本文向您介绍如何定时推送安全服务报告。 功能介绍 网站接入后，您可以通过创建报告订阅任务，向您的邮箱定时发送网站业务安全的服务报告，减少手动进入控制台手动获取统计数据的成本。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置了对应的安全防护策略，报告才会生成统计数据，您可以按需配置防护策略，请参见网站防护配置概述。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 如何配置报告订阅任务 1. 登录边缘安全加速平台控制台。 2. 进入【运营管理】>【报告订阅】页面。 3. 点击安全服务报告新增，进入新建任务界面，见下图。 配置项说明 配置项 说明 任务状态 报告订阅任务的状态，开启后定时推送任务才生效，关闭则不生效 任务名称 报告订阅的任务名称，限制不能重名 接收邮箱 接收服务报告的邮箱，支持配置多个 备注 可编辑任务的详细说明或备注信息 报告周期 可选择日报、周报、月报、单次 当选择日报时，报告默认统计前一天的数据 当选择周报时，报告默认统计前一周周一至周日的数据 当选择单次时，报告只发送一次，并且可以自由选择报告统计周期以及发送时间 发送时间 支持配置报告的发送时间，由于报告需要一定的生成时间，最终发送时间可能会有些许差异 配置完成，将生成任务卡片，可见下图：

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的爬虫陷阱功能。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Bot防护】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力客户端风险识别【爬虫陷阱】详细设置页。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 注意 爬虫陷阱是通过判断响应的contenttype是否为text/html，如果是text/html，则会嵌入爬虫陷阱 基本信息 防护开关：支持拦截、告警、关闭。 统计粒度：IP/IP+UA/静态Cookie。 拦截深度：即陷阱深度，当访问到达设定的拦截深度时，认为是爬虫行为。深度越深越难触发规则，拦截深度支持配置1至5，相当于一级至五级页面链接。 处理时长：即触发规则后的惩罚时间。

本文介绍如何进行账户安全配置。 背景 在使用远程零信任办公时，需要先进行登录认证，为了保障登录的身份安全，企业会开启二次认证，避免例如账号密码泄露导致的安全风险。远程零信任办公服务提供密码策略管理功能，帮助企业自定义密码策略标准。企业可以基于自身安全要求，配置符合内部规范的密码策略。配置完密码策略后，员工密码初始化、密码重置等场景均需满足密码策略要求。 操作步骤 1.登录边缘安全加速控制台 2.支持在AOne零信任、AOne终端管理工作台进行配置。 3.在左侧导航栏，选择身份账户安全进行相应配置。 账户安全 注意 采用账号安全相关功能，需注意对应客户端版本才可进行生效。 登录管理 可针对登录相关配置进行管理。 账号密码：可开启/关闭使用账密登录，开启则支持用户名/手机号/邮箱作为账号，并使用密码登录，仅PC客户端（windows /macOS /linux图形化的2.10.4版本以上支持）。 支持设置二次认证生效范围，以及二次认证方式（短信验证码、OTP口令、邮箱验证码），仅PC客户端（windows /macOS /linux图形化的2.10.4版本以上支持）。 支持强制重置密码配置，若开启，则首次平台初始化密码均需要首次登录强制重置密码。 登录认证失败N次后将展示图形验证码，防止账密爆破。 短信验证码：通过手机号，获取验证码登录，支持设置生效范围及排除范围。PC客户端（windows /macOS /linux图形化的2.23.0版本以上支持）+移动端（安卓、IOS 的2.5.0版本以上可支持）。 邮箱验证码：通过邮箱，获取验证码登录，支持设置生效范围及排除范围。PC客户端（windows /macOS /linux图形化的2.23.0版本以上支持）+移动端（安卓、IOS 的2.5.0版本以上可支持）。 App扫码：通过AOne PC客户端进行扫码登录，支持设置生效范围及排除范围。PC客户端（windows /macOS /linux图形化的2.22.0版本以上支持）+移动端（安卓、IOS 的2.5.0版本以上可支持）。 生物识别：通过手机系统的指纹/人脸认证进行登录，支持设置生效范围及排除范围。移动端（安卓、IOS 的2.5.0版本以上可支持）。

本小节介绍SSL VPN的其他设置，包括设置密码安全策略、是否开启防暴力破解等。 密码安全策略 密码安全策略可以要求用户必须修改初始密码，并且满足密码复杂度要求。 1. 在“认证设置 > 主要认证 > 本地密码认证”设置页面。 2. 勾选“启用密码安全策略”，并开启响应复杂度要求。 开启防暴力破解选项 防暴力破解可以避免恶意用户暴力破解SSL账号，入侵内网系统。 1. 在“认证设置 > 认证选项设置 > 密码认证选项”设置页面。 2. 勾选防暴力破解选项下的三个选项即可。 端口设置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护SSL VPN管理端口4430。 登录控制台的云主机实例详情页面，选择“安全组”功能。这里您可以创建和管理安全组规则。 然后，点击“配置规则”下的“入方向规则”。在规则配置中，选择“添加入方向规则”，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

编号 操作步骤 说明 操作角色 1 创建专属加密实例 通过Dedicated HSM界面创建专属加密实例。 用户 2 分配专属加密实例 Dedicated HSM分配专属加密实例给用户。安全专家将通过您提供的联系方式与您联系，并确定您订购的专属加密实例是否满足您的业务要求，若满足要求，安全专家将分配专属加密实例给您。 专属加密服务安全专家 3 邮寄UKey并提供配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

事件类别 事件名称 事件级别 事件 管理 createClusterFail 警告 集群创建失败 管理 createClusterSuccess 正常 集群创建成功 管理 createCluster 正常 开始创建集群 管理 extendCluster 正常 开始扩容集群 管理 extendClusterSuccess 正常 集群扩容成功 管理 extendClusterFail 警告 集群扩容失败 管理 deleteClusterFail 警告 集群删除失败 管理 deleteClusterSuccess 正常 集群删除成功 管理 deleteCluster 正常 开始删除集群 管理 restoreClusterFail 警告 集群恢复失败 管理 restoreClusterSuccess 正常 集群恢复成功 管理 restoreCluster 正常 开始恢复集群 管理 restartClusterFail 警告 集群重启失败 管理 restartClusterSuccess 正常 集群重启成功 管理 restartCluster 正常 开始重启集群 管理 configureMRSExtDataSources 正常 开始配置集群的MRS外部数据源 管理 configureMRSExtDataSourcesFail 警告 配置集群的MRS外部数据源失败 管理 configureMRSExtDataSourcesSuccess 正常 配置集群的MRS外部数据源成功 管理 deleteMRSExtDataSources 正常 开始删除集群MRS外部数据源 管理 deleteMRSExtDataSourcesFail 警告 删除集群MRS外部数据源失败 管理 deletedMRSExtDataSourcesSuccess 正常 删除集群MRS外部数据源成功 管理 bindEipToCluster 正常 集群绑定EIP 管理 bindEipToClusterFail 警告 集群绑定EIP失败 管理 unbindEipToCluster 正常 集群解绑EIP 管理 unbindEipToClusterFail 警告 集群解绑EIP失败 管理 refreshEipToCluster 正常 集群刷新EIP 管理 refreshEipToClusterFail 警告 集群刷新EIP失败 安全 resetPasswordFail 警告 集群密码重置失败 安全 resetPasswordSuccess 正常 集群密码重置成功 安全 updateConfiguration 正常 开始更新集群安全参数 安全 updateConfigurationFail 警告 更新集群安全参数失败 安全 updateConfigurationSuccess 正常 更新集群安全参数成功 监控 repairCluster 正常 节点故障，开始修复集群 监控 repairClusterFail 警告 集群修复失败 监控 repairClusterSuccess 正常 集群修复成功

本章节主要介绍安全模式集群如何配置Kibana开启公网访问。 云搜索服务支持安全模式的集群通过公网访问云上Kibana服务。针对安全模式集群，云搜索服务支持配置Kibana开启公网访问，选择Kibana公网访问带宽，配置完成后，对应集群将会获得一个Kibana公网访问地址，通过这个地址可以在公网上面访问集群的Kibana。 对于安全模式集群来说，支持在创建的时候配置Kibana公网访问，同时也支持安全模式集群创建完之后，开启Kibana公网访问。 说明 如果在该特性上线之前购买的安全模式的集群，不支持此功能。 创建集群时配置Kibana公网访问 1.登录云搜索服务管理控制台。 2.在创建集群页面，开启“安全模式”。 6.5.4及之后版本的集群支持开启“安全模式”。 3.“高级配置”选择“自定义”后，开启Kibana公网访问，配置相关参数。 Kibana公网访问参数说明 参数 说明 带宽 设置公网访问的带宽。 取值范围：1100。 单位：Mbit/s。 访问控制开关 如果关闭访问控制开关，则允许任何IP通过公网IP访问集群Kibana。如果开启访问控制开关，则只允许白名单列表中的IP通过公网IP访问集群Kibana。 白名单 设置允许访问的IP地址或网段，中间用英文逗号隔开。 建议开启白名单。 集群创建成功后，单击集群名称，进入集群基本信息页面，在“Kibana公网访问”页签，可以查看kibana公网访问地址。

本小节介绍解绑配额。 您可将解绑后的空闲配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 前提条件 主机已绑定配额。 解绑主机配额 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理>主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 进入防护配额页面 5、在防护配额列表页面，单击“解除绑定”，解除绑定的配额。 解除绑定操作页面 说明 解绑配额后，HSS将无法检测您主机存在的潜在风险，请谨慎操作。 6、在弹出的解绑配额对话框中，单击“确定”，解除绑定。

使用redisexporter出错怎么办？ 通过在命令行启动redisexporter，根据界面输出，查看是否存在错误，根据错误描述，进行问题排查。 [root@ecsswk /]./redisexporter redis.addr 192.168.0.23:6379 INFO[0000] Redis Metrics Exporter V0.15.0 build date:2018011904:08:01 sha1: a0d9ec4704b4d35cd08544d395038f417716a03a Go:go1.9.2 INFO[0000] Providing metrics at :9121/metrics INFO[0000] Connecting to redis hosts: []string{192.168.0.23:6379} INFO[0000] Using alias:[]string{""} Redis的安全加固方面有哪些建议？ 在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意攻击，导致数据泄露和丢失。 针对DCS的Redis实例，您在使用过程中，可参考如下建议： 网络连接配置 a. 敏感数据加密后存储在Redis实例。 对于敏感数据，尽量加密后存储。 b. 对安全组设置有限的、必须的允许访问规则。 安全组与VPC均是用于网络安全访问控制的配置，以端口最少放开原则配置安全组规则，降低网络入侵风险。 c. 客户端应用所在ECS设置防火墙。 客户端应用所在的服务器建议配置防火墙过滤规则。 d. 设置实例访问密码。 e. 配置实例白名单。 Rediscli使用 f. 隐藏密码 安全问题：通过在rediscli指定a参数，密码会被ps出来，属于敏感信息。 解决方案：修改Redis源码，在main方法进入后，立即隐藏掉密码，避免被ps出来。 g. 禁用脚本通过sudo方式执行 安全问题：rediscli访问参数带密码敏感信息，会被ps出来，也容易被系统记录操作日志。 解决方案：改为通过API方式（Python可以使用redispy）来安全访问，禁止通过sudo方式切换到dbuser帐号使用rediscli。

本章主要介绍产品优势 一站式软件开发生产线 软件开发全流程覆盖：支持需求管理、代码托管、流水线、代码检查、编译构建、部署、测试计划、制品仓库等全生命周期软件开发服务。 开箱即用，云上开发，全流程规范可视，高效异地协作。 研发安全BuiltIn 在应用设计、开发、测试、运行等全流程提供安全规范及防护能力，支撑应用研发供应链安全有效落地。 提供针对于代码质量安全、Web漏洞、主机漏洞、开源漏洞及合规、移动应用安全等多种安全合规检查能力。 高质高效敏捷交付 支持代码检查、构建、测试、部署任务自定义和全面自动化并提供可视化编排的持续交付流水线，一键应用部署，上线发布零等待。 需求管理、代码检查、测试计划、流水线门禁等内置经验规范，有效提升应用研发质量，问题早发现。

语料安全代理 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 输入代理名称、监听地址（0.0.0.0）、监听端口（11439）、大模型API地址，代理类型选择“检索增强生成”，选择“默认策略”，单击“确定”。 4. 客户的代理模型上传文件，再点击“内容安全 > 语料安全 > 文件检测”。该页面展示上传的文件，说明代理模型设置成功。

本节介绍漏洞扫描服务的相关术语。 术语 说明 漏洞（Vulnerability） 硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。 网站（Website） 网站(Website)开始是指在因特网上根据一定的规则，使用HTML（标准通用标记语言下的一个应用）等工具制作的用于展示特定内容相关网页的集合。简单地说，网站是一种沟通工具，人们可以通过网站来发布自己想要公开的资讯，或者利用网站来提供相关的网络服务。 Web应用（Web App） Web应用程序是可使用任何Web浏览器访问的软件或程序。Web应用程序是具有功能和交互式元素的网站。 主机（Host） 连接了硬盘、硬盘子系统或者文件服务器，并能在其上存储数据和I/O访问的计算机系统。大型机、服务器、工作站以及个人电脑，甚至多处理器机器和集群计算机系统都被称为主机。 安全配置基线（Security Configuration Baseline） 安全配置基线即针对不同的产品或者系统，依据安全评估标准，形成一系列固化的检查规则、评估方法，为安全管理人员在实际的安全配置工作中提供参考和标杆。 NVD National Vulnerability Database国家安全漏洞库。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 安全通告（Security Advisory） 安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。一般用于厂商披露器产品直接相关的漏洞。

此小节介绍数据库安全与其他服务的关系。 与弹性云主机的关系 数据库安全服务实例创建在弹性云主机上，用户可以通过该实例，为弹性云主机上的自建数据库提供安全审计功能。 与关系型数据库的关系 数据库安全服务可以为关系型数据库服务中的RDS实例提供安全审计功能。 与物理机的关系 数据库安全服务可以为物理机上的自建数据库提供安全审计功能。

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 1小时 5m 最近365天 20分钟 5小时 1h 最近365天 20分钟 1天 24h 最近365天 20分钟 31天

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本文介绍容器安全卫士管理类常见问题。 容器安全卫士有哪些注意事项？ 安全探针仅支持三种容器运行时，包括：docker、containerd、crio。 安全探针在运行时会挂载k8s node宿主机的 /data（非crio）和 /root（crio）目录，请确保目录的权限正常。 安全探针需要跟中心通信，请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 接入容器安全卫士对现有业务和服务器运行有影响吗？ 接入容器安全卫士不需要中断现有业务，不会影响服务器的运行状态，即不需要对其进行任何操作（例如关机或重启）。 防护探针本身需要占用宿主机一定资源，可能会对宿主机产生一定影响。不过请放心，容器安全卫士对防护探针做了资源监控和降级处置，来保障业务稳定、安全。

如何通过安全组控制使VPN不能访问VPC上的部分虚拟机，实现安全隔离？ 如果用户需要控制VPN站点只能访问VPC的部分网段或者部分主机，可以通过安全组进行控制。 配置示例 不允许客户侧的子网192.168.1.0/24访问VPC内子网10.1.0.0/24下的ECS。 配置方法 1. 创建两个安全组：安全组1和安全组2。 2. 安全组1的入方向规则配置deny网段192.168.1.0/24。 3. 安全组2允许192.168.1.0/24访问。 4. 网段10.1.0.0/24的ECS选择安全组1，其他的主机选择安全组2。 修改VPN连接的配置会造成连接重建吗？ VPN连接包含本端子网、对端子网、对端网关、预共享密钥、IKE协商策略、IPsec协商策略。修改VPN连接具体包括以下几种情况： 修改本端子网和对端子网，连接ID不发生变化，只是更新了连接两端的子网信息，如果更新的是部分子网信息，已经建立的子网间隧道不会重建。 修改对端网关IP，连接ID不发生变化，但连接的对端已改变，连接需要重建。 仅修改连接的预共享密钥，连接的ID不发生变化，连接状态当时并不发生改变，重协商会重新校验密钥匹配情况，如果密钥不匹配重协商会失败。 修改协商策略（需验证预共享密钥），连接ID发生改变，相当于连接删除重建过程，连接需要重建。 云对接AWS后，为何不可以从AWS向云发起协商？ VPN建立连接完成后，AWS为Response模式，并不主动发起协商，当从AWS的EC2向云ECS发起数据流时，也不触发该VPN建立SA。 请按照AWS的知识文档，只能从客户侧（即对接AWS的云）发起协商。

合规检测可以提高企业办公安全水位，本文介绍如何使用合规检测能力。 背景说明 合规检测提供多项终端合规基线检测能力，企业可制定合规基线，客户端实时采集指定的办公终端属性，检测企业办公终端环境是否安全合规，帮助企业提高办公安全水位。 注意 合规检测功能需要客户端版本号为2.3.x及以上，且需购买对应版本套餐才具有该能力，点此查看 其中，必备软件/违规软件需要2.25.10及以上客户端。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】或【零信任】； 2. 在左侧导航栏“终端安全合规检测”，查看合规检测策略和配置； 3. 可根据业务需求进行相关配置。 功能说明 基础配置 展示合规检测项，针对企业员工终端合规基线情况进行检测，不符合终端合规检测要求则进行相关处置。 系统内置全员终端合规检测策略并默认开启，内置策略的处置动作均为监控观察，不影响用户使用，企业可根据自身安全标准调整。 若员工不符合合规检测要求，可根据处置动作进行访问限制、登录限制等，支持员工从客户端点击合规检测按钮，进行主动扫描检测，员工可根据检测结果进行合规整改，直到满足合规要求则不再进行处置限制。 企业管理员可从左侧导航栏日志与数据分析处置记录页面，查看合规检测策略的检测情况，处置记录会记录不符合合规策略的员工及其设备情况。

本小节介绍配置登录白名单。 通过配置目标服务器IP、登录端IP以及登录端用户名完成登录白名单添加，添加后HSS对白名单内IP、用户名的登录、访问行为进行忽略。 注意 配置的目标服务器IP、登录端IP以及登录端用户名需同时满足白名单配置的信息，检测时才会忽略。 如果将已经产生告警的目标IP通过添加登录告警白名单方式加入白名单，加入白名单之后的检测会对目标IP进行忽略，但已经产生的告警不会自动放行，仍需对告警进行处理，处理详情请参见查看入侵告警事件。 您可以通过以下两种方式添加登录白名单： 处理告警事件时，将“帐户暴力破解”和“帐户异常登录”类型的告警事件加入到登录白名单，详细信息请参见入侵告警事件。 在“登录白名单”页面，添加登录白名单。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加登录告警白名单 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“入侵检测 > 白名单管理 > 登录白名单”，进入“白名单管理”页面，单击“添加”。 4、在“添加登录安全白名单”对话框中，输入“服务器IP”、“登录IP”和“登录用户名”。 添加登录安全白名单 登录安全白名单参数说明 参数名称 参数说明 取值样例 服务器IP 支持IPv4地址。 支持单个IP、IP范围、IP掩码，以英文逗号分隔。 192.168.1.1 192.168.2.1192.168.6.1 192.168.7.0/24 登录IP 登录用户名 当前登录用户名。 hsstest 5、单击“确认”，完成登录白名单的添加。

参数 参数说明 可用区 选择集群工作区域下关联的可用区。 可用区是使用独立电源和网络资源的物理区域。通过内部网络互联，再以物理方式进行隔离，提高了应用程序的可用性。建议您在不同的可用区下创建集群。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 选择需要创建集群的VPC，单击“查看虚拟私有云”进入VPC服务查看已创建的VPC名称和ID。如果没有VPC，需要创建一个新的VPC。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 选择需要创建集群的子网，单击“查看子网”可查看所选子网的详细信息，若VPC下未创建子网，请在VPC服务控制台单击“创建子网”进行创建。网络ACL出规则配置请参考 说明 创建MRS集群需要的IP数量和集群节点和组件个数相关，集群类型不影响IP数量。 MRS集群部署默认需要的IP数量为：集群节点数量+2（Manager+DB），如果部署集群时选择Hadoop、Hue、Sqoop或Loader、Presto组件，则每一个组件需要再加一个IP。若单独创建ClickHouse集群则需要的IP数量为：集群节点数量+1（Manager）。 安全组 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 用户创建集群时，可自动创建安全组，也可选择下拉框中已有的安全组。 说明 选择用户自己创建的安全组时，请确保入方向规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则，源地址请勿使用0.0.0.0/0，否则会有安全风险。若用户不清楚可信任的IP访问范围，请选择自动创建。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 用户创建集群时，可选择下拉框中已有的弹性公网IP进行绑定。若下拉框中没有可选的弹性公网IP，可以单击“管理弹性公网IP”进入弹性公网IP服务进行创建。 说明 弹性公网IP必须和集群在同一区域。

本节主要介绍弹性文件服务的网络类常见问题。 是否支持跨VPC访问文件系统？ 支持。 SFS容量型文件系统：支持为SFS容量型文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。具体操作请参见配置多VPC。 SFS Turbo文件系统：支持通过虚拟私有云VPC的对等连接功能，将同区域的两个或多个VPC互连以使这些VPC互通，则实际上不同的VPC便处于同一个网络中，归属于这些VPC下的云服务器也能共享访问同一个文件系统。更多关于VPC对等连接功能信息请参见VPC对等连接。 弹性文件服务支持跨区域挂载吗？ 暂时不支持。文件系统只能挂载至同一区域的弹性云服务器上。例如：苏州的文件系统无法挂载至贵州的弹性云服务器上，只能挂载至苏州的弹性云服务器上。 VPC的安全组是否影响弹性文件服务的使用？ 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 SFS容量型文件系统的安全组需要用户自行添加对应的入方向和出方向访问规则。SFS容量型文件系统中的NFS协议所需要入方向的端口号为111、2049、2051、2052。CIFS协议所需要的端口号为445，DNS服务器所需的端口号为53。 配置规则 入方向规则 方向 协议 端口范围 源地址 说明 :::::: 入方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 出方向规则 方向 协议 端口范围 源地址 说明 :::::: 出方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 说明 端口号111需要配置双向访问规则。入方向可配置为弹性文件服务的前端业务IP网段，可以通过ping 文件系统域名或IP 或dig 文件系统域名或IP 获取。 端口号445、2049、2050、2051和2052仅需要添加出方向访问规则，其规则同端口111的出方向规则。

产品型号 标准版 高级版 旗舰版 四层吞吐量 1Gbps 2Gbps 8Gbps 七层吞吐量 100Mbps 200Mbps 4Gbps 最大并发连接数 100000 250000 2500000 每秒新建连接数 20000 40000 80000 云主机最低配置 2C,4G内存,40G系统盘 2C,4G内存，40G系统盘 8C，16G内存，40G系统盘 基础功能模块 防火墙(FW)模块 防火墙(FW)模块 防火墙(FW)模块 基础功能模块 应用识别(APP)模块 应用识别(APP)模块 应用识别(APP)模块 基础功能模块 入侵防御(IPS)模块 入侵防御(IPS)模块 入侵防御(IPS)模块 安全扩展模块 防病毒(AV)模块 防病毒(AV)模块 防病毒(AV)模块 安全扩展模块 网页过滤(URL)模块 网页过滤(URL)模块 网页过滤(URL)模块 安全扩展模块 带宽管理(QOS)模块 带宽管理(QOS)模块 带宽管理(QOS)模块 安全扩展模块 僵尸网络C&C模块 安全扩展模块 云沙箱Sand模块 安全扩展模块 IP信誉库IPR模块

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云CDN加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 模块简介 相关管理模块简介如下： 域名管理模块 说明 批量配置域名 介绍当客户多个域名需要配置，而配置值又是相同的情况，这时可以使用批量配置域名功能。 域名操作日志 介绍CDN域名操作记录，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 介绍标签组和标签的用途和用法，包括创建，删除，关联域名等。 基础配置 介绍域名基础配置，包括域名归属权验证、加速类型选定、加速区域选定、IPv6开关。 回源配置 介绍CDN回源相关的功能和配置，包括源站配置、回源协议、回源端口、默认回源HOST、指定源站回源HOST、回源SNI、回源HTTP请求头、回源URI改写、回源302/301跟随、区分IPv4/IPv6回源、分区域分运营商回源、回源参数改写、Common Name白名单、私有Bucket回源、高级回源、回源超时时间等。 头部修改 介绍头部修改相关配置，包括HTTP响应头，回源HTTP请求头，回源HTTP响应头。 HTTPS配置 介绍HTTPS相关的功能，包括HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、CDN支持的SSL/TLS加密套件等。 缓存配置 介绍缓存相关功能，包括缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、缓存key设置、跨域资源共享等。 访问控制 介绍访问控制相关的功能，包括Referer防盗链、IP黑白名单、UA黑白名单、URL黑白名单、URL鉴权、远程同步鉴权、带宽控制、IP访问限频、单请求限速等策略。 文件处理 介绍文件处理相关的功能，包括文件压缩、html页面优化、html禁止操作、图片处理。 HTTP3.0(QUIC)协议 介绍HTTP3.0(QUIC)协议的适用场景和配置方法。 视频相关 介绍视频有关的功能，包括视频拖拉、视频试看、分片回源、HLS标准加密改写。 高级配置 介绍天翼云CDN加速平台高级配置，包括访问URL重定向，错误页面重定向。 业务告警 介绍天翼云CDN加速平台的业务监控指标和告警功能及其配置方法。 云备源 介绍云备源的适用场景及使用说明。 CDN镜像源 介绍镜像源功能原理及配置说明。 防攻击处理预案说明 介绍安全攻击发生时CDN平台的应急处理机制。 增值服务 介绍CDN增值服务的适用场景和申请方法。

本小节主要介绍如何管理安全产品集成，包括启用和取消产品集成。 态势感知通过集成安全防护产品，接入各安全产品检测数据，集中管理风险检测结果。 说明 若需启用其他产品集成，请在“安全产品集成”页面，单击右上角“我要推荐”，反馈相关产品信息。 启用产品集成 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 查询目标产品。选择“未集成”筛选条件，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 4. 开启接收检测结果。 在目标产品列框，单击“开启集成”，开启接收来自该产品的检测数据。 启用产品集成后，约5分钟后即可接收到产品上报的数据。 说明 为确保产品检测数据的正常接收，请确保已开启各产品相应防护功能。 取消产品集成 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 查询目标产品。 选择“已集成”筛选条件，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 4. 取消接收检测结果。 在目标产品列框，单击“关闭集成”，取消接收来自该产品的检测数据。

告警策略 如果黑客暴力破解密码成功，且成功登录您的服务器，会立即发送实时告警通知用户。 如果检测到暴力破解攻击并且评估认为账户存在被破解的风险，会立即发送实时告警通知用户。 如果该次暴力破解没有成功，主机上也没有已知风险项（不存在弱口令），评估认为账户没有被破解的风险时，不会发送实时告警。企业主机安全服务会在每天发送一次的每日告警信息中通告当日攻击事件数量。您也可以登录企业主机安全控制台入侵检测页面实时查看拦截信息。 查看账户破解检测结果 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、进入“暴力破解”页面，查看已防护的服务器上的暴力破解拦截记录。 5、单击“查看详情”，可查看已拦截的攻击源IP、攻击类型、拦截状态、拦截次数、开始拦截时间和最近拦截时间。 已拦截：表示该暴力破解行为已被HSS成功拦截。 已解除：表示您已解除对该暴力破解行为的拦截。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在默认拦截时间内没有再继续攻击，系统自动解除拦截 。

本节为您介绍管理应用识别DPI的操作场景、前提条件、操作步骤。 操作场景 用户可以在监控平台查看自定义应用的流量访问情况。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云SDWAN实例、智能网关的创建与配置，且智能网关已绑定SDWAN。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称。 5. 单击“自定义应用”页签，然后开启“DPI功能”。 6. 单击“查看监控项”。 7. 可跳转至管理与部署控制台，查看应用监控。

分类 规格 计费模式 价格 单位 备注 独享模式 WI100 按需 5.5 元/个/小时 WAF实例创建类别为普通租户类需要付ECS费用。 独享模式 WI100 包年包月 2640 元/个/月 支持包年优惠，一年8.5折，2年7折，3年5折 独享模式 WI500 按需 13.1 元/个/小时 WAF实例创建类别为普通租户类需要付ECS费用。 独享模式 WI500 包年包月 6288 元/个/月 支持包年优惠，一年8.5折，2年7折，3年5折 内容安全 内容安全单次检测 按需（按次） 4280 元/网站(或新媒体账号)/次 一次性收费，不支持修改、退订或暂停服务 内容安全 文本安全监测 包月 4280 元/网站(或新媒体账号)/月 最多支持3个月 内容安全 文本安全监测 包年 16000 元/网站(或新媒体账号)/年 仅支持包一年

在概览页面，可以查看安全防护情况、安全告警情况、用户配置的访问控制策略数量、入侵检测防护开启情况、以及已开启防护的资产上的流量趋势等。 概览主要分为安全防护、安全告警、实例状态、资产防护监控、防护配置、访问控制策略、互联网边界流量趋势、VPC边界流量趋势等统计功能，如下图所示。 安全防护 安全防护展示了防护的总体情况，包括入侵防御拦截数和访问控制拦截数，防护总次数为两项之和。支持查看最近一天、最近三天、最近七天的统计数据。 防护总次数：展示了近期云防火墙（原生版）为您的资产触发的安全防护的总次数，等于入侵防御拦截数与访问控制拦截数的总和。 入侵防御拦截数：展示了入侵防御拦截的数量。点击数字时会跳转至“日志审计 > 入侵防御日志”界面。 访问控制拦截数：展示了访问控制拦截的数量。点击数字时会跳转至“日志审计 > 访问控制日志”界面。

本章节主要介绍翼MapReduce组件Spark使用的常见问题。 问题说明 使用Spark SQL 访问Hive 表的一个表分区，但是运行速度却很慢。 分析样例： select x,y from test where x1 （其中x是test表的 Partition 字段） 原因分析 按照spark 源码逻辑，在解析逻辑计划时候回去调用 getPartitionsByFilter方法 去hive中只提取 x1 分区信息。 但是由于一些原因，导致getPartitionsByFilter 的谓词下推失败，从而去全表扫描所有test的分区信息，并返回。 例如，我们x字段是String类型，但是我们的SQL中不是 where x’1’ ，而是where x1 ，这就导致了谓词下推失败。 出现hive分区表谓词下推失败的情况，我们可以做如下处理： 我们需要去检查sql中的写法是否正确。 可以关闭SQL逻辑计划解析过程中的谓词下推逻辑。 处理步骤 关闭SQL逻辑计划解析过程中的谓词下推逻辑，具体是Spark SQL默认开启基于分区统计信息的执行计划优化，相当于自动执行Analyze Table（默认开启的设置方法为spark.sql.statistics.fallBackToHdfstrue，可通过配置为false关闭）。 开启后，SQL执行过程中会扫描表的分区统计信息，并作为执行计划中的代价估算，例如对于代价评估中识别的小表，会广播小表放在内存中广播到各个节点上，进行join操作，大大节省shuffle时间。 此开关对于Join场景有较大的性能优化，但是会带来 获取分区表信息RPC请求 的增加。 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse

本章节主要介绍翼MapReduce服务配置角色实例参数。 操作场景 用户可以根据实际业务场景，在MRS Manager中快速查看及修改角色实例默认的配置。支持导出或导入配置。 对系统的影响 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 操作步骤 修改角色实例参数 1. 单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“实例”页签。 4. 单击角色实例列表中指定的角色实例名称。 5. 单击“实例配置”页签。 6. 在“参数类别”选择“全部配置”，界面上将显示该角色实例的全部配置参数导航树。 7. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 修改某个参数的值后需要取消修改，可以单击恢复。 8. 单击“保存配置”，勾选“重启角色实例”并单击“确定”，重启角色实例。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。 导出角色实例配置参数 1. 单击“服务管理”。 2. 选中某项服务。 3. 选中某角色或单击“实例”。 4. 选择指定主机上某角色实例。 5. 单击“实例配置”。 6. 单击“导出实例配置”，导出指定角色实例配置数据并选择一个位置保存。 导入角色实例配置参数 1. 单击“服务管理”。 2. 选中某项服务。 3. 选中某角色或单击“实例”。 4. 选择指定主机上某角色实例。 5. 单击“实例配置”。 6. 单击“导入实例配置”，导入指定角色实例配置数据。 7. 单击“保存配置”，勾选“重启角色实例。”并单击“确定”。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。

本章节主要介绍翼MapReduce服务退服和入服务角色实例。 操作场景 某个Core或Task节点出现问题时，可能导致整个集群状态显示为“异常”。MRS集群支持将数据存储在不同Core节点，用户可以在MRS Manager指定角色实例退服，使退服的角色实例不再提供服务。在排除故障后，可以将已退服的角色实例入服。 支持退服、入服的角色实例包括： HDFS的DataNode角色实例 Yarn的NodeManager角色实例 HBase的RegionServer角色实例 Kafka的Broker角色实例 限制： 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。例如HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 Kafka Broker数量少于或等于副本数时，不能执行退服。例如Kafka副本数为2时，则系统中少于3个节点，将无法执行退服，Manager执行退服操作时会失败并退出执行。 已经退服的角色实例，必须执行入服操作启动该实例，才能重新使用。 操作步骤 在MRS Manager，单击“服务管理”。 1.单击服务列表中相应服务。 2.单击“实例”页签。 3.勾选指定角色实例名称前的复选框。 4.选择“更多 > 退服”或“入服”执行相应的操作。 说明 实例退服操作未完成时在其他浏览器窗口重启集群中相应服务，可能导致MRS Manager提示停止退服，实例的“操作状态”显示为“已启动”。实际上后台已将该实例退服，请重新执行退服操作同步状态。

本章主要介绍翼MapReduce的查看备份恢复任务功能。 操作场景 系统管理员可以通过FusionInsight Manager查看已创建的备份恢复任务，以及任务的运行情况。 前提条件 登录FusionInsight Manager，请参见登录管理系统。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复”。 2.单击“备份管理”或“恢复管理”。 3.在任务列表中，查看“任务状态”与“任务进度”列获取上一次任务运行的结果。绿色表示运行成功，红色表示运行失败。 4.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”或单击“查询历史”，打开备份恢复任务运行记录。 在弹出的窗口中，在指定一次执行记录前单击，打开此次任务运行的日志信息。 相关任务 启动备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 即时备份”或单击“执行”，启动处于准备或失败状态的备份恢复任务。已成功执行过的恢复任务不能重新运行。 停止备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 停止”或单击“停止”，停止处于运行状态的备份恢复任务。停止成功后，该任务的“任务状态”变为“已停止”。 删除备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 删除”或单击“删除”，删除备份恢复任务。删除任务后备份的数据默认会保留。 挂起备份任务 在任务列表指定任务的“操作”列，选择“更多 > 挂起”，挂起备份任务。仅支持周期备份的任务，挂起后周期备份任务不再自动执行。挂起正在执行的备份任务时，该任务会停止运行。需要解锁时，选择“更多 > 重新执行”。