场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截，如您需要开通此功能，可提交工单申请。 场景4：针对关键接口的CC攻击 关键接口CC攻击是指通过大量恶意请求网页环境的关键接口，如登录、注册等从而使服务不可用的攻击手段。针对此类攻击您可以使用WAF的账户安全防护功能（撞库防护、暴力破解），对指定接口进行防护，具体配置操作请参考：安全防护配置账户安全防护。 场景5：大规模扫描和爬取行为 大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果： 攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求，具体配置操作请参考：安全配置防护高级防护攻击挑战。 扫描器访问拦截：该功能可自动封禁来自常见扫描工具访问请求，如您需要开通此功能，可提交工单申请。 Bot防护：Bot防护可限制对网站的大规模爬取行为，如您需要开通此功能，可提交工单申请。

本节介绍网站登录设置方法。 操作场景 该任务指导用户通过漏洞扫描服务进行网站登录设置，修改网站信息。 如果您的网站页面需要登录才能访问，必须进行网站登录设置，以便VSS能为您发现更多安全问题。VSS提供了两种登录方式，请您根据您的网站访问限制条件选择登录方式： 方式一：账号密码登录。 如果您的网站仅需要账号密码就可以登录访问，设置方式一即可。 方式二：cookie登录。 如果您的网站除了需要账号密码登录，还有其他的访问限制，如需要输入“动态验证码”，必须选择方式二，设置cookie登录。 注意 若没有cookie，请在“高级配置”中，通过添加自定义Header的方式进行登录扫描。 若没有cookie，也没有自定义Header，则VSS不支持扫描该网站。 以上登录方式根据网站访问情况可二选一。 前提条件 已获取管理控制台的登录帐号与密码。 已添加域名。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描服（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“编辑”。 4. 进入网站登录设置入口，如下图所示。 5. 在域名编辑页面，根据需要修改“网站信息”和“网站登录设置”，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 网站信息修改 域名/IP地址 未认证的域名可修改。 说明 VSS不支持修改已认证域名的“域名/IP地址”，如需修改，请删除域名后，重新创建新的域名。 域名别称 自定义的域名名称，可修改。 网站登录设置 如果您的网站页面需要登录才能访问，请您进行登录设置，以便VSS能为您发现更多安全问题。 如果您的网站仅需要账号密码就可以登录访问，设置方式一即可。 如果您的网站除了需要账号密码登录，还有其他的访问限制，如需要输入动态验证码，必须设置方式二。 “登录方式一：账号密码登录” 登录页面 网站登录页面的地址。 用户名 登录网站的用户名。 密码 用户名的密码。 确认密码 再次输入用户名的密码。 “登录方式二：cookie登录” cookie值 输入登录网站的cookie值。 说明 若使用cookie登录时，没有获取到cookie值，您可以在“高级配置”中通过添加自定义Header的方式进行登录。 添加自定义Header时，请获取会话相关的HTTP请求头。常见的如：带有Token或Session字样的HTTP请求头。 验证登录网址 登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。 “高级配置” 自定义Header 配置HTTP请求头部。最多可添加5个自定义HTTP请求头。 当待扫描的网站需要请求中附带特殊的HTTP请求头时，可以通过自定义Header进行设置。 6. 单击“确认”。

该任务指导用户通过漏洞扫描服务新增监测任务，监测任务新增成功后，自动开启监测。 操作场景 漏洞扫描服务支持网站扫描，网站是您的“资产”，您可以在“安全监测”界面对您的资产进行安全扫描与编辑操作。 说明 漏洞扫描服务的基础版不支持安全监测功能，如果您是基础版用户，请您通过购买专业版、高级版或企业版使用该功能。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“已认证”。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“安全监测”页面，单击“新增监测任务”。 4. 进入新增监测任务入口。 5. 在“新增监测任务”界面，请根据下表进行扫描设置。 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 扫描周期 单击下拉框选择任务扫描周期。 每天 每三天 每周 每月 开始时间 设置监测任务开始的时间。 扫描模式 三种扫描模式： 极速策略：扫描耗时最少，能检测到的漏洞相对较少。 标准策略：扫描耗时适中，能检测到的漏洞相对较多。 深度策略：扫描耗时最长，能检测到最深处的漏洞。 是否扫描登录URL 默认不扫描登录URL，开启扫描登录URL前，请务必确认不会影响正常业务 扫描项设置 VSS支持的扫描项参照下表。 ：开启 ：关闭 扫描项设置： 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 6. 设置完成后，单击“确认”。

安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。 功能说明 安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。包括网站根域名、子域名漏洞扫描及其资产的风险状态和告警数量统计信息。 应用列表 1.进入【资产管理】→【域名】，通过域名对WEB资产进行安全状态管理。 2.可选择点击【根域名】和【子域名】进行分组查询和管理。 应用管理 新建应用域名 点击左上角【新建】，进行应用域名创建，填写域名、资产IP地址及选择域名类型。提交确定即可。 编辑应用域名 在域名操作栏，点击编辑及删除按钮，可对应用域名进行编辑或删除。 WEB漏洞扫描 在域名操作栏，点击【扫描】按钮，可对应用域名进行WEB漏洞扫描。选定多个域名，点击【快速扫描】按钮可进行批量扫描。 扫描任务完毕后，系统会自动更新域名漏洞数据及扫描时间。 点击任务的日志信息，可查看相关任务详情，例如具体终端IP地址、任务发生时间等。

天翼云弹性云主机为您提供优质的服务体验,本文带您了解弹性云主机的产品优势。 快捷易用，动态调整计算资源 即开即用：无论一台还是百台，均可在几分钟内开通使用； 大规模开通：通过调用云主机API，可在十分钟内开通千台实例； 弹性伸缩：提供弹性伸缩服务，可根据业务灵活调整云主机数量。 配置丰富，支持根据业务按需选购 多种实例规格：提供通用计算型、计算增强型、内存优化型、GPU型等多种规格，同时支持规格升级，面向各类场景满足用户的实时需求； 多种存储类型：支持单独购买云硬盘挂载到云主机上，并提供多种存储类型，满足不同的 I/O 性能要求。 专有网络，可灵活自定义网络空间 通过隧道技术实现100%二层网络隔离，满足不同行业客户的安全隔离需要； 基于安全组和访问ACL进行三层以上网络双重访问控制，满足行业用户的网络安全规范； 自定义子网网段划分、IP地址及路由策略，按需配置，即开即通； 支持专线、VPN等多种方式接入云端。 安全稳定，多重防护保障数据可靠性 高达99.9999999%的数据持久性； 云硬盘采用三副本技术，支持云硬盘自动备份，进一步保障数据安全性； 提供云主机安全、网站安全服务等精细化专业防护能力。

设置安全策略 说明 本专题按Web安全、Bot管理、访问控制/限流等模块化主题，非常详尽地介绍Web应用防火墙（边缘云版）已支持的功能和服务，帮助客户深入理解Web应用防火墙（边缘云版）功能，指导客户与自己的业务相结合，配置合适的防护策略。 本专题按统计分析、攻击报表等主题，详尽的介绍如何查看攻击日志、业务日志等。

安全体检的频率应该是多久一次？ 安全体检的频率取决于组织的具体需求和安全政策。一般而言，建议至少每月进行一次安全体检，特别是在重大系统变更、新项目上线或发现重大安全事件之后。对于关键系统或高风险环境，可能需要更频繁地进行安全体检。 企业内部团队是否可以自己执行安全体检？ 企业内部团队完全可以执行安全体检，但前提是他们具备必要的技能和经验。如果内部团队缺乏相关知识或资源，可以考虑购买专业的安全服务，如托管检测与响应服务。专业团队不仅拥有专业的工具，还具备丰富的经验和专业知识，能够更有效地识别和解决问题。 安全体检可以扫描哪些对象？ 可以选定天翼云账号上面开通的云主机的公网IP，不支持扫描线下/私有云上的公网IP，不支持扫描网站。

托管检测与响应服务（原生版）具备100%处置闭环率、持续保障、快速响应、标准化服务等核心优势。 100%处置闭环率 自动处置能力联动全网威胁情报，实时处置高级威胁，结合云端专家处置升级策略，保证重大事件处置闭环率100%。 持续安全保障 提供N × 24小时的安全保障，持续对云上资产进行告警分析、安全事件监测、漏洞情报捕获。 快速响应及时止损 第一时间介入安全事件发生的环境，对安全事件进行处置，避免类似情况再次发生，防止数据遭受泄露造成经济损失。 标准化服务内容 依托顶尖服务团队及行业标准，提供标准化服务流程和交付内容，保证服务质量。

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

方法四：配置防盗链策略 边缘安全加速平台叠加了更加全面的安全防御手段，能够有效识别盗刷行为，为网站提供加速和安全能力的同时防护盗链。详情请见：网站防盗链最佳实践。

权威情报数据 借助国内顶尖厂家共同分析的结果，快速构建威胁信誉库，将诸如僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据等网络安全事件及信誉数据同步至本系统，形成联动能力。 权威安全预警 定时同步国家应急响应中心（CNCERT）的漏洞预警、威胁情报、安全资讯数据，及时明晰最新安全信息。 攻击源警告 当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以配置对应的IP进行告警，告警页面的内容可以自定义，当此IP再次连接Web服务时，对其推送告警界面，以做警示。 恶意网站警告 通过国家应急响应中心信誉库自动同步恶意网站数据，在用户访问恶意网站时，给予及时告警，协助用户识别Web威胁，同时运维管理员可自定义添加恶意网站。 安全态势大屏 支持4种态势大屏，包括全局态势大屏、资产态势大屏、脆弱性态势大屏、威胁态势大屏。

容器安全 容器安全是HSS为容器提供的一种防护能力，通过部署在容器宿主机中的Agent，能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时容器安全提供容器进程白名单、文件只读保护和容器逃逸检测功能，可以有效防止容器运行时安全风险事件的发生。 网页防篡改 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

服务名称 服务类别 关联与区别 防护对象 态势感知（专业版）（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 Web应用防火墙（独享版）（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。

网页防篡改版 您可以为已购买的服务器开启网页防篡改版安全防护，开启后按照网页防篡改版所提供的能力对服务器进行安全防护。 网页防篡改原理 网页防篡改原理 防护类型 原理说明 静态网页防护 1.锁定本地文件目录 驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 2.主动备份恢复 若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 3. 远端备份恢复 若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 1. 基于RASP过滤恶意行为 采用自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 2. 网盘文件访问控制 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。 前提条件 在“资产管理>主机管理”页面“云服务器”列表中目标服务器“Agent状态”为“在线”、“防护状态”为“未防护”。 设置防护目录 网页防篡改功能需要有防护目录才能起到防护作用，网页防篡改提供以下目录防护模式： 保护指定目录 您最多可在主机中添加50个防护目录，详细操作请参见保护指定目录。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。

本小节介绍态势感知规格，分为基础版和高级版，在功能和承载云主机上有差别。 态势感知产品根据提供的功能不同分为两个版本：基础版、高级版。 基础版和高级版功能 功能 基础版 高级版 安全可视化 ✓ ✓ 资产发现 ✓ ✓ 资产管理 ✓ ✓ 脆弱性检测 ✓ ✓ 网络威胁检测 ✓ ✓ 国家情报数据 × ✓ 国家安全预警 × ✓ 攻击源警告 × ✓ 恶意网站告警 × ✓ 安全态势大屏 × ✓ 云主机规格 弹性云主机（Linux） 服务器配置 弹性IP数量 带宽 设备性能 扩展性 作用 备注 一台双网卡弹性云主机 8核CPU/64G内存/100G系统盘/1T数据盘 1 5M 此配置可处理800M以下流量 提高硬件配置，可提高处理性能 态势感知控制器，通过资产、脆弱性、威胁多维度动态评估风险可视化 用于安装态势感知控制器 一台双网卡弹性云主机 4核CPU/8G内存/50G系统盘 1 5M 此配置可处理1000M以下流量 不涉及 虚拟网关系统，将访问业务系统的所有流量镜像给态势感知控制器分析 用于安装态势感知虚拟网关

本节为您介绍数据安全中心产品优势。 云上全场景覆盖 通过整合云上各类数据源，提供一站式数据保护和防御机制。不仅支持结构化类型数据，还支持非结构化类型数据，支持云原生和ECS自建场景。 全生命周期可视化 将数据安全全生命周期各阶段的状态整合起来，并通过可视化方式展示云上数据安全态势。 高效识别数据源 通过专家知识库和NLP的双重加权，提升识别能力，精确高效地锁定敏感数据源。 全方位敏感数据防护 根据敏感数据发现策略，精准识别数据库中的敏感数据，并结合多种预置脱敏算法和用户自定义脱敏算法，实现全方位的敏感数据防护。

本节介绍如何配置PCI DSS/3DS合规与TLS。 安全传输层协议（Transport Layer Security，TLS）在两个通信应用程序之间提供保密性和数据完整性。HTTPS协议是由TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议。当防护网站的“对外协议”使用了“HTTPS”时，您可以通过WAF为网站设置最低TLS版本和加密套件（多种加密算法的集合），对于低于最低TLS版本的请求，将无法正常访问网站，以满足行业客户的安全需求。 WAF默认配置的最低TLS版本为TLS v1.0，加密套件为加密套件1，为了确保网站安全，建议您将网站的最低TLS版本和TLS加密套件配置为安全性更高TLS版本和加密套件。 前提条件 已添加防护网站。 防护网站的“对外协议”使用了HTTPS协议。 约束条件 当防护网站的“对外协议”为“HTTP”时，HTTP协议不涉及TLS，请忽略该章节。 如果防护网站配置了多个服务器时，“对外协议”都配置为“HTTPS”时，才支持配置PCI DSS/3DS合规。 应用场景 WAF默认配置的最低TLS版本为“TLS v1.0”，为了确保网站安全，建议您根据业务实际需求进行配置，推荐配置的最低TLS版本如下表所示。 场景 最低TLS版本（推荐） 防护效果 ::: 网站安全性能要求很高（例如，银行金融、证券、电子商务等有重要商业信息和重要数据的行业） TLS v1.2 WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。 网站安全性能要求一般（例如，中小企业门户网站） TLS v1.1 WAF将自动拦截TLS1.0协议的访问请求。 客户端APP无安全性要求，可以正常访问网站 TLS v1.0 所有的TLS协议都可以访问网站。 WAF推荐配置的加密套件为“加密套件1”，可以满足浏览器兼容性和安全性，各加密套件相关说明如下表所示。 加密套件名称 支持的加密算法 不支持的加密算法 说明 默认加密套件 说明 WAF默认给网站配置的是“加密套件1”，但是如果请求信息不携带sni信息，WAF就会选择缺省的“默认加密套件”。 ECDHERSAAES256SHA384 AES256SHA256 RC4 HIGH MD5 aNULL eNULL NULL DH EDH AESGCM 兼容性：较好，支持的客户端较为广泛 安全性：一般 加密套件1 ECDHEECDSAAES256GCMSHA384 HIGH MEDIUM LOW aNULL eNULL DES MD5 PSK RC4 kRSA 3DES DSS EXP CAMELLIA 推荐配置。 兼容性：较好，支持的客户端较为广泛 安全性：较高 加密套件2 EECDH+AESGCM EDH+AESGCM 兼容性：一般，严格符合PCI DSS的FS要求，较低版本浏览器可能无法访问。 安全性：高 加密套件3 ECDHERSAAES128GCMSHA256 ECDHERSAAES256GCMSHA384 ECDHERSAAES256SHA384 RC4 HIGH MD5 aNULL eNULL NULL DH EDH 兼容性：一般，较低版本浏览器可能无法访问。 安全性：高，支持ECDHE、DHEGCM、RSAAESGCM多种算法。 加密套件4 ECDHERSAAES256GCMSHA384 ECDHERSAAES128GCMSHA256 ECDHERSAAES256SHA384 AES256SHA256 RC4 HIGH MD5 aNULL eNULL NULL EDH 兼容性：较好，支持的客户端较为广泛 安全性：一般，新增支持GCM算法。 加密套件5 AES128SHA:AES256SHA AES128SHA256:AES256SHA256 HIGH MEDIUM LOW aNULL eNULL EXPORT DES MD5 PSK RC4 DHE 仅支持RSAAESCBC算法。 加密套件6 ECDHEECDSAAES256GCMSHA384 ECDHERSAAES256GCMSHA384 ECDHEECDSAAES128GCMSHA256 ECDHERSAAES128GCMSHA256 ECDHEECDSAAES256SHA384 ECDHERSAAES256SHA384 ECDHEECDSAAES128SHA256 ECDHERSAAES128SHA256 兼容性：一般 安全性：较好 WAF提供的TLS加密套件对于高版本的浏览器及客户端都可以兼容，不能兼容部分老版本的浏览器，以TLS v1.0协议为例，加密套件不兼容的浏览器及客户端参考说明如下表所示。 说明 建议您以实际客户端环境测试的兼容情况为准，避免影响现网业务。 加密套件不兼容的浏览器/客户端参考说明（TLS v1.0）： 浏览器/客户端 默认加密套件 加密套件1 加密套件2 加密套件3 加密套件4 :::::: Google Chrome 63 / macOS High Sierra 10.13.2 × √ √ √ × Google Chrome 49 / Windows XP SP3 × × × × × Internet Explorer 6 / Windows XP × × × × × Internet Explorer 8 /Windows XP × × × × × Safari 6/iOS 6.0.1 √ √ × √ √ Safari 7/iOS 7.1 √ √ × √ √ Safari 7/OS X 10.9 √ √ × √ √ Safari 8/iOS 8.4 √ √ × √ √ Safari 8/OS X 10.10 √ √ × √ √ Internet Explorer 7/Windows Vista √ √ × √ √ Internet Explorer 8～10/Windows 7 √ √ × √ √ Internet Explorer 10/Windows Phone 8.0 √ √ × √ √ Java 7u25 √ √ × √ √ OpenSSL 0.9.8y × × × × × Safari 5.1.9/OS X 10.6.8 √ √ × √ √ Safari 6.0.4/OS X 10.8.4 √ √ × √ √

本文为您介绍WAF接入配置的最佳实践。 将网站域名接入Web应用防火墙（原生版），能够帮助您的网站防御OWASP常见Web攻击和恶意CC攻击流量等，避免网站遭到入侵导致数据泄露，全面保障您网站的安全性和可用性。您可以参考接入配置最佳实践，在各类场景中使用WAF更好地保护您的网站。 说明 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。当前云WAF提供CNAME接入模式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 网站接入WAF准备工作 在将网站业务接入WAF前，您需要完成以下准备工作： 所需接入的网站域名清单，包含网站的源站服务器IP、端口信息等。 所接入的网站域名必须已完成备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含扩展名为PEM/CRT/CER的证书文件、扩展名为PEM/KEY的私钥文件，文件内容均需为PEM编码格式。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

场景2：构造大量畸形报文的请求进行CC攻击 攻击者在进行CC攻击时构造的请求常常与正常请求的特征不相符，安全与加速服务可通过识别不合理请求的特征对CC攻击进行防护。例如： Cookie不合理。Cookie是一种在客户端（通常是Web浏览器）和服务器之间传输和存储数据的机制，正常请求往往会携带网站本身业务集的Cookie。CC攻击请求常常不会携带cookie或者携带伪造的cookie。针对此种场景您可以开启cookie防护功能进行防护。 HTTP请求头部缺失或不正确的请求方法。通过指定网站接口正常请求所需的请求头部及允许的请求方法，可以拦截缺少某些HTTP请求头部或不正确请求方法的攻击，您可以通过合规检测配置实现该防护功能。 场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CSRF防护功能。 功能介绍 CSRF一般指跨站请求伪造。跨站请求伪造（英语：Crosssite request forgery），也被称为 oneclick attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。针对发起CSRF攻击进行防护。 背景信息 CSRF的攻击场景 攻击者盗用了用户的身份，以用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以受攻击者名义发送邮件、发消息，盗取账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 CSRF的攻击原理 用户User打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A。 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A。 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B。 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A。 浏览器在接收到这些攻击性代码后，根据网站B 的请求，在用户不知情的情况下携带Cookie 信息，向网站A 发出请求。网站A 并不知道该请求其实是由B 发起的，所以会根据用户User 的Cookie 信息以User 的权限处理该请求，导致来自网站B 的恶意代码被执行。

智算一体机从产品购买到正式交付，主要服务流程如下所示： 产品订购 确定需求：客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 项目设计：确定客户需求后，天翼云技术专家开始设计并输出网络集成规范、系统集成方案、测试用例等。 硬件/软件集成：天翼云技术专家进行硬件集成、网络配置、软件集成等。 测试验收：天翼云测试专家进行测试验收、输出对应报告并进行发货评审。 产品交付 产品发货：天翼云将按照与客户约定的时间依次发货。 交付部署：天翼云服务团队将现场上电、通网、现场系统测试、系统交付检查。 客户验收：由客户进行智算一体机全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型训练或者推理。

网站漏洞扫描主要是针对WEB应用的SQL注入、跨站、远程挂马、跨站请求伪造 CSRF、OWASP top 10 等漏洞进行扫描进行网站漏洞扫描，实时将数据反馈到安全专区，进行动态展示。 操作方法 1.网站漏洞数据来源：点击【资产管理】→【域名】，扫描后，如果该网站有漏洞则会同步到【网站漏洞】模块。 2.选择时间范围内，进行趋势分析。 风险终端 可以实时分析、日志追溯等方式进行数据查找和分析，记录站点来源信息以及网站网页信息类型，记录网站漏洞名称、漏洞等级、漏洞发现时间、漏洞处理状态及漏洞具体描述。 点击【导出】，即下载网站漏洞扫描报告。 点击【漏洞描述】即展示网站漏洞具体域名地址、网站漏洞详情。

本文介绍为云主机配置内网域名的最佳实践概述。 背景 内网域名是指仅在VPC内生效的虚拟域名，无需购买和注册，无需备案。云解析服务提供的内网域名功能，可以让您在VPC中拥有权威DNS，且不会将您的DNS记录暴露给互联网，解析性能更高，时延更低，并且可以防护解析劫持。我们可以将VPC内承担内网域名解析功能的DNS称为内网DNS。 内网域名功能支持为VPC内每个云主机创建一个内网域名，实现： 通过内网域名访问VPC内的云主机，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云主机切换时，只需通过修改内网域名解析记录即可，无需修改代码。 操作场景 本实践为内网DNS典型应用场景，如图所示。 图逻辑组网 方案优势 上图展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

c.安装成功。 d.安装成功，点击登录，或浏览器访问“ 6.购买域名为了便于网站的访问和使用，您可以给网站设置一个域名，使用域名访问网站。您可以在天翼云域名快速注册中购买域名。为了您网站的安全性起见，建议您的域名可以搭配 CTWAF 一起使用，您可以参考：web应用防火墙（原生版）产品定义。 7.如网站未进行备案，您可以参考：备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 8.配置域名解析。配置域名解析后才能使用域名访问网站，具体操作请创建域名解析。 步骤五：配置服务器安全卫士（原生版） 服务器安全卫士（原生版）防护实践请参考：主机安全防护最佳实践，您可以根据您开通的对应防护，选择性的配置对应的安全设置，不同的防护版本有不同的防护功能，您可以参考：产品规格。 配置基线检查，请参考：本节介绍服务器安全卫士（原生版）基线检测操作指南。 配置漏洞扫描，请参考：本节为您介绍漏洞扫描原理、漏洞扫描版本规格、漏洞等级。 配置弱口令检测，请参考：本节介绍服务器安全卫士（原生版）弱口令检测操作指南。 配置病毒查杀，请参考：病毒查杀概述。 配置文件防勒索，请参考：文件防勒索概述。 配置网页防篡改，请参考，购买网页防篡改配额。

本文介绍网站提示证书存在风险的相关场景及解决方案。 背景说明 网站已经在天翼云DDoS高防（边缘云版）控制台开启了HTTPS功能，并配置对应证书，但是用户使用浏览器访问该网站时提示证书存在风险。本文主要介绍可能的原因及应对方案。 可能原因及方案 场景一：域名配置的对应证书已过期 处理方式：您可以前往DDoS高防（边缘云版）控制台更换新的证书。具体操作时，可先上传新的证书，再在【域名接入】【网站配置】【请求协议】中选择新证书对应的备注名，单击【保存】即可。 场景二：配置了自签名HTTPS证书 自签名证书是由个人或企业自行签署的证书，而不是由受信任的证书机构签发的证书。此类证书容易被伪造、安全系数低、有效期不稳定，各大浏览器基本都不信任此类证书。 处理方式：通过正规证书机构购买相应证书，购买后到DDoS高防（边缘云版）控制台重新上传证书并关联对应域名。 场景三：系统时间错误 请检查浏览器系统时间是否准确。如果系统时间不在ssl证书开始截止日期之内，则可能导致浏览器提示ssl证书过期或不生效。 处理方式： 更新浏览器本地系统时间。 场景四：使用了过低的TLS版本 处理方式：天翼云默认开启了TLS 1.0/1.1/1.2/1.3，目前公认的安全性更高的协议是TLSv1.2和TLSv1.3，您可选择关闭TLS 1.0/1.1，只开启 TLSv1.2 和 TLSv1.3。

前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 背景信息 云WAF的Web全局防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web核心防护规则引擎的检测和防护。 Web核心防护则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见全局Web核心防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，完成以下功能配置。 配置项 说明 状态 开启或关闭Web核心防护规则引擎。防护规则引擎默认开启，为所有接入WAF防护的网站防御常见的Web应用攻击。 防护规则组 选择要应用的防护规则组。支持应用内置规则组和自定义规则组。 内置规则组包括： 正常规则组：按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。 严格规则组：按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。 宽松规则组：按照宽松防护程度去检测常见Web应用攻击。当您发现正常规则组下存在较多误拦截，或者业务存在较多不可控的用户输入（例如，富文本编辑器、技术论坛等），建议您选择该规则组。 自定义规则组：用户可根据业务情况自定义防护规则组。 单击“前去配置”，将跳转到防护规则组配置页面，您可以根据业务需要自定义防护规则组及要应用的防护规则。具体操作，请参见全局Web核心防护。

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持防护敏感信息泄露功能 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。

服务类型 证书管理服务提供SSL证书、私有（内网）证书、个人证书： 分类 SSL证书域名证书 SSL证书IP证书 私有（内网）证书 个人证书 应用场景 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的域名。 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的IP。 用于内网身份认证、系统间加密通信和设备安全管理。 用于个人电子邮件或文档签名，无法用于网站HTTPS加密，常用于密评场景。 支持的加密标准 国际标准 国密标准 国际+国密 国际标准 国际标准 国密标准 国密标准 支持的证书种类 域名型证书（DV） 企业型证书（OV） 企业型基础版（OVBasic） 企业型专业版（OVPro） 增强型证书（EV） 增强型基础版（EVBasic） 企业型证书（OV） 企业型专业版（OVPro） 企业型基础版（OVBasic） 企业型证书（OV） 支持的证书版本 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 支持的域名类型 通配符 单域名 多域名 单IP 通配符 单域名 多域名

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用规则防护引擎功能。若为免费版，仅支持使用告警能力。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【防护规则引擎】详细设置页。 配置说明 防护模式 防护模式支持选择关闭、告警、拦截，免费版默认仅提供告警能力。 选择防护规则模板 您可以根据您的网站业务场景选择适合的防护规则集 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注。

本文帮助您了解通过弹性IP访问公网的弹性云服务器VPC配置方式。 当弹性云主机需要访问公网时，例如用于搭建网站时允许接受访客通过网络访问的业务节点，可以通过绑定弹性IP来实现。具体的配置流程如下图所示。 图 配置网络功能 配置网络流程图说明如下表所示。 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。该任务是创建一个完整的虚拟私有云的第一步。 创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 申请和绑定弹性IP 必选任务。可以通过申请弹性IP并将弹性IP绑定到上，实现弹性云主机访公网的目的。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。

编号 阶段 描述 1 编写密码应用方案 客户首先自行或委托密评机构按照密评标准对系统进行差距分析，根据差距分析结果结合系统实际情况设计密码应用方案。 密码应用方案应包括系统现状及存在的风险、系统涵盖的重要数据、密码应用需求、方案设计以及使用的密码技术、管理制度、应急方案以及实施方案等。 2 密码应用方案评估 密码应用方案编写完成后，可委托密码专家或密评机构对密码应用方案进行评审。 若委托密码专家对方案评审则出具专家评审意见。 若委托密评机构评审，则出具密码应用方案评估报告。 3 系统建设/改造 密码应用方案通过评审后，系统集成单位按照通过评审的方案对系统进行建设或改造。 4 密码应用安全性评估 系统建设/改造完成后，被测单位委托密评机构对系统进行测评，密评机构按照GB/T 39786标准测评并出具差距分析报告，客户根据差距分析结果进行整改并申请复测，最终出具符合要求的商用密码应用安全性评估报告。

限制说明 以网站为例，从网站搭建完成至可对用户提供服务，主要涉及搭建网站的服务器及接入信息、网站信息、主体信息三个方面，ICP备案主要针对这三类信息进行备案以待审核，保障网站服务的真实性、安全性等。本文为您介绍使用天翼云ICP代备案管理系统进行ICP备案时，可能存在的一些限制条件。 分类 限制项 限制说明 服务器及接入信息 接入地 如果您的域名/APP需要在天翼云进行ICP备案，请先购买天翼云中国内地节点服务器。 服务器及接入信息 跨省备案 单位备案不可以跨省备案。 个人跨省备案需根据管局规则，提交当地居住证等证件（部分管局支持）或更换备案省份。 服务器及接入信息 服务器 通过天翼云进行ICP备案，需先购买天翼云中国内地节点服务器。。 网站信息 前置审批 若网站内容涉及需前置审批行业的内容，ICP备案前请先到相关批复单位办理前置审批文件，详细信息可参考：前置审批。 网站信息 域名 域名对应的顶级域名已获工信部批复。 域名注册服务机构已获工信部批复。 域名需在注册有效期内。 域名需完成域名实名认证。 部分省份的企业进行ICP备案，主办单位或主办人全称可填写公司的法定代表人。其他备案场景下，要求域名持有者信息与备案主体信息保持一致。具体省份要求可参考管局规则。 网站信息 网站或APP内容 网站或APP不可以涉及违法内容。 如果网站或APP内容涉及行业或企业内容，备案性质不能为个人。 主体信息 主体 一个天翼云账号只能备案一个主体（公司或个人）信息，但一个主体下可以备案多个网站或APP。