2的更新权限。 CREATE ROLE rs1select PASSWORD disable; s1的查询权限 CREATE ROLE rs1update PASSWORD disable; s1的更新权限 CREATE ROLE rs2select PASSWORD disable; s2的查询权限 CREATE ROLE rs2update PASSWORD disable; s2的更新权限 6.复制以下语句在窗口1中执行，将SCHEMA s1和s2的访问权限先授予这些角色。 GRANT USAGE ON SCHEMA s1, s2 TO rs1select, rs1update,rs2select, rs2update; 7.复制以下语句在窗口1中执行，将具体的权限授予这些角色。 GRANT SELECT ON ALL TABLES IN SCHEMA s1 TO rs1select; 将s1下的所有表的查询权限授予角色rs1select GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA s1 TO rs1update; 将s1下的所有表的查询、更新权限授予角色rs1update GRANT SELECT ON ALL TABLES IN SCHEMA s2 TO rs2select; 将s2下的所有表的查询权限授予角色rs2select GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA s2 TO rs2update; 将s2下的所有表的查询、更新权限授予角色rs2update 8.复制以下语句在窗口1中执行，将对应的角色授予对应的用户，实现将一组权限授予用户。 GRANT rs1select, rs2update TO u1, u2; u1，u2可以对s1的查询权限、对s2的更新权限。 GRANT rs2select, rs1update TO u3, u4; u3，u4可以对s2的查询权限、对s1的更新权限。 9.复制以下语句在窗口1中执行，可以查看指定用户绑定的角色。 du u1; 10.重新打开一个会话窗口2，以用户u1连接DWS数据库。 gsql d gaussdb h U u1 p 8000 r W {password}; 11.复制以下语句在窗口2中执行，验证用户u1对s1.t1有查询权限而没有更新权限。 SELECT FROM s1.t1; UPDATE s1.t1 SET c2 3 WHERE c1 1; 12.复制以下语句在窗口2中执行，验证用户u1对s2.t1有更新权限。 SELECT FROM s2.t1; UPDATE s2.t1 SET c2 3 WHERE c1 1;

告警趋势图根据时间及告警数量的关系直观展示告警趋势，图形根据筛选数据结果实时更新。 查询方法 点击时间控件选择或输入统计起始时间。

主机漏洞Top10榜单展示统计数量最高的事件排行榜，排行榜根据筛选数据实时更新。 查询方法 1.点击事件图示，可以把该事件加入筛选条件进一步分析。 2.点击具体的告警，自动把告警名称加入筛选条件。

根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

本小节介绍云日志审计采集器配置方法。 新增采集器： 点击【日志采集】→【采集控制器】→【新增】，如下图所展示。 类型：选择"事件采集器"； 标准化策略：选择系统内置对应的模版，系统将自动关联； IP范围：填写准确IP地址以便系统能够识别。

参数名 类型 是否必填 名称 说明 action string 是 操作参数 取值SetScdnBotInfo domainName string 是 域名 多个用英文逗号隔开，最多同时支持5个 enable string 是 开关类型 取值： 监控：LOG 拦截：BLOCK 关闭：CLOSE

接口描述：调用本接口查询证书详情信息。 请求方式：get 请求路径：/cert/querycertlist 使用说明： 单个用户一分钟限制调用10000次，并发不超过100。 请求参数说明（json）： 无 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 totalrecords int 否 总记录数 totalpage int 否 总页数 page int 否 当前页数 perpage int 否 每页显示的记录条数 result list 否 证书信息列表 result[].expires int 否 证书过期时间 result[].id int 否 证书id result[].issue int 否 证书颁发时间 result[].issuer string 否 证书颁发机构 result[].created int 否 证书创建时间 result[].name string 否 证书备注名称 result[].cn string 否 证书通用名称 result[].sans list 否 主题别名（Subject Alternative Names） 示例 请求路径： 请求参数 无 返回结果 { "code": 100000, "message": "success", "perpage": 1000, "totalrecords": 2, "totalpage": 1, "page": 1, "result": [ { "expires": 1911194411, "issue": 1595834411, "created": 1616749953, "name": "test9", "cn": "logging", "issuer": "Internet Widgits Pty Ltd", "sans": [ "", "" ] }, { "expires": 1911194411, "issue": 1595834411, "created": 1644474871, "name": "test056", "cn": "logging", "issuer": "Internet Widgits Pty Ltd", "sans": [ "", "" ] } ] } 错误码请参考：API返回参数code和message含义

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result object 是 返回结果数组 result.quota list 是 每日配额使用信息 result.quota[].domains list 是 域名列表,按配置分组，如果域名没有配置，将使用default的配额 result.quota[].dirused int 是 每日刷新目录已使用条数 result.quota[].dirmax int 是 每日刷新目录最大条数 result.quota[].dirsurplus int 是 每日刷新目录剩余条数 result.quota[].urlused int 是 每次刷新url已使用条数 result.quota[].urlsurplus int 是 每日刷新url剩余条数 result.quota[].urlmax int 是 每次刷新url最大条数

本文介绍如何使用刷新和预取功能。 CDN提供资源的刷新和预取功能。通过刷新功能，您可以强制CDN节点回源并获取最新文件；通过预取功能您可以在业务高峰期预取热门资源，提高资源访问效率。 刷新 刷新功能是指提交URL刷新或目录刷新请求后，CDN节点的缓存内容将会被强制过期，当您向CDN节点请求资源时，CDN会直接回源站获取对应的资源返回给您，并将其缓存。刷新功能会降低缓存命中率。 图 刷新 预取 预取功能是指提交URL预取请求后，源站将会主动将对应的资源缓存到CDN节点，当您首次请求时，就能直接从CDN节点缓存中获取到最新的请求资源，无需再回源站获取。预取功能会提高缓存命中率。 图 预取 任务查看 在天翼云CDN客户控制台的【刷新预取】页面，点击【查看任务】，可以分别看到您已提交的URL刷新、目录刷新和URL预取任务的执行情况； 图 查看任务 注：大批量的缓存推送可能会引发高并发回源，如果源站出口带宽较小，建议分多次小批量操作。

本文介绍如何查看态势感知大屏。 第一步，点击侧面导航—态势感知。 第二步，页面跳转态势感知大屏。

参数名 类型 是否必填 名称 说明 action string 是 操作参数 取值SetScdnBotInfo domainName string 是 域名 多个用英文逗号隔开，最多同时支持5个

本文介绍如何配置告警规则和查看告警记录。 图 告警配置页面 图 告警记录查询页面

本文介绍如何配置证书。 客户控制台的【证书管理】模块，客户在证书管理模块可以上传证书，查看证书详情、更新证书、证书对应绑定的域名以及删除证书。 证书管理页 图 证书新增页

本文介绍如何校验域名归属权。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1、客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2、域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3、如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1、在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例） 2、文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 windows验证： linux验证： 3、如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。