本文主要介绍SQL Server实例修改安全组的操作步骤。 前提条件 ● 实例状态为“运行中”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到需要修改端口的目标实例，单击列表右侧的【更多】按钮，在下拉框中单击【修改安全组】选项。 4. 在【编辑用户安全组】弹框中，展示当前可选择的安全组名称和安全组编码，选择需要修改的目标安全组，单击确定，即可完成修改。

步骤2：网络配置 1. 设置网络，包括“安全组”、“网卡”、“弹性IP”等信息。第一次使用网络服务时，系统将自动为您创建一个默认虚拟私有云，包括安全组、网卡。 参数 说明 虚拟私有云 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。更多关于虚拟私有云的信息，请参见《天翼云虚拟私有云用户使用指南》。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，云主机的访问规则遵循几个安全组规则的并集。注意：1.如需通过远程桌面连接到Windows云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：3389。2.如需通过远程桌面连接到Linux弹性云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：22。3.如需Ping云主机地址，请在安全组中增加如下规则，方向：入方向，协议：ICMP，地址和掩码：0.0.0.0/0 网卡 包括主网卡和扩展网卡。订购主机时可设置主网卡和扩展网卡。网卡使用限制可参考[弹性云主机产品使用限制](

前提条件 服务器的“Agent状态”为“在线”、“防护状态”为“开启”、“版本”为“企业版”或者“旗舰版”。 检测项目 软件信息、Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、网站后门检测、口令风险和配置风险。 检测时长 检测单个检测项目（例如：口令风险）的检测时长为30分钟内。 一键手动检测，检测多个检测项目时，各个检测项目并行检测，检测时长为30分钟内。 一键手动检测 一键执行手动检测能同时检测主机中的软件信息、漏洞、网站后门、关键配置信息、较弱的口令复杂度策略、使用弱口令的用户账号 。检测完成后，可在企业主机安全服务控制台查看各项风险统计或指定查看单个服务器的安全详情。 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在“主机管理”页面的右上角，单击“手动检测”，执行手动检测，如图所示。 一键执行手动检测 3、在弹出的“手动检测”对话框中，选择所需检测的主机，单击“确定”，完成一键手动检测的操作。 在安全控制台“企业主机安全”菜单或主机列表“操作”列的“查看详情”中查看各项手动检测结果并对检测结果执行相应的操作。

本节介绍如何在主机安全v1.0中进行Syslog日志外发配置。 前提条件 已购买主机安全v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“主机安全 > 主机安全v1.0”，在目标资源右侧操作列单击“配置”，进入主机安全系统。 2. 在主机安全系统导航栏，选择“联动管理 > 数据外发 > 日志外发” 。 3. 进入日志外发页面，点击日志外发开关，开启此功能；再点击“新建”。 4. 在弹窗中配置外发方式 、IP及端口号 、日志类型后，单击“确定”即可。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

本文向您介绍如何排查企业版VPN云上云下无法Ping通的问题。 故障现象 云下数据中心服务器无法Ping通VPC上的ECS服务器。 VPC上的ECS服务器无法Ping通云下数据中心服务器。 可能原因 安全组配置不正确 客户设备侧放通策略配置不正确 客户设备侧路由配置不正确 处理步骤 检查安全组配置 确认default安全组已经放通去往对端子网数据流。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认default安全组已经放通来自对端子网数据流。 确认default安全组已经放通去往本端子网数据流。 确认default安全组已经放通来自本端子网数据流。 确认ECS所在的安全组已经放通去往对端子网数据流。 ECS安全组可以选择“计算 > 弹性云主机”，单击“更多 > 安全组规则配置”查看。 确认ECS所在的安全组已经放通来自对端子网数据流。 检查客户设备侧放通策略 确认客户设备侧已经放通去往VPN本端子网的数据流。 确认客户设备侧已经放通来自VPN本端子网的数据流。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 检查客户设备侧路由配置 确认公网路由配置正确：目的地址为VPN网关EIP地址，下一跳为设备出口地址。 确认私网路由配置正确：目的地址为VPN本端子网，下一跳为设备出口地址。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。

《计算机信息网络国际联网安全保护管理办法》（公安部第33号令） （1997年12月11日国务院批准 1997年12月30日公安部第33号令发布） 第一章 总则 第一条 为了加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定，制定本办法。 第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理，适用本办法。 第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。 第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。 第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： (一) 煽动抗拒、破坏宪法和法律、行政法规实施的； (二) 煽动颠覆国家政权，推翻社会主义制度的； (三) 煽动分裂国家、破坏国家统一的； (四) 煽动民族仇恨、民族歧视，破坏民族团结的； (五) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七) 公然侮辱他人或者捏造事实诽谤他人的； (八) 损害国家机关信誉的； (九) 其他违反宪法和法律、行政法规的。 第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动： (一) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的； (二) 未经允许，对计算机信息网络功能进行删除、修改或者增加的； (三) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； (四) 故意制作、传播计算机病毒等破坏性程序的； (五) 其他危害计算机信息网络安全的。 第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。 第二章 安全保护责任 第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。 第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位，应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。 第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责： (一) 负责本网络的安全保护管理工作，建立健全安全保护管理制度； (二) 落实安全保护技术措施，保障本网络的运行安全和信息安全； (三) 负责对本网络用户的安全教育和培训； (四) 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核； (五) 建立计算机信息网络电子公告系统的用户登记和信息管理制度； (六) 发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告； (七) 按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。 第十一条 用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。 第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。 前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。 第十三条 使用公用账号的注册者应当加强对公用账号的管理，建立账号使用登记制度。用户账号不得转借、转让。 第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时，应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网，应当采取相应的安全保护措施。 第三章 安全监督 第十五条 省、自治区、直辖市公安厅（局），地（市）、县（市）公安局，应当有相应机构负责国际联网的安全保护管理工作。 第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况，建立备案档案，进行备案统计，并按照国家有关规定逐级上报。 第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。 公安机关计算机管理监察机构在组织安全检查时，有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题，应当提出改进意见，作出详细记录，存档备查。 第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除。 第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件，对违反本办法第四条、第七条规定的违法犯罪行为，应当按照国家有关规定移送有关部门或者司法机关处理。 第四章 法律责任 第二十条 违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。 第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。 (一) 未建立安全保护管理制度的； (二) 未采取安全技术保护措施的； (三) 未对网络用户进行安全教育和培训的； (四) 未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的； (五) 对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的； (六) 未建立电子公告系统的用户登记和信息管理制度的； (七) 未按照国家有关规定，删除网络地址、目录或者关闭服务器的； (八) 未建立公用账号使用登记制度的； (九) 转借、转让用户账号的。 第二十二条 违反本办法第四条、第七条规定的，依照有关法律、法规予以处罚。 第二十三条 违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不超过六个月的处罚。 第五章 附则 第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理，参照本办法执行。 第二十五条 本办法自发布之日起施行。

本节介绍了为什么弹性云主机可以远程连接,但是无法ping通的相关内容。 问题描述 云主机可以远程连接，但弹性公网IP无法ping通。 问题原因 需要添加安全组的入方向规则并开启ICMP协议。 处理方法 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表栏，单击目标弹性云主机名称。 系统进入弹性云主机详情页。 4. 选择“安全组”页签，展开安全组，并单击安全组ID。 5. 在“安全组”页面的“入方向”页签下，单击“添加规则”。 6. 根据如下参数要求，添加安全组入方向规则，开启ICMP协议。 − 协议：ICMP − 源地址：IP地址 0.0.0.0/0

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

本章节主要介绍如何创建CSS类型跨源认证。 操作场景 通过在DLI控制台创建的CSS类型的跨源认证，将CSS安全集群的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问CSS安全集群。 本节操作介绍在DLI控制台创建CSS安全集群的跨源认证的操作步骤。 操作须知 已创建CSS安全集群，且集群满足以下条件： CSS集群版本选择“6.5.4”或“6.5.4”以上版本。 CSS集群已开启“安全模式”。 操作步骤 1. 下载CSS安全集群的认证凭证。 a.登录CSS服务管理控制台，单击“集群管理”。 b.在“集群管理”页面中，单击对应的集群名称，进入“基本信息”页面。 c.单击“安全模式”后的下载证书，下载CSS安全集群的证书。 2. 将认证凭证上传到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写CSS认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含CSS安全集群的名称，便于区分不同集群的安全认证信息。 类型 选择CSS。 用户名 安全集群的登录用户名。 用户密码 安全集群的登录密码。 Certificate路径 上传“安全证书”的OBS路径。即步骤2的OBS桶地址。 4. 访问CSS的表。 跨源认证创建成功后，在创建访问CSS的表时只需关联跨源认证即可安全访问数据源。 例如在使用Spark SQL来创建访问CSS的表时使用es.certificate.name字段配置跨源认证信息名称，配置连接安全CSS集群。

简述IPv6功能和配置规则。 功能介绍 天翼云边缘安全加速平台安全与加速服务已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘节点。 配置说明 新增域名时，开启IPv6，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，点击“新增域名”。 3.在域名的基本信息中找到IPv6解析开关，按需开启IPv6。 域名添加完成后，如果需要变更IPv6开关的状态，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，在列表中找到目标域名。 3.变更列表中IPv6解析开关，从“停用”改为“启用”，或者从“启用”改为“停用”。 注意 当DDoS防护开关(非中国内地区域)为开启时，暂不支持开启IPv6。 配置界面 新增域名，开启IPv6： 变更IPv6状态：

说明：本章节会介绍如何修改数据库内网安全组 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 5. 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 6. 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本文详细介绍安全与加速计费模式。 计费构成 安全与加速免费版、基础版、高级版、企业版、旗舰版计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 计费描述 安全与加速计费详细描述如下： 计费构成 计费方式 计费项 计费描述 参考链接 基础套餐 预付费包月 流量计费 流量和带宽计费方式二选一。 按照实际流量计费，按下行流量与上行流量相加。 仅对防护清洗后的干净流量计费，DDoS攻击产生的流量不计费。 []( 基础套餐 预付费包月 月峰值带宽计费 流量和带宽计费方式二选一。 带宽计费暂不支持官网订购，如果您有需要，可通过提交工单或拨打4008109889热线电话联系客服进行咨询。 在一个自然月内，对每日的峰值进行排序，最大的那个峰值作为计费值。 []( 基础套餐 预付费包月 DDoS防护次数 在一个自然月内，如果您订购了高级版，则支持防护攻击带宽峰值不超过40Gbps的DDoS攻击2次。 发生DDoS攻击当天（自然天）的攻击算一次。 []( 套餐外超量费用 预付费流量包 流量包 一次性付费，流量包有效期一年。 资费详见安全与加速套餐超出资费 套餐外超量费用 预付费请求数包 动态请求数包 一次性付费，动态请求数包，有效期一年。 您可以通过控制台开启动态能力，开启动态能力后付费 资费详见安全与加速套餐超出资费 套餐外超量费用 动态请求数按需 动态请求数 对所有的动态优化请求进行计费，包含http动态优化请求和https动态优化请求。 资费详见安全与加速套餐超出资费 套餐外超量费用 流量按需 流量计费 按照实际流量计费，按下行流量与上行流量相加。 仅对防护清洗后的干净流量计费，DDoS攻击产生的流量不计费。 资费详见安全与加速套餐超出资费 套餐外超量费用 带宽按需 月峰值带宽计费 在一个自然月内，对每日的峰值进行排序，最大的那个峰值作为计费值。 若未开通带宽按需，当实际使用带宽超过订购带宽峰值时，则触发限速，将导致超过带宽峰值部分的请求被拦截。 资费详见安全与加速套餐超出资费 扩展服务 预付费包月 域名扩展包、DDoS防护带宽、高级Bot管理、API安全、态势感知大屏、专家服务 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 []( 扩展服务 按需 内容审核 内容审核按日收费。 []( 扩展服务 按需 DDoS弹性防护 在订购扩展服务DDoS防护带宽的基础上，可开启DDoS弹性防护；未开启扩展服务DDoS防护带宽，不允许开启DDoS弹性防护。 弹性峰值攻击峰值DDoS防护带宽， 弹性防护根据弹性峰值进行阶梯计费，按日收费。 [](

本文介绍了集群安全组规划配置的用户指南。 云容器引擎作为通用的容器平台，需配置适用于 Kubernetes 集群的安全组。创建集群时，支持选择默认新增和使用已有安全组。 选择默认新增会为 Master 节点和 Worker 节点共同创建一个安全组，安全组名称是：securitygroup{vpcID}。用户可以根据安全要求，登录天翼云控制台，点击产品 > 网络 > 虚拟私有云，在控制台左侧点击访问控制 > 安全组，根据名称找到对应安全组规则进行修改。 选择使用已有安全组，请参考集群自动创建的默认安全组规则放通指定端口，以确保集群中的正常网络通信。 安全组规则说明 方向 端口 协议 默认源/目的地址 说明 优先级（取值越小优先级越高） 是否支持修改 入方向规则 全部 TCP + UDP 198.19.128.0/20 VPCE内网地址段 99 不可修改 入方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 入方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 入方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 入方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP 169.254.169.254/32 主机元数据服务地址 99 不可修改 出方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 出方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 出方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 出方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP + UDP 0.0.0.0/0 默认全部放通，不建议修改 100 可修改 出方向规则 全部 TCP + UDP 0:0:0:0:0:0:0:0/0 默认全部放通，不建议修改 100 可修改

本节为您介绍关闭安全引流服务的操作步骤。 操作场景 用户关闭安全引流业务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已启用安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击对应目标智能网关实例“操作”列的“关闭安全引流”。 5. 单击“确定”，关闭安全引流服务。 6. 然后单击该智能网关实例“操作”列的“删除”，单击“确定”，即可删除不再需要引流的智能网关实例。

键 值 cubecni.eni.securityGroups 值为安全组ID列表，表示在已有安全组的基础上，额外增加的安全组，最终生效的安全组数量<5 cubecni.eni.additionalSecurityGroups 值为安全组ID列表，如sgxxx,sgaaa cubecni.eni.subnets 值为子网ID列表

本文介绍了如何配置对WebSocket应用进行加速。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持对WebSockett协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有WebSocket加速，您无需拆分域名，使用天翼云边缘安全加速平台安全与加速服务就可以实现对域名下http/https协议的应用和WebSocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，WebSocket协议的应用多为动态业务，对实时性要求很高，天翼云边缘安全加速平台安全与加速服务的动态探测选路能力可以为WebSocket应用选择最快的回源路径，提升WebSocket业务的访问效果。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版以及以上版本。 配置说明 1.登录边缘安全加速平台控制台。 2.在【域名】【基础配置】页面，点击目标域名。 3.进入WebSocket页面，单击“编辑配置”。 4.开启WebSocket功能开关，开启后默认连接超时时间5秒、请求超时时间15秒。 配置页面 参数名 说明 WebSocket回源连接超时时间 WebSocket回源连接超时时间的配置范围支持1~300秒。

本文介绍若同时具备加速及安全防护需求，该如何选择开通安全与加速服务还是开通边缘接入服务。 当客户存在加速需求时，可以参见：边缘接入服务里的应用加速与安全与加速服务里的加速的区别是什么来选择开通合适的服务。 当客户存在安全防护需求时，可以参见：边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别是什么来选择开通合适的服务。

本章节主要介绍修改实例安全组 操作场景 分布式关系型数据库服务支持修改数据库实例的安全组。 操作步骤 1、在分布式关系型数据库服务“实例管理”页面，选择指定的实例，单击实例名称。 2、在基本信息页面，在“网络信息”模块的“安全组”处，单击，选择对应的安全组。 单击，提交修改。 单击，取消修改。 3、在实例的基本信息页面，查看修改结果。

本页介绍天翼云TeleDB数据库数据库安装环境的安全。 数据库安装环境的安全，建议应该参考信息安全等级保护（三级）标准进行建设，例如： 数据库应该安装在与互联网网络隔离的安全网络中，不应对外暴露数据库的具体物理位置、IP信息。 日常运维全过程应该进行有效控制，避免运维安全风险，除配置数据的安全功能外，还建议配置堡垒机对整个运维过程进行有效管理。 除数据库本身外，使用方应该保护应用通信流和所有相关的应用资源免受利用Web协议发动的攻击，包括SQL注入、跨站脚本、网页篡改和挂马等，同时提供防病毒功能，对各种病毒、蠕虫、木马进行检测和过滤等。以避免应用资源和网络被攻破后导致数据库内核心数据的泄露。 数据库安装的物理（虚拟）环境、操作系统等，应有效保障其安全，有效管理。

本小节介绍安全专区账号访问控制。 如需限制账号登录地址，可在【系统管理】→【白名单列表】进行操作，点击【添加IP】，设置白名单信息。 IP地址：可登录访问安全专区的客户IP地址， 用户账号：为登录安全专区的账号。

本小节介绍云下一代防火墙确认安全需求。 确认安全需求 订购云下一代防火墙前需确认订购规格及安全功能，按需进行订购。 具体规格需求见规格。 订购云下一代防火墙时会自动匹配合适的云主机，无需客户单独购买。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则 弹性公网IP（可选） 若需要通过公网访问Redis实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。 申请弹性公网IP的操作指导请参考购买弹性IP

定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助客户最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效地利用已有系统，优化资源，提高网络运行效率。 网络建设和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全规划评估和成效检验。 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全性测试。 满足合规性需求（网络安全法、等保） 定期开展漏洞扫描发现主机风险，主动防御风险也是公安局主推的等保要求以及网络安全法要求中的合规要求，其主要目的是：消除与降低安全隐患、周期性地评估和加固工作相结合，尽可能避免安全风险的发生。

场景四：端口不匹配问题 域名配置的端口与访问请求到的端口不匹配时，会导致出现403。具体报错如下： 解决方案：如果是访问时指定了错误的端口，请调整为正确端口后，再发起请求。如果是域名配置的端口不准确，请在控制台进行端口配置调整，配置生效后，再重新发起请求。 场景五：安全与加速服务的安全策略，被边缘节点拦截。 网站接入安全与加速服务之后，当访问请求有可能对网站造成安全威胁时，安全防护节点拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案：当请求响应403拦截时，您可以通过边缘安全加速控制台查看具体的攻击拦截信息，其中事件ID跟拦截请求响应内容中的RequestID对应，具体查看方式WAF攻击日志。 若存在误拦截等情况，可进行修改相应的安全策略或进行规则加白。

section5f637d92e02e8ca3)所示要求的弹性云服务器。 2. 确保源端服务器可以访问目的端服务器（即弹性云服务器），即要有可用的EIP，或者配置VPN、专线。 3. 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组，如果是Windows系统需要开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 4. 迁移过程中禁止操作目的端弹性云服务器（包括关机、重启、挂载磁盘、卸载磁盘、修改密码等），否则会导致迁移失败。 如何配置目的端服务器安全组规则？ 1. 登录管理控制台。 2. 单击控制台左上角，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云服务器列表，单击待变更安全组规则的弹性云服务器名称。系统跳转至该弹性云服务器详情页面。 5. 选择“安全组”页签，并单击，查看安全组规则。 6. 单击“更改安全组规则”。系统跳转至安全组页面。 7. 在“入方向规则”页签下，单击“添加规则”，配置安全组入方向的访问规则。 8. 单击“确定”，完成安全组规则配置。 “与目的服务器建立SSH连接失败”该如何处理？ 当目的迁移任务执行失败时，提示“sms.3802 与目的服务器建立SSH连接失败”。迁移时，源端会和目的端服务器建立一个SSH连接用于传输数据。如果无法成功建立SSH连接，则会提示该错误。建议您参考本章节操作步骤排查SSH无法连接的原因。 检查目的端是否被关机 检查目的端安全组22端口是否被关闭或指定了一个非源端IP 检查是否安装ssh客户端 检查迁移过程中目的端是否更换了VPC或者IP 检查源端防火墙出口方向是否有安全拦截 检查源端或目的端主机是否存在安全告警或者EIP被冻结 检查源端/root/.ssh/knownhosts记录的公钥和目的端的公钥是否不一致 检查目的端sshd服务是否正常运行或监听端口是否被改为其他非22端口 检查是否使用了与目的端服务器未联通的内网进行迁移

本章节介绍如何通过弹性云主机通过内网连接数据库实例。 准备工作 步骤1. 准备弹性云主机 通过内网连接关系型数据库实例，您需要创建一台弹性云主机。 创建并连接弹性云主机。 该弹性云主机与目标实例必须处于同一VPC、子网内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全 组 ， 则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。 （1）登录管理控制台。 （2）单击管理控制台左上角的，选择区域和项目。 （3）选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 （4）在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 （5）在“连接信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面，查看安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则 步骤2 安装MicrosoftSQLServer客户端 在步骤1 中的弹性云主机或可访问关系型数据库实例的设备上，安装Microsoft SQL Server客户端。 普通连接 步骤1 登录弹性云主机或可访问关系型数据库实例的设备。 步骤2 启动SQLServerManagementStudio客户端。 步骤3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中输入登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQLServer身份验证”。 “登录名”即待访问的关系型数据库帐号，默认管理员帐号为rdsuser。 “密码”即待访问的数据库帐号对应的密码。 步骤4 单击“连接”，连接实例。 若连接失败，请确保各项准备工作正确配置后，重新尝试连接。

参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid isRelStrategy Boolean 是否关联策略： true:是。 false:否。 remark String 描述 createDate Long 创建时间，unix时间戳（毫秒） updateDate Long 更新时间，unix时间戳（毫秒）

数据在数据仓库服务中是否安全？ 安全。在大数据时代，数据是用户的核心资产。将继续秉承多年来向社会做出的“上不碰应用，下不碰数据”的承诺，保证用户核心资产的安全。这是我们对用户和社会的承诺，也是云平台及其伙伴商业成功的保障和基石。 我们的数据仓库服务工程师对整个数据仓库系统进行了电信系统级别的安全增强，大量地采用了多年来在电信行业里积累的各种经验和知识，特别是针对数据安全，用户隐私方面的技术和专利。因此，数据仓库服务是一款符合电信级质量要求的产品，满足各级政府，金融机构，电信运营商对数据安全和用户隐私的要求，并在以上各行业被广泛使用。数据仓库服务还获得了如下安全认证： 网络安全实验室ICSL的认证：该认证是遵从英国当局颁布的网络安全标准设立的。 隐私和安全管理当局PSA的官方认证：该认证满足欧盟对数据安全和隐私的要求。 业务数据安全 数据仓库服务构建在云平台的基础软件设施之上，包括云主机弹性云主机和对象存储服务OBS。 DWS用户的业务数据是直接存放在集群的云主机当中，集群的云主机对DWS用户本身不可见，只向用户提供数据仓库访问服务，用户以及云平台的运维管理员均无法登录DWS集群云主机进行操作。 DWS集群云主机操作系统进行了严格的安全加固，包括内核安全加固，系统最新补丁，权限控制，端口管理，协议与端口防攻击等。 DWS提供完整的密码策略、身份认证、会话管理、用户权限管理和数据库审计等安全措施。

高负载处理和负载均衡 业务挑战：热门活动、新闻爆发等可能导致突发的高流量，需要确保网站和应用程序的高可用性。 方案优势：AOne的负载均衡和智能路由技术可以分配流量到最优的服务器，确保网站和应用在高流量情况下仍然保持稳定运行。 内容安全与防护 业务挑战：传媒行业网站可能受到DDoS攻击、恶意流量和数据泄露的威胁，需要保护内容和用户数据的安全。 方案优势：AOne提供强大的安全防护，如DDoS防护、Web应用防火墙等，确保内容和用户数据免受攻击，维护平台的安全性。 用户数据保护场景 业务挑战：传媒公司需要确保用户的个人数据和隐私受到保护，以满足隐私合规要求。 方案优势：AOne提供数据加密和安全传输，帮助传媒公司保护用户数据的隐私，遵循隐私法规和合规性要求。 客户收益 优化用户体验：通过加速内容传递和减少加载时间，用户能够更快速地访问和消费媒体内容，提升用户体验，降低因加载缓慢导致的用户流失率。 强化内容安全：通过AOne的安全防护功能，客户可以保护内容免受恶意攻击、盗链和数据泄露的威胁，提升内容的安全性。 灵活应对高并发：通过弹性扩展和负载均衡技术，自动调整系统资源，确保平台的稳定性和可用性。 接入便捷成本可控：SaaS化服务无需改变源站架构，一站式操作平台界面清晰操作简单，功能按需计费降低运营成本。

启用规则 1.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签，在规则列表中勾选目标规则，单击“启用选中项”。 2.在弹出对话框中勾选需要启用相关规则资产，单击“确定”，则可将已启用的规则直接应用到选择的资产上。 禁用规则 1.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签，在规则列表中勾选目标规则，单击“禁用选中项”。 2.在弹出对话框中勾选需要禁用相关规则资产，单击“确定”，则可将已禁用的规则直接应用到选择的资产上。 白名单管理 已经匹配到安全规则的审计日志如果符合白名单的条件就不会触发告警。条件包含客户端、服务端、基本信息、结果、行为等。 新增白名单并启用的操作方法如下： 1.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“白名单管理”页签。 2.单击“新增”，进入“新增白名单”页面，编辑相关配置项（配置方法与新增自定义规则的参数配置方法相同，请参考规则管理）。 3.配置完成后，单击“保存”即可完成白名单的新增。 说明 添加白名单后，需在对应的规则上启用该白名单才会生效。 4.在左侧菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签。 5.单击“白名单数量”列的数字。 6.在弹出的对话框中，将“状态”列的状态改为“启用”即可启用白名单。 说明 如您需要删除白名单规则，则需要将白名单上启用的所有安全规则禁用后才能删除该白名单。

集群创建成功后关闭安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待关闭安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关关闭授权，在弹出窗口单击“确定”。 关闭授权后将导致集群状态变更为“网络通道未授权”，集群部分功能不可用，请谨慎操作。 为关闭安全通信的集群开启安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待开启安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关开启授权。 开启授权后集群状态变更为“运行中”。 一键修复 当集群中授权的安全组规则不足以支撑MRS集群管理控制台为用户发放、管理和使用大数据组件的操作时，“通信安全授权”右侧出现的提示，请单击“一键修复”按钮进行修复。 1.登录MRS管理控制台。 2.在现有集群列表中，单击待修复安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的“一键修复”。 详见下图：一键修复 4.单击“确定”，完成修复。 详见下图： 修复访问控制策略