统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本节介绍云安全中心配置类常见问题。 为什么要进行数据接入？ 云安全中心（CTCSC，Cloud Security Center，简称CSC）作为用户侧的安全中心，其核心数据来源是用户的各种安全设备。 云安全中心数据接入要如何配置？ 打开云安全中心的“设置 > 集成配置”，在集成配置页面选择需要接入的日志类型即可。 云安全中心告警需要如何配置？ 1. 打开云安全中心的“设置 > 集成配置”，在集成配置页面选择需要接入的日志类型。 2. 部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 同时云安全中心还支持自定义转告警配置，即通过云安全中心的“威胁运营 > 威胁检测 > 威胁建模”功能实现自定义告警配置。

本文主要介绍如何使用客户端限速功能。 背景说明 在您使用AOne零信任服务、AOne学术加速服务时，可根据企业场景进行单客户端访问限速。 在AOne零信任场景，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速。 若是AOne学术加速场景，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 操作步骤 1.登录边缘安全加速控制台，进入AOne零信任或AOne学术加速工作台。 2.在左侧导航栏，选择设置客户端设置客户端限速，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 开启限速后，该企业全部用户单个客户端的对应访问带宽速率将受到影响，开启限速时，需填写限速阈值。

本节主要介绍如何启用流程。 前提条件 已激活流程版本，具体操作请参见管理流程版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程所在行的“操作”列，单击“启用”，页面弹出启用确认框。 6. 在弹出的确认框中，选择启用的流程版本后，单击“确定”，完成流程启用。

本章主要介绍安全问题 是否支持项目成员只能查看任务（工作项）不能查看代码？ 支持。 软件开发生产线中对代码仓库设置了专门的成员管理策略，项目成员只要未被添加为仓库成员，就没有权限查看代码仓库信息；用户登录后，代码托管服务页面中不会显示该帐号没有权限的代码仓库，详见“《代码托管用户指南》>配置代码托管仓库>安全管理>IP白名单”。 是否支持限制员工只能在办公场所访问代码仓库？ 支持。 代码托管服务提供“IP白名单”设置，只有在IP白名单范围内的仓库访问才是允许的，除此之外其他IP发起的访问一律被拒绝。管理员可以对每个代码仓库进行IP白名单设置，以此来限制访问场所。详细操作请参考“《代码托管用户指南》>使用代码托管仓库>管理仓库成员>配置成员管理”。

此功能处于公测阶段，公测阶段可免费使用。 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。 前提条件 已完成资产访问的授权。 已添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产地图”进入“资产地图”页面。 5. 查看资产地图。 资产地图可以实现： 梳理云上数据资产 ：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 说明 资产地图最多支持显示1000个资产。 敏感数据展示 ：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 风险监控和预警 ：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 资产地图会显示您当前所有资产的总体安全评分，评分规则请参见资产地图评分规则。 6. 单击“风险等级”上面显示的数字，可进入资产风险概览页面，并查看各风险等级下所有的数据库及数据表。 7. 单击资产风险概览下方输入框，可输入数据库或数据表关键词搜索您想要展示的数据库或数据表。 8. 单击想要查看的数据表名称，会在页面右侧弹框展示数据表的详细信息。 说明 将鼠标移动到数据资产图标处，也可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“敏感数据识别”、或者“ES集群安全防护策略分析”等信息。 如您需要对您的云资产授权进行更改，可单击右上角“修改”进行更改。如需停止授权，需要您的资产没有绑定任务。停止授权后，DSC会删除您的委托和资产信息，对应的所有数据将被清除，请谨慎操作。 DSC资产地图参数说明： 参数名称 参数说明 风险等级 您的资产存在的风险等级。 数据表总数 数据类型为数据库时显示该参数，数据库的表总数量，可单击“查看详情”进行查看。 扫描文件总数 数据类型为OBS时显示该参数，OBS的文件总数，可单击“查看详情”进行查看。 文档总数 数据类型为ES时显示该参数，ES的文档总数量，可单击“查看详情”进行查看。 敏感文档数 包含敏感信息的文档总数量，可单击“查看详情”进行查看。 最新扫描时间 上次对您的资产进行安全扫描的时间。 分类分级模板 选择内置模板或者自定义模板，DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板。 可单击“查看详情”进行查看。

Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 正则防护 经验规则集，自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 0day漏洞 0day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC安全防护 根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。

本页介绍了关系数据库MySQL版的一些典型参数组合推荐。 "innodbflushlogattrxcommit"和"syncbinlog"是两个关键参数，用于控制mysql的磁盘写入策略和数据安全性。这两个参数的取值不同会对性能和数据安全性产生不同的影响。它们在决定数据何时写入磁盘以及是否进行同步写入binlog的过程中发挥重要作用。 参数说明 innodbflushlogattrxcommit 允许值：0,1,2 描述：当重新安排并批量处理与提交相关的I/O操作时，可以控制磁盘的写入策略，严格遵守ACID合规性和高性能之间的平衡，该参数默认值为“1”。 0：日志缓存区将每隔一秒写到日志文件中，并且将日志文件的数据刷新到磁盘上。该模式下在事务提交时不会主动触发写入磁盘的操作。 1：每次事务提交时mysql都会把日志缓存区的数据写入日志文件中，并且刷新到磁盘中，该模式为系统默认。 2：每次事务提交时mysql都会把日志缓存区的数据写入日志文件中，但是并不会同时刷新到磁盘上。该模式下，mysql会每秒执行一次刷新磁盘操作。 说明： 当设置为0，该模式速度最快，但不太安全，mysqld进程的崩溃会导致上一秒钟所有事务数据的丢失。 当设置为1，该模式是最安全的，但也是最慢的一种方式。在mysqld服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务。 当设置为2，该模式速度较快，较取值为0情况下更安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失。

本节介绍云下一代防火墙产品定义。 云下一代防火墙（CTECFW Extended Capacity Firewall）是专门为云计算环境设计的虚拟化网络安全产品，内嵌网络防火墙专用操作系统，以虚拟主机形态提供高性价比、不同安全等级应用之间的安全隔离防护的云安全边界解决方案，为客户提供了下一代防火墙、高可用性（HA）、入侵防御 （IPS）、病毒过滤（AV）、带宽管理（QoS）僵尸网络防护（C&C）、云沙箱（SandBox）等丰富功能，降低客户初始采购和管理维护成本。

为什么要更新VMTools？ 平台会定期从virtio社区同步问题修复，每月发布更新版本可以帮您进行以下优化： 1. 问题修复和安全性： VMTools 提供了与宿主机系统的交互，包括文件共享、鼠标和键盘集成等功能。更新VMTools可以获得最新的问题修复和安全性更新，确保在您的虚拟机中使用过程中不会遇到已知问题或潜在的安全漏洞。 2. 兼容性： 更新VMTools可以确保虚拟机与宿主机的软件和硬件环境保持兼容。随着宿主机和虚拟化平台的更新，旧版本的VMTools可能会出现不兼容性问题，更新可以避免这些问题。 3. 性能优化： 新版本的VMTools通常会带来性能优化，从而提升虚拟机的性能和响应速度。通过更新，您可以获得更好的虚拟机性能体验。 4. 新功能支持： 更新VMTools可能会引入新的功能和增强，从而改善虚拟机的功能和管理能力。这些功能可以帮助您更有效地管理和操作虚拟机。 什么时候更新VMTools？ 更新VMTools的时机取决于问题的严重程度、安全性、定期更新以及您所使用的镜像类型。保持最新的VMTools版本是确保虚拟机安全、稳定和高效运行的重要措施。建议您在通过以下考虑来进行VMTools更新： 重大错误或安全问题： 如果发现VMTools中存在重大错误或安全问题，建议立即更新，以确保虚拟机的安全性和稳定性。这是保护您的虚拟机免受潜在威胁的重要步骤。 定期更新： 平台会定期将更新的VMTools版本提供至OBS桶，以确保您在制作私有镜像或安装新虚拟机时可以获得最新版本的VMTools。您可以定期检查是否有新版本可用，并在需要时进行更新。 公共镜像更新： 如果您使用平台提供的公共镜像，这些镜像会定期更新，以确保其中包含了最新版本的VMTools。在使用这些镜像时，您可以放心地获得更新的VMTools。 文档和资料同步： 平台会确保文档中的下载链接与OBS桶中的文件保持同步，以确保您能够轻松地下载到最新版本的VMTools。在需要更新时，您可以从指定的下载链接获取新版本。

本章节主要介绍翼MapReduce集群使用规则。 翼MR集群内节点上的/var/log目录中，存放了操作系统的相关操作、安全等关键性日志数据以及翼MR集群各个部署组件实例的应用和审计日志，以方便客户对云主机的系统问题以及翼MR组件集群进行定位和安全审计。 针对上述的系统日志文件，不建议客户进行清理，该操作属于高危操作，易引发弹性云主机的故障不可用问题。 针对上述的翼MR集群应用和审计日志，建议客户基于必要性考虑，确认是否需要清理。如果需要清理，优先考虑将相关历史久远的日志执行删除操作。

可能原因 解决方案 EIP实例未绑定到云资源 排查EIP实例是否已绑定到目标云资源。登录弹性IP控制台，查看EIP的绑定状态，当状态为已绑定时，表示EIP已成功绑定到目标云资源。 EIP实例到期或欠费 检查EIP实例是否欠费。为避免实例停机对您的服务产生影响，请您及时续费或充值。 被云上安全策略拦截 检查是否被以下云上安全策略拦截： 云WAF拦截：网站接入Web应用防火墙（Web Application Firewall，简称WAF）后，出现访问异常。 云防火墙可监控互联网与公网IP资产之间的通信流量。若您启用云防火墙对EIP进行保护，可能会导致访问控制策略拦截流量的情况发生。 安全策略拦截 检查云主机系统防火墙策略限制、第三方安全防护软件等，同时检查网卡驱动是否安装正确。也可对云主机实例进行网络检查。 检查云主机加入安全组出入方向规则是否允许所需的流量流入流出。 路由配置有误 请检查EIP绑定实例的路由表中是否存在与公网路由相冲突的路由规则。 运营商禁止 完成云上安全策略及绑定资源安全策略排查后，如果还是无法访问EIP，考虑运营商可能对EIP进行了封禁。您可提交工单协助排查或拨打相关运营商的联系电话，咨询并核实具体原因。同时，为了降低对业务的影响，您可以考虑更换EIP。

本文主要介绍如何使用客户端自保护功能。 背景说明 对于有安全强管控需求的企业，通过配置客户端自保护的功能可以避免员工擅自卸载客户端。客户端自保护功能支持在AOne零信任，AOne终端管理使用。 操作步骤 1.登录边缘安全加速控制台，进入AOne零信任或AOne终端管理工作台。 2.在左侧导航栏，选择设置客户端设置客户端自保护，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 开启客户端自保护策略时，可选择开启对象和排除对象，支持按设备、按用户两种策略下发方式，其中排除对象优先于开启对象。设置完成后点击保存进行策略下发。策略变更后，预计1分钟左右客户端自保护功能生效。 注意 目前仅Windows、麒麟、统信客户端版本支持自保护能力，macOS操作系统客户端版本不支持客户端自保护能力。Windows客户端版本号需不小于2.5.0，麒麟、统信客户端版本号需不小于2.26.10。 完成策略配置后，若员工有客户端卸载的需求，管理员可在控制台生成防护码。卸载的设备需具备联网条件，不联网的客户端无法执行防护码操作。 点击生成防护码按钮，可选择防护码有效期，点击确定后生成对应防护码。 已经分发出去的防护码，管理员可对防护码进行批量禁用。

本文介绍高性能网络增值服务的适用场景和配置说明。 功能介绍 高性能网络是天翼云边缘安全加速平台—安全与加速服务的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 适用场景 高性能网络适用于如下三类业务场景： 场景一：海外跨国企业，有海外用户和中国大陆用户，由于在中国没有实体无法备案域名等原因（关于域名合规接入的条件说明，详情请见：使用限制的加速域名准入条件），需要用临近中国大陆的海外边缘安全加速平台节点（如香港节点）服务中国大陆用户。 常规节点跨境是走公共互联网，在没有高性能网络直连的情况下，链路一般会绕欧美地区，导致时延大，丢包率高，访问体验差甚至访问失败。 场景二：海外跨国企业，有海外用户和中国大陆用户，有中国实体并备案域名，但是由于源站在海外，国内节点跨境回海外中间节点或海外源站是走公共互联网，在没有高性能网络直连的情况下，链路一般会绕欧美地区，导致时延大，丢包率高，访问体验差甚至访问失败。 场景三：中国企业出海，源站在中国，用户在海外，海外节点回中国源站时涉及跨境，常规节点跨境是走公共互联网，链路不稳定，丢包率高、时延大、访问慢等问题比较突出，影响访问体验。

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本小节介绍日志审计(原生版)新增资产。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您需要先纳管资产，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”。 4. 在弹出的对窗口中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容（下表仅展示必填项，完整的填写内容请参考新增资产）。 注意 日志采集方式、资产类型和IP需要根据实际情况选择。 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 SyslogUdp采集 选择是否开始SyslogUdp采集，默认开启，建议选择开启。 开启 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

操作名称 操作风险 风险等级 规避措施 重大操作观察项目 绑定弹性公网IP 该操作会将集群服务的相关主节点如:HDFS NameNode所在的master节点暴露在公网，会增大来自互联网的网络攻击风险可能性。 ★★★★★ 请确认绑定的弹性公网IP为可信任的公网访问IP，确认是否针对开放的相关端口进行设置安全组规则，只允许可信的IP可以访问该端口，入方向规则不推荐设置允许0.0.0.0可以访问。 无 开放集群22端口安全组规则 该操作会增大用户利用22进行漏洞攻击的风险。 ★★★★★ 针对开放的22端口进行设置安全组规则，只允许可信的IP可以访问该端口，入方向规则不推荐设置允许0.0.0.0可以访问。 无 删除集群或删除集群数据 该操作会导致数据丢失。 ★★★★★ 删除前请务必再次确认该操作的必要性，同时要保证数据已完成备份。 无 缩容集群 该操作会导致数据丢失。 ★★★★★ 缩容前请务必再次确认该操作的必要性，同时要保证数据已完成备份。 无 卸载磁盘或格式化数据盘 该操作会导致数据丢失。 ★★★★★ 操作前请务必再次确认该操作的必要性，同时要保证数据已完成备份。 无

本文介绍如何在天翼云APP设置MFA。 绑定MFA 天翼云APP支持用户通过扫码添加或手动输入两种方式绑定MFA。 扫码添加 1、点击【我的】 【虚拟MFA】进入MFA界面 2、点击右下角【扫码添加】按钮，进入扫码界面 3、扫描“安全设置/绑定MFA”页面的二维码（PC端页面），扫描成功后，虚拟MFA列表中出现帐号名及对应的MFA动态码 手动输入 1、点击【我的】 【虚拟MFA】进入MFA界面 2、点击右下角【手动输入】按钮，进入录入界面 3、录入信息可通过“安全设置/绑定MFA”页面的二维码（PC端页面）的【扫码失败】提示获取 解绑MFA 解绑MFA需要通过“安全设置/绑定MFA”页面（PC端页面）发起 1、点击【前往解绑】并进行验证 2、完成MFA验证即可解绑MFA 其他说明 PC端页面获取二维码，或其他更多通过天翼云管理中心对MFA进行绑定或解绑具体操作可查看：绑定/解绑虚拟MFA

参数 说明 IAM委托 选择步骤2中创建的委托。 类型 User：在用户级别进行映射 Group：用户组级别进行映射 说明 用户级别的映射优先级大于用户组级别的映射。若选择Group，建议在“MRS用户（组）”一栏，填写用户的主组名称。 请避免同个用户名（组）出现在多个映射记录上的情况。 MRS用户（组） MRS中的用户（组）的名称，以英文逗号进行分隔。 说明 对于没有配置在OBS权限控制的用户，且没有配置AK、SK时，将以MRSECSDEFAULTAGENCY中的OBS Operator的权限访问OBS。对于组件内置用户不建议绑定在委托中。 如需对组件内置用户在以下场景提交作业时配置委托，要求如下： 如需对sparkbeeline的操作进行权限控制，安全集群时配置用户名“spark”，普通集群时配置用户名“omm”。 如需对hbase shell的操作进行权限控制，安全集群时配置用户名“hbase”，普通集群时配置用户名“omm”。 如需对Presto的操作进行权限控制，安全集群时配置用户名“omm”、“hive”和登录客户端的用户名，普通集群时配置用户名“omm”和登录客户端的用户名。 如需使用Hive在beeline模式下创建表时，配置内置用户“hive”。

权限 定义 拥有的菜单 超级管理员 维护系统稳定运行 所有菜单 审计管理员 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 安全管理员 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置

本小节介绍HSS是否支持防护本地IDC服务器。 支持。 若您的服务器能连接到公网，就可以使用企业主机安全对其进行防护。

本文介绍无法远程登录Linux云主机怎么办 无法远程登录Linux云主机可以使用以下方式进行问题排查： 1. 检查资源状态是否正常 请在控制台检查云服务器资源状态是否为“运行中”。如果云服务器状态为“关机”，请先开机再登录云服务器。 2. 检查登录凭证 请检查您在创建ECS时设置的登录凭证。 密码：请确认使用的登录密码是否准确，如果忘记密码可以通过重置密码功能重新设置云服务器登录密码。重置密码后请确保已重启云服务器使新密码生效。 创建后设置：如果创建时未设置登录凭证，云服务器创建成功后请单击“操作”列下的“重置密码”，根据界面提示，为弹性云服务器设置密码，请确保已重启云服务器使新密码生效。 3. 检查云主机负载是否过高 云主机的带宽和CPU利用率过高可能会导致无法登录。您可以通过云监控服务创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。 如果是CPU占用过高导致的无法登录请参考以下操作降低CPU使用率： 关掉一些暂时不使用的进程。 重启云主机。 变更云主机规格以升级vCPU、内存。 检查是否是带宽超限导致的无法登录，可尝试进行扩大带宽操作，扩大带宽的操作请参考弹性IP修改带宽。 完成上述操作后，再次重试远程连接云主机。 4. 检查安全组配置是否正确 在云主机的详情页面选择“安全组”页签，查看安全组入方向规则中已添加22端口。 如果没有，添加入方向的22端口，具体操作参见虚拟私有云添加安全组规则。 完成上述操作后，再次重试远程连接云主机。 5. 其他解决方案 通过上述排查后，仍然不能连接Linux实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI应用发现及管控能力通过周期性扫描终端设备，有效发现部署的AI应用，帮助企业快速理清全域AI应用分布，为后续的AI应用风险监测及管控奠定基础。 功能说明 1.通过周期性采集上报 AI 应用资产，统计最新的终端设备 AI 应用安装数量。 2.针对 Windows AI 软件进行管控，管控动作包括禁止运行、禁止联网。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用发现及管控】，查看 AI 应用发现及管控功能。 3. 可根据业务需求进行相关配置。 AI 应用发现数据 1. 当前AI 应用发现，采用周期性扫描的（默认每 24小时采集一次）方式定期采集终端设备上部署的 AI 应用。 2. 点击“AI 应用发现” 开关按钮，开启/关闭功能AI 应用周期性扫描。 3. 点击“设置”，可以配置无需扫描的非 AI 应用服务端口，减少无效扫描。 4.顶部概览视图支持查看当前检测的所有AI 应用数量以及安装了 AI 应用的终端设备数量，实时掌握当前 AI 应用资产总量。 5.支持查看当前所有设备中部署的 TOP10 AI 应用，快速了解高频使用的 AI 应用。

本章节介绍HSS授权项说明。 如果您需要对您所拥有的HSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用HSS服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

本章节介绍DCS服务与开源Redis服务的差异。 DCS提供单机、主备、集群等丰富的实例类型，满足用户高读写性能及快速数据访问的业务诉求。支持丰富的实例管理操作，帮助用户省去运维烦恼。用户可以聚焦于业务逻辑本身，而无需过多考虑部署、监控、扩容、安全、故障恢复等方面的问题。 DCS基于开源Redis向用户提供一定程度定制化的缓存服务，因此，除了拥有开源服务缓存数据库的优秀特性，DCS提供更多实用功能。 与开源Redis差异 DCS与自建开源Redis的差异说明 比较项 开源Redis DCS Redis ::: 服务搭建 从自行准备服务器资源到Redis搭建，需要0.5~2天。 Redis3.0版本5~15分钟完成创建。 Redis4.0及以上版本，采用容器化部署，8秒完成创建。 版本 深度参与开源社区，及时支持最新Redis的版本。目前支持Redis 3.0、Redis 4.0、Redis 5.0、Redis 6.0版本。 安全 自行保证网络与服务器的安全。 使用云上虚拟私有云与安全组，确保网络安全。 主备与集群多副本、定时备份，确保数据高可靠。 性能 单节点达10万QPS（Query Per Second）。 监控 提供简单的信息统计。 提供30余项监控指标，并支持用户自定义监控阈值和告警策略。 指标类型丰富 常见的外部业务监控和统计：命令数、并发操作数、连接数、客户端数、拒绝连接数等。 常见的资源占用监控和统计：cpu占用率、物理内存占用、网络输入/输出流量等。 常见的关键内部监控和统计：键个数、键过期个数、容量占用量、pubsub通道个数、pubsub模式个数、keyspace命中、keyspace错过。 自定义监控阈值及告警提供基于各项监控制定阈值告警，支持客户自定义，便于及时发现业务异常。 备份恢复 支持。 提供定时与手动备份数据能力，支持备份文件下载到本地。 支持控制台一键恢复数据。 可视化维护缓存参数 不具备，需要自行开发。 web控制台可视化维护。 可在线修改配置参数。 支持在web控制台连接并操作数据。 可扩展性 需要中断服务。首先为服务器调整运行内存，然后调整Redis内存配置并重启操作系统与服务。 提供不中断服务的在线扩容或缩容能力。 规格可根据实际需要，在DCS支持的规格范围内进行扩容或者缩容。

操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

退订 云下一代防火墙安全产品不支持退订。

本章节向您主要介绍VPN与VPC peering配合使用快速实现云上不同区域VPC互通的资源规划情况。 资源规划 网络资源规划 Figure 1 网络资源规划 资源类型 配置项 配置明细 说明 :::: 虚拟私有云1 区域 哈尔滨 在需部署VPN连接的节点开通VPC 虚拟私有云1 状态 创建 新创建操作 虚拟私有云1 VPC名称 哈尔滨VPCVPN测试用1 根据网络规划创建 虚拟私有云1 VPC网段 192.168.0.0/24 根据网络规划创建 虚拟私有云1 子网名称 哈尔滨SUBNETVPN测试用1 根据网络规划创建 虚拟私有云1 子网IPv4网段 192.168.0.0/24 根据网络规划创建 访问控制1 安全组名称 SG哈尔滨1 根据安全规划创建 访问控制1 安全组模板 开放全部端口 根据安全需要选择或创建 虚拟私有云2 区域 郑州 在需部署VPN连接的节点开通VPC 虚拟私有云2 状态 创建 新创建操作 虚拟私有云2 VPC名称 郑州VPCVPN测试用1 根据网络规划创建 虚拟私有云2 VPC网段 172.16.0.0/24 根据网络规划创建 虚拟私有云2 子网名称 郑州SUBNETVPN测试用1 根据网络规划创建 虚拟私有云2 子网IPv4网段 172.16.0.0/24 根据网络规划创建 虚拟私有云3 区域 郑州 与虚拟私有云2进行对等连接的虚拟私有云 虚拟私有云3 状态 创建 新创建操作 虚拟私有云3 VPC名称 郑州VPCVPN测试用2 根据网络规划创建 虚拟私有云3 VPC网段 10.0.0.0/24 根据网络规划创建 虚拟私有云3 子网名称 郑州SUBNETVPN测试用2 根据网络规划创建 虚拟私有云3 子网IPv4网段 10.0.0.0/24 根据网络规划创建 访问控制2 安全组名称 SG郑州1 根据安全规划创建 访问控制2 安全组模板 开放全部端口 根据安全需要，可选择不同模板 对等连接1 名称 郑州对等连接VPN测试用1 根据网络规划创建 对等连接1 选择本端VPC 郑州VPCVPN测试用1 选择本端VPC、此场景下选择创建VPN网关的VPC 对等连接1 选择对端VPC账户 当前账户 选择此账户内的VPC 对等连接1 选择对端VPC对端项目 cnhazz1 此处选择目前所在项目 对等连接1 选择对端VPC 郑州VPCVPN测试用2 此处选择另一区域内需要访问的本区域内其他VPC 虚拟专用网络1 VPN网关区域 哈尔滨 需要虚拟专用网络的区域 虚拟专用网络1 VPN网关名称 哈尔滨VPN网关1 根据网络、业务规划创建 虚拟专用网络1 VPN网关所属VPC 哈尔滨VPCVPN测试用1 根据网络、业务规划创建 虚拟专用网络1 计费方式/带宽大小 按带宽计费/5Mbit/s 根据网络、业务规划创建 虚拟专用网络1 VPN连接区域 哈尔滨 需创建VPN连接的节点 虚拟专用网络1 VPN连接名称 哈尔滨VPN网关1郑州VPN网关1 根据网络、业务规划创建 虚拟专用网络1 VPN网关 哈尔滨VPN网关1 创建VPN连接的VPN网关 虚拟专用网络1 本端子网 192.168.0.0/24 本端VPN连接对接的子网网段 虚拟专用网络1 远端网关 1.194.224.132 远端VPN连接的VPN网关 虚拟专用网络1 远端子网 172.16.0.0/24 远端VPN连接对接的子网网段 虚拟专用网络1 预共享密钥、确认密钥 设置密钥，与远端的VPN连接密钥相同 虚拟专用网络2 VPN网关区域 郑州 需要虚拟专用网络的区域 虚拟专用网络2 VPN网关名称 郑州VPN网关1 根据网络、业务规划创建 虚拟专用网络2 VPN网关所属VPC 郑州VPCVPN测试用1 根据网络、业务规划创建 虚拟专用网络2 计费方式/带宽大小 按带宽计费/5Mbit/s 根据网络、业务规划创建 虚拟专用网络2 VPN连接区域 郑州 需创建VPN连接的节点 虚拟专用网络2 VPN连接名称 郑州VPN网关1哈尔滨VPN网关1 根据网络、业务规划创建 虚拟专用网络2 VPN网关 郑州VPN网关1 创建VPN连接的VPN网关 虚拟专用网络2 本端子网 172.16.0.0/24 本端VPN连接对接的子网网段 虚拟专用网络2 远端网关 42.101.47.225 远端VPN连接的VPN网关 虚拟专用网络2 远端子网 192.168.0.0/24 远端VPN连接对接的子网网段 虚拟专用网络2 预共享密钥、确认密钥 设置密钥，与本端的VPN连接密钥相同

本节主要介绍控制台的使用限制。 浏览器 版本 :: Internet Explorer Internet Explorer 9 (IE9) Internet Explorer Internet Explorer 10 (IE10) Internet Explorer Internet Explorer 11 (IE11) Firefox Firefox 55及以后 Chrome Chrome 60及以后 说明 TLS1.0 /TLS1.1协议版本存在安全漏洞，建议使用更高级的安全版本。

本节介绍天翼云手机的产品定义,以便您了解云手机。 天翼云手机是通过虚拟化技术在云端运行的安卓手机实例，手机上的应用可以在云上虚拟手机中运行。作为一款新型应用，云手机对传统手机起到了延伸和拓展作用，畅享移动办公、手机游戏和娱乐，企业客户也可以通过配备的全方位管控能力，实现对云端办公环境的安全管控。云手机目前提供产品版本： 天翼云手机（政企版） 向政府、金融、警务等各行业企业客户，提供安全、可管控、低成本的手机办公解决方案。 产品架构