本小节介绍域名无忧最佳实践。 背景介绍 基于银行数字化转型战略，构建连接一切的能力，打造最佳生态赋能银行，银行持续打造全方位、立体化、主动型的信息安全体系。 解决方案 通过域名无忧为用户提供域名解析监测、识别异常后秒级告警、秒级域名修正达到满足客户安全、快速、准确等需求。及时修正域名解析，避免因为TTL等待时长造成的网站访问异常，在客户做IPv4与IPv6切换时，第一时间完成DNS缓存刷新，确保秒级切换完成，快速的刷新在满足客户域名安全的基础上还给予客户针对域名相关割接极大帮助，为客户数字化转型战略奠定基础。

项目 说明 部署方式 独享引擎 使用场景 业务服务器部署在云上。 大型企业网站，具备较大的业务规模且基于业务特性具有定制化的安全需求。 防护对象 域名 IP 优势 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低

一个弹性IP可以给几个弹性云主机使用？ 一个弹性IP只能绑定一个弹性云主机使用。 弹性IP的分配策略是什么？ 新申请的弹性IP默认是随机分配。 为防止误删除操作，EIP存在24小时缓存机制，对于已释放过弹性IP的用户，24小时内会优先分配之前使用过的EIP。 如需申请新的弹性IP地址，建议您先申请新的EIP后再释放旧的EIP。 弹性IP时，是否可以指定IP地址？ 新申请的弹性IP默认是随机分配。对于已释放过弹性IP的用户，会优先分配之前使用过的EIP。 弹性IP是否会变化？ 不会改变。 弹性云主机关机和开机不影响弹性IP地址。 切换计费模式不影响弹性IP的地址。 若因资源到期或欠费可能会导致EIP被释放。 如何查询弹性IP归属地？ 如您需查询已购买EIP资源的归属地，可通过第三方网站进行查询，例如： 。 第三方网站可能会有IP地址数据库更新不及时的情况，会出现查询结果与实际区域不同的情况，请酌情选择。 如果其他第三方网站的查询结果和 。 带宽是否支持跨帐号使用？ 带宽不支持跨帐号使用。每个用户只能使用并管理自己的EIP带宽（独享带宽）及共享带宽。

功能 说明 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

本节主要介绍静态网站托管。 在“存储桶列表”页面点击“属性”>“网站”，进入“网页”页面。在该页面，用户可以配置存储桶（Bucket）的网站托管属性，配置完成后，可以使用已经备案的静态网站域名访问存放在存储桶内的数据。 注意 如果配置静态网站托管后，当匿名用户直接访问Bucket的域名，会将静态网站文件下载到本地。如果要实现访问静态网站时是预览网站内容，而非下载静态网站文件，静态网站域名须是Bucket绑定的已备案自定义域名，为Bucket绑定自定义域名请联系天翼云客服申请。 OOS自有网站托管域名不支持HTTPS访问，用户自定义域名支持HTTPS访问。如果需要支持HTTPS访问，请联系天翼云客服，提供域名证书，证书支持格式：crt+key或者PEM，请确保提供的证书在有效期内，建议证书有效期至少1年及以上，避免使用免费证书。 尽量避免目标Bucket名中带有“.”，否则通过HTTPS访问时可能出现客户端校验证书出错。 网站托管配置步骤如下： 1. 创建一个公共读属性的存储桶（Bucket） 。 2. 向天翼云客服提交工单，申请客户自定义域名添加白名单 。 3. 在域名管理中添加别名 。 如果不使用CDN加速，将Bucket的CNAME Record Value（BucketName.ooswebsitecn.oosxx.ctyunapi.cn）作为别名添加到域名管理系统中。 如果使用CDN加速，将CDN厂商提供的别名添加到域名管理系统中，然后在CDN回源地址中配置OOS侧的CNAME Record Value，并将回源host配置为您的自定义域名（如yourdomain.com）。 说明 创建Bucket时显示的Endpoint为ooscn.ctyunapi.cn，该Endpoint是针对整个对象存储网络的域名，该域名在解析时，会根据用户地理位置的不同解析到不同的资源池地址。如果创建Bucket时有多个数据位置，系统默认选取创建时第一个有效数据位置作为CNAME Record Value（BucketName.ooswebsitecn.oosxx .ctyunapi.cn）。如果创建Bucket时，只有一个数据位置可用，则在Bucket区域中展示的CNAME Record Value为BucketName.ooswebsitecn.ooscn.ctyunapi.cn。所以如果使用静态网站托管，建议您根据Bucket区域属性中的数据位置，选择您想使用的数据位置的CNAME Record Value作为域名管理系统中的别名。例如您创建Bucket时有效数据位置为沈阳、兰州、成都、贵阳，则Bucket中展示的CNAME Record Value为BucketName.ooswebsitecn.ooslnsy.ctyunapi.cn，您可以将BucketName.ooswebsitecn.ooslnsy.ctyunapi.cn作为别名，也可以将兰州、成都或者贵阳为域名的CNAME Record Value作为您的别名。 4. 上传文件 。 将网站的所有文件（html、CSS、js、图片等）上传到之前创建的Bucket中，注意保持文件之间的相对路径。 5. 配置Bucket网站属性。 进入“网站属性”，选择“启用”，进行网站托管配置： 托管模式为配置到当前存储桶： 配置首页：首页指访问网站时跳转到的页面。例如将 配置错误页（可选）：错误页指当访问网站时，出现错误跳转到的页面。例如将 重定向规则（可选）：可以通过制定重定向规则，将满足条件的请求重定向到指定主机或页面。控制台支持配置JSON格式的重定向规则。可以配置多条重定向规则，每条重定向规则一个Condition和一个Redirect。例如： [ { "Condition": { "HttpErrorCodeReturnedEquals": "string", "KeyPrefixEquals": "string" }, "Redirect": { "HostName": "string", "Protocol": "Protocol", "ReplaceKeyPrefixWith": "string" } } ] 重定向规则描述 项目 描述 :: Condition Condition元素可以不配置，若配置，则包含元素不能为空。 Condition中可包含的元素：KeyPrefixEquals（重定向请求时匹配的文件名前缀）、HttpErrorCodeReturnedEquals（重定向请求时匹配的HTTP错误码）。 当某一元素存在多条值时以最后一条为准。 当KeyPrefixEquals和HttpErrorCodeReturnedEquals存在时，需要同时匹配时才生效。 如果Condition未配置，相当于匹配所有规则。 Redirect Redirect必须配置。Redirect可以为空，可以包含元素。 Redirect中可包含的元素：Protocol（重定向请求时使用的协议，取值http或https）、HostName（重定向请求时使用的站点名）、ReplaceKeyPrefixWith（描述重定向请求时使用的文件名前缀）、ReplaceKeyWith（重定向请求时使用的文件名）。 当某一元素存在多条值时，以最后一条为准。 ReplaceKeyPrefixWith和ReplaceKeyWith不能同时存在。 托管模式为重定向请求：需要设置重定向的存储桶访问域名或者URL，所有到达该存储桶的请求将被重定向到该地址。例如，你将重定向页面配置为www.ctyun.cn，所有到您域名（如

本文主要介绍跨帐号跨区域迁移云主机。 方案介绍 跨帐号跨区域迁移云主机的方案为：帐号A将区域A的云主机做成私有镜像，将此私有镜像复制到同帐号的区域B，再共享给帐号B；帐号B接受帐号A的共享镜像后，使用该镜像创建新的云主机。 说明 目前只有华北、西安2、贵州支持跨区域复制能力。 步骤一：创建私有镜像 帐号A将“华北”区域搭建了Web网站的云主机做成私有镜像。假设云主机Web访问地址为： 1、帐号A登录管理控制台，在左上角切换区域为“华北”。 2、选择“服务列表 > 计算 > 弹性云主机”。 进入弹性云主机列表页面。 3、在搭建了Web网站的云主机所在行，单击操作列的“更多 > 镜像/磁盘 > 创建镜像”。 图 进入创建私有镜像页面。 4、填写如下参数： 创建方式：系统盘镜像 选择镜像源：云主机，并选择“ecsARM” 名称：输入私有镜像名称，如“HCEwithARM” 企业项目：选择默认项目“default” 5、单击“立即创建”。 6、确认无误后，阅读并勾选协议，单击“提交申请”。 7、返回私有镜像列表，等待几分钟后，私有镜像创建成功。

如何获取ZOS的访问域名（endpoint）？ ZOS每个资源池的访问域名（endpoint）各不相同，您可以登录ZOS控制台，点击桶名后进入桶概览页面，在桶概览页面的基础信息中，可以获取该桶对应的内网、外网域名（endpoint）。 如何获取ZOS的AKSK？ 如果您选择使用客户端、SDK访问ZOS，则需要提前获取ZOS访问密钥（AK/SK），通过ZOS访问密钥（AK/SK）来进行鉴权。 您可以登录ZOS控制台，点击控制台页面右上角的“Access Key管理”，然后点击“查看密钥”即可获取ZOS的AKSK。 ZOS可以应用在哪些场景？ 视频监控存储：对象存储满足个人/企业对视频、监控等海量文件的存储需求，如城市交通、家庭监控等存储场景。 数据备份：对象存储主要满足各种应用软件、本地数据库、RDS和非结构化数据的备份归档需求，还可以为云主机、云硬盘等产品提供备份存储能力。 数据迁移：天翼云提供了对象存储迁移能力，可将ZOS中的数据迁移至不同地域下的桶中，亦可将其他服务商的对象存储数据迁移至ZOS中。 静态网站托管：对象存储满足门户网站、视频网站、办公OA、SaaS应用服务商等的网站托管需求，将网页文件和相关资源上传至ZOS。 ZOS支持跨区域复制吗？ 目前跨区域复制支持的资源池：华东1 西南1、杭州2>上海7，可通过提工单提前申请权限。 需注意只有标准存储、低频存储类型的文件可以进行复制，归档文件不支持复制，即创建的复制任务会自动跳过归档文件。

快速入门 您可以基于以下指引，快速开通天翼云全站加速服务，并通过以下高阶配置策略，提升加速体验。 场景 描述 相关链接 快速接入天翼云全站加速 快速开通全站加速服务，实现一站式网站、应用加速。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速节点之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

快速入门 您可以基于以下指引，快速开通天翼云全站加速服务，并通过以下高阶配置策略，提升加速体验。 场景 描述 相关链接 快速接入天翼云全站加速 快速开通全站加速服务，实现一站式网站、应用加速。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速节点之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPV6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。 glmoscodeexplain 如何开通智能负载均衡功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用智能负载均衡功能？ 具体功能介绍和使用请参考配置缓存功能介绍：配置缓存 注意 暂时不支持单独退订智能负载均衡，如果需要单独退订，请

本文介绍CDN加速域名配置HTTPS中间证书的方法。 背景说明 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。如果CA直接从其根源颁发服务器证书，在这一过程中出现任何错误或者要求撤销每个使用root签名的证书，那么这个证书将立即不受信任。因此，为了避免这种风险发生，CA机构一般会引用中间证书。 主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，其实这都是中间证书链不完整导致的。 配置说明 1. 天翼云CDN控制台支持pem的证书格式。 2. 在【域名管理】【域名列表】选中对应域名，单击编辑进入配置界面，单击右侧【请求协议】，在【请求协议】模块，勾选【HTTPS】。单击右侧【HTTPS配置】，在【证书】模块，单击【点击上传】，输入证书备注名，在【证书公钥（PEM）格式】输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE 示例：

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍开启Web核心防护能后，如何配置防护规则引擎。 Web核心防护提供最新的OWASP TOP10威胁防御，包含但不限于SQL注入攻击，XSS跨站攻击、跨站请求伪造攻击、参数污染、命令执行、服务端代码注入、信息泄露、预测资源位置、缓存溢出、Cookie投毒、XML注入、远程文件包含、XPath注入、路径遍历、认证攻击、LDAP注入、逃避检测攻击、目录遍历、HTTP响应拆分、XML解析漏洞、恶意文件上传、远程命令执行、文件包含、多层编译攻击、动态应用混淆、恶意扫描爬虫、网站挂马、后门上传等黑客攻击。支持防护针对Web应用框架和组件漏洞发起的攻击，深度发现经过混淆、变形的恶意隐藏的Web请求，在造成破坏之前预防、阻断，提供设备指纹识别，识别隐藏攻击。 支持防逃逸，自动还原常见编码，解码常见编码类型包含URL编码、JavaScriptUnicode编码、HEX编码、HTML实体编码、Java序列化编码、PHP序列化编码、Base64编码、UTF7编码、UTF8编码、混合嵌套编码、ASCII编码、IIS反斜杠编码等。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 背景信息 云WAF的Web全局防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web核心防护规则引擎的检测和防护。 Web核心防护则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见全局Web核心防护。

本文为您介绍Web基础防护规则引擎配置的最佳实践。 Web基础防护基于内置的防护规则集，自动为网站防御SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入攻击等通用的Web攻击。 规则防护引擎 云WAF的Web基础防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web基础防护规则引擎的检测和防护。 Web基础防护规则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见自定义防护规则组。 防护模式 检测发现攻击请求时，对攻击请求执行的操作。可选以下两种模式： 拦截：检测到攻击行为后，直接阻断攻击请求，并记录攻击日志。 观察：检测到攻击行为后，不阻断攻击，仅记录攻击日志。

为什么我的业务接入WAF了，在进行安全扫描的时候，会扫描出我业务未开放的端口？ WAF因为采用分布式集群架构技术，所以当所有用户接入时，WAF的接入节点默认开启所有端口，以便满足不同用户的不同接入需求。但对于单个用户来说，当您接入域名时确定了服务器接入的端口以及配置了对应的回源端口，WAF将自动过滤掉对您业务未配置端口的访问，以便保障您业务的访问安全。漏洞扫描技术在扫描时，因采用针对WAF入口整体扫描的技术，未单独区分属于您业务所开放端口，故可能会扫描出您业务未开放端口。 对于已接入WAF防护的网站，WAF防护集群不会转发未配置端口（无论该端口是否开启）的访问请求流量到源站服务器。因此，不会对源站服务带来任何安全风险和威胁。

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志，包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。 前提条件 防护网站已接入WAF。 约束条件 下载防护事件文件时，如果您本地安装的安全软件拦截了下载文件，请关闭该软件后重新下载防护事件文件。 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。 如果您将防护网站的“工作模式”切换为“暂停防护”模式，WAF将对该防护网站所有的流量请求只转发不检测，同时，日志也不会记录。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 “防护事件趋势图”：展示所选网站在选择的时间段内WAF的防护情况。 “TOP10统计”：针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计，单击可复制统计图表的数据。 6. 在“防护事件列表”中，查看防护详情。 根据筛选条件字段匹配值进行筛选，可设置多项匹配条件，单击“确定”后，匹配条件会展示在事件列表的上方，条件字段参数说明如下表所示。 支持筛选搜索的条件字段： 参数名称 参数说明 事件ID 标识该防护事件的ID。 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 规则ID 内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 单击，可选择防护事件列表展示的字段。 防护事件列表可展示字段参数说明： 参数 说明 示例 ::: 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 防护域名 被攻击的防护域名。 www.example.com 命中规则 内置Web基础防护规则ID。 URL 攻击的防护域名的URL。 /admin 事件类型 发生攻击的类型。 SQL注入攻击 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 在目标事件的“操作”列单击“详情”，可查看目标域名攻击事件详情。

本章节介绍开源组件Fastjson远程代码执行漏洞的最佳实践。 漏洞介绍 开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.51以下的版本，不包括Fastjson 1.2.51版本。 安全版本 Fastjson 1.2.51版本及以上的版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。 防护建议 Web应用防火墙内置的防护规则支持对该漏洞的防护，参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入域名。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

功能介绍支持配置暴力破解防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置暴力破解防护策略，防范攻击者通过暴力破解盗取用户的信息。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘云WAF主要通过爆破行为监控来防护。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持暴力破解防护相关功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 2. 进入【账号安全防护】页面； 3. 进入新增暴力破解防护规则页面。 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的url地址。（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP （1）CI:客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本节介绍网站cookie值发生变化时，如何进行网站漏洞扫描。 当某个网站挂载多个子网站，且需要对这些网站都进行漏洞扫描（使用cookie登录方式）时，如果您从网站主入口登录后，再进入其他子网站，网站的cookie值可能会发生改变。对于cookie值发生改变的子网站，您需要为这些子网站单独完成扫描任务的创建。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot人机识别功能。 功能介绍 边缘安全加速平台安全与加速服务提供的人机识别模块支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地拦截爬虫流量，保障网站业务安全。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 人机识别功能 Cookie基础检测 客户端标识检测：客户端标识检测是Bot防护第一检测策略，校验下发的Cookie个数和完整性，无客户端标识、客户端标识缺失、客户端标识解析失败都需要配置。 无客户端标识：针对请求没有Cookie的情况进行处理。 处理动作：拦截/告警/跳转/放行。 拦截：拦截请求。 告警：仅记录请求。 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略。 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则。 统计粒度：静态Cookie/IP+UA/IP。 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间）。 客户端标识缺失：针对请求带回Cookie个数小于下发的个数（最多会下发四个）进行处理。 客户端标识解析失败：针对失败解析Cookie的情况下进行处理。 其他字段： 客户端标识过期时间：默认15天，单位天，最大值365天。 白名单：即例外条件，符合条件的请求不进行功能检测。

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，以验证配置的WAF防护规则是否生效，即验证配置防护规则的防护效果。本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 应用示例 例如，您的业务部署在“/product”路径下，由于生态开发，针对参数ID存在用户提交脚本或富文本的业务场景，为了确保业务正常运行，您需要对用户提交的内容进行误报屏蔽，以屏蔽误拦截的访问请求，提升WAF防护效果。 前提条件 防护网站已成功接入WAF。 已开启“Web基础防护”，且防护模式为“拦截”。同时，“常规检测”已开启。 操作步骤 步骤 1 下载并安装Postman。 步骤 2 在Postman上设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 步骤 3 处理误报事件。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域或项目。 3. 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 在防护事件页面，WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。 6. 在该防护事件所在行的“操作”列中，单击“更多 > 误报处理”。 7. 在弹出的“误报处理”对话框中，添加全局白名单（原误报屏蔽）规则。 8. 单击“确认添加”。防护规则生效需要5分钟左右。 步骤 4 在Postman上再次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求还是被拦截。 步骤 5 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110053”规则的误报防护事件。 步骤 6 在Postman上第三次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求仍被拦截。 步骤 7 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110060”规则的误报防护事件。 步骤 8 在Postman上第四次设置请求路径为“/product”，参数ID为普通测试脚本。此时，防护网站的访问请求不再被拦截，说明所有全局白名单规则都已生效。同时，查看“防护事件”页面，防护事件列表也没有新增的XSS攻击防护事件。 步骤 9 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他参数的XSS攻击事件。 1. 在Postman上设置请求路径为“/product”，参数item为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截参数item的XSS攻击事件。 步骤 10 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他路径的XSS攻击事件。 1. 在Postman上设置请求路径为“/order”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截“URL”为“/order”、参数ID的XSS攻击事件。

本页为您介绍数据库专家服务的购买流程。 开通数据库专家服务，需要先注册天翼云账户并确保已完成实名认证 1. 注册并登录天翼云官网 2. 未实名认证的用户请按提示完成实名认证才能开通数据库专家服务，实名认证指南请参见账号中心操作指南实名认证。 数据库专家服务支持按次计费和按周期计费两种方式 按次计费产品购买流程 1. 购买数据库专家服务按次/天计费产品之前请确保您的账户余额大于本次购买服务的费用。 2. 进入数据库专家服务产品详情页快速了解产品，之后单击【立即开通】。 3. 在购买页面选择服务类型为基础服务（或保驾护航服务），并选择服务内容，填写用户信息，填写购买数量，勾选并阅读服务协议，确认无误后点击【立即订购】。 4. 购买成功后，3个工作日内专家会联系并完成评估，评估通过即可进入服务实施阶段。 按周期计费产品购买流程 1. 购买数据库专家服务按周期计费产品之前请确保您的账户余额大于本次购买服务的费用。 2. 进入数据库专家服务产品详情页快速了解产品，并建议咨询客服确认天翼云能否按您的需要提供相应的服务内容，如确认能，则单击【立即开通】。 3. 在购买页面选择服务类型为数据库增值服务包，填写用户信息，填写购买时长和数量，勾选并阅读服务协议，确认无误后点击【立即订购】。 4. 购买成功后，天翼云完成评估，与客户确认后进入服务实施阶段。

控制台证书管理，可以创建几个证书？ 一个账号在单地域可以创建10个证书，包括服务器证书和CA证书。如有更多数量证书的需要，您可通过提工单申请提升配额。控制台创建证书请参考 创建服务器证书 和 创建CA证书 ，更多使用限制请参考 产品使用限制。 弹性负载均衡HTTPS监听器是否支持多证书？ 集群资源池弹性负载均衡的HTTPS监听器支持多个SSL证书，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。这意味着您可以在同一个负载均衡器上配置多个SSL证书来支持不同的域名或子域名的加密连接。通过使用HTTPS监听器，您可以将加密的HTTPS流量有效地分发到后端实例，这对于在同一个负载均衡器上托管多个网站或应用程序非常实用。使用不同的SSL证书可以确保每个网站或应用程序都有其独立的安全性保证。 为什么配置了证书，却访问异常？ 如果负载均衡配置了证书，但访问异常，可能有以下几个原因： 1. 证书配置错误：请确保证书的配置正确无误。检查证书是否正确上传到负载均衡器，并且与域名或主机名匹配。 2. 证书过期或无效：如果证书已过期或者无效，浏览器会拒绝连接或显示安全警告。请确保证书有效期内，并且由受信任的证书颁发机构签发。 3. 安全组或防火墙限制：检查负载均衡器、后端主机以及相关网络设备的安全组或防火墙规则，确保允许来自负载均衡器的HTTPS流量通过。 4. 其他网络问题：检查网络连接是否正常，确保网络链路畅通，防止网络延迟、丢包等问题影响访问。

主体信息 主办单位名称、企业类型、证件类型、证件号码、证件住所等按照备案主体证件上的信息进行填写。企业按照营业执照上信息、个人按照身份证上信息来填写。 主办单位通信地址：填写实际的通信地址，需填写完整省市县区。单位填写单位办公地址，个人填写个人住址（精确到门牌号）。 主体负责人信息：个人填写个人信息；企业须为单位法人。如有特殊情况，可咨询天翼云客服4008109889转3（备案）。 真实性核验单和委托书填写 真实性核验单，可参考在天翼云官网下载的真实性核验单第三页填写样板，只需填写主办单位名称、域名、在表格最下方网站负责人签字处，盖公章即可，其他区域由天翼云工作人员进行填写。 委托书，需法人手写签名或盖法人章并加盖公章。 驳回告知证件提供复印件需加盖公司公章 根据管局规定，备案电子版材料需提供彩色原件扫描件且字迹清晰可辨。 网站名称命名要求 非国家级单位网站名称不能包含“中国”、“中华”、“国家”、“人民”、“地名”等字样。 网站名称不能是纯数字、纯英文、不能包含特殊符号和敏感词汇（反腐、赌博等），企业网站名称三个字以上，建议使用单位名称作为网站名称。 个人网站名称三个字以上，不可用人名，纯数字，纯字母，成语，不可涉及企业行业信息。个人网站名称建议做分享类网站，网站内容选其他，需一句话描述将来开办的网站内容。 负责人信息填写 主体负责人与网站管理员不为同一人时，请提供不同的手机、应急电话和邮箱。 办公电话请添加区号。 提供真实有效的手机号和邮箱，以便备案人员核实相关信息。

本节介绍态势感知基本概念。 安全运营中心（Security Operations Center，SOC）一个集中式功能或团队，负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动，以实时发现潜在的威胁；对网络安全事件进行预防、分析和响应，以改进企业的网络安全态势。SOC还使用最新的威胁情报来掌握威胁组和基础结构的最新信息，并在攻击者利用系统或流程漏洞之前识别和处理这些漏洞，从而主动开展安全工作。大多数SOC每周7天全天候运行，跨多个国家/地区的大型企业/组织可能还依赖于全球安全运营中心（GSOC）来掌控全球安全威胁，并协调多个本地SOC之间的检测和响应。 SOC的功能 SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。 资产和工具清单 为了消除覆盖范围中的盲点和缺口，SOC需要了解它保护的资产，并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案，例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此，SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置，并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 本地、云、应用程序、网络和设备，来发现异常或可疑行为；其中这些解决方案包括安全信息企业管理（SIEM）解决方案、安全编排、自动化和响应（SOAR）解决方案和扩展检测和响应（XDR）解决方案。这些工具会收集遥测数据、聚合数据，并在某些情况下自动进行事件响应。 威胁情报 SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图，并帮助团队了解威胁组是如何运作的。借助此信息，SOC可快速发现威胁，并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后，按严重性和对业务的潜在影响确定威胁的优先级。 日志管理 SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线，并揭示可能指示恶意软件、勒索软件或病毒的异常。 事件响应 识别到网络攻击后，SOC会快速采取措施，在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件，以及运行防病毒和反恶意软件。 发现和修正 在攻击之后，SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端，重启应用程序，直接转换到备份系统，并恢复数据。 根本原因调查 为了防止类似的攻击再次发生，SOC进行了彻底的调查，来确定漏洞、效果不佳的安全流程和其他导致事件的教训。 安全性优化 SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略，并更新安全路线图。 合规性管理 SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规，例如，《PCI DSS安全遵从包》、《ISO 27701安全遵从包》和《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性，并确保在数据泄露后通知监管机构、执法人员和客户。

工信部增加全国备案短信验证功能通知 “备案短信核验”问题集锦 根据《工业和信息化部关于开展互联网基础管理专项行动的通知》工信部信管函[2016]485号文件要求，工业和信息化部将对通过 ICP/IP地址/域名信息备案管理系统提交备案申请的主体负责人及网站负责人的手机号码进行短信验证。即：备案信息通过天翼云审核后，天翼云在将备案信息提交管局审核时，备案主体负责人和（或）网站负责人手机号码中，将会收到工信部发出的短信息验证码。需在24小时内完成短信验证，备案申请才能进入省通信管理局的审核程序。 目前适用省份： 根据工信部最新要求，自2020年8月17日起，各省市进行以下类型的备案申请时需通过工信部备案管理系统进行短信核验，详情如下所示。 短信验证平台： 您在备案信息中填写的手机号码收到工信部发出的验证码后，需及时访问《工业和信息化部政务服务平台ICP/IP地址/域名信息备案管理系统》网站（以下简称公共查询网站） 填写证件号码、验证手机号和验证码，完成验证。 验证码发送及短信核验原则: 备案类型 验证逻辑 备注 新增备案 验证主体负责人手机号和网站负责人手机号。 若主体负责人与网站负责人为同一人，只发送一个验证码。 新增网站备案 验证网站负责人手机号码。 若主体信息有变更，则需要验证。 新增接入备案 验证网站负责人手机号码。（注意：该手机号码是通过其他接入商在管局侧备案时所提供的号码） 1、如果您更换了手机号码，需先到原备案接入服务商处变更手机号码，再进行接入备案。 2、如果您的网站为空壳网站（即无接入服务商），无法到原接入服务商处变更手机号码。只能注销备案后，再重新提交新增网站备案。 变更备案信息 验证主体负责人手机号或网站负责人手机号。 1、若变更主体信息，则验证主体负责人手机号码。 2、若变更网站信息，则验证网站负责人手机号码。 3、若同时变更了主体和网站信息，那么主体和网站负责人手机号码均需验证。 注销主体 主体负责人验证。 暂时无需验证。验证开放时间待定。 注销网站 无需验证。 暂时无需验证。验证开放时间待定。 取消接入 无需验证。 暂时无需验证。验证开放时间待定。 验证码有效时长： 验证码 24 小时以内有效。您需在 24 小时内，访问公共查询网站，并输入证件号码、验证手机号和验证码进行验证。 手机号码短信验证通过后，您的备案信息将流转至管局审核。 若 24 小时内，没有进行验证或验证失败，备案信息将会自动退回至接入商（天翼云）。需您重新提交备案申请，再次进入短信验证流程。完成短信验证后，备案申请信息才能递交至省管局审核。 验证码发送号码： 电信、联通、移动用户收到的短信验证码的发送号码为短信验证码的发送号码为12381或10612381。 1. 填写信息：验证码、手机号码、证件号码后六位数，完成图形验证，再单击 提交 。验证通过后，系统提示核验完成。如果您的备案订单中，还有其他需验证的手机号，请继续成。 2. 验证通过后，系统提示核验完成。如果您的备案订单中，还有其他需验证的手机号，请继续完成。 注意： 1、如果您的信息输入错误，或输入的三条信息（证件号码、手机号码、验证码）不匹配，则系统找不到对应的订单。系统提示找不到记录。请核实信息后，重新输入。 2、如果负责人证件号码输错 3 次以后，系统提示短信核验失败。您的备案申请信息将被工信部系统退回。 未收到验证短信，怎么办？ 在天翼云将您的备案信息提交管局审核的后，请注意查收工信部发出的验证短信。一般在 5 分钟内即可收到验证短信。若 5 分钟后仍然没有收到验证短信，请检查： 1、您的手机网络信号是否正常。 2、您是否设置了短信拦截或安装了垃圾短信拦截软件。 解决方法： 1、如果因手机网络信号不正常导致无法接收短信，请移到信号好的地方；或访问公共查询网站进行手动重发送验证短信。 2、如果因您设置了垃圾短信拦截，或安装了拦截软件，请关闭拦截。如果无法关闭拦截，建议您将您的 SIM 卡换至其他手机。 3、如果您误删了验证短信，可访问公共查询网站，进行手动重发。 4、如果您 24 小时未完成短信验证，备案系统会自动退回您的备案申请。您需重新提交备案申请。 如何操作手动重发验证码短信？ 访问公共查询网站，单击网站页面上“短信核验”按钮。 单击 短信重发 ，进入核验短信重发页面。填写您需验证的手机号码和证件号码后 6 位数，然后单击 提交。 发送成功通知：您的短信已发送成功。

本文介绍一体化终端办公安全合规场景的产品价值。 业务特点 在企业办公场景中，终端设备是员工日常操作的核心载体，承载大量敏感数据，同时终端设备往往是各类业务访问的入口。业务运行需满足等保 2.0、行业数据安全规范等要求，同时面临员工办公习惯不可控（随意安装软件、访问非授权网站）、终端管理分散（跨部门、跨区域）、员工被社工钓鱼等挑战，安全合规需保障“人员 终端 业务” 全链路安全。 客户痛点 1. 终端软件推广难：传统终端安全解决方案难度较大，部署、交付、推广周期长，员工对安装终端管控软件抵触心理大。 2. 防护失效：部分员工为规避监管，主动退出或卸载终端安全软件，导致电脑遭受恶意攻击；恶意攻击难以防范，电脑失陷后风险横向扩散。 3. 管理低效：跨部门跨区域的终端分散管理，设备安全水位（如补丁更新、软件白名单）难统一，合规漏洞频发。 4. 办公管理软件叠加：传统企业需要叠加购买VPN软件、各类办公软件、终端防护软件，导致电脑软件臃肿且管理不统一。 5. 新兴技术带来的风险：随着员工办公对AI工具的依赖不断加大，AI应用成为黑盒，将带来数据泄露的风险。

对象存储(Object Storage Service,OBS),是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。支持S3协议,部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。

本小节介绍Web应用防火墙计费类常见问题。 一个域名包支持多少个二级域名？ 一个域名包支持包含1个一级域名（www.baidu.com）以及这个一级域名下二级域名（如 abc.baidu.com）总计10个域名的防护。 如果超过10个，需要购买实例增加域名包数量以支持域名防护。 选择带宽是否需要和网站业务带宽匹配？ 是的，Web应用防火墙最低标准带宽为200Mbps，真实业务带不能高于这个标准，如高于标准200Mbps，则需要拓展带宽包。 Web应用防火墙是付费产品吗？ 天翼云Web应用防火墙作为天翼云安全业务的一个重要产品，作为付费的增值业务服务产品提供给天翼云客户，需要用户购买，收费的标准详见计费模式。 产品是否可以试用，周期为多长时间？ 支持试用，周期为三个月。 线上是否支持试用订购？ 不支持。 试用暂时只支持线下渠道，需联系客户经理进行试用。 我已经购买了Web应用防火墙产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如配置上传、下发、测试验证等操作。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本小节介绍Web应用防火墙术语解释。 域名解析 域名解析（Domain Name Resolution）指互联网上服务器相互间通过IP地址来建立通信，但是为了方便记忆，采用域名代替IP地址标识站点地址，让人们通过注册的域名可以方便地访问到业务的一种服务。域名解析就是域名到IP地址的转换过程。 常用域名解析类型： A记录：用来指定域名的IPv4地址。 AAAA记录：用来指定域名的IPv6地址。 CNAM记录：将域名指向另一个域名，再由另一个域名来提供IP地址。最常用CNAME的场景包括使用CDN、云WAF、企业邮箱与高防DDoS等。 MX记录：用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 TXT记录：用于对域名进行标识和说明，进行SPF反垃圾邮件。 Web应用 Web应用（Web Application）指通过浏览器即可访问的应用程序。 源站 源站（Source Application Server）指实际业务所处的站点，通常也代指源站公网IP及后端到达真实应用服务器间的整个网络拓扑环境。 回源IP 回源IP（Return Source IP Address）指开启云WAF防护后，云WAF用来与源站服务器建立网络连接的公网IP地址。 CC攻击 CC攻击（Challenge Collapsar Attack）指攻击者借助自动化工具脚本模拟多个用户持续向网站发送大量合法请求，造成服务器资源耗尽直至业务不可用。 SSL 证书 SSL 证书（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是网络通信的一种安全协议，具有服务器身份验证和数据传输加密功能，为互联网间的数据传输提供安全性与完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。

本页介绍了SSL证书使用常见问题。 SSL证书最长有效期是几年？可以签多年么？ 按照CA行业内标准要求SSL证书的最大有效期不能大于13个月，为了满足用户的需求以及省去不少商务流转环节，我们现推出多年的证书服务，可以咨询商务了解更多详情。 购买的是多域名证书，为什么访问时会出现“此网站出具的安全证书是为其他网站地址颁发的”的错误？ 多域名证书是用过SNI技术实现的，如果您的服务端或用户的客户端不支持SNI技术，就可能会出现改错误。 如果服务器换了IP地址，原来的SSL证书还能用吗？ SSL证书都是绑定域名的，服务器更换IP地址没有任何关系，只要域名不变，更换IP之后，只需将域名重新解析到新的IP地址即可,原来的SSL证书当然照样可以用。但如果SSL证书是为IP地址申请的，则服务器换了IP地址，原来的SSL证书就不能用了。 能申请EV的通配符证书吗？ 不行，根据规范要求不允许签发EV通配符的证书产品。