验证流量是否经过云防火墙 1. 生成流量，请参见《企业路由器用户指南> 验证网络互通情况》。 2. 查看日志：在左侧导航栏中，选择“日志审计> 日志查询”，选择“流量日志> VPC边界防火墙”页签。 有日志记录：云防火墙已成功防护VPC间流量。 无日志记录，排查企业路由器配置，请参见“配置企业路由器并将流量引至云防火墙”。

云日志服务支持采集和存储云搜索中的Elasticsearch、OpenSearch、Logstash实例的日志，采集后，您可以在云日志服务控制台中对实例日志进行查询、分析与告警。 约束限制 1. 如果您自行在云日志控制台关闭了实例日志单元或日志项目，将会无法查询到相关日志，请谨慎操作。 2. 云日志功能仅订购了云搜索1.2.0及以上版本适用。 操作步骤 1. 登录云搜索控制台，选择需要开启日志服务的实例，进入实例详情页，选择监控中心日志管理。 2. 单击开启日志功能，通过授权认证后开通成功后，点击链接进入到云日志控制台进行日志查看。 3. 日志范围包括运行日志（含错误日志）、GC日志、慢索引日志、慢查询日志、Logstash运行日志。 4. 如果您不再需要日志采集，可以在云搜索控制台中关闭日志功能开关，并选择是否要保留已产生的日志，如保留，历史日志可前往云日志服务控制台查看。

本节介绍如何修改日志存储类型、存储时长，如何创建日志投递任务。 云防火墙（原生版）支持存储访问控制日志、入侵防御日志、流量日志、病毒防护日志、操作日志，日志存储容量默认为50G，日志存储时长默认为7天。 当默认的日志配置无法满足您的业务需求时： 您可以根据业务需求对日志存储类型、日志存储时长进行调整，具体操作请参见配置日志存储类型、修改日志存储时长。 对于需要长期存储的日志数据，您可以创建日志投递任务，将日志归档至对象存储服务中长期保存。 查看日志存储容量 日志存储容量默认为50G，存储容量达到上限后，将滚动清理超限日志，请定期关注日志存储容量的使用情况。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在存储容量模块可查看存储容量、存储使用量。 配置日志存储类型 云防火墙（原生版）支持访问控制日志、入侵防御日志、流量日志、病毒防护日志、操作日志。 说明 操作日志必须勾选，其他类型的日志可以根据实际情况进行选择。 若去勾选某种类型的日志，云防火墙（原生版）不会删除已存储的日志，但不会再继续存储新的日志。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在日志存储类型模块单击“点击修改”。 5. 在弹出的对话框中，选择日志存储类型。 6. 选择完成后，单击“确定”。

本章节主要介绍设置数据库审计日志 。 前提条件 数据库审计日志在集群的“安全配置”页面中进行设置，仅“可用”和“非均衡”状态的集群才支持修改安全配置，同时集群的任务信息不能处于“创建快照中”、“调整大小”、“配置中”和“重启中”。 确保当前审计总开关auditenabled参数已开启（auditenabled默认值为ON，若关闭请参考修改数据库参数设置为ON）。 操作步骤 1. 登录DWS 管理控制台。 2. 单击“集群管理”。 3. 在集群列表中，单击指定集群的名称，然后在左侧导航栏单击“安全设置”。 默认显示“配置状态”为“已同步”，表示页面显示的是数据库当前最新结果。 4. 在“审计配置”区域中，设置审计日志保留策略。 “空间优先”：表示当单个节点的审计日志超过1G后，将自动淘汰审计日志。 注意 版本号为1.0.0和1.1.0的集群不支持设置审计日志保留策略。 如果数据库规划存储空间有限，建议设置为“空间优先”策略，避免因审计日志占用磁盘空间高导致节点故障或性能低。 5. 根据需要设置以下操作的审计开关。 各审计项的详细信息如下表所示。 参数名 说明 审计用户越权访问操作 表示是否记录用户的越权访问操作，默认关闭。 审计DML操作 表示是否对数据表的INSERT 、UPDATE 和DELETE操作进行记录，默认关闭。 审计SELECT操作 表示是否对SELECT操作进行记录，默认关闭。 审计存储过程执行 表示是否在执行存储过程和自定义函数的时候记录操作信息，默认关闭。 审计COPY操作 表示是否对COPY操作进行记录，默认关闭。 审计DDL操作 表示是否对指定数据库对象的CREATE 、DROP 和ALTER操作进行记录。除“DATABASE”、“SCHEMA”和“USER”默认启用记录，其他默认关闭。 DWS 除了支持下表的审计功能，默认还开启了如下表所示的关键审计项。 参数名 说明 :: 关键审计项 记录用户登录成功、登录失败和注销的信息。 关键审计项 记录数据库启动、停止、恢复和切换审计信息。 关键审计项 记录用户锁定和解锁功能信息。 关键审计项 记录用户权限授予和权限回收信息。 关键审计项 记录SET操作的审计功能。 6. 设置是否开启审计日志转储功能。 关于审计日志转储功能的更多信息，请参见开启审计日志转储。 7. 单击“应用”。 单击，“配置状态”显示为“应用中”，表示系统正在保存配置。 等待一段时间后再次刷新“配置状态”，当显示为“已同步”，表示已保存配置并生效。

云下一代防火墙实例默认不限制日志存储时间；但因本地存储空间有限，云防火墙将在超过存储容量90%后启动滚动存储策略，增量日志将覆盖历史日志。 如果您有180天日志存储的诉求，可参考如下方法进行配置，以确保日志能够被妥善保存： 方法一：将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析（推荐）。 方法二：扩容本地磁盘以保证足够的日志存储容量。

步骤二：SSH安全加固 SSH是远程登录Linux服务器的主要方式，但它也是黑客进行暴力破解和恶意攻击的主要入口之一。为了加强Linux云主机的SSH登录安全，请参考：Linux服务器SSH登录的安全加固，进行安全加固。 步骤三：配置MySQL安全 配置MySQL备份，请参考：备份功能简介 配置SQL审计，请参考：开启SQL审计日志（开启后您可以选择性的是否使用DMS操作审计，请参考：DMS操作审计），SQL审计日志保留期最长为7天，如果您需要永久保存，请参考：云审计 配置MySQLSSL数据加密，请参考：设置SSL数据加密 步骤四：在弹性云主机上部署 WordPress 说明： 不同的操作系统搭建WordPress的命令存在差异，请根据您的CTECS实例操作系统选择对应的操作，否则会安装失败。 本文档以 CTyunOS 2.0.1 64位操作系统，MySQL 8.0，PHP 8.1，为例部署WordPress 6.8。 WordPress对PHP、MySQL版本存在依赖关系，如果版本不匹配则会导致WordPress安装失败，具体依赖信息，请移步到 WordPress官网 > WordPress Compatibility 进行查看。 1.部署 LNMP 1.1、部署nginx：

云审计API概述及如何使用

云日志服务（CTLTS，Log Tank Service）提供一站式日志采集、秒级搜索、海量存储、结构化处理、转储等功能，满足应用运维、网络日志分析、等保合规和运营分析等应用场景。 云日志服务简介 云日志服务（Log Tank Service，简称LTS），用于收集来自主机和云服务的日志数据，通过海量日志数据的分析与处理，可以将云服务和应用程序的可用性和性能最大化，为您提供实时、高效、安全的日志处理能力，帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 日志采集与分析 云日志服务可以采集主机和云服务的日志数据，采集日志后，日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 云日志服务基本功能 实时采集日志 云日志服务提供实时日志采集功能，采集到的日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。 采集到日志数据按照结构化和非结构化进行分析。结构化日志是通过规则将日志流中的日志进行处理，提取出来有固定格式或者相似度高的日志内容做结构化的分类。

本文介绍了云防火墙（原生版）的产品定义和产品架构。 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 产品功能 访问控制：可统一管理互联网访问控制策略（南北向），提供流量可视、访问控制、入侵防御等功能，全面保护用户的网络安全。 入侵防御：内置复合威胁检测引擎，支持对互联网上的恶意流量、DDoS攻击，漏洞利用等攻击行为进行入侵防护，并提供精准的漏洞虚拟补丁，智能阻断入侵风险。 流量可视：提供全面的用户业务流量可视化，实现网络访问可视，网络会话可视，网络行为可视，帮助用户全面感知网络情况。 日志审计：为用户全面记录入侵防御日志、访问控制日志、流量日志和操作日志，帮助用户完成等保合规要求。 产品架构 云防火墙（原生版）整体架构主要包括3个部分，分别为中央管理平台、南北向流量控制模块和日志平台。 中央管理平台：提供策略规则的编辑和下发能力，并展示安全整体情况，为您提供可视化平台。 南北向流量控制模块：主要用于实现互联网到主机间的访问控制，支持4~7层访问控制。 日志平台：存放入侵防御日志、访问控制日志、流量日志和操作日志，并提供查询分析能力。

本文介绍数据库审计的监控指标以及如何查看数据库审计的监控数据。 为保证数据库审计实例的可靠性、可用性和可观测性，对数据库审计进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的数据库审计监控功能，可方便用户更快、更直观的了解数据库审计的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理数据库审计实例。 当用户开通数据库审计服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 数据库审计支持的区域请参见支持的区域。 实例支持的监控指标 监控指标 指标说明 单位 是否支持告警 监控周期 CPU利用率 该指标用于统计数据库审计实例的CPU利用率。 % 是 5分钟 内存总大小 该指标用于统计数据库审计实例的实际内存大小。 GB 是 5分钟 剩余内存大小 该指标用于统计数据库审计实例的空闲的内存大小。 GB 是 5分钟 内存利用率 该指标用于统计数据库审计实例的内存利用率。 内存利用率 100% （剩余内存大小/内存总大小） % 是 5分钟 系统盘大小 该指标用于统计数据库审计实例的实际系统盘大小。 GB 是 5分钟 剩余系统盘大小 该指标用于统计数据库审计实例的空闲的系统盘大小。 GB 是 5分钟 系统盘利用率 该指标用于统计数据库审计实例的系统盘利用率。 系统盘利用率 100% （剩余系统盘大小/系统盘大小） % 是 5分钟 数据盘大小 该指标用于统计数据库审计实例的实际数据盘大小。 GB 是 5分钟 剩余数据盘大小 该指标用于统计数据库审计实例的空闲的数据盘大小。 GB 是 5分钟 数据盘利用率 该指标用于统计数据库审计实例的数据盘利用率。 系统盘利用率 100% （剩余数据盘大小/数据盘大小） % 是 5分钟

操作系统内核热补丁 天翼云支持热补丁修复技术，可在无需重启系统的情况下快速修复漏洞，有效提升系统的可用性与安全性。借助天翼云CTyunOS操作系统所提供的热补丁功能，用户能够在系统运行过程中动态加载并应用补丁，及时修复已知漏洞或缺陷，整个过程无需重启系统，也不会中断正在运行的服务。用户可根据实际需求，灵活下载和安装热补丁，实现业务无感知的安全更新。更多信息可查看++CTyunOS系统官网热补丁公告++ 使用服务器安全卫士 服务器安全卫士（原生版）为您免费提供操作系统安全加固能力，包括资产指纹采集、漏洞扫描、暴力破解和异常登录告警等基础防护功能。在您购买弹性云主机时，系统将自动为您开启“基础版”免费防护服务，为您的操作系统提供基础安全保障。基础版功能完全免费，建议用户保持开启状态；若业务有更高安全需求（如漏洞修复、防勒索、网页防篡改），可升级至企业版或旗舰版，获取更全面的防护能力。更多信息，请参见++主机安全防护最佳实践++ 提升操作系统安全性 使用云审计 云审计是天翼云提供的云账号在控制台操作记录的查询和投递服务，可用于支撑合规审计、安全分析、操作追踪和问题定位等场景。同时云审计提供事件跟踪功能，支持将操作日志转储至对象存储或者日志审计（原生版）产品实现更长时间的存储，满足等保合规要求。更多信息，请参见++云审计++。

访问权限控制 云堡垒机系统用户个人数据通过加密存储，系统管理员及上级管理员需通过安全码才能查看用户的手机、邮箱。但用户密码对所有人（包括本人）都不明文可见。 二次认证 云堡垒机系统用户账号配置用户登录限制“多因子认证” 后，用户在登录系统时开启登录验证功能，需要二次认证（二次认证方式支持 “手机短信” 、 “手机令牌” 、 “USBKey” 、 “动态令牌”），有效保护用户敏感信息。 日志记录 云堡垒机系统用户个人数据的所有操作，包括增加、修改、查询和删除，云堡垒机系统都会记录审计日志，并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志，系统管理员admin拥有系统最高权限，可查看并管理登录系统全部用户账号操作记录。

本小节介绍支持云审计的HSS操作列表 企业主机安全通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的HSS操作列表 操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

本文主要介绍云日志服务的售前常见问题。 什么是云日志服务？ 云日志服务是天翼云打造的一款云原生日志观测分析平台产品，可为应用的海量日志数据提供大规模、低成本、集中式的平台化服务，具备一站式的日志采集、加工、查询分析、可视化、告警、投递消费等能力，全面满足应用研发、运维、服务监控与业务分析等应用场景。 云日志服务包含什么功能? 日志采集：支持从云主机、容器应用、微服务应用以及其他组件中采集日志。采集规则支持动态配置，提供单行/多行全文、正则、分隔符、JSON等日志结构化解析方式。 日志检索：对于采集到的日志数据，支持模糊查询、全文查询、字段查询、时间范围、上下文查询。 统计分析：支持各类统计分析场景。 数据加工：支持对日志数据进行加工，包括数据的规整、脱敏和过滤。 日志转储：支持日志数据投递转储至对象存储。 日志告警：支持对一个或多个日志单元设置自定义告警规则，告警规则将按照设定的周期执行监控任务。 如何开始使用云日志服务？ 在使用云日志服务前，您需要完成天翼云账号注册并实名认证。完成实名认证后，打开产品详情页，点击【立即开通】，按照指引开通云日志服务。详情请查看快速入门。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

本小节介绍安全专区产品定义。 安全专区是针对天翼云用户场景打造的安全产品，整合云安全管理中心、云防火墙、终端安全EDR、云数据库审计、云日志审计、云堡垒机等各类云安全合规组件，具备云安全防护能力，满足等级保护防护需求。 安全专区为用户提供单点登陆、自动授权、即开即用、统一管理、弹性扩容、能力完善的云安全等保一体化合规解决方案。

本章节主要介绍 配置审计日志本地备份数。 操作场景 集群组件的审计日志按名称分类，保存在集群各节点“/var/log/Bigdata/audit”，OMS每天凌晨3点自动备份这些审计日志目录。 各节点审计日志目录会按 .tar.gz的文件名压缩，所有压缩文件再按 .tar.gz的文件名格式，压缩保存在主管理节点“/var/log/Bigdata/audit/bk/”，同时备管理节点会同步保存一个相同的副本。 默认情况下，OMS备份的文件最大保留个数为90，该任务指导系统管理员配置此最大保留个数。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上修改审计日志备份文件数，否则可能造成集群无法正常工作。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，修改审计日志备份文件数。 ./modifyLogConfig.sh m 最大保留个数 OMS备份组件审计日志默认最大保留90个，可选值为“0”到“365”，如果设置的保留个数越大，会占用更多的磁盘空间。 显示如下结果，说明修改成功： Modify log config successfully

验证组件联动性 部署后通过“小流量测试” 验证组件是否正常联动，避免防护失效： 互联网入访测试：从公网访问公网ELB 的 EIP，检查云防火墙日志是否捕获该流量（上图中红色 / 蓝色路径）； 内网出访测试：从vpc1 业务子网的 ECS 访问互联网（如ping），检查 NAT 网关日志与云防火墙日志是否均有记录（上图中紫色路径）； VPC 互访测试：从 vpc1 的 ECS 访问 vpc2 的 ECS，检查云防火墙日志是否捕获该流量（上图中黄色路径）； 云专线互访测试：从线下数据中心访问vpc2 的业务 ECS，检查云防火墙日志是否捕获该流量（上图中绿色路径）。 流量管控：全路径防护与优化 基于典型部署方案的4类核心流量路径，通过云防火墙策略实现 “精准管控、日志可追溯”。 互联网入访流量 红色/蓝色路径：IPv4网关→GWLBE→云防火墙→公共子网（ELB/ECS/HAVIP/裸金属)。 策略配置原则：“最小权限”，仅开放业务必要端口； 允许策略：仅开放80（HTTP）、443（HTTPS）等业务端口，源地址限制为业务覆盖的用户网段（如仅允许华东地区 IP 访问）； 拒绝策略：默认拒绝所有其他端口（如22、3389等管理端口，禁止公网直接访问）。 日志审计：开启云防火墙入访日志记录，定期审计异常流量（如来自境外IP的高频访问尝试）。

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

与云监控的关系 数据仓库服务使用云监控（Cloud Eye）监控集群中的多项性能指标，从而集中高效地呈现状态信息。云监控支持发送自定义告警，用户可以即时获取异常通知。 与云审计服务的关系 数据仓库服务使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的非查询操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 与云日志服务的关系 数据仓库服务用户可以在云日志服务（Log Tank Service，简称LTS）查看采集的集群日志或进行日志转储。 与消息通知服务的关系 数据仓库服务使用消息通知服务（Simple Message Notification，简称SMN）依据用户的事件订阅需求主动推送通知消息，使用户可以在事件发生（如集群关键操作）时能立即接收到通知。 与标签管理服务的关系 数据仓库服务使用标签管理服务（Tag Management Service，简称TMS）为用户提供跨区域、跨服务的集中标签管理和资源分类功能，让用户可以对资源进行自定义标记，实现资源的分类，然后可以对资源按标签进行搜索。 与云解析服务的关系 数据仓库服务使用云解析服务（Domain Name Service，DNS）可以提供域名映射到DWS 集群的IP地址。 与弹性负载均衡的关系 数据仓库服务利用弹性负载均衡（Elastic Load Balance，简称ELB）健康检查机制可将集群的CN请求快速转发到正常工作的CN节点上，当有CN故障节点时，也能第一时间切换流量到健康节点上，最大化降低集群访问故障。

产品版本规格 产品名称 版本 规格 规格说明 堡垒机 v1.0/v2.0 10资产 支持10资产管理 堡垒机 v1.0/v2.0 20资产 支持20资产管理 堡垒机 v1.0/v2.0 50资产 支持50资产管理 堡垒机 v1.0/v2.0 100资产 支持100资产管理 堡垒机 v1.0/v2.0 200资产 支持200资产管理 堡垒机 v1.0/v2.0 500资产 支持500资产管理 堡垒机 v1.0/v2.0 1000资产 支持1000资产管理 数据库审计 v1.0 标准版 支持4数据库实例 数据库审计 v1.0 高级版 支持8数据库实例 数据库审计 v1.0 企业版 支持16数据库实例 数据库审计 v2.0 4资产 支持4数据库实例 数据库审计 v2.0 8资产 支持8数据库实例 数据库审计 v2.0 16资产 支持16数据库实例 数据库审计 v2.0 32资产 支持32数据库实例 数据库审计 v2.0 存储扩容 支持对数据盘进行扩容 漏洞扫描 v1.0 10资产 支持10个IP地址 漏洞扫描 v1.0 20资产 支持20个IP地址 漏洞扫描 v1.0 50资产 支持50个IP地址 漏洞扫描 v1.0 100资产 支持100个IP地址 漏洞扫描 v1.0 200资产 支持200个IP地址 日志审计 v1.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v1.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v1.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v1.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v1.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v1.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v2.0 15资产 支持15个日志源（每个日志源对应为一个IP） 日志审计 v2.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v2.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v2.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v2.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v2.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 存储扩容 支持对数据盘进行扩容 下一代防火墙 v1.0 标准版 支持1Gbps公网流量处理能力峰值 下一代防火墙 v1.0 高级版 支持2Gbps公网流量处理能力峰值 下一代防火墙 v1.0 企业版 支持4Gbps公网流量处理能力峰值 下一代防火墙 v2.0 标准版 支持1Gbps公网流量处理能力峰值（每秒数据包处理能力：200000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 下一代防火墙 v2.0 高级版 支持2Gbps公网流量处理能力峰值（每秒数据包处理能力：400000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 下一代防火墙 v2.0 企业版 支持4Gbps公网流量处理能力峰值（每秒数据包处理能力：2500000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 云安全中心 v2.0 标准版 包含日志分析量为每月50G 云安全中心 v2.0 态势大屏 包括安全成果态势、威胁攻击态势大屏 云安全中心 v2.0 日志分析量 默认需购买500G日志分析量，额外购买步长为50G 主机安全 v1.0 标准版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v1.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 主机安全 v2.0 旗舰版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v2.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 Web应用防火墙 v1.0 标准版 防护10个站点，支持带宽防护200Mb Web应用防火墙 v1.0 域名扩展包 每个扩展包支持10个域名防护 Web应用防火墙 v1.0 带宽扩展包 单个防护带宽扩展包，每个扩展包规格50Mb，可叠加； 单个Web应用防火墙最大支持1000Mb流量，最大可支持16个扩展包。 Web应用防火墙 v2.0 SaaS版 标准版 业务请求峰值3000QPS，支持防护域名20个（包含2个主域名），防护端口20个，更多信息请参见[产品规格](

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本章主要介绍翼MapReduce的日志维护建议。 利用日志记录来帮助发现非法操作、非法登录用户等异常情况。系统对于重要业务的操作需要记录日志。通过日志文件来定位异常。 定期检查日志 定期查看系统日志，若发现有非法操作、非法登录用户等异常情况，应根据异常情况进行相应的处理。 定期备份日志 FusionInsight Manager和集群提供的审计日志记录了用户活动信息和操作信息，可通过FusionInsight Manager导出审计日志。当系统中的审计日志过多时，可通过配置转储参数，将审计日志转储到指定服务器，避免引起集群节点磁盘空间不足。 维护责任人 网络监控工程师、系统维护工程师。

此小节介绍云堡垒机图形审计。 可审计对象为授权的资产数据角色产生的图形访问会话，支持访问实时播放和回放、键盘记录、剪切板记录和中断会话。 操作步骤 1.管理员登录并切换至“审计角色”，选择“会话日志 > 图形审计”。 2.单击“操作”列的“键盘”或“更多 > 剪切板”可查看记录。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

本文主要介绍云日志服务的日志管理概述。 登录云日志服务控制台，您可在日志管理页查看资源统计、日志应用、日志项目、日志单元等信息。 资源统计 资源统计展示当前账号、当前资源池下，所有日志的标准存储量、读写流量、加工流量与转储流量，以及这些指标的日环比数据。 详细信息，请参考资源统计。 日志应用 当前支持接入云主机应用文本日志与云容器引擎应用日志。详情请见接入云主机文本日志与接入云容器引擎应用日志。 日志项目列表 可查看当前创建的所有日志项目与日志单元，并可进行新建、收藏等操作。详情请见管理日志项目与管理日志单元。

日志采集与分析 主机和云服务的日志数据，不方便查阅并且会定期清空。云日志服务采集日志后，日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 合理优化业务性能 网站服务（数据库、网络等）的性能和服务质量是衡量用户满意度的关键指标，通过用户的拥塞记录日志发现站点的性能瓶颈，以提示站点管理者改进网站缓存策略、网络传输策略等，合理优化业务性能。例如： 分析历史网站数据，构建业务网络基准。 及时发现业务性能瓶颈，合理扩容或流量降级。 分析网络流量，优化网络安全策略。 快速定位网络故障 网络质量是业务稳定的基石，将日志上报至云日志服务，确保问题发生时能及时查看、定位问题，助力您快速定位网络故障，进行网络回溯取证。例如： 快速定位问题根源的云服务器，例如带宽过度使用的云服务器。 通过分析访问日志，判断业务是否遭到了攻击、非法盗链和不良请求等，及时定位并解决问题。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本节介绍云等保专区产品的计费类问题。 云等保专区产品各安全原子能力的规格以及计费价格是什么？ 产品名称 版本 规格 规格说明 标准价格（元/月） 标准价格（元/年） 包年优惠 堡垒机 v1.0 10资产 支持10资产管理 1066 12791 堡垒机 v1.0 20资产 支持20资产管理 1523 18273 堡垒机 v1.0 50资产 支持50资产管理 3006 36069 堡垒机 v1.0 100资产 支持100资产管理 4294 51527 堡垒机 v1.0 200资产 支持200资产管理 6134 73610 堡垒机 v1.0 500资产 支持500资产管理 11599 139191 堡垒机 v1.0 1000资产 支持1000资产管理 16570 198844 堡垒机 v2.0 10资产 支持10资产管理 1020 10404 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 20资产 支持20资产管理 1280 13056 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 50资产 支持50资产管理 2600 26520 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 100资产 支持100资产管理 4600 46920 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 200资产 支持200资产管理 6200 63240 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 500资产 支持500资产管理 9200 93840 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 1000资产 支持1000资产管理 14170 144534 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 存储扩容 支持对数据盘进行扩容 500/TB 5100/TB 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 数据库审计 v1.0 标准版 支持4数据库实例 3333 40000 数据库审计 v1.0 高级版 支持8数据库实例 6250 75000 数据库审计 v1.0 企业版 支持16数据库实例 11667 140000 数据库审计 v2.0 4资产 支持4数据库实例 3333 33330 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 8资产 支持8数据库实例 6250 62500 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 16资产 支持16数据库实例 11667 116670 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 32资产 支持32数据库实例 22400 224000 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 存储扩容 支持对数据盘进行扩容 500/TB 5000/TB 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 漏洞扫描 v1.0 10资产 支持10个IP地址 937 11248 漏洞扫描 v1.0 20资产 支持20个IP地址 1339 16068 漏洞扫描 v1.0 50资产 支持50个IP地址 3493 41915 漏洞扫描 v1.0 100资产 支持100个IP地址 4990 59878 漏洞扫描 v1.0 200资产 支持200个IP地址 10530 126358 日志审计 v1.0 10资产 支持10个日志源（每个日志源对应为一个IP） 1107 13289 日志审计 v1.0 20资产 支持20个日志源（每个日志源对应为一个IP） 1582 18984 日志审计 v1.0 50资产 支持50个日志源（每个日志源对应为一个IP） 3219 38633 日志审计 v1.0 100资产 支持100个日志源（每个日志源对应为一个IP） 4599 55190 日志审计 v1.0 200资产 支持200个日志源（每个日志源对应为一个IP） 9606 115267 日志审计 v1.0 500资产 支持500个日志源（每个日志源对应为一个IP） 13722 164667 日志审计 v2.0 10资产 支持10个日志源（每个日志源对应为一个IP） 1107 11291.4 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 15资产 支持15个日志源（每个日志源对应为一个IP） 1257 12821.4 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 20资产 支持20个日志源（每个日志源对应为一个IP） 1582 16136.4 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 50资产 支持50个日志源（每个日志源对应为一个IP） 3219 32833.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 100资产 支持100个日志源（每个日志源对应为一个IP） 4599 46909.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 200资产 支持200个日志源（每个日志源对应为一个IP） 7359 75061.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 500资产 支持500个日志源（每个日志源对应为一个IP） 15639 159517.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 存储扩容 支持对数据盘进行扩容 500/TB 5100/TB 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 下一代防火墙 v1.0 标准版 支持1Gbps公网流量处理能力峰值 1879 22546 下一代防火墙 v1.0 高级版 支持2Gbps公网流量处理能力峰值 3406 40872 下一代防火墙 v1.0 企业版 支持4Gbps公网流量处理能力峰值 5673 68079 下一代防火墙 v2.0 标准版 支持1Gbps公网流量处理能力峰值（每秒数据包处理能力：200000 PPS） 1879 22546 下一代防火墙 v2.0 高级版 支持2Gbps公网流量处理能力峰值（每秒数据包处理能力：400000 PPS） 3406 40872 下一代防火墙 v2.0 企业版 支持4Gbps公网流量处理能力峰值（每秒数据包处理能力：2500000 PPS） 5673 68079 云安全中心 v2.0 标准版 包含日志分析量为每月50G 1600 16320 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.5折优惠。 云安全中心 v2.0 态势大屏 包括安全成果态势、威胁攻击态势大屏 4500 45900 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.5折优惠。 云安全中心 v2.0 日志分析量 默认需购买500G日志分析量，额外购买步长为50G 225 / 500GB 2295 / 500GB 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.5折优惠。 主机安全 v1.0 标准版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 167 2000 主机安全 v1.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 695 8340 主机安全 v2.0 企业版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 60 612 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 主机安全 v2.0 旗舰版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 180 1836 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 主机安全 v2.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 980 9996 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 Web应用防火墙 v1.0 标准版 防护10个站点，支持带宽防护200Mb 2837 34049 Web应用防火墙 v1.0 域名扩展包 每个扩展包支持10个域名防护 500 5998 Web应用防火墙 v1.0 带宽扩展包 单个防护带宽扩展包，每个扩展包规格50Mb，可叠加； 单个Web应用防火墙最大支持1000Mb流量，最大可支持16个扩展包。 500 5998 Web应用防火墙 v2.0 SaaS版 标准版 业务请求峰值3000QPS，支持防护域名20个（包含2个主域名），防护端口20个，更多信息请参见[产品规格](

N100使用限制 云防火墙（原生版） N100型实例默认不限制日志存储时间；但因本地存储空间有限，云防火墙将在超过存储容量90%后启动滚动存储策略，增量日志将覆盖历史日志。 如果您有180天日志存储的诉求，可参考如下方法进行配置，以确保日志能够被妥善保存： 方法一：将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析（推荐）。 方法二：扩容本地磁盘以保证足够的日志存储容量。

实例内 GuestOS 应用系统安全 登录安全配置 创建Linux云主机时，推荐用户选择登录名为ecsuser。创建成功后，云主机登录账号权限默认为非root权限，只能执行被授权的操作，若涉及系统敏感的操作，则用户需要在本地通过su或sudo提权至root权限执行。Windows云主机建议使用8位以上、包含特殊字符的复杂密码作为登录凭证。 Linux云主机：默认非root账号登陆云主机。如果您使用root用户登录Linux云主机，则您可以获得系统最高权限。该方式虽然便于您进行系统运维操作，但如果您的主机遭到入侵，就会面临严重的数据安全风险。建议您使用ecsuser用户登录云主机。 Windows云主机：设置复杂的密码并定期更换，养成良好的安全运维习惯。 避免服务弱口令 如果您的服务器使用弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令，并定期提升登录口令的安全性。口令提升方法： 设置复杂口令。 不使用常见或公开的弱口令。 定期修改口令。 云主机的口令需设置为强密码：长度为830个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@ $%^&+{}[]:;'<>,.?/ 中的特殊符号），不能以斜线号（/）开头，不能包含3个及以上连续字符，如abc、123。 数据传输加密 通过配置安全组或防火墙，限制仅允许加密网络服务端口通信，采用 TLS 1.2 及以上版本等加密协议，对客户端与实例间传输的敏感数据进行加密，防止数据在传输过程中被监听、截取或篡改。 监控与审计 利用云监控、云审计、VPC 流日志等功能，构建异常资源与权限访问监控告警体系。云监控可实时监控云资源状态，设置告警通知；操作审计记录云资源操作日志，用于安全分析与合规审计；VPC 流日志记录网络流量信息，助力网络故障排查与安全分析。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。